De nieuwe Cyberbeveiligingswet (de Nederlandse vertaling van NIS2) hangt als een donkere wolk boven de markt. Iedereen weet dat hij eraan komt, maar bijna niemand weet precies: "Val ik er nu wel of niet onder?"

Voor technische bedrijven, installateurs en IT-dienstverleners is dit onzekerheid troef. Ben je straks wettelijk verplicht om zware security-audits te doen? Krijg je boetes als je gehackt wordt? Of heb je ‘alleen maar’ te maken met lastige vragen van klanten?

Het antwoord hangt af van twee labels: ben je een essentiële entiteit, een belangrijke entiteit, of ben je een ketenpartner? In dit artikel helpen we je de puzzel te leggen.

1. De twee smaken: Essentieel vs. Belangrijk

De NIS2-richtlijn deelt bedrijven in op basis van hoe erg het is voor de maatschappij als ze uitvallen.

A. Essentiële Entiteiten (De ruggengraat van NL)

Dit zijn bedrijven in sectoren die absoluut niet mogen omvallen.

• Sectoren: Energie, Transport, Bankwezen, Drinkwater, Zorg (ziekenhuizen), Digitale Infrastructuur (grote datacenters, telecom), en sommige overheidsdiensten.
• Het regime: Proactief toezicht. De inspectie komt langs om te controleren of je beveiliging op orde is, óók als er niets mis is gegaan.
• De straf: De hoogste boetes en bestuurders zijn direct aansprakelijk.

B. Belangrijke Entiteiten (De economische motor)

Dit zijn sectoren die ernstige hinder veroorzaken bij uitval, maar waar het land niet direct plat door gaat.

• Sectoren: Post- en koeriersdiensten, Afvalverwerking, Chemie, Levensmiddelen (productie/distributie), Maakindustrie (machines, voertuigen) en... Digitale aanbieders (hier moeten installateurs opletten!).
• Het regime: Reactief toezicht. De inspectie komt pas langs nadat er een incident of datalek is geweest.
• De straf: Iets lagere boetes, maar nog steeds fors.

2. De Omvang-regel (en de uitzonderingen)

In de basis geldt NIS2 voor middelgrote en grote bedrijven in bovengenoemde sectoren.

• Middelgroot: > 50 medewerkers OF > € 10 miljoen omzet.
• Groot: > 250 medewerkers OF > € 50 miljoen omzet.

⚠️ Let op: De valkuil voor kleine tech-bedrijven Ben je kleiner dan 50 man? Juich niet te vroeg. Er zijn uitzonderingen. Je valt altijd onder NIS2, ongeacht je grootte, als je:

• Een aanbieder bent van openbare elektronische communicatienetwerken.
• Een Managed Service Provider (MSP) bent (zie punt 3).
• Door de overheid wordt aangewezen als 'kritiek'.

3. Waarom de installateur risico loopt (De MSP-discussie)

Veel installatiebedrijven doen meer dan alleen schroeven aandraaien. Ze leveren remote beheer, monitoren warmtepompen via de cloud, of beheren de IT-netwerken van klanten.

Volgens NIS2 kan dit vallen onder de definitie van een Managed Service Provider (MSP).

• Beheer jij op afstand de systemen van derden?
• Verzorg jij de installatie én het beheer van software/security?

Als je als 'MSP' wordt gezien, val je mogelijk direct onder de categorie Belangrijke Entiteit (of zelfs Essentieel), ook als je maar 15 man personeel hebt. De definitieve Nederlandse wetstekst moet hier uitsluitsel over geven, maar de kans is groot dat technisch dienstverleners hierin worden meegezogen.

4. Indirect geraakt: De Ketenverantwoordelijkheid

Val je na de check hierboven niet onder NIS2? Dan ben je nog niet veilig. Grote bedrijven (Essentiële Entiteiten) hebben een zorgplicht voor hun keten.

Stel: jij bent een klein installatiebedrijf (20 man). Je onderhoudt de airco's in de serverruimte van een groot Ziekenhuis (Essentieel) of Energiebedrijf.

• Het ziekenhuis móét de risico's in de keten afdekken.
• Zij gaan eisen dat jij voldoet aan strenge security-normen (bijv. ISO 27001).
• Doe je dat niet? Dan mag het ziekenhuis geen zaken meer met je doen.

Conclusie: Je bent dan geen NIS2-bedrijf voor de wet, maar je moet er wel aan voldoen om je klanten te houden.

5. Checklist: Loop ik risico?

Gebruik deze 12 punten om snel in te schatten waar je staat.

Deel A: Directe Wetgeving (Ben ik het zelf?)

1. [ ] Heeft mijn bedrijf meer dan 50 medewerkers?
2. [ ] Is mijn jaaromzet (of balanstotaal) hoger dan € 10 miljoen?
3. [ ] Werk ik in de sectoren: Energie, Transport, Water, Afval, Chemie, Voedsel of Maakindustrie?
4. [ ] Lever ik digitale diensten (cloud, datacenters, domeinnamen)?
5. [ ] Beheer ik IT-systemen of OT-systemen (Operationele Technologie) van klanten op afstand (MSP-rol)?

Deel B: Ketenrisico (Is mijn klant het?) 6. [ ] Werk ik voor ziekenhuizen of grote zorginstellingen? 7. [ ] Werk ik voor energiebedrijven, netbeheerders of waterbedrijven? 8. [ ] Werk ik voor grote transportbedrijven (Schiphol, Haven, NS)? 9. [ ] Werk ik voor overheden of gemeenten? 10. [ ] Heb ik via mijn laptop/tablet toegang tot de systemen van deze klanten? 11. [ ] Lever ik hardware of software die cruciaal is voor de continuïteit van mijn klant? 12. [ ] Krijg ik bij aanbestedingen steeds vaker vragen over ISO 27001 of IEC 62443?

Score:

• Ja op vraag 1 t/m 5? Grote kans dat je direct onder NIS2 valt als Belangrijke of Essentiële entiteit. Start direct met voorbereiden.
• Nee op A, maar Ja op B? Je wordt indirect geraakt. Je klanten gaan eisen stellen. Zorg dat je basisbeveiliging op orde is om contracten niet te verliezen.

6. Wat moet je NU doen? (Ook bij twijfel)

Wachten tot de Nederlandse wet definitief is (ergens in 2025), is te laat. Security kost tijd. Begin met deze drie stappen:

Stap 1: Inventarisatie & Risicoanalyse Weet wat je hebt. Welke apparaten hangen aan het internet? Welke klanten zijn kritiek? Waar zitten jouw digitale zwakke plekken? NIS2 eist dat je je risico's kent.

Stap 2: De Basis op Orde (Cyberhygiëne) Dit moet je sowieso doen, NIS2 of niet:

• Multifactorauthenticatie (MFA) overal aan.
• Back-ups (ook offline) testen.
• Updates automatiseren.
• Toegangsbeheer (wie mag waar bij) dichttimmeren.

Stap 3: Meldprocedure inrichten Onder NIS2 zijn de deadlines voor het melden van incidenten bizar kort (soms 24 uur). Weet jij wie je moet bellen als je gehackt bent? Maak een A4'tje met een belboom en stappenplan.

Conclusie

Of je nu het labeltje 'Essentieel', 'Belangrijk' of 'Ketenpartner' krijgt: de vrijblijvendheid is voorbij. In de technische sector wordt cybersecurity een harde voorwaarde om zaken te mogen doen. Zie NIS2 niet als een bureaucratische last, maar als een kans om je te onderscheiden als een betrouwbare, veilige partner voor je klanten.