Moet een ICT-dienstverlener of MSP voldoen aan NIS2?
Ja, een ICT-dienstverlener of managed service provider (MSP) kan verplicht zijn te voldoen aan de NIS2-richtlijn. Of dat het geval is, hangt af van de omvang van je organisatie en de aard van de diensten die je levert. In dit artikel beantwoorden we de meest gestelde vragen over NIS2 voor ICT-dienstverleners en MSP’s.
Welke organisaties vallen onder de NIS2-richtlijn?
De NIS2-richtlijn is van toepassing op organisaties in sectoren die als essentieel of belangrijk worden aangemerkt, én die voldoen aan bepaalde drempelwaarden voor omvang. Denk aan bedrijven met minimaal 50 medewerkers of een jaaromzet van meer dan 10 miljoen euro. In Nederland wordt NIS2 omgezet in de Cyberbeveiligingswet (CBW), die naar verwachting in het tweede kwartaal van 2026 in werking treedt.
De richtlijn maakt onderscheid tussen twee categorieën:
- Essentiële entiteiten: grote organisaties in kritieke sectoren zoals energie, transport, gezondheidszorg en drinkwater.
- Belangrijke entiteiten: middelgrote organisaties in sectoren als digitale infrastructuur, ICT-dienstverlening, financiële dienstverlening en de maakindustrie.
Naast deze formele categorieën zijn er ook organisaties die niet direct onder NIS2 vallen, maar wel onderdeel zijn van de toeleveringsketen van een NIS2-plichtige organisatie. Voor hen gelden indirecte verplichtingen via de ketenbeveiliging die NIS2 oplegt aan hun klanten.
Valt een ICT-dienstverlener of MSP automatisch onder NIS2?
Niet automatisch, maar de kans is groot. ICT-dienstverleners en managed service providers vallen expliciet onder de sectoren die de NIS2-richtlijn benoemt. Als jouw organisatie als MSP diensten levert aan andere bedrijven en daarbij voldoet aan de drempelwaarden voor omvang, val je hoogstwaarschijnlijk in de categorie van belangrijke of zelfs essentiële entiteiten.
Wat dit concreet betekent: een MSP die beheerde IT-diensten levert aan tientallen klanten, cloudoplossingen beheert of verantwoordelijk is voor de netwerkinfrastructuur van andere organisaties, speelt een kritieke rol in de digitale toeleveringsketen. Juist die positie maakt ICT-dienstverleners tot een prioritaire doelgroep voor de NIS2-wetgeving.
Kleinere ICT-bedrijven die onder de drempelwaarden blijven, vallen formeel buiten de directe werkingssfeer van NIS2. Toch is het verstandig om de eigen situatie goed te beoordelen, want ook zij kunnen via contractuele verplichtingen van hun klanten worden aangesproken op cyberbeveiligingsmaatregelen. Meer weten over hoe security binnen Microsoft 365 bijdraagt aan NIS2-compliance? Dat is een goed startpunt.
Wat zijn de verplichtingen van een MSP onder NIS2?
Een MSP die onder NIS2 valt, is verplicht een breed pakket aan technische en organisatorische maatregelen te treffen op het gebied van risicobeheer, incidentmelding en ketenbeveiliging. De nadruk ligt niet alleen op techniek, maar ook op aantoonbare governance en bestuurlijke verantwoordelijkheid.
De belangrijkste verplichtingen zijn:
- Risicoanalyse: het systematisch identificeren en beoordelen van cyberbeveiligingsrisico’s binnen de eigen organisatie en de dienstverlening aan klanten.
- Incident response: het opstellen en testen van een plan voor het omgaan met beveiligingsincidenten, inclusief duidelijke rollen en communicatielijnen.
- Meldplicht: significante incidenten moeten binnen 24 uur worden gemeld bij de bevoegde autoriteit, met een volledig rapport binnen 72 uur.
- Ketenbeveiliging: het beoordelen en bewaken van de cyberveiligheid van toeleveranciers en subverwerkers.
- Bestuurderstraining: bestuurders moeten aantoonbaar beschikken over actuele kennis van cyberrisico’s en hun eigen verantwoordelijkheden daarin.
- Cyberhygiëne: basismaatregelen zoals multifactorauthenticatie, patchbeheer, toegangsbeheer en encryptie moeten structureel zijn ingeregeld.
Belangrijk: bestuurders worden persoonlijk verantwoordelijk gesteld voor de naleving van deze verplichtingen. Dat maakt NIS2 nadrukkelijk een bestuurlijk thema, niet alleen een IT-vraagstuk.
Wat betekent NIS2 voor klanten die gebruikmaken van een MSP?
Als jouw organisatie gebruikmaakt van een MSP, heeft NIS2 ook voor jou directe gevolgen. De richtlijn verplicht organisaties die zelf onder NIS2 vallen om de cyberveiligheid van hun toeleveranciers te beoordelen en te borgen. Dat betekent dat je als klant moet kunnen aantonen dat jouw MSP voldoet aan de vereiste beveiligingsstandaarden.
In de praktijk vertaalt dit zich naar een aantal concrete aandachtspunten:
- Vraag je MSP om inzicht te geven in zijn beveiligingsmaatregelen en compliancestatus.
- Leg afspraken over beschikbaarheid, incidentmelding en responstijden contractueel vast.
- Controleer of je MSP zelf onder NIS2 valt en welke maatregelen hij heeft getroffen.
- Zorg dat er duidelijke afspraken zijn over wie verantwoordelijk is bij een beveiligingsincident.
