NIS2 is een Europese richtlijn voor cybersecurity die in Nederland wordt omgezet in de Cyberbeveiligingswet. Het doel is simpel: essentiële diensten in Nederland mogen nooit omvallen door cyberaanvallen. Denk aan zorg, energie, drinkwater, bancaire systemen, transport en digitale infrastructuur.
Als je in één van de achttien essentiële sectoren werkt en je hebt minimaal vijftig medewerkers, ben je NIS2-plichtig. Heb je minder medewerkers, maar wel een omzet én balanstotaal van meer dan 10 miljoen euro? Dan ben je ook NIS2-plichtig.
Maar let op: complexe bedrijfsstructuren maken het lastiger. Neem het voorbeeld van de Koninklijke BAM Groep. BAM als bouwbedrijf valt er niet onder. Maar BAM Energy wel, omdat dat onderdeel onder de energiesector valt. Dus ook al denk je buiten de criteria te vallen, check het goed.
Die 8.000 bedrijven moeten straks aan tien verschillende eisen voldoen. Ze moeten risicoanalyses maken, hun incidentrespons op orde hebben, hun toeleveringsketen managen en hun medewerkers trainen. Maar er zit één artikel in die wet dat het speelveld enorm vergroot. En dat is artikel 21.02.
Henk Bijsterbosch, verantwoordelijk voor kennispartners bij Samen Digitaal Veilig, verwoordt het helder tijdens zijn sessie op de Score Utica Summit:
"Er zijn 8.000 bedrijven die NIS2-plichtig worden. Maar in die wet zit één heel belangrijk dingetje: artikel 21.02 gij zult als NIS2-plichtig bedrijf ook de toeleveringsketen moeten managen."
Dat betekent dat die 8.000 bedrijven verantwoordelijk worden voor de veiligheid van hun hele supply chain. En die keten bestaat uit 50.000 tot 100.000 bedrijven. Mogelijk zit jij daar tussen.
Hoe gaan ze dat doen? Door eisen neer te leggen in leverancierscontracten. Je krijgt straks een aanvullend contract van je klant waarin staat dat je moet bewijzen dat je veilig werkt. En dat bewijs lever je alleen met certificering.
Kijk bijvoorbeeld naar Albert Heijn. Als jij de kassasystemen levert en die vallen uit, heeft Albert Heijn een probleem. Dus vinden ze jou een hoog risico leverancier en gaan ze eisen stellen. Lever je doperwtjes in blik en zijn er nog drie andere fabrikanten? Dan is het vervelend als jij niet meer kunt leveren, maar Albert Heijn kan door. Lager risico, andere eisen.
En het gaat niet alleen om fysieke leveringen. Ook dienstverleners zoals IT-bedrijven, softwareleveranciers en informatiebedrijven vallen hieronder. Alles waar een NIS2-plichtig bedrijf een risico door loopt, wordt onderdeel van die ketenverantwoordelijkheid.
Voor die NIS2-plichtige bedrijven zit er een persoonlijke aansprakelijkheid voor bestuur en directie in de wet. Henk legt het uit:
"Het lullige is als je het wel accepteert. Voor deze mensen zit een persoonlijke aansprakelijkheid voor bestuur en of directie. Die mensen gaan allemaal zeggen: regel het meneer IT, meneer legal, meneer inkoop."
Dus die bedrijven gaan dit serieus nemen. Ze móeten wel.
Er komen zeven toezichthouders, waarvan de NCSC de grootste is. Die komen proactief bij de top 1.500 NIS2-plichtige bedrijven. Bij de rest komen ze alleen reactief, als er een incident is. Bij toeleveranciers komen ze alleen als er iets misgaat in de keten van een NIS2-plichtig bedrijf.
Maar daar zit het risico niet. Henk maakt het helder:
"Het risico wat jullie lopen gaat niet over de toezichthouder. Het risico is: als je niks doet, verlies je je grote klant. Die gaat het van jou eisen."
Het gaat verder dan alleen je klanten. Er ontstaat een domino-effect dat nu al zichtbaar wordt.
Je klanten gaan certificering eisen. Voor ze een opdracht gunnen, willen ze bewijs dat jouw cyberbeveiliging op orde is. Een NIS2 Quality Mark of vergelijkbare certificering wordt straks de norm.
Banken kijken naar cybersecurity bij kredietverlening. Henk geeft het voorbeeld: "Als jij niet kunt aantonen dat jouw cyberbeveiliging op orde is, zegt de bank: waarom vraag je €2 miljoen van mij als je aan de achterkant alle poortjes hebt openstaan?"
