De term ‘NIS2’ zingt al een tijdje rond. Veel installateurs halen hun schouders op: “Dat is voor energieleveranciers, ziekenhuizen en Schiphol. Wij zijn maar een mkb-bedrijf.”

Dat is een begrijpelijke gedachte, maar helaas niet meer juist. De nieuwe Europese richtlijn voor cyberbeveiliging (NIS2) heeft een enorm olievlek-effect. Omdat grote, kritieke bedrijven hun hele keten moeten beveiligen, kijken ze nu streng naar hun leveranciers.

En wie levert de toegangspoortjes, de klimaatbeheersing, de slimme energiemeters en de brandmeldinstallaties? Precies: het installatiebedrijf.

In dit artikel leggen we in gewonemensentaal uit wat NIS2 is en waarom u binnenkort telefoontjes kunt verwachten van uw opdrachtgevers met de vraag: "Hoe veilig werken jullie eigenlijk?"

1. Wat is NIS2? (Jip-en-janneke)

NIS2 (Network and Information Security directive) is de opvolger van de oude NIS1-richtlijn. Het doel van Europa is simpel: onze samenleving is zo afhankelijk geworden van digitalisering, dat we moeten voorkomen dat de boel platgaat door hackers.

Het verschil met vroeger:

• Meer sectoren: Vroeger ging het alleen om energie en banken. Nu vallen ook de voedselindustrie, afvalverwerking, postdiensten, maakindustrie en digitale aanbieders eronder.
• Strenger toezicht: Directeuren kunnen persoonlijk aansprakelijk worden gesteld als ze hun digitale beveiliging verwaarlozen.
• Ketenverantwoordelijkheid: Bedrijven moeten niet alleen hun eigen deur op slot doen, maar ook controleren of hun leveranciers veilig zijn.

De Nederlandse wetgeving die NIS2 implementeert (Cyberbeveiligingswet) gaat naar verwachting in 2025 in, maar veel opdrachtgevers bereiden zich nu al voor.

2. De 'Keten-val': Waarom u geraakt wordt

De meeste mkb-installatiebedrijven zijn zelf geen ‘Essentiële Entiteit’ volgens de wet. U valt dus niet direct onder het toezicht van de inspectie.

Maar... uw klanten wel. Stel, u doet het onderhoud voor een ziekenhuis (een NIS2-bedrijf) of een groot drinkwaterbedrijf. De wet verplicht dit ziekenhuis om de risico’s in hun toeleveringsketen te beheersen.

Als uw monteur met een onbeveiligde laptop inlogt op het gebouwbeheersysteem (GBS) van het ziekenhuis, bent u een risico. Hackers gebruiken vaak de kleine leverancier (u dus) als achterdeurtje om bij de grote vis (uw klant) binnen te komen.

Het gevolg: Uw grote opdrachtgevers gaan keiharde eisen stellen in inkoopvoorwaarden en contracten. "Wilt u voor ons blijven werken? Dan moet u aantoonbaar voldoen aan ISO 27001 of vergelijkbare security-eisen."

3. Voorbeelden: Wanneer zit u in de risico-zone?

Wanneer wordt het voor u concreet? Hier zijn vier voorbeelden uit de praktijk.

A. Gebouwbeheer (HVAC & Klimaat)

U installeert en beheert de klimaatsystemen in een datacenter of bij de overheid. Deze systemen hangen aan het internet voor beheer op afstand. Als dit systeem wordt gehackt, kan het datacenter uitvallen.

• NIS2-eis: U moet verplicht MFA (multifactorauthenticatie) gebruiken en updates direct uitvoeren.

B. Laadpalen en Energie

U legt laadpleinen aan voor een transportbedrijf. De laadpalen communiceren met het energienet (Smart Grid).

• NIS2-eis: De software in de laadpaal moet veilig zijn (‘Security by Design’). Onveilige Chinese hardware wordt mogelijk geweigerd.

C. Toegangscontrole & Beveiliging

U levert de slagbomen en pasjessystemen voor een chemisch bedrijf.

• NIS2-eis: Als uw systeem faalt, is de fysieke veiligheid van de fabriek in gevaar. De opdrachtgever zal eisen dat u 24/7 incidenten kunt melden en oplossen.

D. Industriële Automatisering (OT)

U installeert PLC’s en sensoren in een productielijn van een voedingsmiddelenfabrikant.

• NIS2-eis: U moet aantonen dat uw monteurs digitaal veilig werken (geen USB-sticks met virussen in de machine steken).

4. Wat verandert er in uw werkwijze?

Als u werkt voor NIS2-plichtige klanten, moet u rekening houden met deze verplichtingen:

1. Meldplicht Incidenten: Als u een datalek heeft of gehackt bent, moet u dit direct melden bij uw opdrachtgever. Zij hebben namelijk zelf een strikte meldplicht (binnen 24 uur) bij de overheid. Als u zwijgt, brengt u hen in grote problemen.
2. Basis Hygiëne op orde: Wachtwoorden als Welkom01 of Admin1234 zijn verleden tijd. U moet aantonen dat u werkt met sterke wachtwoorden, versleutelde laptops en veilige verbindingen (VPN).
3. Certificering: Bereid u erop voor dat u bij aanbestedingen steeds vaker vragenlijsten moet invullen over uw IT-beveiliging. Geen vinkjes? Geen opdracht.

5. Wat kunt u nu al doen? (Actieplan)

Wacht niet tot de wet in 2025 officieel ingaat. De grote bedrijven zijn nu al bezig hun contracten aan te passen.

• Stap 1: Check uw klantenlijst Voor wie werkt u? Zitten daar zorginstellingen, overheden, energiebedrijven, transporteurs of grote industrieën tussen? Zo ja: NIS2 komt uw kant op.
• Stap 2: Check uw leveranciers Installeert u hardware (camera’s, routers) die niet meer geüpdatet wordt? Dat mag straks niet meer. Vraag uw leveranciers om ‘NIS2-proof’ of ‘Cyber Resilience Act-proof’ apparatuur.
• Stap 3: Interne schoonmaak Regel de basis. Zorg dat monteurs niet meer werken met privé-telefoons voor zakelijke data, zet overal tweestapsverificatie (MFA) aan en zorg voor goede back-ups.
• Stap 4: Documenteer Doe niet alleen veilig, maar schrijf het ook op. Maak een simpel documentje: "Procedure digitale veiligheid en incidentmelding". Dat is vaak het eerste waar een opdrachtgever naar vraagt.

Conclusie

NIS2 is geen pestmaatregel, maar een noodzakelijke upgrade van onze digitale dijken. Voor installatiebedrijven is het een kans: wie nu zijn beveiliging op orde brengt, heeft straks een enorme voorsprong op de concurrent die bij een aanbesteding met de mond vol tanden staat.

Kortom: U hoeft geen IT-bedrijf te worden, maar u moet wel een veilig installatiebedrijf zijn.