De NIS2-deadline komt dichterbij en de beveiligingsconsultants draaien overuren. Hun advies is vaak standaard: "Wil je voldoen aan NIS2? Dan moet je ISO 27001 certificeren."

Dat klinkt logisch, maar voor een mkb-installateur is een ISO-traject een enorme investering in tijd en geld (denk aan € 15.000 - € 30.000 startkosten plus jaarlijkse audits). De grote vraag is: is dat echt nodig? Of probeert men met een kanon op een mug te schieten?

Het korte antwoord: NIS2 verplicht géén ISO 27001-certificaat. Maar je klanten kunnen dat wel doen. In dit artikel lees je wanneer het certificaat goud waard is en wanneer het pure overkill is.

1. Wat is het verschil? (Wet vs. Norm)

Laten we de twee eerst even uit elkaar trekken.

  • NIS2 is een Wet (De lat): De overheid bepaalt de ondergrens. Je moet een bepaald niveau van beveiliging hebben ("Zorgplicht"). Doe je dat niet, dan ben je strafbaar. De wet zegt echter nergens hoe je dat precies moet bewijzen.
  • ISO 27001 is een Norm (Het bewijs): Dit is een wereldwijde standaard voor informatiebeveiliging. Als je het certificaat hebt, bewijs je aan de buitenwereld dat je je zaken op orde hebt volgens een vast stramien.

De vergelijking: NIS2 zegt dat je veilig moet rijden (de wet). ISO 27001 is het diploma van de slipcursus voor gevorderden. Je kunt prima veilig rijden zonder dat specifieke diploma, maar met diploma toon je het wel makkelijker aan.

2. Wat eist NIS2 minimaal? (De basis)

Als je niet voor het ISO-certificaat gaat, moet je nog steeds aan de wet voldoen. Wat moet je minimaal regelen om 'NIS2-compliant' te zijn zonder duur papiertje?

De wet vraagt om "passende technische en organisatorische maatregelen". Voor een installateur betekent dit concreet:

  1. Risicoanalyse: Je weet welke systemen en apparaten kritiek zijn (zie je inventarisatielijst).
  2. Incidentrespons: Je hebt een plan voor als het misgaat en je weet hoe en wanneer je moet melden.
  3. Bedrijfscontinuïteit: Je hebt werkende back-ups (die je ook test!) en een noodplan.
  4. Veiligheid in de keten: Je maakt afspraken met je leveranciers en checkt of zij veilig zijn.
  5. Basis-hygiëne: Je gebruikt multifactorauthenticatie (MFA), versleuteling en voert updates uit.
  6. Training: Je personeel snapt de risico's.

Heb je dit op orde en vastgelegd? Dan voldoe je in de basis aan NIS2, zonder dat er een auditor langs is geweest.

3. Wanneer is ISO 27001 wél zinvol? (De Business Case)

Wanneer moet je de portemonnee trekken voor dat certificaat? Niet vanwege de wet, maar vanwege de handel.

ISO 27001 is onmisbaar in de volgende situaties:

  • Aanbestedingen: Werk je veel voor de overheid, gemeenten of waterschappen? In aanbestedingen is ISO 27001 vaak een 'knock-out criterium'. Heb je het niet, dan mag je niet eens meedoen.
  • Kritieke Sectoren: Werk je in de hoogspanning (TenneT, Liander), drinkwater, ziekenhuizen of zware chemie? Deze klanten vallen zelf zwaar onder NIS2 en eisen vaak blindelings ISO 27001 van hun ketenpartners om hun eigen risico af te dekken.
  • Remote Beheer (MSP): Ben jij de partij die op afstand 500 gebouwen beheert via een GBS? Dan ben je de spin in het web en een groot risico. Een certificaat geeft klanten het vertrouwen om jou die sleutels te geven.

4. De Gulden Middenweg: Werken volgens ISO (Zonder certificaat)

Voor 90% van de mkb-installateurs is volledige certificering overkill. Het papierwerk, de jaarlijkse audits en de kosten wegen niet op tegen de baten.

De slimme route? Implementeer de ISO-werkwijze, maar haal het papiertje niet.

Je gebruikt de ISO 27001-standaard als inspiratiebron (een checklist) om je bedrijf te professionaliseren. Zo voldoe je ruimschoots aan NIS2.

Zo pak je die '80%-versie' aan:

  • Informatiebeleid: Schrijf op papier hoe jullie omgaan met data. (Niet 50 pagina's, maar 3 A4'tjes: Wachtwoordbeleid, Clean Desk Policy, Bring Your Own Device).
  • Toegangsbeheer: Maak een matrix: wie mag in welke map? En zorg voor een proces 'Indienst/Uitdienst' zodat accounts direct worden geblokkeerd als iemand vertrekt.
  • Asset Management: Houd in Excel bij welke laptops en tablets je hebt en wie ze heeft.
  • Patch Management: Bewijs dat je updates uitvoert (screenshot van je instellingen is vaak al genoeg).
  • Interne controle: Loop 1x per jaar je eigen lijstje na (een interne audit light). "Doen we nog wat we hebben afgesproken?"

Afbeelding van PDCA cycle ISO 27001

Shutterstock

Verkennen

Tip richting klanten: Vraagt een klant om ISO 27001? Zeg dan: "Wij zijn niet gecertificeerd, maar wij werken wel conform de ISO 27001-richtlijnen en kunnen dat aantonen met onze beleidsstukken en risicoanalyse." Voor veel commerciële klanten is dit voldoende.

5. De Beslisboom: Welke route past bij jou?

Twijfel je nog? Kijk naar je klantprofiel.

Jouw profiel

Advies

Waarom?

Lokale installateur (Woningbouw, MKB)

Alleen NIS2-basis

Je klanten vragen er niet om. Certificering is weggegooid geld. Focus op goede sloten en MFA.

Middelgroot installatiebedrijf (Utiliteit, Scholen, Kantoren)

Werken volgens ISO

Je moet professioneel overkomen en processen hebben, maar het dure stempel is vaak nog niet nodig.

Gespecialiseerde Systeemintegrator (Industrie, Zorg, Infra)

ISO 27001 Certificering

Je bent een kritieke schakel. Zonder certificaat verlies je opdrachten aan concurrenten die het wel hebben.

Conclusie

Laat je niet gek maken. NIS2 is een wet die vraagt om veiligheid, niet om papier.

Een ISO 27001-certificaat is een prachtig commercieel middel om deuren te openen bij grote opdrachtgevers. Maar als je die grote opdrachtgevers niet hebt, is het vaak overkill.

Zorg dat je de basis (MFA, updates, back-ups, risicoanalyse) op orde hebt. Dan ben je veilig, voldoe je aan de wet, en houd je geld over om te investeren in waar je echt goed in bent: installeren.

 

0 reacties

Reactie plaatsen