De meeste IT-dienstverleners die ik spreek over NIS2, beginnen over tooling. MFA, SIEM, vulnerability scanning — het rijtje ken je. Logisch ook, want dat is het terrein waar MSP’s zich thuis voelen. Maar NIS2 gaat daar niet primair over. De richtlijn draait om governance, ketenverantwoordelijkheid en bewijsvoering. En juist op die punten zijn veel channel-partijen nog niet klaar, zo schrijft Niels Maas (foto), eigenaar van MaasISO, in deze blog.

De Nederlandse Cyberbeveiligingswet (Cbw), de nationale vertaling van NIS2, wordt naar verwachting in het tweede kwartaal van 2026 van kracht. Ja, die deadline is al meerdere keren opgeschoven. Maar de richting is onmiskenbaar: meer dan honderd branches bereiden zich al voor en de vraag naar audits stijgt. Wie als MSP wacht tot de wet formeel ingaat, loopt het risico dat klanten sneller bewegen dan hij.

NIS2 in negentig seconden

Even kort de feiten. NIS2 (Richtlijn (EU) 2022/2555) vervangt de oude NIS-richtlijn en vergroot het speelveld fors: van zeven naar achttien sectoren. Alle middelgrote en grote organisaties in die sectoren vallen automatisch in scope. De richtlijn richt zich op vier pijlers: risicomanagement, bestuurlijke verantwoordelijkheid, meldplichten en bedrijfscontinuïteit.

Bij een significant incident moet binnen 24 uur een early warning uit. Binnen 72 uur volgt een volledige notificatie, en na een maand een eindrapport. Bestuurders worden persoonlijk aansprakelijk. Boetes kunnen oplopen tot tien miljoen euro of twee procent van de wereldwijde jaaromzet.

Dit is geen checklist die je eenmalig afvinkt. Het is een regime van continu verbeteren en aantonen dat je het doet.

Waarom MSP’s hier kwetsbaar zijn

Hier wordt het concreet voor het channel. NIS2 legt nadrukkelijk de vinger op supply chain security. Organisaties die onder de wet vallen, moeten de cybersecurityrisico’s in hun hele leveranciersketen beoordelen — inclusief hun IT-dienstverlener.

Deze versturen we 3-4x per jaar.