Hoe Praat Je met Je IT-Partner over NIS2
NIS2 is er, en als bedrijfseigenaar ben jij uiteindelijk verantwoordelijk voor compliance - ook als je IT uitbesteedt. Maar hoe breng je dit ter sprake bij je IT-partner? Wat moet je vragen? En hoe weet je of ze het serieus nemen? Deze gids geeft je een kant-en-klaar script dat je letterlijk kunt doorsturen naar je IT-provider.
Niet zeker wat NIS2 inhoudt? Begin met onze gids over wat NIS2 is en de specifieke vereisten. Uw IT-partner moet het CyberFundamentals framework kennen en de verschillende niveaus.
Waarom Je Dit Gesprek Moet Voeren
Veel Belgische KMO-eigenaren gaan ervan uit dat hun IT-partner NIS2 wel geregeld heeft. Dit is een gevaarlijke aanname. Hier is waarom je het proactief moet aankaarten:
De wettelijke verantwoordelijkheid is van jou
Onder NIS2 (en de Belgische omzettingswet) is het management persoonlijk aansprakelijk. Je kunt deze verantwoordelijkheid niet delegeren aan een leverancier.
De meeste IT-partners zijn generalisten
Je IT-provider is misschien uitstekend in het beheren van servers en netwerken, maar NIS2-compliance vereist specifieke kennis van risicobeoordelingen, beleid en bewijsverzameling.
De deadline is echt
Belgie heeft NIS2 omgezet in nationale wetgeving. Handhaving komt eraan. Wachten tot een auditbericht arriveert is te laat.
Je IT-partner weet het misschien niet
Veel kleinere IT-providers en MSP's zijn zelf nog bezig met NIS2. Jouw vraag kan de duw zijn die ze nodig hebben.
Verzekeringen eisen het steeds vaker
Cyberverzekeraars in Belgie beginnen te vragen naar NIS2-gereedheid. Een gesprek nu bespaart haastwerk later.
Het beschermt de relatie
Duidelijke verwachtingen vooraf voorkomen een schuldvraag na een incident. Beide partijen profiteren van helderheid.
Het Gespreksscript
Hier is een bericht dat je vandaag naar je IT-partner kunt sturen. Pas het gerust aan of stuur gewoon deze pagina door:
Dit bericht werkt of je het nu per e-mail, Teams of WhatsApp verstuurt. Het belangrijkste is om specifiek te zijn en een apart gesprek te vragen - geen vijf-minutenpraatje aan het eind van een supportgesprek.
5 Vragen om Je IT-Partner te Stellen
Focus tijdens het gesprek op deze vijf vragen. De antwoorden zeggen veel over of je IT-partner klaar is om je NIS2-traject te ondersteunen:
1. Weten jullie wat NIS2 en CyberFundamentals betekenen voor ons bedrijf?
Een goede IT-partner moet de framework-niveaus begrijpen (Basic, Important, Essential) en weten welk niveau op jou van toepassing is. Als ze verward kijken, is dat een signaal.
Goed teken
Ze leggen uit welk niveau je waarschijnlijk nodig hebt en verwijzen naar specifieke controles.
Slecht teken
Ze zeggen "NIS2 is niet van toepassing op kleine bedrijven" zonder je sector en omvang te controleren.
2. Kunnen jullie een gap-analyse doen tegen NIS2-vereisten?
Voordat je kunt plannen, moet je weten waar je staat. Een gap-analyse brengt je huidige beveiligingsmaatregelen in kaart tegenover wat NIS2 vereist.
Goed teken
Ze bieden een gestructureerde beoordeling aan met een rapport en geprioriteerde actiepunten.
Slecht teken
Ze zeggen "jullie hebben al antivirus en een firewall, dus het komt wel goed."
3. Hoe zouden we samen een beveiligingsincident afhandelen?
NIS2 vereist incidentmelding binnen 24 uur (vroegtijdige waarschuwing) en 72 uur (volledige melding). Je IT-partner moet onderdeel zijn van dit proces.
Goed teken
Ze hebben (of kunnen) een incident response plan met duidelijke rollen, contactgegevens en meldingsprocedures.
Slecht teken
Ze zeggen "bel ons gewoon als er iets gebeurt en dan lossen we het op."
4. Welk auditbewijs kunnen jullie ons helpen produceren?
Compliance gaat niet alleen over het hebben van beveiligingsmaatregelen - het gaat over bewijzen dat je ze hebt. Je hebt documentatie, logs, beleid en registraties nodig.
Goed teken
Ze kunnen beveiligingsrapporten, patch management-logs, toegangsreviews leveren en helpen bij het opstellen van beleid.
Slecht teken
Ze begrijpen niet wat een auditor zou vragen of zeggen "wij doen geen documentatie."
5. Welke tijdlijn is realistisch om audit-ready te worden?
NIS2-gereedheid is een traject, geen enkel project. Je hebt een realistische roadmap met mijlpalen nodig.
Goed teken
Ze stellen een gefaseerd plan voor: quick wins in 1-3 maanden, kerncontroles in 3-6 maanden, volledige gereedheid in 6-12 maanden.
Slecht teken
Ze beloven "we kunnen het in twee weken" of weigeren zich aan enige tijdlijn te verbinden.
Rode Vlaggen: Tekenen dat Je IT-Partner Niet Klaar Is
Let op deze waarschuwingssignalen tijdens het gesprek. Ze betekenen niet per se dat je een nieuwe IT-partner nodig hebt, maar wel dat je extra ondersteuning nodig hebt:
"NIS2 is niet op jullie van toepassing"
Tenzij ze je sectorclassificatie en bedrijfsomvang grondig hebben gecontroleerd, is deze afwijzing voorbarig. Veel bedrijven die denken dat ze zijn vrijgesteld, vallen via sectorclassificatie of als onderdeel van een toeleveringsketen toch onder NIS2.
