Onedion Consultancy

Nuchter over digitale veiligheid

Je klant vraagt of je veilig werkt. Wat nu?

Je krijgt een mail van je grootste klant. Of een vragenlijst. Of bij de contractverlenging staat er ineens een bijlage bij: kun je aantonen dat je digitaal veilig werkt? Misschien met een deadline erbij.

Veel ondernemers schrikken daarvan, en dat is logisch. Je had er niet om gevraagd, je bent geen IT-bedrijf, en nu wordt het ineens jouw probleem. Dit stuk legt rustig uit waarom je dit krijgt, of je er iets mee moet, en waar je begint zonder dat het meteen een groot project wordt.

Waarom je dit ineens krijgt

Er is nieuwe Europese wetgeving, de NIS2-richtlijn (in Nederland wordt die ingevoerd via de Cyberbeveiligingswet), die grote en kritieke bedrijven verplicht om veilig te werken. En die regels zeggen ook: je bent verantwoordelijk voor de beveiliging van je toeleveringsketen.

Dat is de kern. Jouw grote klant moet zijn keten op orde hebben. Dus stuurt hij de vraag door naar jou. Je hoeft zelf niet eens onder de wet te vallen om er last van te krijgen. De eis komt niet van de overheid, hij komt van je klant. En een klant die zijn samenwerking afhankelijk maakt van jouw antwoord, is een reden om het serieus te nemen.

Moet je hieraan voldoen?

Eerlijk antwoord: dat hangt ervan af, en het is twee verschillende vragen.

Of je formeel onder de NIS2-wet valt, is een aparte juridische vraag. Dat hangt af van je sector en je omvang, en daar moet je niet op gokken.

Maar of je klant je de vraag mag stellen en zijn samenwerking eraan mag koppelen: ja, dat mag hij. Dus zelfs als de wet niet rechtstreeks op jou van toepassing is, is de klant-eis dat wel. In de praktijk is dat de vraag die telt.

Wil je eerst het grotere plaatje, of je überhaupt iets met NIS2 of de AI Act moet? Dat lees je in Moet mijn bedrijf iets met NIS2 of de AI Act?

Wat je beter niet doet

Niet in paniek alles tegelijk dichttimmeren. En niet meteen een duur traject inkopen voor iets wat misschien kleiner is dan je denkt.

De meeste van dit soort vragenlijsten gaan over de basis. Geen geavanceerde techniek, maar of je de fundamenten op orde hebt. Vaak is dat minder werk dan het op het eerste gezicht lijkt, en heb je een deel al geregeld zonder dat je het zo noemde.

Waar je wel begint

Een eerlijke nulmeting van waar je nu staat. De basis die in vrijwel elke vragenlijst terugkomt:

  • Een overzicht van je risico's: wat heb je, en wat zou er fout kunnen gaan.
  • Tweestapsverificatie op je mail en je belangrijke systemen. De goedkoopste maatregel met de grootste impact.
  • Back-ups die je ook echt een keer hebt teruggezet, niet alleen gemaakt.
  • Afspraken over wie waar bij kan, en wat je doet als er iets misgaat.
  • Je mensen die weten waar ze op moeten letten, want de meeste incidenten beginnen bij een verkeerde klik.

Dat is geen ICT-project van maanden. Het is in kaart brengen waar je staat, en gericht aanvullen wat ontbreekt.

Hoe je laat zien dat je het op orde hebt

Beantwoord de vragenlijst eerlijk. Een klant prikt door mooie antwoorden heen, en een fout antwoord dat later uitkomt is erger dan een eerlijk "dit hebben we nog niet, en dit is ons plan". Laten zien dat je het serieus aanpakt is vaak genoeg, zeker als de basis staat.

Zien waar je staat?

De NIS2-quickscan is gratis en duurt ongeveer vijf minuten.

Doe de NIS2-quickscan

En als je het overzicht mist of niet weet wat nu echt nodig is: daar kijk ik onafhankelijk naar mee. Ik ben niet aan één tool of leverancier gebonden, dus mijn enige belang is dat jij het juiste doet, niet meer dan dat. En besluit je iets te doen, dan help ik van het besluit tot en met de uitvoering. Soms is dat een kort traject, soms blijkt het mee te vallen. Mail naar info@onedionconsultancy.nl, of bekijk de GroundZero-nulmeting.

Veelgestelde vragen

Moet ik aan NIS2 voldoen als mijn klant erom vraagt?

Of je formeel onder de wet valt hangt af van je sector en omvang. Maar je klant mag de eis stellen en zijn samenwerking eraan koppelen, dus in de praktijk moet je een antwoord hebben.

Wat is een beveiligingsvragenlijst?

Een lijst vragen waarmee een klant controleert of zijn leverancier digitaal veilig werkt, vaak voortkomend uit zijn eigen NIS2-verplichtingen.

Wat kost het om dit op orde te krijgen?

Dat hangt af van waar je nu staat. Vaak gaat het om de basis (tweestapsverificatie, back-ups, beleid) en valt het mee. Een nulmeting laat zien wat echt nodig is.