NIS2 geldt voor iedereen: ook kleine bedrijven hebben grote beveiligingseisen

Formeel moeten Europese bedrijven sinds oktober 2024 voldoen aan strenge cybersecurityregels. Maar terwijl sommige landen al volop handhaven, wachten andere nog af. Voor IT-dienstverleners betekent dit een lastige spagaat: hun klanten vallen wél onder de regels, maar zijzelf vaak niet. Of toch wel?

Network and Information Systems Directive 2 (NIS2) is de nieuwe standaard voor digitale veiligheid in Europa. De richtlijn verplicht organisaties die essentiële of belangrijke diensten verlenen om veel strengere cybersecuritymaatregelen te nemen. Denk aan: risicobeheer, incident response en meldplicht binnen 24 uur bij datalekken.

Voor Managed Service Providers (MSP's) is het extra complex. Zij ondersteunen bedrijven die onder NIS2 vallen, maar vallen lang niet altijd zelf onder de richtlijn. Toch kunnen ze de dans niet ontspringen: klanten eisen bewijzen van goede beveiliging.

De aanleiding voor NIS2 is helder. Cybercriminelen worden steeds geavanceerder en richten zich niet alleen op systemen, maar ook op het strategische hart van organisaties. De EU wil dat vertrouwen herstellen door beveiliging te verankeren in de hele keten - van grote techbedrijven tot de kleinere leveranciers die ze ondersteunen.

Een versnipperd Europees speelveld

Ruim een jaar na de deadline van 17 oktober 2024 loopt de implementatie van NIS2 in Europa nog flink uiteen. Slechts zes van de 27 landen, waaronder de Benelux, Denemarken, Zweden en Finland hebben hun huiswerk gedaan. België loopt in de voorhoede: daar hebben al zo’n 1500 essentiële en 2500 belangrijke entiteiten zich geregistreerd.

In Nederland laat de omzetting op zich wachten. Demissionair minister van Justitie en Veiligheid David van Weel meldde eerder dit jaar dat de Cyberbeveiligingswet, de Nederlandse implementatie van de Europese NIS2-richtlijn, op zijn vroegst in de eerste helft van 2026 in werking treedt. Tot die tijd is de richtlijn formeel van kracht, maar ontbreekt nog het toezicht en de handhaving. Volgens het Nationaal Cybersecurity Centrum (NCSC) kost voorbereiding tijd en is bewustwording in de hele organisatie nodig.

Van leverancier naar risicodrager

Die verschillen in tempo hebben directe gevolgen voor MSP’s die in meerdere landen werken. Het levert een hybride speelveld op. In België moeten hun klanten nu al strikte regels naleven, terwijl diezelfde MSP in andere landen nog voorbereidingen kan treffen. Toch is uitstel geen vrijbrief. Klanten verwachten dat hun leveranciers zich gedragen alsof de regels al gelden. Europese toezichthouders sporen MSP's bovendien aan om verantwoordelijkheid te nemen in de hele keten.

Het gaat niet alleen om naleving. Bedrijven kunnen ook aantonen dat hun leveranciers voldoen aan strenge beveiligingseisen - een must voor wie diensten levert aan sectoren als energie, transport, gezondheidszorg of digitale infrastructuur. Wie daar geen bewijs voor kan leveren, verliest opdrachten.

Formeel buiten bereik, praktisch onmisbaar

Kleine MSP's denken soms dat zij buiten schot blijven. Formeel geldt de richtlijn alleen voor bedrijven met meer dan vijftig medewerkers of een jaaromzet boven de tien miljoen euro. In de praktijk blijkt dat veel klanten niet wachten tot de wet hen dwingt. Zij eisen nu al bewijzen van certificering of compliance, ook van hun kleinere leveranciers.

Het resultaat: steeds meer MSP's handelen alsof ze onder NIS2 vallen, simpelweg omdat de markt dat vraagt. De verantwoordelijkheid van de klant wordt zo ook de verantwoordelijkheid van de leverancier.

De vijf pijlers van digitale volwassenheid

Die druk dwingt MSP’s hun beveiligingsaanpak te professionaliseren. En dat begint bij vijf onderling verbonden kernprincipes:

1)         Regelgevende naleving. Zonder aantoonbare naleving dreigen boetes, aansprakelijkheid en reputatieschade.

2)         Cybersecurity-paraatheid. Structureel risico’s identificeren en mitigeren, niet alleen intern maar ook bij klanten.

3)         Klantvertrouwen. Het fundament van elke samenwerking. MSP’s die transparant rapporteren over hun beveiliging, winnen niet alleen vertrouwen, maar onderscheiden zich in een overvolle markt.

4)         Incident respons. Een getest plan dat direct in actie kan komen bij een dreiging.

5)         Concurrentievoordeel door naleving. Compliance wordt een merkwaarde, en een bewijs van volwassenheid dat nieuwe zakelijke kansen opent.

Samen vormen deze vijf pijlers het nieuwe kompas voor MSP’s die hun rol willen versterken in een tijdperk waarin beveiliging en bedrijfscontinuïteit onlosmakelijk met elkaar verbonden zijn.

Niet wachten maar aan de slag

Voor MSP's is de boodschap helder: wacht niet af. Zorg dat je beveiliging op orde is, investeer in certificeringen en maak je processen inzichtelijk. Wie vooroploopt, wint niet alleen vertrouwen, maar ook concurrentievoordeel.

De NIS2 is meer dan regelgeving. Het is een stresstest voor de digitale volwassenheid van elk bedrijf. Wachten is geen optie: dus neem je verantwoordelijkheid.

Mostyn Thomas, Senior Director of Security bij Pax8