NIS2 voor onderaannemers: 5 vragen waarmee je direct ziet of je op koers ligt

18 mei 2026 | IB&P | nieuwsberichten, opinie, informatiebeveiliging (nieuws)

Je bent onderaannemer. Je levert timmerwerk, installatiewerk, grondwerk of afbouw voor een groter bouwbedrijf of een woningcorporatie. En tussen de offertes en planningen door krijg je de afgelopen maanden een nieuwe vraag: of je cybersecurity op orde is.

NIS2. Of de Nederlandse versie: de Cyberbeveiligingswet. Het staat in mails van je opdrachtgever, in de kleine lettertjes van aanbestedingen en binnenkort waarschijnlijk in een vragenlijst die je moet invullen voordat je mag inschrijven.

Veel onderaannemers weten niet waar ze staan. Niet omdat ze het niet serieus nemen, maar omdat niemand ze een concrete meetlat voorhoudt.

Daarom: vijf vragen. Geen theorie, geen juridisch jargon. Als je deze vijf eerlijk beantwoordt, weet je binnen tien minuten of je op koers ligt voor de deadline van juli 2026.

Eerst even: Waarom raakt dit jou als onderaannemer?

NIS2 geldt officieel voor grote bedrijven en essentiële sectoren. Jij als onderaannemer met dertig tot tachtig werkplekken valt er misschien niet direct onder. Maar je opdrachtgever wel.

En die opdrachtgever moet aan de wet aantonen dat zijn hele keten veilig is. Dus krijg jij de vraag doorgespeeld. Soms als formulier, soms als verplichte bijlage bij de aanbesteding, soms als vragenlijst van dertig pagina’s.

Geen antwoord? Geen opdracht.

Vraag 1: Kun jij vandaag een cybersecurity-verklaring versturen als je opdrachtgever erom vraagt?

Niet over drie weken. Niet nadat je met je IT-man hebt gebeld. Vandaag.

Als het antwoord nee is, sta je achter. De mails gaan al rond. Bouwbedrijven en woningcorporaties sturen ze nu uit, nog voordat de wet helemaal is ingevoerd. Wie als eerste klaar is, wordt als eerste uitgenodigd voor de volgende aanbesteding.

Veel onderaannemers weten op dit moment niet wat er in zo’n verklaring moet staan. Welke maatregelen tellen mee? Welke afspraken moet je kunnen aantonen? En hoe leg je dat begrijpelijk vast voor een opdrachtgever?

Dat is precies waar het begint.

Op koers: je hebt een actueel document of rapport waarin staat welke beveiligingsmaatregelen bij jou lopen. Datum erop. Handtekening eronder.

Niet op koers: je denkt dat je IT-leverancier het wel ergens heeft liggen, maar je hebt het zelf nog nooit gezien.

Vraag 2: Heeft iedereen in je bedrijf tweestapsverificatie op zijn mail en bedrijfsaccounts?

Iedereen. Ook de planner die al vijftien jaar rondloopt. Ook de uitvoerder die zegt dat hij “geen tijd heeft voor dat gedoe op zijn telefoon”. Ook jijzelf.

Dit is de maatregel die elke IT-auditor als eerste checkt. En meteen ook de belangrijkste reden dat onderaannemers gehackt worden: een medewerker klikt op een phishingmail, de hacker logt in en zonder tweestapsverificatie houdt niks hem tegen.

Op koers: op alle mailboxen, op Microsoft 365, op je projectsoftware, op je boekhouding. Overal staat tweestapsverificatie aan.

Niet op koers: bij de meesten wel, maar er zijn een paar uitzonderingen.

Die uitzonderingen zijn precies waar het risico zit.

Vraag 3: Wordt er dagelijks een back-up gemaakt en kun je aantonen dat die werkt?

Iedereen heeft back-ups. De vraag is of je kunt laten zien dat ze werken, op het moment dat je opdrachtgever erom vraagt.

Want NIS2 vraagt geen “ja, we hebben een back-up”. NIS2 vraagt bewijs. Een rapport, een logbestand, een procedure die zwart op wit staat.

Een back-up die nog nooit getest is, is in een audit niets waard. Het is een aanname. En aannames tellen niet mee als je opdrachtgever om een verklaring vraagt.

Daarom hoort bij een goed beheerde back-up een testrestore. Twee keer per jaar zet iemand in een testomgeving een deel van de data terug. Werkt het? Klopt de doorlooptijd? Staat alles waar het hoort? Rapport erover. Klaar

Bij ons hoort dat standaard bij het beheer. Geen losse afspraken, geen meerwerk. Onderdeel van hoe wij werken, zodat jij dat rapport kunt overleggen zodra je het nodig hebt.

