Veel ondernemers in de installatiebranche haalden de afgelopen maanden opgelucht adem. De invoering van de Nederlandse Cyberbeveiligingswet (de nationale versie van de Europese NIS2-richtlijn) loopt opnieuw vertraging op. Waar we eerder hoopten op 2025, wijzen alle signalen vanuit Den Haag nu op een inwerkingtreding in de loop van 2026.

Betekent dit dat u de cybersecurity-plannen weer in de ijskast kunt zetten? Integendeel.

Wie goed luistert in de markt, merkt dat de druk juist toeneemt. Niet vanuit de wetgever, maar vanuit de keten. In dit artikel leggen we uit waarom uitstel van de wet geen uitstel van verplichtingen betekent voor installateurs, en wat u nu moet doen om geen opdrachten mis te lopen.

De wet is vertraagd, de markt niet

Het wetsvoorstel voor de Cyberbeveiligingswet ligt sinds juni 2025 bij de Tweede Kamer. De politieke behandeling is taai en zorgvuldig, wat begrijpelijk is gezien de impact. Maar terwijl de politiek debatteert, moeten ‘essentiële entiteiten’ (zoals energiebedrijven, drinkwaterbedrijven, ziekenhuizen en grote industrie) nu al voorsorteren.

Zij kunnen het zich niet veroorloven om te wachten tot 2026. Als er morgen een hack plaatsvindt via een slecht beveiligde airco-installatie of een toegangspoortje, zijn zíj verantwoordelijk.

U bent de 'achterdeur'

Voor deze grote opdrachtgevers bent u als installateur een risico. U beheert immers systemen die cruciaal zijn voor hun bedrijfsvoering (OT-systemen, gebouwbeheer, beveiliging). Onder NIS2 hebben deze organisaties een wettelijke zorgplicht voor de keten.

Dit betekent concreet:

1. Zij moeten hun toeleveranciers (u dus) in kaart brengen.

2. Zij moeten eisen stellen aan uw digitale veiligheid.

3. Zij moeten dit contractueel vastleggen.

Dit merkt u nu al in de praktijk

Wij zien bij Berkland steeds vaker dat MKB-installatiebedrijven geconfronteerd worden met dikke annexen bij inkoopvoorwaarden of uitgebreide security questionnaires.

De vragen liegen er niet om:

• "Beschikt u over ISO 27001 certificering?"

• "Hoe garandeert u dat uw monteurs met remote access (bijv. via 4G/VPN) geen malware introduceren?"

• "Hoe snel meldt u een digitaal incident aan ons?"

Kunt u hier geen goed antwoord op geven? Dan is het risico niet dat u een boete krijgt van de inspectie (want de wet is er nog niet), maar dat u de aanbesteding verliest of niet meer als voorkeursleverancier wordt geselecteerd. Compliance is een 'licence to operate' geworden.

3 stappen om nu te zetten (ondanks het uitstel)

Wachten op de definitieve wettekst van 2026 is strategisch onverstandig. Gebruik de huidige 'tussenfase' om uw basis op orde te krijgen, zodat u commercieel sterk staat.

1. Inventariseer uw 'kroonjuwelen' en verbindingen Welke systemen bij klanten beheert u op afstand? Welke data van klanten heeft u in eigen huis? Weet exact waar de digitale lijntjes lopen.

2. Check uw lopende contracten Kijk kritisch naar de contracten met uw belangrijkste toeleveranciers en uw grootste klanten. Staan er al clausules in over meldplicht bij datalekken of hacks? Wees proactief en maak hier afspraken over.

3. Basis hygiëne op orde (Cyber Fundamentals) U hoeft (nog) niet direct ISO 27001 gecertificeerd te zijn, maar zorg dat de basis staat:

   • Multifactor-authenticatie (MFA) op alle accounts.

   • Een strikt patch-beleid voor laptops én installatie-apparatuur.

   • Periodieke back-ups die 'offline' worden bewaard.

Conclusie: Zie het als een kans

De vertraging van de Cyberbeveiligingswet geeft u een unieke kans. U heeft nu nog enkele maanden de tijd om uw organisatie voor te bereiden zonder dat de inspecteur in uw nek hijgt.

Installateurs die nu kunnen aantonen dat ze in control zijn over hun digitale veiligheid, hebben een enorm streepje voor bij grote opdrachtgevers. U verkoopt dan niet alleen techniek, maar ook 'nachtrust' aan uw klant. En dat is in 2026 meer waard dan ooit.

Heeft u hulp nodig bij het invullen van security-vragenlijsten van klanten, of wilt u weten waar u staat ten opzichte van de aankomende NIS2-eisen? Bij Berkland helpen we installatiebedrijven om wetgeving te vertalen naar praktische stappen.