NIS2 raakt de hele keten: ben jij voorbereid?

De nieuwe NIS2-wetgeving richt zich niet alleen op grote organisaties, maar heeft impact op de hele keten. Daardoor kunnen ook leveranciers en partners geraakt worden. Vaak zonder dat ze zich daarvan bewust zijn.

De De NIS2 komt eraan: Europese regels die bedrijven verplichten hun cybersecurity goed op orde te brengen. Oorspronkelijk gericht op vitale sectoren zoals energie, zorg en transport. De verwachting is dat de wet, met wat vertraging, in het tweede kwartaal van 2026 van kracht wordt.

Het belangrijkste punt: de strengere eisen gelden niet alleen voor de hoofdaannemers, maar voor de hele supply chain. Dat betekent dat ook organisaties die diensten leveren of toegang hebben tot systemen en locaties onder de wet kunnen vallen. Denk bijvoorbeeld aan:

• Een marketingbureau dat websites en online campagnes beheert voor een ziekenhuis.
• Een schoonmaakbedrijf dat werkt bij een elektriciteitscentrale en toegang heeft tot bepaalde ruimtes.
• Een beveiligingsbedrijf dat alarmsystemen en toegangscontroles levert aan een waterzuiveringsbedrijf.

In veel gevallen merk je er weinig van zolang alles goed gaat. Maar als er iets misgaat bij de eindklant en er volgt een onderzoek, dan kan ook een leverancier een boete opgelegd krijgen.

Waar begin je? Vier praktische stappen

Het goede nieuws: voldoen aan NIS2 hoeft geen enorm project te zijn, zoals bijvoorbeeld een ISO-certificering. De kern is dat je je basis op orde brengt. Dat lukt in vier concrete stappen:

1. Voer een risicoanalyse uit

Breng in kaart waar je kwetsbaarheden liggen. Wat gebeurt er als gegevens uitlekken, als je wordt gehackt of als systemen platgaan?
Doek voor een goede eerste indruk de gratis cybersecurity-check.

Praktijkvoorbeeld: Bij een bouwbedrijf bleek dat camerabeelden standaard in Dropbox werden opgeslagen, zonder noemenswaardige beveiliging. De oplossing: versleuteld opslaan in de cloud, inclusief solide toegangscontrole.

2. Stel een incident response plan op

Zorg dat je vooraf weet wat je moet doen bij een incident. Beschrijf wie welke rol heeft, wie contact legt met klanten of IT en wie verantwoordelijk is voor de melding. Volgens NIS2 moet je binnen 24 uur rapporteren aan de toezichthouder en binnen 72 uur een update geven.

Praktijkvoorbeeld: Bij een IT-bedrijf legden hackers het hele systeem plat en eisten bitcoins. Niemand wist wat te doen. Tegenwoordig voorkomen we dit bij klanten met tabletop-sessies, waarin we noodsituaties nabootsen en teams trainen.

3. Bescherm toegang tot je apparatuur

Zorg dat laptops, pc’s en servers goed beveiligd zijn. Begin met een inventarisatie: wie heeft toegang tot welke apparaten en ruimtes?

Praktijkvoorbeeld: Bij een groot kantoor konden ex-medewerkers nog inloggen na vertrek. De oplossing was een offboardingproces waarbij accounts automatisch worden gedeactiveerd.

4. Zorg voor bewustwording bij medewerkers

Je hebt natuurlijk goede mensen in dienst, maar mensen blijven de zwakste schakel binnen beveiliging. Organiseer daarom minimaal één keer per jaar een awareness-training en koppel dit meteen aan je onboarding.

Praktijkvoorbeeld: Bij een financiële instelling verstuurden we testmails met een phishing-link. Veertig procent trapte er in. Na training en een tweede ronde klikte vrijwel niemand nog.

Conclusie: security is een mindset is

Cybersecurity is niet alleen een IT-thema, het is vooral een manier van denken. Als iedereen in je organisatie dezelfde mindset deelt, verlaag je de risico’s aanzienlijk.

Het mooie is dat veel bedrijven ongemerkt al een flink stuk op weg zijn. Werk je bijvoorbeeld met Windows 11, installeer je updates en gebruik je een degelijk inlogsysteem (zoals Microsoft-accounts)? Dan heb je de basis vaak al grotendeels geregeld. Met onze checklist rond je de rest eenvoudig af.

Benieuwd naar waar jouw kwetsbaarheden liggen? Neem contact op, we denken graag met je mee.

Jean-Paul Bingen, Senior Security Consultant