De term ‘risicoanalyse’ klinkt voor veel installateurs als een theoretisch boekwerk vol ambtelijke taal. Maar onder de nieuwe NIS2-wetgeving ontkom je er niet aan: je moet in kaart brengen waar je digitale kwetsbaarheden zitten.

Het goede nieuws? Je hoeft geen cybersecurity-expert te zijn om dit te doen. Sterker nog: als installateur doe je dit dagelijks al. Als je een meterkast inspecteert, kijk je naar risico’s (brand, kortsluiting) en bepaal je maatregelen (nieuwe groep, aardlek).

Een digitale risicoanalyse is precies hetzelfde, maar dan voor je computers, apps en slimme apparaten. Met dit 4-stappenplan maak je een NIS2-proof analyse in gewonemensentaal.

Waarom moet dit?

NIS2 eist dat je "passende maatregelen" neemt. Maar wat is passend? Dat weet je pas als je weet wat er mis kan gaan. Zonder analyse schiet je met hagel; mét analyse geef je geld uit aan beveiliging die er echt toe doet.

Stap 1: Inventarisatie (Wat heb je in huis?)

Je kunt niet beveiligen wat je niet kent. Maak een lijst (gewoon in Excel) van alle systemen die belangrijk zijn voor je bedrijf.

Vergeet de 'vergeten' apparaten niet:

  • Kantoor: Servers, laptops, ERP-software (Syntess, Exact), boekhoudpakket.
  • Onderweg: Tablets van monteurs, telefoons, GPS-trackers.
  • Bij de klant (Beheer): Laptops waarmee je inlogt op GBS-systemen, portals voor laadpalen, tools voor warmtepomp-monitoring.
  • Leveranciers: De cloud van je softwareleverancier.

Tip: Vraag je monteurs: "Welke app of welk apparaat zou je écht niet kunnen missen om je werk te doen?" Zet die bovenaan.

Stap 2: Dreigingen (Wat kan er misgaan?)

Koppel aan elk systeem uit stap 1 een horrorscenario. Houd het simpel. In de installatietechniek zijn er eigenlijk maar drie smaken waar je wakker van moet liggen:

  1. Het is stuk (Beschikbaarheid): De planningsoftware ligt eruit. Niemand weet waar hij heen moet.
  2. Het is gejat (Vertrouwelijkheid): Een tablet met klantadressen en alarmcodes wordt gestolen.
  3. Het is gemanipuleerd (Integriteit): Iemand hackt de laadpalen die jij beheert en zet ze allemaal tegelijk uit (of aan).

Stap 3: De Score (Kans × Impact)

Nu gaan we wegen. Niet elk risico is even groot. Geef elk risico een score van 1 (Laag) tot 3 (Hoog).

  • Kans: Hoe waarschijnlijk is het dat dit gebeurt?
    • 1 = Zelden / 3 = Zeer waarschijnlijk (bijv. phishing mail)
  • Impact: Hoeveel pijn doet het als dit gebeurt?
    • 1 = Vervelend, maar we kunnen doorwerken / 3 = Het bedrijf staat stil of we hebben een mega boete/schadeclaim.

De Formule: Kans × Impact = Risicoscore

Afbeelding van risk assessment matrix 3x3

Shutterstock

Verkennen

Stap 4: Maatregelen (Wat doe je eraan?)

Pak de hoogste scores (6 en 9) eerst aan. Dit zijn je prioriteiten.

  • Technisch: Multifactorauthenticatie (MFA) aanzetten, updates installeren, back-up regelen.
  • Organisatorisch: Procedures schrijven, contracten met leveranciers checken, monteurs trainen.

Het Template: Zo ziet het eruit in Excel

Je kunt dit schema direct overnemen:

Systeem / Apparaat

Het Risico (Dreiging)

Kans (1-3)

Impact (1-3)

Totaal

Maatregel (Wat gaan we doen?)

Wie & Wanneer?

Tablet Monteur

Diefstal uit bus -> Klantdata op straat

2

3

6 (Hoog)

1. Schermvergrendeling verplichten.



2. MDM-software installeren om op afstand te wissen.

IT-partner, Q1

Beheerportaal Warmtepompen

Hacker logt in -> Zet systemen uit

1

3

3 (Midden)

1. Standaardwachtwoorden wijzigen.



2. MFA (2-staps inlog) aanzetten.

Service coördinator, Direct

Planningssoftware

Cloud-storing -> Monteurs staan stil

1

3

3 (Midden)

1. Checken of leverancier back-ups maakt.



2. Noodprocedure: papieren lijst printen elke ochtend.

Planning, Q2

Laptop Projectleider

Phishing mail -> Ransomware op netwerk

3

3

9 (Kritiek)

1. Awareness training.



2. Goede virusscanner (EDR).



3. Offline back-up regelen.

Directie, NU

Praktische voorbeelden uit de installatietechniek

Om je op weg te helpen, hier drie specifieke risico's die vaak vergeten worden:

1. Het 'TeamViewer'-risico

  • Situatie: Monteurs gebruiken TeamViewer of Anydesk om bij klanten in te loggen op een GBS.
  • Risico: Als de laptop van de monteur gehackt is, heeft de hacker toegang tot al jouw klanten.
  • Maatregel: Gebruik alleen beveiligde VPN-verbindingen en zet MFA aan.

2. De 'Slimme' Laadpaal

  • Situatie: Je beheert een laadplein. De software draait op een server die al 2 jaar niet geüpdatet is.
  • Risico: Hackers nemen het laadplein over.
  • Maatregel: Updatebeleid vastleggen. Wie is verantwoordelijk voor updates? Jij of de fabrikant?

3. De Leverancier

  • Situatie: Je hele bedrijf draait op één softwarepakket in de cloud.
  • Risico: Wat als die leverancier failliet gaat of gehackt wordt? (Supply chain risk).
  • Maatregel: Vraag naar hun ISO 27001-certificaat en maak afspraken over back-ups (escrow).

Veelgemaakte fouten (En hoe je ze voorkomt)

  1. Denken dat het 'af' is: Een risicoanalyse is een levend document. Doe dit elk jaar opnieuw, of als je nieuwe software in gebruik neemt.
  2. Alleen naar kantoor kijken: De grootste risico's in de installatietechniek zitten in het veld (OT/IoT). Vergeet de slimme meters, camera's en thermostaten niet.
  3. Te moeilijk doen: Je hoeft geen universitaire wiskunde los te laten op de kansberekening. Je onderbuikgevoel (in combinatie met gezond verstand) klopt vaak heel aardig.

Conclusie

Een NIS2-risicoanalyse is geen strafwerk, maar een APK voor je bedrijf. Het dwingt je om even stil te staan bij waar je kwetsbaar bent. Begin simpel, pak de grootste risico's (de rode vlekken in je Excel) als eerste aan en werk van daaruit verder. Zo voldoe je aan de wet én slaap je een stuk rustiger.

 

0 reacties

Reactie plaatsen