Een MSP die zijn zaken goed op orde heeft, is voor jou als klant een sterke schakel in de keten. Een MSP die achterblijft op het gebied van NIS2-compliance, kan juist een risico vormen voor jouw eigen naleving. ICT-beheer en ondersteuning waarbij beveiliging structureel is ingeregeld, maakt daarin een wezenlijk verschil.
Hoe bereid je een ICT-bedrijf voor op NIS2-naleving?
De voorbereiding op NIS2-naleving begint met een heldere nulmeting: waar staat jouw organisatie nu op het gebied van cyberbeveiliging, en wat is er nodig om aan de wettelijke eisen te voldoen? Vanuit die basis bouw je stap voor stap naar volledige compliance.
Een praktische aanpak ziet er als volgt uit:
- Bepaal of je in scope valt: beoordeel of je organisatie voldoet aan de drempelwaarden voor omvang en of jouw sector onder NIS2 valt.
- Voer een risicoanalyse uit: breng de belangrijkste risico’s in kaart, zowel intern als in de keten van toeleveranciers en klanten.
- Stel een incident response plan op: beschrijf hoe je organisatie reageert op beveiligingsincidenten, wie verantwoordelijk is en hoe de meldprocedure werkt.
- Implementeer technische basismaatregelen: denk aan multifactorauthenticatie, versleuteling, patchmanagement en toegangsbeheer.
- Train bestuurders en medewerkers: zorg voor aantoonbare kennis op bestuurlijk niveau en verhoog de algehele cyberawareness binnen de organisatie.
- Documenteer alles: NIS2 vereist aantoonbaarheid. Zorg dat beleid, maatregelen en trainingen goed zijn vastgelegd.
Registratie bij de bevoegde autoriteit is ook een verplichting voor organisaties die onder NIS2 vallen. Houd de ontwikkelingen rond de Cyberbeveiligingswet nauwlettend in de gaten, zodat je tijdig aan alle formaliteiten voldoet.
Wat zijn de gevolgen van niet voldoen aan NIS2?
Organisaties die niet voldoen aan de NIS2-richtlijn riskeren aanzienlijke boetes, reputatieschade en operationele verstoringen. De toezichthouder kan bij essentiële entiteiten boetes opleggen tot 10 miljoen euro of 2% van de wereldwijde jaaromzet, en bij belangrijke entiteiten tot 7 miljoen euro of 1,4% van de jaaromzet.
Maar de financiële sancties zijn niet het enige risico. Niet-naleving heeft ook praktische gevolgen:
- Persoonlijke aansprakelijkheid van bestuurders: bestuurders kunnen individueel aansprakelijk worden gesteld als de organisatie aantoonbaar tekortschiet in haar beveiligingsverplichtingen.
- Verlies van klanten: organisaties die zelf onder NIS2 vallen, zijn verplicht hun toeleveranciers te toetsen. Een MSP die niet compliant is, loopt het risico uit ketens te worden uitgesloten.
- Verhoogd cyberrisico: wie de verplichte maatregelen niet treft, blijft kwetsbaar voor aanvallen die vermijdbaar waren geweest.
- Reputatieschade: een beveiligingsincident bij een niet-compliant organisatie leidt al snel tot verlies van vertrouwen bij klanten en partners.
NIS2-naleving is daarmee geen vrijblijvende keuze, maar een strategische noodzaak voor iedere ICT-dienstverlener die serieus genomen wil worden in de markt.
Hoe Puur ICT helpt met NIS2-compliance
NIS2 raakt de kern van wat wij als ICT-dienstverlener elke dag doen: organisaties veilig, stabiel en toekomstbestendig laten werken. Als Microsoft 365-specialist en gecertificeerde ICT-partner helpen we je stap voor stap naar volledige naleving van de Cyberbeveiligingswet.
Wat we voor je doen:
- Nulmeting en gap-analyse: we brengen je huidige beveiligingssituatie in kaart en bepalen wat er nodig is om aan NIS2 te voldoen.
- Technische maatregelen binnen Microsoft 365: van multifactorauthenticatie en toegangsbeheer tot encryptie en monitoring, we implementeren de juiste tools binnen het Microsoft-ecosysteem.
- Bestuurderstraining en cyber awareness: we verzorgen een tweedaagse bestuurderstraining waarmee bestuurders aantoonbaar voldoen aan hun opleidingsplicht, aangevuld met e-learning en phishingcampagnes voor de hele organisatie.
- Incident response planning: we helpen je een werkend plan op te stellen voor het geval er toch iets misgaat.
- Doorlopend beheer en rapportage: NIS2-compliance is geen eenmalig project. We ondersteunen je structureel, zodat je altijd in control bent.
Wil je weten waar jouw organisatie nu staat en wat er nodig is om NIS2-proof te worden? Neem contact met ons op en we plannen een vrijblijvend gesprek in.
Gerelateerde artikelen
- Hoe zorg je dat iedereen in je organisatie bewust omgaat met digitale veiligheid?
- Hoe moderniseer je je CRM-systeem zonder de bedrijfsvoering te verstoren?
- Hoe moderniseer je de digitale werkplek van je organisatie zonder alles overhoop te gooien?
- Wat is een moderne werkplek?
- Ben ik verplicht een datalek te melden en bij wie moet ik dat dan doen?
Gerelateerde artikelen
- Wat is een risicoanalyse en hoe voer je die uit voor NIS2?
- Waarom vinden medewerkers bestanden niet terug terwijl ze er zeker van zijn ze opgeslagen te hebben?
- Wat is een goede strategie om je organisatie snel te laten herstellen na een cyberaanval?
- Hoe ziet een Microsoft 365-migratietraject eruit van begin tot livegang?
- Hoe schaal je van 100 naar 200 werkplekken zonder groot migratieproject?














