NIS draait om governance, ketenverantwoordelijkheid en bewijsvoering

De Nederlandse Cyberbeveiligingswet (Cbw), de nationale vertaling van NIS2, wordt naar verwachting in het tweede kwartaal van 2026 van kracht. Ja, die deadline is al meerdere keren opgeschoven. Maar de richting is onmiskenbaar: meer dan honderd branches bereiden zich al voor en de vraag naar audits stijgt. Wie als MSP wacht tot de wet formeel ingaat, loopt het risico dat klanten sneller bewegen dan hij.

NIS2 in negentig seconden

Even kort de feiten. NIS2 (Richtlijn (EU) 2022/2555) vervangt de oude NIS-richtlijn en vergroot het speelveld fors: van zeven naar achttien sectoren. Alle middelgrote en grote organisaties in die sectoren vallen automatisch in scope. De richtlijn richt zich op vier pijlers: risicomanagement, bestuurlijke verantwoordelijkheid, meldplichten en bedrijfscontinuïteit.

Bij een significant incident moet binnen 24 uur een early warning uit. Binnen 72 uur volgt een volledige notificatie, en na een maand een eindrapport. Bestuurders worden persoonlijk aansprakelijk. Boetes kunnen oplopen tot tien miljoen euro of twee procent van de wereldwijde jaaromzet.

Dit is geen checklist die je eenmalig afvinkt. Het is een regime van continu verbeteren en aantonen dat je het doet.

Waarom MSP's hier kwetsbaar zijn

Hier wordt het concreet voor het channel. NIS2 legt nadrukkelijk de vinger op supply chain security. Organisaties die onder de wet vallen, moeten de cybersecurityrisico's in hun hele leveranciersketen beoordelen — inclusief hun IT-dienstverlener.

Wat betekent dat in de praktijk? Dat klanten eisen gaan doorleggen. Niet uit enthousiasme, maar omdat de wet het vraagt. Een MSP die managed services levert aan een zorginstelling of logistiek bedrijf, komt daarmee indirect in scope. Ook als het eigen bedrijf formeel niet aan de drempelwaarden voldoet.

Het patroon dat ik keer op keer tegenkom: de klant gaat ervan uit dat "de IT-partij de security regelt." Maar het contract dekt dat niet. Wie is verantwoordelijk voor patching? Voor identity management? Voor het monitoren en melden van incidenten? Zolang die grenzen vaag zijn, wordt elk incident een discussie en elke audit een verrassing.

Wat klanten straks willen zien

De verschuiving is simpel samen te vatten: van "vertel me dat je het goed doet" naar "laat het me zien." Klanten gaan om bewijs vragen. Concreet bewijs. IT-dienstverleners die daar nu al op voorsorteren, bouwen wat ik een evidence pack noem — een gestandaardiseerd pakket bewijsstukken dat je bij elk klantverzoek uit de kast trekt.

Wie dit op orde heeft, hoeft niet telkens opnieuw te improviseren. Sterker: het wordt een concurrentievoordeel in plaats van een kostenpost.

Zes contractclausules om nu aan te pakken

Naast dat evidence pack verdienen bestaande contracten een kritische blik. Zes thema's komen in vrijwel elk NIS2-gesprek terug.

Allereerst incidentmelding: wie meldt wat, aan wie, binnen welke termijn? Sluit dat aan op de rapportagetermijnen van je klant? Dan auditrechten: hoe ga je om met klantvragen en assurance-verzoeken zonder dat het operationeel onwerkbaar wordt? Vervolgens onderaannemers — welke ketenafspraken gelden er, en hoe leg je NIS2-eisen door naar subverwerkers?

Daarnaast zijn er continuïteit (zijn RTO, RPO en testfrequenties concreet vastgelegd?), data en persoonsgegevens (zijn verwerkingsafspraken in lijn met zowel AVG als NIS2?) en aansprakelijkheid (zijn verwachtingen realistisch begrensd, zodat niemand voor verrassingen komt te staan?).

Geen juridisch advies, maar het zijn precies de onderwerpen waar het in de praktijk op vastloopt.

In 90 dagen op koers

Een gefaseerde aanpak helpt om grip te krijgen zonder dat het een oneindig project wordt.

De eerste dertig dagen gaan over inventarisatie. Breng je dienstenportfolio in kaart. Welke klanten vallen waarschijnlijk onder NIS2? Waar eindigt jouw verantwoordelijkheid en begint die van de klant? Maak een overzicht van kritieke assets, subverwerkers en bestaande afspraken.

Dag 31 tot 60 richt je op de kernprocessen: incidentrespons, vulnerability- en patchmanagement, logging, backup en herstel, leveranciersbeheer. De ervaring leert dat zeventig procent van de basis vaak al aanwezig is — alleen niet gedocumenteerd. Dat is precies het punt.

De laatste dertig dagen draai je de knop om naar aantoonbaarheid. Stel het evidence pack samen. Plan een eerste interne controle. Richt een verbeterbacklog in. Het gaat niet om perfectie, maar om een werkbaar ritme.

Wanneer ISO 27001 helpt (en wanneer niet)

Een vraag die steeds terugkomt: "Moeten we gecertificeerd zijn voor NIS2?" Kort antwoord: nee. Certificering is geen wettelijke eis. Maar de structuur van ISO 27001 sluit opvallend goed aan op wat NIS2 vraagt — risicobeoordeling, beheersmaatregelen, leveranciersbeheer, continue verbetering.

Voor IT-dienstverleners die meerdere klanten bedienen, biedt het een gemeenschappelijke taal. Het voorkomt dat je voor iedere klant een apart bewijsdossier optuigt. Certificering kan een logische vervolgstap zijn, maar begin bij de inhoud. Het label kan later.

Drie dingen om mee te nemen

Maak verantwoordelijkheden expliciet. Shared responsibility werkt alleen als het daadwerkelijk gedeeld én vastgelegd is. Ga het gesprek aan met klanten — liever nu dan tijdens een incident.

Bouw een evidence pack. Wie bewijsvoering structureel organiseert, verandert compliance van een reactief corvee in een verkoopargument.

Kies ritme boven projecten. NIS2 is geen eenmalige exercitie. Het vraagt om periodiek beoordelen, verbeteren en verantwoorden. Organisaties die dat ritme nu opbouwen, staan straks steviger dan wie het als een afvinklijst benadert.

Niels Maas is eigenaar van MaasISO en adviseert organisaties over werkbare governance voor informatiebeveiliging en compliance (o.a. ISO 27001, NIS2 en AVG). MaasISO is een adviespartij en geen certificerende instelling.