Vroeger was een laadpaal een stopcontact op een paal en een thermostaat een draaiknop aan de muur. Vandaag zijn het volwaardige computers die continu in verbinding staan met het internet, de cloud en interne bedrijfsnetwerken. Voor hackers zijn deze ‘slimme’ apparaten (IoT) de perfecte achterdeur.

Met de komst van de nieuwe Europese cyberwet NIS2 verandert de spelregel voor deze apparatuur ingrijpend. IoT en OT (Operational Technology) worden niet langer gezien als ‘leuke gadgets’, maar als potentiële risico’s voor de nationale veiligheid en bedrijfscontinuïteit.

Installeer of beheer jij slimme laadpleinen, gebouwbeheersystemen (GBS) of industriële sensoren? Dan krijg je direct te maken met strengere eisen. In dit artikel lees je wat er op je afkomt.

Waarom IoT onder het vergrootglas ligt

De NIS2-richtlijn is bedoeld om de digitale weerbaarheid van Europa te vergroten. Waar voorheen de focus lag op kantoor-IT (servers, laptops), kijkt NIS2 nadrukkelijk naar de fysieke processen die digitaal worden aangestuurd.

Waarom? Omdat een lek in een IoT-apparaat grote gevolgen kan hebben:

1. Laadpalen: Een botnet van duizenden gehackte laadpalen kan het elektriciteitsnet destabiliseren door tegelijk aan of uit te schakelen.
2. GBS/HVAC: Hackers komen via een slecht beveiligde slimme thermostaat het bedrijfsnetwerk binnen om ransomware te plaatsen (dit gebeurde bij een groot Amerikaans warenhuis via de airco-leverancier).
3. Sensoren: In de industrie kunnen gemanipuleerde sensoren leiden tot productiefouten of fysieke schade aan machines.

Direct of Indirect: Wanneer raakt dit jou?

Veel installateurs denken: "Ik ben geen energiebedrijf, dus NIS2 geldt niet voor mij." Dat is een misvatting. Je wordt op twee manieren geraakt:

1. Indirect: Ketenverantwoordelijkheid (Supply Chain Security)

Werk je voor klanten die wél onder NIS2 vallen (ziekenhuizen, overheid, energie, industrie, transport)? Zij zijn verplicht om de beveiliging in hun toeleveringsketen te regelen.

• Ze mogen geen onveilige apparatuur meer accepteren.
• Ze eisen van jou dat je aantoonbaar veilig installeert en beheert.
• Kun je dat niet? Dan zoeken ze een andere installateur.

2. Direct: Managed Service Provider (MSP)

Beheer jij de systemen op afstand? Heb jij een dashboard waarmee je laadpalen of warmtepompen van klanten monitort en update? Dan word je door de wet mogelijk gezien als Managed Service Provider. In dat geval val je zélf direct onder NIS2 en krijg je te maken met toezicht en registratieplicht.

Wat zijn de NIS2-eisen voor IoT-systemen?

Het tijdperk van "installeren, standaardwachtwoord erop en succes ermee" is voorbij. NIS2 vereist het volgende voor IoT- en OT-omgevingen:

A. Asset Management & Risicoanalyse

Je moet precies weten wat er hangt. "Ergens in het pand hangen tien sensoren" is niet genoeg. Je moet een lijst hebben van elk apparaat, het IP-adres, de firmware-versie en de fysieke locatie. Vervolgens moet je bepalen: wat is het risico als dit apparaat wordt gehackt?

B. Toegangsbeheer (Identity & Access)

• Geen default wachtwoorden: admin/1234 op een laadpaal is een doodzonde.
• MFA (Multifactorauthenticatie): Beheer op afstand? Dan is inloggen met alleen een wachtwoord verboden. Je moet een tweede factor (code/app) gebruiken.
• VPN: Beheerpoorten mogen niet openstaan naar het hele internet. Gebruik beveiligde VPN-tunnels.

C. Patch- en Updatebeleid

Dit is de grootste pijn voor de installatiesector. NIS2 eist dat kwetsbaarheden direct worden gedicht.

• Je moet afspraken maken met je leverancier: hoe lang leveren zij updates?
• Je moet afspraken maken met je klant: wie installeert die updates? Doe jij dat (servicecontract) of moet de klant het zelf doen? "Geen updates" is geen optie meer.

D. Netwerksegmentatie

IoT-apparaten zijn per definitie onveilig (want: goedkope chips, zelden updates). Daarom eist NIS2 dat je ze isoleert.

• Hang slimme camera’s, laadpalen en thermostaten nooit in hetzelfde netwerk als de servers met klantdata of de financiële administratie.
• Gebruik VLAN’s (virtuele netwerken) om IoT te scheiden van de rest.

Praktijkvoorbeeld: De Slimme Laadpaal

Stel, je installeert een laadplein bij een groot logistiek bedrijf (NIS2-plichtig).

• Oude situatie: Je hangt de palen op, koppelt ze aan de wifi van het kantoor en laat het standaardwachtwoord staan voor het geval er een storing is.
• NIS2-risico: Een hacker kraakt het zwakke wachtwoord van de laadpaal, springt via de wifi naar de servers van het logistieke bedrijf en gijzelt de boel. Het logistieke bedrijf wordt stilgelegd.
• Gevolg: Het logistieke bedrijf stelt jou aansprakelijk wegens nalatigheid en het niet naleven van de security-eisen.

De NIS2-manier:

1. Je kiest laadpalen van een leverancier die 'Security by Design' garandeert (versleutelde communicatie, updates).
2. Je plaatst de palen in een apart 4G-netwerk of afgeschermd VLAN.
3. Je verandert alle wachtwoorden en stelt MFA in voor het beheerportaal.
4. Je sluit een contract af waarin staat dat jij verantwoordelijk bent voor de security-updates.

5 Praktische Stappen om IoT-installaties NIS2-ready te maken

Hoe zorg je dat je voldoet aan de eisen van je opdrachtgevers?

1. Leveranciersscreening (De Poortwachter) Stop met het installeren van 'witte dozen' uit China waarvan je de herkomst van de software niet kent. Vraag je leverancier: "Voldoet dit apparaat aan de eisen van de Cyber Resilience Act en NIS2? Krijg ik 5 jaar gegarandeerd updates?"

2. Stop met 'Install & Forget' Verkoop geen product, maar een dienst. Een IoT-apparaat zonder onderhoudscontract is een tijdbom. Bied een "Security & Update"-abonnement aan.

3. Documenteer de inrichting Leg vast hoe je het hebt achtergelaten. Welke poorten staan open? Welke gebruikers hebben toegang? Bij een incident (hack) vraagt de toezichthouder of de klant om deze documentatie.

4. Oefen met Incidenten Wat doe je als blijkt dat de camera's die je bij 50 klanten hebt opgehangen een lek bevatten? Heb je een lijstje klaar? Weet je hoe je klanten moet informeren? NIS2 vereist een incident-procedure.

5. Sluit de achterdeur Gebruiken je monteurs TeamViewer of een simpele app om op afstand storingen te verhelpen bij klanten? Controleer of deze tools veilig zijn ingesteld. Dit zijn de favoriete ingangen voor hackers.

Conclusie

NIS2 dwingt de installatiesector om volwassen te worden op IT-gebied. Een laadpaal of sensor is geen 'domme' hardware meer, maar een onderdeel van de digitale infrastructuur.

Voor installateurs is dit een kans. De klant zoekt geen dozenschuiver, maar een partner die garandeert dat de installatie niet alleen werkt, maar ook veilig is. Wie NIS2-proof installeert, heeft goud in handen bij aanbestedingen.