NIS2 voor KMO-leveranciers: het keteneffect dat u raakt

NIS2 en het keteneffect: waarom uw klanten straks aan uw IT-beveiliging gaan trekken

Veel KMO’s denken dat NIS2 hen niet raakt. “Wij zijn te klein.” “Dat is voor de grote bedrijven.” In de praktijk klopt dat niet. En zeker niet als je levert aan bedrijven in de haven, transport of logistiek.

Wat is NIS2?

NIS2 is de Europese cybersecurity-richtlijn die sinds oktober 2024 van kracht is in België. Ze verplicht bedrijven in kritieke sectoren om hun digitale beveiliging structureel op orde te brengen. Denk aan transport, energie, logistiek en gezondheidszorg.

Het cruciale punt: NIS2-plichtige bedrijven moeten ook de cybersecurity van hun leveranciers controleren. Dat is het zogenaamde keteneffect.

Waarom dit ook uw zaak raakt.

Als uw klant onder NIS2 valt, zal die klant u vragen stellen. Heeft u endpoint protection? Is uw firewall up-to-date? Worden uw systemen gemonitord?

Heeft u geen antwoord? Dan riskeert u het contract te verliezen. Uw klant is wettelijk verplicht om zijn volledige keten te beveiligen, en zal dat ook van u verwachten.

Geen theorie: Belgische havens als doelwit.

In oktober 2024 werden de havens van Antwerpen-Zeebrugge en Luik getroffen door cyberaanvallen van het pro-Russische hackerscollectief NoName057. In februari 2025 was de haven van Oostende aan de beurt: criminelen probeerden het havenbeheersysteem binnen te dringen.

Dit gebeurt hier. Bij bedrijven zoals het uwe.

Wat kunt u nu al doen?

U hoeft geen NIS2-expert te worden. Maar u moet wel kunnen aantonen dat de basis op orde is:

Firewall en netwerk: up-to-date firmware, netwerksegmentatie en toegangsbeleid
Endpoint protection: EDR op elk toestel, niet alleen een klassieke antivirus
Patching: regelmatige updates van alle systemen
Monitoring: actief toezicht op uw netwerk
Back-ups en continuïteit: getest, herstelbaar en een plan voor als het toch misgaat
Toegangsbeheer: multifactor authenticatie (MFA) en duidelijke rechtenstructuur
Cyberhygiëne en opleiding: medewerkers die phishing herkennen en weten wat ze moeten doen bij een incident
Encryptie: versleuteling van gevoelige data, zowel in opslag als bij verzending
Incidentenplan: weet uw team wat te doen bij een cyberaanval? Wie belt u? Wat zijn de eerste stappen?

Niet alles hoeft morgen op orde te zijn. Maar u moet kunnen aantonen dat u eraan werkt. Het Centrum voor Cybersecurity België (CCB) biedt met het CyberFundamentals Framework een praktische checklist per niveau. Voor de meeste KMO’s is het Basic-niveau het vertrekpunt.

Wacht niet tot uw klant belt.

De bedrijven die onder NIS2 vallen, zijn nu bezig met hun eigen compliance. De volgende stap is dat ze hun leveranciers gaan bevragen. Dat is geen kwestie van of, maar van wanneer.

Een IT-audit is een goede eerste stap. In één bezoek brengen we de sterktes en zwaktes van uw IT-omgeving in kaart. Geen verkooppraatje, wel een duidelijk rapport met concrete aanbevelingen.

Bronnen:

De NIS2-richtlijn: wat betekent dit voor mijn organisatie? – Centrum voor Cybersecurity België (CCB)
CyberFundamentals Framework – Safeonweb
Cyberaanvallen op Belgische havens en gemeenten – ITdaily
Cyberaanval op haven van Oostende – VRT NWS
Helft Vlaamse bedrijven in 2024 slachtoffer van cyberaanval – VLAIO

👉 Wilt u weten hoe uw bedrijf er vandaag voorstaat?

Vraag een Security & IT-audit aan.

Klik hier voor meer info

Johnathan Kesteloot

Managing Director