Cyberbeveiligingswet: broodnodig, maar ook meer werkdruk

De Europese NIS2-richtlijn — in Nederland ook wel bekend als de Cyberbeveiligingswet — moet de digitale weerbaarheid van organisaties vergroten. Terecht, want cyberaanvallen nemen explosief toe. Deze cruciale wetgeving is bedoeld om kritieke sectoren zoals energie, transport en het bankwezen te beschermen tegen cyberdreigingen. De wet brengt echter veel administratieve lasten met zich mee. Opdrachtgevers — bijvoorbeeld een bank, een supermarkt of een gemeente — moeten een lange lijst maken van alle leveranciers waar ze mee samenwerken en hun risico’s in kaart brengen. Leveranciers — zoals IT-bedrijven, softwareontwikkelaars of hostingpartijen — moeten voor al hun klanten aantoonbaar maken dat ze de juiste beveiligingsmaatregelen nemen. We spraken cybersecurity-expert Patrick Jordens over of Nederland klaar is voor de wet die volgend jaar van kracht wordt.

NIS2 is al actief, maar de volledige implementatie volgt in 2026. Wat betekent dat voor organisaties en bedrijven?

“Bedrijven en organisaties moeten niet alleen hun eigen beveiliging op orde hebben, maar óók actief de risico’s van hun leveranciers gaan managen. En dat is hard nodig. Ik heb voor mijn eigen marketingwebsite een klant geïnterviewd: Geldersch Landschap & Kastelen, een organisatie die cultureel erfgoed beschermt in Gelderland. Zij zijn gehackt via hun IT-leverancier. Die leverancier had ransomware binnengekregen, de data was niet goed gesegmenteerd, en de aanvaller kon daardoor rechtstreeks door naar hun systemen. Het heeft enorme problemen opgeleverd, terwijl zij dachten: ‘dit zit wel snor’. De nieuwe wet zegt daarom heel duidelijk: je moet je ook buigen over de beveiliging van jouw leveranciers — of dat nu een IT-bedrijf of een softwareontwikkelaar is.”

Hoe kan het dat de NIS2 zorgt voor een hogere werkdruk onder zowel klanten als leveranciers?

“Voor sommige organisaties en bedrijven betekent NIS2 dat ze tientallen tot honderden leveranciers moeten gaan managen. Ze moeten die leveranciers bevragen, contracten sluiten met duidelijke security-eisen, én erop toezien dat iedereen zich daaraan blijft houden. Ze moeten op regelmatige basis overleggen met hun leveranciers, incidenten testen en trainingen organiseren. Leveranciers moeten op hun beurt incidenten direct melden bij de opdrachtgever. Er moet dus een veel actievere relatie ontstaan tussen opdrachtgever en leverancier.

Voor IT-leveranciers, vooral MKB-bedrijven, levert dat ook enorm veel gedoe op. Ze zitten met hun handen in het haar; ze moeten dingen doen die ze nog nooit hebben gedaan op het gebied van beveiliging, en ze moeten alles wat ze doen aantoonbaar maken. Het is veel werk. Alle klanten gaan dezelfde eisen stellen, maar met steeds andere bewoordingen en vraagstellingen.”

Klinkt alsof Nederland nog niet helemaal klaar is voor de nieuwe wet.

“NIS2 wordt in het tweede kwartaal van 2026 al van kracht. Eén ding is zeker: Nederland is er nog lang niet klaar voor.”

Wat kunnen opdrachtgevers en leveranciers doen om zich beter voor te bereiden?

“Ik adviseer leveranciers om een standaard verantwoordingsdossier te maken die ze kunnen delen met al hun (toekomstige) opdrachtgevers: een overzichtelijk pakket documenten waarmee je direct kunt aantonen dat je basisbeveiliging klopt. Als je dat voorwerk nu al doet, heb je straks geen zand in de motor wanneer een opdrachtgever om bewijsstukken vraagt.

Een opdrachtgever doet er verstandig aan nu al zijn leveranciers goed in kaart te brengen. Vervolgens is het belangrijk om alle risico’s te beoordelen en te classificeren: een IT-leverancier is bijvoorbeeld een hoog risico, terwijl een leverancier van toiletpapier dat meestal niet is. Daarna kunnen gemakkelijker de juiste beveiligingsmaatregelen worden genomen en duidelijk gecommuniceerd met de leveranciers. Denk bijvoorbeeld aan het zorgen dat multifactor­authenticatie overal goed is ingericht.”