%20-%20no%20white%20space%20-%20resized-1.png?width=4164&height=948&name=logo%201%20(bold)%20-%20no%20white%20space%20-%20resized-1.png)
Een telefoontje van je grootste klant. Die zie je graag binnenkomen. Behalve als ze bellen om te vragen naar je cybersecurity. Want dan weet je: je moet in actie komen.
De grote supermarkten hebben het al aangekondigd. En grote bedrijven uit andere sectoren beginnen te volgen:
“Grote bedrijven gaan hun leveranciers screenen op cybersecurity. En als jij die screening niet doorstaat, dan komt je relatie zwaar onder druk te staan."
Laat dat even bezinken: je grootste klant, die softwaregigant waar je al jaren mee samenwerkt, die grote aannemer waar je mooie projecten voor doet, die gaat je straks vragen: heb je je cybersecurity op orde?
Kun je een bewijs (in de vorm van een certificaat) laten zien?
Nee? Dan is er een kans dat ze iemand anders gaan zoeken.
Dit vertelde Henk Bijsterbosch ons vorige week. Als Manager Kennispartners bij Samen Digitaal Veilig brengt hij zo'n 100 partijen bij elkaar – van cybersecurity-bedrijven tot accountants en banken – die Nederland veiliger moeten maken op het gebied van cybersecurity.
Hij hoort dus van alle kanten wat er écht speelt.
Je grote klanten gaan eisen dat je je cybersecurity op orde hebt
"Die 8.000 bedrijven die onder de cyberbeveiligingswet (NIS2) vallen," vertelde Henk, "die moeten ervoor zorgen dat hun toeleveringsketen veilig is."
"Ik pak even een willekeurig voorbeeld: een grote supermarkt is een NIS2-plichtig bedrijf. Die heeft heel veel leveranciers. Die kijkt naar een toeleverancier: als die mij niet meer kan bevoorraden door een hack of incident, wat doet dat met mijn bedrijfscontinuïteit?"
Die grote supermarktketen gaat dus van haar leveranciers verwachten dat ze kunnen aantonen dat ze goed beveiligd zijn tegen cybercriminaliteit. En dat doen ze niet op je blauwe ogen.
"Aantoonbaar betekent eigenlijk dat je een certificering moet gaan halen”, aldus Henk. “Die 8.000 bedrijven worden namelijk geadviseerd om hun inkoopcontracten aan te passen en te eisen dat hun klanten - aan de hand van certificering - laten zien dat ze veilig werken."
Ook accountants, banken en verzekeraars gaan zich ermee bemoeien
Grote leveranciers zijn overigens niet de enige partijen die gaan eisen dat mkb-bedrijven hun cybersecurity op orde hebben.
Zo vertelde Henk: "Een accountant is verplicht aan het eind van het jaar een jaarrekening af te tekenen. Die gaat vragen: 'heeft u uw cybersecurity op orde en kunt u dat bewijzen?' Als je het niet kunt bewijzen, kun je hiervan een aantekening krijgen in je jaarrekening. Dat wil natuurlijk niemand hebben."
Accountants analyseren bij het aftekenen van jaarrekeningen namelijk risico's op de bedrijfsvoering - met name financiële risico's. En omdat een cyberaanval enorme financiële impact kan hebben, willen ze steeds vaker objectief bewijs zien dat je beveiliging op orde is.
Ook banken en verzekeraars gaan zich bemoeien met cybersecurity, bijvoorbeeld bij het aanvragen van een verzekering of financiering.
"Banken kijken altijd naar risico’s. Zij screenen al klanten op cybersecurity bij een financieringsaanvraag vanaf een bepaald bedrag," aldus Henk. "Als je het niet op orde hebt, krijg je hierover vragen - met het risico dat je financiering niet wordt goedgekeurd of dat er aanvullende voorwaarden komen."
Word jij straks ook hoofdelijk aansprakelijk gesteld?
Waarom NIS2 plichtige bedrijven dit nu al zo serieus nemen? "De directie van deze bedrijven is onder NIS2 persoonlijk en hoofdelijk aansprakelijk," legt Henk uit. "Je kunt je heel goed voorstellen dat zij dan zeggen: ik verleg die risico’s van mijn hoog-risico leveranciers via mijn leverancierscontract.”
"De directie van deze bedrijven is onder NIS2 persoonlijk en hoofdelijk aansprakelijk."
Dat is niet zo gek.
Want als jij als bestuurder persoonlijk aansprakelijk bent voor cybersecurity-incidenten in je toeleveringsketen, dan wil je dat risico natuurlijk niet alleen dragen. Dus wat doe je? Je schuift die aansprakelijkheid door naar je leveranciers.
Met andere woorden: als jij je beveiliging niet op orde hebt en dat zorgt voor problemen bij je grote klant, dan kun je als ondernemer mogelijk persoonlijk aansprakelijk worden gesteld.
Maar het is toch zo ingewikkeld om cybersecurity te regelen?
Goed, het is dus duidelijk dat je - ook als mkb-ondernemer - niet meer onder cybersecurity uit kan.