"Wij regelen jullie security al, dus jullie zijn compliant"
Beveiligingsmaatregelen en compliance zijn niet hetzelfde. Compliance vereist gedocumenteerd beleid, risicobeoordelingen, incident response plannen en auditbewijs. Een firewall hebben is niet hetzelfde als NIS2-ready zijn.
"We lossen het op als de auditors komen"
Dit is alsof je zegt dat je voor het examen gaat studeren tijdens het examen. NIS2-gereedheid kost maanden voorbereiding. Auditors verwachten een trackrecord van compliance, niet een last-minute inhaalslag.
Ze kunnen de CyberFundamentals-niveaus niet uitleggen
In Belgie wordt NIS2 geimplementeerd via het CCB CyberFundamentals-framework. Als je IT-partner het verschil niet kent tussen Basic, Important en Essential, zijn ze niet klaar om je te begeleiden.
Ze hebben geen andere klanten die aan NIS2 werken
Als geen van hun klanten aan NIS2 werkt, missen ze mogelijk praktijkervaring. Vraag naar referenties of casestudy's van vergelijkbare compliance-projecten.
Ze zijn terughoudend om dingen op papier te zetten
Als ze onwillig zijn om verantwoordelijkheden, SLA's of incident response-procedures te documenteren, is dat een governance-rode vlag. NIS2 draait om gedocumenteerde, aantoonbare beveiliging.
Vervolgstappen na het Gesprek
Als je het gesprek hebt gehad, dit is wat je moet doen afhankelijk van de uitkomst:
Beste scenario: Je IT-partner snapt het
Ze begrijpen NIS2, kunnen een gap-analyse uitvoeren en stellen een roadmap voor.
- Spreek een tijdlijn af voor de gap-analyse (start binnen 4 weken)
- Leg rollen en verantwoordelijkheden schriftelijk vast
- Plan maandelijkse voortgangsoverleggen in
- Vraag om een schriftelijk voorstel met kosten en mijlpalen
- Overweeg een compliance-platform om samen de voortgang te volgen
Middenweg: Bereidwillig maar nog niet klaar
Ze nemen NIS2 serieus maar missen specifieke compliance-ervaring.
- Geef ze tijd om zich bij te scholen (4-6 weken is redelijk)
- Stel voor dat ze compliance-tooling en frameworks verkennen
- Overweeg een gespecialiseerde NIS2-consultant als aanvulling
- Stel een herbeoordelingsdatum in om hun gereedheid opnieuw te evalueren
- Gebruik een platform zoals Easy Cyber Protection om structuur te bieden voor jullie beiden
Slechtste scenario: Ze wijzen het af of ontwijken
Ze nemen NIS2 niet serieus of weigeren het onderwerp aan te pakken.
- Documenteer het gesprek en hun reactie
- Zoek een second opinion bij een andere IT-provider of consultant
- Wacht niet - begin je NIS2-voorbereiding met een andere partner
- Overweeg of dit bredere kwaliteitsproblemen met de relatie weerspiegelt
- Onthoud: jouw wettelijke aansprakelijkheid verdwijnt niet omdat je IT-partner onvoorbereid is
Maak NIS2-Gesprekken Makkelijker
Easy Cyber Protection geeft jou en je IT-partner een gedeeld platform voor NIS2-gereedheid. Volg je gap-analyse, beheer controles, verzamel bewijs en bereid je voor op audits - samen. Geen spreadsheet-pingpong meer.
Veelgestelde Vragen
Kan ik dit artikel gewoon doorsturen naar mijn IT-partner?
Absoluut. Daar is dit artikel precies voor ontworpen. Het gespreksscript, de vijf vragen en de rode-vlaggensectie geven je IT-partner een duidelijk beeld van wat je nodig hebt. Het neemt de ongemakkelijkheid weg van "ik heb iets op internet gevonden" door een gestructureerd, professioneel kader voor het gesprek te bieden.
Wat als mijn IT-partner zegt dat NIS2 niet op mijn bedrijf van toepassing is?
Vraag ze het specifiek te verifieren. NIS2 is van toepassing op basis van sector en bedrijfsomvang. In Belgie vallen veel KMO's in productie, voedselproductie, gezondheidszorg, digitale diensten en andere sectoren eronder. Zelfs als je niet direct in scope bent, kunnen je grotere klanten NIS2-niveau beveiliging eisen van hun leveranciers. Het CCB heeft richtlijnen gepubliceerd om de scope te bepalen.
Moet ik van IT-partner wisselen als ze niet NIS2-ready zijn?
Niet per se. Veel IT-partners zijn nog bezig NIS2-expertise op te bouwen. Wat telt is hun bereidheid om te leren en zich aan te passen. Als ze afwijzend zijn of weigeren het gesprek aan te gaan, is dat een groter probleem dan een huidige kennislacune. Geef bereidwillige partners een redelijke termijn (2-3 maanden) om bij te komen, en vul aan met gespecialiseerd gereedschap of consultants in de tussentijd.
Hoeveel moet NIS2-compliance via mijn IT-partner kosten?
De kosten varieren sterk afhankelijk van je huidige beveiligingsvolwassenheid, bedrijfsgrootte en welk CyberFundamentals-niveau je nodig hebt. Voor een typische Belgische KMO (10-50 medewerkers) op Basic of Important niveau, reken op een gap-analyse van 2.000-5.000 EUR en doorlopend compliance-beheer van 500-2.000 EUR per maand. Wees voorzichtig met partners die ofwel zeer laag (ze begrijpen de scope mogelijk niet) ofwel zeer hoog (ze compliceren het mogelijk) offreren.