Jan runt een technisch installatiebedrijf met twintig medewerkers. ICT? Dat is gewoon goed geregeld via een externe partij is vaak de gedachte. Totdat één van zijn grotere klanten hem een vragenlijst stuurt van twaalf pagina’s over informatiebeveiliging, met een verwijzing naar de Europese NIS2-Richtlijn voor cybersecurity. Jan fronst… Maar daar vallen wij toch helemaal niet onder?

Dat klopt, MKB-bedrijven vallen vaak niet onder de NIS2-Richtlijn. Maar ondanks dat kunnen ze hier wel indirect mee te maken krijgen en dat heeft te maken met ketenverantwoordelijkheid.

Waarom NIS2 ook jouw bedrijf kan raken

De NIS2-richtlijn verplicht grotere organisaties en vitale instellingen om hun digitale weerbaarheid aantoonbaar op orde te hebben. Maar daar stopt het niet. Zij moeten óók hun leveranciers beoordelen op cybersecurityrisico’s.

En dat is waar het MKB in beeld komt.

Werk je voor een grotere organisatie? Lever je diensten, software, technische installaties of verwerk je data van klanten? Dan maakt jouw digitale veiligheid onderdeel uit van hun risicobeoordeling. Als jij kwetsbaar bent, zijn zij dat ook.

Dat betekent dat klanten steeds vaker vragen gaan stellen. Over jouw back-ups, Multi-Factor Authenticatie en over hoe snel jij een incident meldt. Dat is niet om lastig te willen doen, maar omdat zij wettelijk verplicht om hun keten te controleren.

Van IT-kwestie naar commerciële factor

Cybersecurity is voor veel MKB-bedrijven een technisch onderwerp. Het is iets voor de IT-partner, maar dat verschuift door de komst van de NIS2-richtlijn naar de directie van het MKB-bedrijf. Steeds vaker zal informatiebeveiliging een selectiecriterium zijn bij aanbestedingen. Een niet of onvoldoende ingevulde securityvragenlijst kan het verschil maken tussen een opdracht winnen of verliezen. Dat maakt digitale weerbaarheid ineens een commercieel thema.

En daar zit ook de kans voor MKB-bedrijven….

Wat klanten in de praktijk willen zien

De meeste grote organisaties verwachten geen uitgebreid enterprise securityprogramma van hun kleinere leveranciers. Ze willen vooral zekerheid dat de basis op orde is. Dat begint met inzicht. Kun je uitleggen welke systemen je gebruikt? Welke data je verwerkt? Wat er gebeurt als je netwerk een dag uitvalt?

Daarna komt beheersing. Heb je multi-factor authenticatie ingeschakeld? Worden updates automatisch geïnstalleerd? Maak je (offline) back-ups, is er een Disaster Recovery Plan en test je die op frequente basis?

En misschien wel het belangrijkste: heb je een duidelijk incidentenproces? Als er iets misgaat, weten je medewerkers wat ze moeten doen? En hoe snel informeer je je klant?

Het draait om aantoonbaarheid. Niet om mooie beloftes, maar om documentatie.

Realistische aanpak voor het MKB

Voor een gemiddeld MKB-bedrijf betekent dit geen complete compliance-afdeling of dure certificering. Het betekent wél dat je gestructureerd moet werken. Een eenvoudige risicoanalyse is vaak al een enorme stap vooruit. Gewoon op papier zetten wat je kritieke processen zijn, waar je afhankelijk van bent en wat de grootste digitale risico’s zijn. Dat geeft overzicht en laat aan klanten zien dat je bewust bezig bent met cybersecurity.

Daarna volgt beleid.

Niet ingewikkeld, maar duidelijk. Wie heeft toegang tot wat? Hoe gaan we om met wachtwoorden? Wat doen we bij een incident? Laat de directie dit vaststellen. Daarmee maak je cybersecurity onderdeel van je bedrijfsvoering in plaats van een losse IT-maatregel.

Continuïteit als sleutelwoord

Stel je voor: je wordt geraakt door ransomware. Kun je dan blijven leveren? Voor jouw klant is dat misschien de belangrijkste vraag. Een beknopt continuïteitsplan, met vastgelegde hersteltijden en geteste back-ups, geeft vertrouwen. Het laat zien dat je niet alleen reageert op incidenten, maar vooruitdenkt.

Juist daarin onderscheidt een professioneel MKB-bedrijf zich.

Certificering, moet dat als MKB-bedrijf?

Steeds vaker is certificering geen “extraatje” meer, maar een absolute eis. Krijg je een vragenlijst van een klant, dan staat daar bijna altijd de vraag in: werkt het bedrijf op ICT-gebied volgens een erkende norm zoals ISO/IEC 27001?

Als je een externe ICT-partner hebt moet je daar kritisch op zijn. Als zij hun zaken niet aantoonbaar op orde hebben, kan dat jou opdrachten kosten. In deze tijd kunnen we stellen dat een ICT-partner zonder het hebben van een ISO 27001 certificering niet meer kan. Bij Anbecom ICT beschikken wij naast de ISO 27001 certificering ook over de aanvullende NEN7510. Hiermee kunnen wij aantonen dat onze klanten er zeker van kunnen zijn dat hun IT goed en veilig is ingericht.

Krijgen onze klanten vragen over hun cybersecurity? Dan kunnen ze als bedrijf in het mkb bij ons terecht met hun vragen over hoe ze kunnen voldoen aan NIS2.

Van verplichting naar positionering

Wat begon als Europese wetgeving voor vitale sectoren, heeft dus impact op de hele keten. Ook op bedrijven die er formeel niet onder vallen. Maar in plaats van het te zien als extra last, kun je het ook anders bekijken. Bedrijven die hun cybersecurity aantoonbaar op orde hebben, winnen vertrouwen. Ze verkleinen hun risico op stilstand. En ze vergroten hun kansen bij nieuwe opdrachten.

Voor Jan betekende de vragenlijst uiteindelijk geen probleem. Hij gebruikte het moment om zijn beveiliging structureel te verbeteren. Een paar maanden later won hij een nieuwe aanbesteding, mede dankzij zijn aantoonbare cybersecuritybeleid.

De realiteit is simpel: de NIS2-richtlijn is misschien niet direct op jou van toepassing, maar de impact ervan kan dat wel zijn.

De vraag is dus niet of je iets moet doen.
De vraag is: doe je het vóórdat je klant erom vraagt?

Hulp nodig?

Ben je een MKB-bedrijf en weet je niet precies wat de NIS2-richtlijn voor jouw organisatie betekent? Of wil je weten hoe je je klanten én jezelf kunt beschermen? Neem gerust contact met ons op. Wij helpen je graag met advies, oplossingen en aantoonbare beveiliging, zodat jij voorbereid bent en je klanten vertrouwen kunt geven.