De tijd dat cybersecurity iets was voor de IT-afdeling in de kelder, is definitief voorbij. Met de komst van de Cyberbeveiligingswet (de Nederlandse uitvoering van NIS2) verschuift de verantwoordelijkheid rechtstreeks naar de directiekamer.

Voor installatiebedrijven brengt dit onzekerheid met zich mee. Wat als we gehackt worden? Kan ik als directeur privé failliet gaan? En hoe hoog zijn die boetes nu echt?

Laten we eerlijk zijn: de kans dat de Rijksinspectie morgen op de stoep staat bij een lokaal installatiebedrijf is klein. Maar de kans dat u aansprakelijk wordt gesteld door een grote opdrachtgever, of dat u als bestuurder in de problemen komt na een ernstig incident, is reëel. Dit artikel schetst de juridische kaders en de praktische risico's.

1. Waar gaat de overheid (of uw klant) écht op controleren?

NIS2 draait om de Zorgplicht. U moet "passende maatregelen" nemen om uw netwerken en informatiesystemen te beveiligen. Een auditor of inspecteur kijkt door uw mooie beleidsstukken heen en checkt deze vijf pijlers:

A. Basisbeveiliging (Cyberhygiëne)

Heeft u de digitale voordeur op slot?

• Wordt overal Multifactorauthenticatie (MFA) gebruikt?
• Is er een patch-beleid? (Worden updates binnen X dagen geïnstalleerd?).
• Zijn back-ups offline beschikbaar (tegen ransomware)?

B. Leveranciersbeheer (Supply Chain)

Dit is cruciaal voor installateurs. Weet u wat u installeert?

• Heeft u gecheckt of de leverancier van uw ERP-pakket of de fabrikant van uw laadpalen gecertificeerd is?
• Heeft u afspraken over updates en patches?

C. Incidentrespons & Meldplicht

Als het misgaat, is er dan paniek of een plan?

• Is er een bellijst?
• Worden incidenten binnen 24 uur gemeld bij het CSIRT (indien van toepassing)?
• Wordt er gelogd wat er gebeurt?

D. Asset Management

Weet u wat u heeft? Een Excel-lijst met "ongeveer 50 laptops" is niet genoeg. U moet weten welke apparaten, sensoren en accounts toegang hebben tot uw data.

E. Remote Beheer & IoT

Voor installateurs een heet hangijzer. Hoe logt u in bij klanten? Via een beveiligde VPN met unieke inlogs, of via een gedeeld TeamViewer-account met één wachtwoord? Dat laatste is onder NIS2 direct een 'rode vlag'.

2. Persoonlijke Aansprakelijkheid: Moet de directeur zich zorgen maken?

Ja, maar nuance is belangrijk. NIS2 introduceert expliciet bestuursverantwoordelijkheid.

Wat betekent dit juridisch?

Onder de oude wet kon een directeur zeggen: "Ik heb er geen verstand van, de IT-manager regelde dat." Onder NIS2 is dat verleden tijd.

1. Opleidingsplicht: Bestuurders en directieleden zijn verplicht om trainingen te volgen om cyberrisico's te begrijpen.
2. Goedkeuring: De directie moet de risicoanalyses en beveiligingsmaatregelen zelf goedkeuren en toezicht houden op de naleving.

Wanneer loopt u persoonlijk risico?

U gaat niet de gevangenis in als u gehackt wordt. U loopt wel risico bij grove nalatigheid.

• Voorbeeld: Uw IT-partner waarschuwt al een jaar schriftelijk dat de servers verouderd en onveilig zijn. U weigert budget vrij te maken. Vervolgens wordt u gehackt en lekt er data van een ziekenhuis (uw klant).
• In dat geval kan de toezichthouder oordelen dat u uw taak als bestuurder heeft verzaakt. Bij 'Essentiële Entiteiten' kan een bestuurder zelfs tijdelijk uit zijn functie worden ontheven.

3. Specifieke risico’s bij IoT-installaties

Voor installatiebedrijven zit het grootste 'compliance-risico' niet op kantoor, maar in het veld.

• Laadpalen & Smart Grids: Installeert u laadpalen die gekoppeld zijn aan het bedrijfsnetwerk? Als deze nog het standaardwachtwoord (admin/1234) hebben, zijn ze een open deur voor hackers. Onder NIS2 bent u verplicht dit te wijzigen en te documenteren.
• Gebouwbeheersystemen (GBS): Veel GBS-systemen draaien op verouderde Windows-versies of hebben open poorten naar het internet voor leveranciers. Dit is in strijd met de NIS2-eisen voor netwerkbeveiliging.
• Sensoren in de Industrie: Plaatst u sensoren in een fabriek? Als deze sensoren geen beveiligde verbinding (encryptie) gebruiken, kunnen hackers de meetwaarden manipuleren. Dit raakt de continuïteit van de klant.

4. De Boetes en Audits: Wat kost het?

De wet maakt onderscheid tussen twee categorieën bedrijven.

De Categorieën & Boetes

1. Essentiële Entiteiten (Grote bedrijven in energie, transport, water, zorg):
• Boete: Maximaal € 10.000.000 of 2% van de wereldwijde jaaromzet.
2. Belangrijke Entiteiten (Veel installateurs, productie, digitale diensten):
• Boete: Maximaal € 7.000.000 of 1,4% van de wereldwijde jaaromzet.

Hoe ziet een audit eruit?

• Essentieel: Ex-ante toezicht. De inspecteur komt periodiek langs om te controleren, ook als er niets aan de hand is.
• Belangrijk: Ex-post toezicht. De inspecteur komt pas langs nadat er een incident of melding is geweest.

Let op: Voor de meeste mkb-installateurs is de klant-audit het echte risico. Grote opdrachtgevers (die zelf Essentieel zijn) sturen nu al auditors op u af. Als u niet slaagt voor hun check, verliest u het contract. Dat kost vaak meer dan een overheidsboete.

Shutterstock

Verkennen

5. Concrete stappen om risico’s direct te verkleinen

Wilt u uw aansprakelijkheid beperken en boetes voorkomen? Regel deze basiszaken en documenteer ze.

1. Zet alles op papier (Risicoanalyse): Maak een overzicht van uw kroonjuwelen (klantdata, GBS-toegang). Schat in wat het risico is (zie de matrix hierboven) en welke maatregel u neemt. Dit document is uw eerste verdediging bij een controle.
2. Train de Directie: Volg als MT of directie een korte cybersecurity-cursus. Bewaar het certificaat. Hiermee toont u aan dat u voldoet aan de opleidingsplicht.
3. Screen uw eigen leveranciers: Stuur uw softwareleveranciers een mail: "Voldoen jullie aan NIS2 en ISO 27001?" Bewaar het antwoord. Hiermee dekt u uw ketenaansprakelijkheid deels af.
4. Stop met onveilige IoT: Maak beleid voor monteurs: Geen apparaten installeren met standaardwachtwoorden. Geen onbeveiligde remote access (TeamViewer) gebruiken.

Conclusie

NIS2 is geen spookverhaal om u bang te maken, maar een professionaliseringsslag. De kans op een megaboete van de overheid is voor een klein installatiebedrijf klein, zolang u geen grove fouten maakt. Het echte risico is commercieel en juridisch: het verliezen van klanten omdat u niet veilig genoeg bent, of bestuurlijke aansprakelijkheid omdat u de risico's negeerde. Door nu de basis op orde te brengen, verzekert u de toekomst van uw bedrijf.