NIS2 voor onderaannemers: 5 vragen waarmee je direct ziet of je op koers ligt

18 mei 2026 | IB&P | nieuwsberichten, opinie, informatiebeveiliging (nieuws)

Je bent onderaannemer. Je levert timmerwerk, installatiewerk, grondwerk of afbouw voor een groter bouwbedrijf of een woningcorporatie. En tussen de offertes en planningen door krijg je de afgelopen maanden een nieuwe vraag: of je cybersecurity op orde is.

NIS2. Of de Nederlandse versie: de Cyberbeveiligingswet. Het staat in mails van je opdrachtgever, in de kleine lettertjes van aanbestedingen en binnenkort waarschijnlijk in een vragenlijst die je moet invullen voordat je mag inschrijven.

Veel onderaannemers weten niet waar ze staan. Niet omdat ze het niet serieus nemen, maar omdat niemand ze een concrete meetlat voorhoudt.

Daarom: vijf vragen. Geen theorie, geen juridisch jargon. Als je deze vijf eerlijk beantwoordt, weet je binnen tien minuten of je op koers ligt voor de deadline van juli 2026.

Eerst even: Waarom raakt dit jou als onderaannemer?

NIS2 geldt officieel voor grote bedrijven en essentiële sectoren. Jij als onderaannemer met dertig tot tachtig werkplekken valt er misschien niet direct onder. Maar je opdrachtgever wel.

En die opdrachtgever moet aan de wet aantonen dat zijn hele keten veilig is. Dus krijg jij de vraag doorgespeeld. Soms als formulier, soms als verplichte bijlage bij de aanbesteding, soms als vragenlijst van dertig pagina’s.

Geen antwoord? Geen opdracht.

Vraag 1: Kun jij vandaag een cybersecurity-verklaring versturen als je opdrachtgever erom vraagt?

Niet over drie weken. Niet nadat je met je IT-man hebt gebeld. Vandaag.

Als het antwoord nee is, sta je achter. De mails gaan al rond. Bouwbedrijven en woningcorporaties sturen ze nu uit, nog voordat de wet helemaal is ingevoerd. Wie als eerste klaar is, wordt als eerste uitgenodigd voor de volgende aanbesteding.

Veel onderaannemers weten op dit moment niet wat er in zo’n verklaring moet staan. Welke maatregelen tellen mee? Welke afspraken moet je kunnen aantonen? En hoe leg je dat begrijpelijk vast voor een opdrachtgever?

Dat is precies waar het begint.

Op koers: je hebt een actueel document of rapport waarin staat welke beveiligingsmaatregelen bij jou lopen. Datum erop. Handtekening eronder.

Niet op koers: je denkt dat je IT-leverancier het wel ergens heeft liggen, maar je hebt het zelf nog nooit gezien.

Vraag 2: Heeft iedereen in je bedrijf tweestapsverificatie op zijn mail en bedrijfsaccounts?

Iedereen. Ook de planner die al vijftien jaar rondloopt. Ook de uitvoerder die zegt dat hij “geen tijd heeft voor dat gedoe op zijn telefoon”. Ook jijzelf.

Dit is de maatregel die elke IT-auditor als eerste checkt. En meteen ook de belangrijkste reden dat onderaannemers gehackt worden: een medewerker klikt op een phishingmail, de hacker logt in en zonder tweestapsverificatie houdt niks hem tegen.

Op koers: op alle mailboxen, op Microsoft 365, op je projectsoftware, op je boekhouding. Overal staat tweestapsverificatie aan.

Niet op koers: bij de meesten wel, maar er zijn een paar uitzonderingen.

Die uitzonderingen zijn precies waar het risico zit.

Vraag 3: Wordt er dagelijks een back-up gemaakt en kun je aantonen dat die werkt?

Iedereen heeft back-ups. De vraag is of je kunt laten zien dat ze werken, op het moment dat je opdrachtgever erom vraagt.

Want NIS2 vraagt geen “ja, we hebben een back-up”. NIS2 vraagt bewijs. Een rapport, een logbestand, een procedure die zwart op wit staat.

Een back-up die nog nooit getest is, is in een audit niets waard. Het is een aanname. En aannames tellen niet mee als je opdrachtgever om een verklaring vraagt.

Daarom hoort bij een goed beheerde back-up een testrestore. Twee keer per jaar zet iemand in een testomgeving een deel van de data terug. Werkt het? Klopt de doorlooptijd? Staat alles waar het hoort? Rapport erover. Klaar

Bij ons hoort dat standaard bij het beheer. Geen losse afspraken, geen meerwerk. Onderdeel van hoe wij werken, zodat jij dat rapport kunt overleggen zodra je het nodig hebt.

