Op verjaardagen, netwerkborrels en in de kantine gaat het steeds vaker over ‘die nieuwe cyberwet’. De wildste verhalen doen de ronde: van “dat geldt alleen voor Schiphol” tot “het is gewoon de nieuwe AVG”.

Deze ruis is gevaarlijk. Ondernemers die denken dat de bui wel overwaait, komen straks bedrogen uit. Want NIS2 (de nieuwe Europese richtlijn voor netwerk- en informatiebeveiliging) is geen papieren tijger, maar een wet met tanden die diep ingrijpt in de technische keten.

Tijd voor een fact-check. Dit zijn de grootste misvattingen over NIS2 – en hoe het écht zit.

Misvatting 1: “NIS2 geldt alleen voor grote corporates.”

De realiteit: NIS2 kijkt niet alleen naar omvang, maar naar impact. En nog belangrijker: het kijkt naar de keten.

Natuurlijk, de wet richt zich primair op ‘Essentiële’ en ‘Belangrijke’ entiteiten zoals energiebedrijven, drinkwaterbedrijven en ziekenhuizen. Maar deze reuzen kunnen niet bestaan zonder hun toeleveranciers.

• Ben jij het installatiebedrijf dat de klimaatbeheersing van een datacenter onderhoudt?
• Lever jij de sensoren voor een chemiefabriek?
• Beheer jij de IT van een zorginstelling?

Dan word jij via de achterdeur de wet in getrokken. Grote opdrachtgevers zijn namelijk verplicht om hun toeleveranciers te screenen. Als jij je beveiliging niet op orde hebt, ben jij het risico. Ze zullen eisen dat je voldoet aan dezelfde strenge normen, of ze zoeken een andere leverancier.

Let op: Ben je een MSP (Managed Service Provider) die IT-diensten levert? Dan val je ongeacht je grootte direct onder de wet.

Misvatting 2: “NIS2 is een IT-feestje, dat regelt de systeembeheerder wel.”

De realiteit: NIS2 is geen IT-wet, maar een bestuurderswet.

Onder de oude wetgeving kon een directeur bij een hack nog naar de IT-afdeling wijzen. Onder NIS2 zijn bestuurders en directieleden hoofdelijk aansprakelijk als ze hun zorgplicht verzaken. NIS2 gaat over bedrijfscontinuïteit. Dat los je niet op met alleen een firewall. Het gaat ook over:

• Fysieke beveiliging: Wie heeft toegang tot de serverruimte of de meterkast?
• Personeel: Zijn je monteurs getraind om phishing te herkennen?
• Processen: Is er een noodplan als alles uitvalt?
• Leveranciersmanagement: Weet je zeker dat die camera uit China geen achterdeurtje heeft?

Je IT-partner voert de techniek uit, maar de directie moet het beleid bepalen en tekenen.

Misvatting 3: “NIS2 is gewoon de AVG, maar dan anders.”

De realiteit: Ze lijken op elkaar, maar het doel is totaal anders.

• AVG (Privacy): Beschermt het individu. Het doel is voorkomen dat persoonsgegevens (namen, foto’s) op straat liggen.
• NIS2 (Veiligheid): Beschermt de samenleving en economie. Het doel is voorkomen dat de maatschappij of een bedrijf stilvalt.

Het verschil in de praktijk: Stel, je wordt gehackt met ransomware.

• Voor de AVG is de vraag: "Zijn er klantgegevens gelekt?"
• Voor de NIS2 is de vraag: "Kan het ziekenhuis nog opereren? Werkt de stroomvoorziening nog? Kun je nog leveren?"

Ze overlappen elkaar wel (beide eisen goede beveiliging), maar waar je bij de AVG wegkomt met een boete en een brief, kan NIS2 leiden tot het intrekken van vergunningen of een persoonlijk bestuursverbod.

Misvatting 4: “Wij installeren alleen maar, dus we hebben hier geen last van.”

De realiteit: De installateur is vaak de zwakste schakel die hackers gebruiken.

Hackers breken niet meer in bij de zwaarbewaakte voordeur van een groot bedrijf. Ze komen binnen via de airco-installateur die op afstand inlogt voor onderhoud, of via de onbeveiligde software van een laadpaal. Als installateur ben je de poortwachter van de kritieke infrastructuur. Dat besef dringt nu door bij wetgevers én opdrachtgevers. Je kunt je niet meer verschuilen achter "wij doen alleen de hardware". Als je iets aansluit op het internet, ben je onderdeel van de digitale keten.

Misvatting 5: “Dat gaat pas ergens in 2025 spelen.”

De realiteit: De wet gaat dan pas in, maar de contracten worden nu geschreven.

Grote opdrachtgevers (gemeenten, industrie, zorg) zijn nu al bezig met hun inkoopvoorwaarden voor volgend jaar. Ze sturen nu al vragenlijsten naar leveranciers: "Voldoet u aan ISO 27001?" of "Hoe regelt u uw patch-management?" Als je wacht tot de wet officieel is ingevoerd in Nederland, sta je al met 3-0 achter bij aanbestedingen. Je concurrent die nu al begint, heeft de papieren straks op orde.

Wat betekent NIS2 dan wél voor jou? (Zonder jargon)

Vergeet de wetteksten. Dit is wat je in de praktijk moet regelen:

1. Zorgplicht: Je moet de basis op orde hebben. Denk aan multifactorauthenticatie (MFA), updates en back-ups. Niet "best effort", maar aantoonbaar veilig.
2. Meldplicht: Als je gehackt wordt, moet je dit razendsnel (binnen 24 uur) melden als dit impact heeft op jouw dienstverlening aan kritieke klanten.
3. Risicoanalyse: Je moet weten wat je kroonjuwelen zijn en waar je kwetsbaar bent.
4. Ketenbeheer: Je moet kritisch zijn op wat jij inkoopt. Geen onveilige apparatuur meer installeren.

Advies: Waar begin je?

Laat je niet gek maken door consultants die je bang praten. Begin praktisch:

1. Check je klanten: Werk je voor partijen in energie, zorg, water, transport of overheid? Dan is NIS2 voor jou relevant.
2. Check je leveranciers: Vraag hen of hun producten 'secure by design' zijn en hoe lang ze updates garanderen.
3. Zet de basis vast: MFA aan, back-ups testen, oude accounts verwijderen. Dat dekt al 80% van de eisen.

Conclusie

NIS2 is geen spookverhaal, maar een nieuwe kwaliteitsstandaard. Net zoals je geen onveilige gasleiding mag aanleggen, mag je straks geen onveilige digitale verbinding meer opleveren. Wie dat nu snapt, heeft straks goud in handen.