Accountants weigeren handtekeningen. Geen bewijs van cybersecurity? Dan gaan accountants geen handtekening onder je jaarrekening zetten. "Accountants gaan geen handtekening onder een jaarrekening zetten als er een hoog risico is, want dat zijn wetsdingetjes." verteld Henk.
Verzekeraars stellen eisen. Wil je een cyberverzekering afsluiten of wil je dat ze uitkeren na een incident? Dan moet je kunnen aantonen dat je minimale beveiligingsmaatregelen hebt genomen.
Bij bedrijfsverkoop wordt cybersecurity onderdeel van due diligence. "Wil je je bedrijf verkopen? Due diligence kijkt naar cybersecurity. Geen bewijs = devaluatie van je bedrijf. Of misschien wil ik het helemaal niet meer hebben, want ik koop namelijk een risico." legt Henk uit.
Auditor capaciteit wordt schaars. De afgelopen twintig jaar zijn er 6.000 audits per jaar gedaan in Nederland. Vanaf 2026 moeten dat er 20.000 per jaar worden. Henk waarschuwt: "Twee maanden voor een wet ingaat, hadden we 2.000-3.000 mensen op ons platform. Een dag voordat die wet ingaat: 42.000. Er is geen capaciteit."
Cybersecurity wordt geen nice-to-have meer. Het wordt je ‘licence to operate’.
Score Utica heeft als Managed Service Provider een wettelijke zorgplicht. Dat betekent dat we verplicht zijn om klanten te informeren over cybersecurity-risico's die impact hebben op hun bedrijfsvoering. Dit is geen commercieel verhaal, maar een verantwoordelijkheid.
Een recent voorbeeld uit de praktijk maakt het concreet. Een Friese IT-leverancier werd aansprakelijk gesteld voor €864.000 schade plus €39.000 proceskosten. De oorzaak? Uitgeschakelde multi-factor authenticatie. De rechter oordeelde dat beveiliging en configuratie de verantwoordelijkheid zijn van de IT-leverancier. De MSP was volledig aansprakelijk.
Start niet met de vraag of je NIS2-plichtig bent. Start met de vraag: wat is mijn risico in de keten? Henk verwoordt het zo:
"Die wet zou niet jullie motivatie moeten zijn om aan de slag te gaan. Het gevaar wat je loopt in de digitale wereld zou je moeten motiveren."
Inventariseer je positie. Welke klanten zijn NIS2-plichtig of zitten in essentiële sectoren? Wat is jouw risicoprofiel als leverancier? Hoog, medium of laag? En welke leveranciers hebben toegang tot jouw systemen of data?
Krijg je basis op orde. "98% van de incidenten in Nederland kunnen opgelost worden als we de basis op orde hebben." benadrukt Henk. Denk aan multi-factor authenticatie, password management, backup, security awareness training en patch management. Geen complexe projecten, gewoon de basis.
Overweeg certificering. Henk legt het zo uit: "Je moet bewijzen als toeleverancier dat je veilig werkt. En dat bewijzen doe je alleen met certificering. Niemand zit te wachten op duizend spreadsheets. De waarde is zero. Dus ga je certificeren."
Voor MKB-bedrijven is ISO 27.001 vaak te duur en te zwaar. 93 controls, €30.000 aan consultancy. Daar gaan de meeste MKB'ers niet voor betalen. Daarom hebben 102 brancheverenigingen het NIS2 Quality Mark ontwikkeld via Samen Digitaal Veilig. Een platform dat 200.000 bedrijven in Nederland vertegenwoordigt. Voor een MKB'er van 25 medewerkers kost dat €100 per maand. Templates, trainingen en begeleiding naar certificering inbegrepen.
De tijdlijn is belangrijk. De wet komt 1 juli 2026. Een traject naar certificering duurt vier tot vijf maanden. Als je afwacht en dan begint, ben je 4 tot 5 maanden bezig om je zaakjes op orde te krijgen. Tel uit je winst.
Vanaf februari tot en met april 2026 heeft Score Utica een campagne met Samen Digitaal Veilig. We bieden een groepsdeal aan met audit garantie. Die capaciteit hebben we geclaimd bij de auditors, zodat jouw organisatie straks niet in de file staat.
Score Utica helpt met de technische implementatie. Multi-factor authenticatie, backup, password management, security awareness training en alle andere maatregelen die je nodig hebt. We begeleiden je naar certificering via het platform van Samen Digitaal Veilig. We adviseren over je risiconiveau en welke maatregelen nodig zijn voor jouw situatie.
Wil je weten wat NIS2 betekent voor jouw organisatie? Of wil je meer weten over Samen Digitaal Veilig en de groepsdeal met audit garantie? Neem contact op met Score Utica