Op koers: dagelijkse back-up van je bestanden, mail en projectdata. Twee keer per jaar een geteste restore. Rapport erover, zodat je het direct aan je opdrachtgever kunt laten zien.

Niet op koers: je weet dat er een back-up is, maar je hebt geen rapport dat aantoont dat het terugzetten ook werkt.

Vraag 4: Weet iedereen wat te doen als het fout gaat?

Eén medewerker klikt op een phishingmail. Merkt tien minuten later dat er iets niet klopt. Wat doet hij?

Als het antwoord “weet ik niet” of “bellen naar het kantoor” is, heb je geen incidentplan. Dan heb je alleen hoop dat het goed komt.

Verder lezen bij de bron

Over
Laatste berichten

IB&P

Kennisdeler bij IB&P

Vanuit IB&P houden we je graag op de hoogte van het laatste nieuws op het gebied van informatiebeveiliging en privacy. We plaatsen iedere werkdag gemiddeld twee nieuwsberichten en bundelen deze elke week in een mooi overzicht.

Laatste berichten van IB&P (alles zien)

Autoriteit Persoonsgegevens ontvangt veel klachten over camera’s - 23 juni 2026
AFM: Financiële organisaties moeten grip krijgen op ICT-risico’s en interne controle - 23 juni 2026
AP controleert vanaf 1 juli registratie scanauto’s in algoritmeregister - 22 juni 2026

Nieuwsbrief

Deze versturen we 3-4x per jaar.

Recente blogs

De nieuwe Archiefwet: waarom informatiebeveiliging hierbij moet aanhaken

Op 1 januari 2027 treedt de nieuwe Archiefwet in werking. Op het eerste gezicht lijkt dat vooral een onderwerp voor informatiebeheer, DIV, de gemeentearchivaris of juridische zaken. Toch raakt de nieuwe wet ook duidelijk aan informatiebeveiliging.

Verder lezen

Waarom BIO2 vooral om eigenaarschap in de lijn vraagt

BIO2 maakt informatiebeveiliging nadrukkelijk onderdeel van goed management: proceseigenaren moeten risico’s kennen, keuzes maken en opvolging organiseren. Daarmee verschuift de focus van losse maatregelen naar aantoonbaar eigenaarschap, samenwerking en risicogestuurde sturing binnen de gemeentelijke praktijk.

Verder lezen

Jouw leverancier, jouw risico: Waarom ketenrisico’s geen IT-probleem zijn

Veel gemeenten vertrouwen op leveranciers, maar blijven zelf verantwoordelijk voor de risico’s in de keten. In deze blog lees je waarom ketenrisico’s actief bestuurd moeten worden en hoe je als organisatie grip krijgt op leveranciers, contracten en continuïteit.

Verder lezen

Iedere maandag het nieuwsoverzicht om 09:00 in je mailbox? Abonneer je hier

Meer recente berichten

Autoriteit Persoonsgegevens ontvangt veel klachten over camera’s	23 juni 2026 \| IB&P \| privacy (nieuws), informatie, nieuwsberichten	Verder lezen
AFM: Financiële organisaties moeten grip krijgen op ICT-risico’s en interne controle	23 juni 2026 \| IB&P \| informatiebeveiliging (nieuws), informatie, nieuwsberichten	Verder lezen
AP controleert vanaf 1 juli registratie scanauto’s in algoritmeregister	22 juni 2026 \| IB&P \| privacy (nieuws), informatie, nieuwsberichten	Verder lezen
Digitale soevereiniteit bestaat niet in zwart-wit	22 juni 2026 \| IB&P \| nieuwsberichten, informatiebeveiliging (nieuws), opinie	Verder lezen
Inlichtingendiensten slaan alarm over privacy: je nieuwe auto luistert actief mee	19 juni 2026 \| Corina Kroezen \| privacy (nieuws), informatie, nieuwsberichten	Verder lezen
Amerikaanse overheid moet update voor kritiek Dell-lek binnen 3 dagen uitrollen	19 juni 2026 \| IB&P \| informatiebeveiliging (nieuws), opinie, nieuwsberichten	Verder lezen
Waarschuwing voor personeel dat met AI aan de slag gaat: ‘Kans op datalek groot’	18 juni 2026 \| IB&P \| privacy (nieuws), opinie, nieuwsberichten	Verder lezen
Intelligentie als wapen	18 juni 2026 \| IB&P \| informatiebeveiliging (nieuws), opinie, nieuwsberichten	Verder lezen
Veilige softwarekeuzes bij het toepassen van AI in de zorg	17 juni 2026 \| IB&P \| privacy (nieuws), opinie, nieuwsberichten	Verder lezen
Cyberdreiging, AI en tekort aan softwarekennis zetten organisaties onder druk	17 juni 2026 \| IB&P \| nieuwsberichten, informatiebeveiliging (nieuws), opinie	Verder lezen