MSP’s zijn belangrijk in de NIS2-voorbereiding voor het MKB
De aankomende NIS2 Cyberbeveiligingswet wordt vaak gezien als een juridische verplichting voor een beperkte groep organisaties. In de praktijk is NIS2 vooral een organisatorische en technologische opgave die grote delen van het Nederlandse MKB raakt. Niet alleen direct, maar vooral via klanten en toeleveringsketens. Binnen die dynamiek spelen Managed Service Providers (MSP’s) een belangrijke rol.
Van abstracte wet naar praktische uitvoering
Veel ondernemers weten dat NIS2 eraan komt, maar worstelen met een fundamentele vraag: waar begin ik, en wat wordt er concreet van mij verwacht? De organisaties die direct onder de NIS2 vallen gaan nl. eisen stellen. Daar hebben mkb-leveranciers veel vragen over en juist daar ligt de kracht van MSP’s. Zij hebben veelal toegang tot de IT-omgeving van hun klanten, genieten het vertrouwen en beschikken over de technische kennis om maatregelen concreet en behapbaar te maken voor hun klanten.
Een groot deel van de basismaatregelen die bedrijven moeten nemen sluiten aan op wat in moderne digitale werkplekken al aanwezig is. Denk aan systeemupdates, back-ups en monitoring. De toegevoegde waarde van de MSP zit in het overzicht: wat is al geregeld, wat ontbreekt nog en welke stappen zijn nodig om de basis aantoonbaar op orde te krijgen. Daarmee vertalen MSP’s vragen van klanten naar logische, behapbare en uitvoerbare acties.
NIS2 raakt het MKB via de keten
Hoewel slechts een relatief beperkte groep organisaties (8.000-10.000) direct onder de NIS2-plicht valt, reikt de impact van de Cyberbeveiligingswet veel verder. Deze NIS2-organisaties zijn verplicht hun leveranciers en dienstverleners te beoordelen op digitale en fysieke risico’s. NIS2 heeft immers een “All hazards” benadering. Daardoor krijgen ook veel MKB-bedrijven die formeel niet NIS2-plichtig zijn, alsnog te maken met eisen vanuit hun klanten. Heel veel mkb-bedrijven hebben direct of indirect een IT component in hun dienstverlening. Ze leveren bijv. software of IT-diensten, of komen fysiek op bezoek bij grote bedrijven (bijv. een liftmonteur). Een concreet voorbeeld: Installatiebedrijven leveren zonnepanelen met een internetverbinding of machinebouwers met ‘voorspelbaar onderhoud’. Zo zijn er grote groepen mkb-bedrijven die worden geraakt. Bekijk voor meer informatie deze twee pagina’s:
Ook jouw bedrijf wordt geraakt! Marktwerking effecten NIS2 (/nieuws/ook-jouw-bedrijf-wordt-geraakt-marktwerking-effecten-nis2/)
Risico’s in de keten… hoe zit dat eigenlijk? (Voorbeelden van mkb-bedrijven) (/nieuws/risicos-in-de-keten-hoe-zit-dat-eigenlijk/)
In de praktijk ontstaat er dus onzekerheid. Moet ik iets gaan doen? Zo ja, wat moet ik gaan doen? Hoe kan ik aan mijn klant laten zien dat ik veilig werk? Welk risico loop ik? Recente richtlijnen geven meer houvast, waarbij de ondersteunende rol van MSP’s zeer belangrijk is, vanwege hun kennis van de klant en van hun technische expertise.
Risico denken is zeer belangrijk. Een digitale verstoring bij een kritieke leverancier kan hele productieketens stilleggen, terwijl een andere leverancier nauwelijks impact hierop heeft. Grote organisaties kijken daarom steeds vaker naar risicoprofielen zoals hoog, middel of laag. Hoog als het een directe en ernstige impact op de continuïteit van essentiële en of belangrijke diensten/producten heeft, middel bij een significante verstoring en laag als er een risico is, maar de impact is vooralsnog beperkt.
Een haalbaar startpunt met NIS2 Supply Chain
Samen Digitaal Veilig ziet dat bestaande normen zoals ISO 27001 of NEN7510 voor veel MKB-bedrijven minder passend zijn door de grote hoeveelheid maatregelen, de complexiteit en redelijk kostbaar zijn om als eerste stap te gebruiken. Daarom is samen met brancheorganisaties gewerkt aan de NIS2 Supply Chain certificering, opgebouwd in drie risiconiveaus.
Via het platform samendigitaalveilig.nl kunnen ondernemers starten met het niveau “basis op orde”. Zij krijgen toegang tot duidelijke uitleg, voorbeeldbeleid, invullijsten en praktische stappenplannen. De certificering sluit aan op wat grotere (NIS2) organisaties nodig hebben om hun keten te beoordelen, zonder het MKB te overvragen.
De aanpak van Samen Digitaal Veilig is bewust gelaagd:
- Via brancheorganisaties worden honderdduizenden bedrijven geïnformeerd over de impact van de Cyberbeveiligingswet, wat ze moeten doen, hoe ze het moeten doen, waar ze moeten zijn en welke stappen ze moeten ondernemen;
- Partners zoals KPN en Kaseya stimuleren het gebruik van het SDV-platform, o.a. via hun MSP-netwerk
- MSP’s, auditors en andere partners zorgen voor uitvoering en begeleiding;
- Het SDV-platform vormt het centrale punt waar mkb-bedrijven hun cybersecurityniveau verbeteren en (extern) laten toetsen.
Door gebruik te maken van standaarddocumenten en vaste formats wordt de drempel verlaagd. Ondernemers kunnen starten zonder direct in zware of kostbare trajecten terecht te komen.
Technologie alleen is niet genoeg
Naast techniek blijft de menselijke factor een cruciaal aandachtspunt. Ondanks jarenlange aandacht voor awareness blijven phishing en misbruik van accounts een groot risico. Dat laat zien dat digitale weerbaarheid niet alleen gaat over systemen, maar ook over gedrag, bewustzijn en herhaling.
NIS2 vraagt daarom om structurele aandacht voor cyberhygiëne binnen organisaties, niet als een eenmalig project, maar als onderdeel van normaal bedrijfsvoering.
Met de NIS2 Supply Chain certificering, duidelijke richtlijnen en de centrale rol van MSP’s wordt het voor het MKB haalbaar om die basis structureel te verbeteren en zich stap voor stap voor te bereiden op de domino-effecten die worden veroorzaakt door de nieuwe aankomende Cyberbeveiligingswetgeving.
Bron: Dutch IT Channel
Gerelateerde artikelen
We houden je op de hoogte!