Het is onrustig in de markt. Je hoort dat de NIS2-wetgeving "eraan komt", dat de overheid "vertraagd is", maar ondertussen krijg je wel al dikke vragenlijsten van grote opdrachtgevers over je beveiliging. Wat is nu de status?

Voor mkb-installateurs is de situatie verwarrend. Moet je nu rennen of kun je achterover leunen?

Het korte antwoord: achterover leunen is geen optie. Hoewel de Nederlandse wet (de Cyberbeveiligingswet) waarschijnlijk pas in 2025 definitief wordt, zijn jouw klanten – de grote bouwbedrijven, zorginstellingen, netbeheerders en industrie – nu al hun contracten aan het dichttimmeren. Wie nu niet beweegt, staat straks achteraan in de rij bij aanbestedingen.

Dit artikel geeft je een heldere tijdlijn en een concreet to-do lijstje voor de komende maanden.

1. De Tijdlijn: Waar staan we nu? (2024–2025)

De Europese deadline was 17 oktober 2024. Nederland heeft die datum niet gehaald, maar dat betekent niet dat je uitstel hebt.

  • Najaar 2024 (NU): De 'Schaduw-fase' De wet is in Europa van kracht. Grote, essentiële bedrijven (jouw opdrachtgevers) zijn verplicht om hun toeleveringsketen in kaart te brengen. Ze beginnen nu met het screenen van leveranciers.
  • Q1/Q2 2025: Nederlandse Wetgeving De Nederlandse Cyberbeveiligingswet (Cbw) wordt naar de Tweede Kamer gestuurd. De exacte details worden definitief, maar 95% is al bekend vanuit de Europese richtlijn.
  • Q3/Q4 2025: Inwerkingtreding & Handhaving Naar verwachting wordt de wet ergens in deze periode officieel van kracht in Nederland. Vanaf dat moment kunnen toezichthouders boetes uitdelen en controles uitvoeren.
  • 2026 en verder: De norm Cybersecurity is een standaard contractvoorwaarde geworden, net zoals VCA dat nu is voor veiligheid.

2. Wat kun je DEZE MAAND al doen? (Quick Wins)

Wacht niet op de wetstekst. Begin met de maatregelen die je sowieso moet nemen. Dit kost weinig geld, maar maakt je direct veiliger.

  1. Zet MFA overal aan Multifactorauthenticatie is de nummer 1 eis. Zonder dit kom je bij geen enkele audit meer weg.
    • Actie: Activeer het vandaag nog op Microsoft 365, je boekhoudpakket en je ERP-systeem.
  2. Maak je 'Assets' lijst (Inventarisatie) Je kunt niet beveiligen wat je niet kent.
    • Actie: Open Excel. Maak een lijst van: Laptops, Tablets, Mobiele telefoons, Servers, Cloud-software en kritieke IoT-apparatuur (laadpaal-beheer, GBS-laptops).
  3. Check je Back-up Ransomware is je grootste vijand.
    • Actie: Vraag je IT-partner: "Hebben wij een back-up die 'offline' of 'immutable' is?" (Dus eentje die niet mee versleuteld wordt als we gehackt worden).
  4. Start met updates
    • Actie: Stel op alle bedrijfsapparaten in dat updates automatisch worden geïnstalleerd.

3. Klaar voor de vragen van je Klant (Ketenbeheer)

Je grote opdrachtgevers (gemeenten, energie, zorg) vallen onder het zware NIS2-regime. Zij zijn verplicht om jou te controleren. Bereid je voor op vragen als:

  • "Heeft u een informatiebeveiligingsbeleid?"
  • "Hoe snel meldt u incidenten aan ons?"
  • "Zijn uw medewerkers getraind in cybersecurity?"

Hoe laat je als klein bedrijf zien dat je 'in control' bent? Je hoeft niet direct een ISO 27001-certificaat te halen (dat is duur en duurt lang). Maak in plaats daarvan een "NIS2-Verklaring". Dit is een document waarin je beschrijft hoe je veiligheid regelt.

Wat zet je in die verklaring?

  • "Wij gebruiken standaard MFA."
  • "Wij trainen ons personeel jaarlijks."
  • "Wij hebben verwerkersovereenkomsten met onze IT-leveranciers."
  • "Wij melden incidenten binnen 24 uur."

Dit wekt vertrouwen en is voor veel opdrachtgevers voorlopig voldoende.

4. Concrete stappen (Zonder dure IT-afdeling)

Je hebt geen security-officer nodig om NIS2-proof te worden.

Stap 1: Het Incidentresponsplan (A4'tje) Wat doe je als je gehackt wordt?

  • Schrijf op wie de 'beslisser' is (directeur).
  • Schrijf het noodnummer van de IT-partij op.
  • Schrijf op wie de klanten belt.
  • Kosten: 0 euro.

Stap 2: Leveranciersscreening Jij koopt ook in. Stuur jouw top-5 softwareleveranciers (ERP, Planning, IoT) een mail.

  • Vraag: "Voldoen jullie aan NIS2 en ISO 27001?"
  • Bewaar het antwoord in een mapje 'Compliance'. Hiermee toon je aan dat jij je ketenverantwoordelijkheid neemt.

Stap 3: Scheid je netwerken Heb je slimme camera's, een slimme thermostaat of test-apparatuur op kantoor?

  • Zet deze op het Gastnetwerk van je router, niet op het hoofdnetwerk waar je administratie staat.
  • Kosten: 0 euro (instelling in router).

5. Veelgemaakte fouten (Val hier niet in!)

  • Fout 1: "Ik ben te klein, het geldt niet voor mij."
    • Correctie: Je bent misschien geen 'Essentiële Entiteit', maar je bent wel een ketenpartner. Als jij niet veilig bent, mag je geen zaken meer doen met de groten.
  • Fout 2: "Mijn IT-partner regelt alles wel."
    • Correctie: Je IT-partner regelt de techniek (firewall, updates). Maar NIS2 gaat ook over gedrag (niet op linkjes klikken) en fysieke toegang (deur op slot). Dat moet jij zelf regelen. Bovendien blijf jij als directie eindverantwoordelijk.
  • Fout 3: Wachten op de definitieve wet.
    • Correctie: Security implementeren kost tijd. Als je pas begint als de wet er is (eind 2025), ben je te laat voor de deadlines van je klanten.

Conclusie

NIS2 is geen sprint, maar een marathon. Laat je niet gek maken door doemscenario's, maar steek ook je kop niet in het zand. Gebruik de rest van 2024 om de basis (MFA, updates, inventarisatie) op orde te krijgen. Gebruik 2025 om je processen (incidentplan, leverancierschecks) vast te leggen. Dan ben je klaar voor de wet én voor de toekomst van je bedrijf.

 

0 reacties

Reactie plaatsen