Niet alleen om je bedrijf te beschermen, maar ook om commerciële redenen: bijvoorbeeld als je je grote klanten wilt behouden (of juist nieuwe wilt aantrekken!).
Het probleem is alleen: veel ondernemers denken dat cybersecurity heel ingewikkeld is. En dat ze alles moeten begrijpen voordat ze stappen kunnen zetten.
Maar zo hoeft het helemaal niet. Net zoals je ook geen boekhoudkundige hoeft te zijn om met een accountant te sparren.
Wat moet je dan wél doen?
De verwachting is dus dat je grote klanten en andere partijen gaan vragen om bewijs dat je basisbeveiliging goed op orde is. Dat doe je als volgt:
Stap 1: Laat een beveiligingsscan doen
We kijken waar je nu staat en waar de gaten zitten. Dit geeft direct inzicht in wat er nog moet gebeuren om het meest gebruikte keurmerk, het NIS2 Quality Mark, te krijgen.
Stap 2: Regel je basisbeveiliging
Op basis van de scan regelen we de belangrijkste zaken voor je: de beveiliging van je apparaten, werkplekken, email, cloud, identiteiten en backup en medewerker trainingen. Dit kan vaak in één keer met een compleet beveiligingspakket.
Stap 3: Haal je NIS2 Quality Mark certificering
Met de onze automatische rapportages en compliance tool toon je aan dat je beveiliging op orde is en kun je de certificering aanvragen. Zo laat je aan je klanten zien dat je aan de eisen voldoet.
Wat is het NIS2 Quality Mark?
Om aan te kunnen tonen dat je goed beveiligd bent, hebben 10 grote brancheorganisaties een keurmerk in het leven geroepen: het NIS2 Quality Mark. Het keurmerk heeft drie niveaus (QM10 - Basic, QM20 - Substantial, QM30 - High), die afgestemd zijn op het risico dat je als leverancier vertegenwoordigt.
"98% van de cyber incidenten kan worden voorkomen door de basis op orde te hebben."
Voor de meeste mkb-ondernemers is QM10 voldoende. Henk legt uit: "98% van de cyber incidenten kan worden voorkomen door de basis op orde te hebben. En laat nou die basis op orde precies datgene zijn wat wij hebben vertaald in het NIS2 Quality Mark Basic."
Regel je cybersecurity nu goed en geef je concurrenten het nakijken
Grote organisaties gaan dus eisen van hun leveranciers en klanten dat ze goed beveiligd zijn. Heel vaak zijn dat mkb-ondernemers, en heel vaak hebben mkb-ondernemers nog niet het vereiste minimumniveau op orde.
Daar zit dus ook een kans: als veel mkb-ondernemers dit vereiste minimumniveau nog niet hebben, creëer jij een groot concurrentievoordeel als je het wél al op orde hebt.
Want als het straks chaos wordt en iedereen tegelijkertijd hun cybersecurity wil regelen, kun jij vol vertrouwen je keurmerk laten zien aan bestaande én nieuwe klanten.
Wacht niet tot het te laat is
We zien dat die urgentie steeds meer komt. De wet wordt in de eerste helft van 2026 ingevoerd. Dat is veel sneller dan je denkt, en dan wil ineens iedereen geholpen worden.
“Maar die capaciteit is er gewoon niet,” zegt Henk. Hij noemt het de “tsunami” die altijd drie maanden voor de invoering van een wet ontstaat.
Onderdeel van zo’n NIS2 Quality Mark is namelijk ook dat er een audit moet plaatsvinden. “We hebben twintig jaar gedaan over vijfduizend audits, en straks hebben we tienduizenden audits per jaar nodig. Dat gaat niet lukken zonder op tijd te beginnen.”
"Straks hebben we tienduizenden audits per jaar nodig. Dat gaat niet lukken zonder op tijd te beginnen."
Zijn boodschap is dus duidelijk: wacht niet tot de wet officieel is, maar begin nu, het gaat je veel voordelen bieden.
Want straks is er geen capaciteit meer, geen tijd meer om er rustig mee aan de slag te gaan, en heb je direct het keurmerk nodig. “En dan wil je niet de ondernemer zijn die denkt: “waar ben ik verdorie mee bezig geweest?”, aldus Henk.
Over Henk Bijsterbosch
Henk Bijsterbosch is Manager Kennispartners bij Samen Digitaal Veilig, een initiatief van MKB-Nederland en VNO-NCW. Hij helpt organisaties en ondernemers met praktische handvatten om cybersecurity op orde te krijgen en speelt een belangrijke rol in het toegankelijk maken van de NIS2-wetgeving voor het Nederlandse bedrijfsleven. Connect ook met Henk op LinkedIn.
SpySecure is partner van Samen Digitaal Veilig.
Erwin Sikma
.png?width=624&height=427&name=Zo%20ontvangt%20u%20t%C3%B3ch%20%E2%82%AC1250%20subsidie%20om%20te%20investeren%20in%20maatregelen%20tegen%20cybersecurity%20(LinkedIn%20Post).png)
.png?width=624&height=427&name=Heading%20(1).png)