Op koers: dagelijkse back-up van je bestanden, mail en projectdata. Twee keer per jaar een geteste restore. Rapport erover, zodat je het direct aan je opdrachtgever kunt laten zien.

Niet op koers: je weet dat er een back-up is, maar je hebt geen rapport dat aantoont dat het terugzetten ook werkt.

Vraag 4: Weet iedereen wat te doen als het fout gaat?

Eén medewerker klikt op een phishingmail. Merkt tien minuten later dat er iets niet klopt. Wat doet hij?

Als het antwoord “weet ik niet” of “bellen naar het kantoor” is, heb je geen incidentplan. Dan heb je alleen hoop dat het goed komt.

Verder lezen bij de bron

Over
Laatste berichten

IB&P

Kennisdeler bij IB&P

Vanuit IB&P houden we je graag op de hoogte van het laatste nieuws op het gebied van informatiebeveiliging en privacy. We plaatsen iedere werkdag gemiddeld twee nieuwsberichten en bundelen deze elke week in een mooi overzicht.

Laatste berichten van IB&P (alles zien)

NIS2 voor onderaannemers: 5 vragen waarmee je direct ziet of je op koers ligt - 18 mei 2026
AP gaat ICT-leveranciers preventief controleren - 15 mei 2026
Zo onderhandel je met cybercriminelen – als laatste redmiddel - 15 mei 2026

Nieuwsbrief

Deze versturen we 3-4x per jaar.

Recente blogs

Jouw leverancier, jouw risico: Waarom ketenrisico’s geen IT-probleem zijn

Veel gemeenten vertrouwen op leveranciers, maar blijven zelf verantwoordelijk voor de risico’s in de keten. In deze blog lees je waarom ketenrisico’s actief bestuurd moeten worden en hoe je als organisatie grip krijgt op leveranciers, contracten en continuïteit.

Verder lezen

Ransomware bij een leverancier – waarom wachten geen strategie is

Een ransomware-incident bij een leverancier kan de gemeentelijke dienstverlening direct raken, juist omdat overzicht, contractmanagement en voorbereiding vaak onvoldoende zijn ingericht. Door inzicht te hebben in leveranciers, duidelijke afspraken te maken en ook organisatorisch na te denken over handelingsperspectief, voorkom je dat de gemeente bij een incident in een afwachtende slachtofferrol belandt.

Verder lezen

Onzichtbare AI in systemen: privacyrisico’s voor gemeenten

In deze blog leggen we uit hoe AI ongemerkt gemeentelijke software binnendringt, waarom dit een privacyrisico vormt en hoe je hier als gemeente grip op houdt.

Verder lezen

Iedere maandag het nieuwsoverzicht om 09:00 in je mailbox? Abonneer je hier

Meer recente berichten

NIS2 voor onderaannemers: 5 vragen waarmee je direct ziet of je op koers ligt	18 mei 2026 \| IB&P \| nieuwsberichten, opinie, informatiebeveiliging (nieuws)	Verder lezen
AP gaat ICT-leveranciers preventief controleren	15 mei 2026 \| IB&P \| privacy (nieuws), informatie, nieuwsberichten	Verder lezen
Zo onderhandel je met cybercriminelen – als laatste redmiddel	15 mei 2026 \| IB&P \| informatiebeveiliging (nieuws), opinie, nieuwsberichten	Verder lezen
Datalekken aan de lopende band: wat eist de AVG van uw organisatie?	14 mei 2026 \| IB&P \| privacy (nieuws), opinie, nieuwsberichten	Verder lezen
Het fundament ligt er al dertig jaar	14 mei 2026 \| IB&P \| informatiebeveiliging (nieuws), informatie, nieuwsberichten	Verder lezen
Neemt je smart-tv stiekem screenshots?	13 mei 2026 \| IB&P \| opinie, privacy (nieuws), nieuwsberichten	Verder lezen
Als deze onzichtbare systemen uitvallen, staat je auto sneller stil dan je denkt	13 mei 2026 \| IB&P \| informatiebeveiliging (nieuws), opinie, nieuwsberichten	Verder lezen
Veel mensen kennen hun rechten niet bij automatische besluiten	12 mei 2026 \| IB&P \| privacy (nieuws), informatie, nieuwsberichten	Verder lezen
Waarom Europa zwaarder inzet op AI-security	12 mei 2026 \| IB&P \| informatiebeveiliging (nieuws), informatie, nieuwsberichten	Verder lezen
Kamer wil opheldering over ChipSoft-hack: geen incident, maar symptoom van te grote afhankelijkheid	11 mei 2026 \| IB&P \| nieuwsberichten, privacy (nieuws), opinie	Verder lezen