Wij zijn ISO 27001 gecertificeerd!

Contact

NIS2 voor onderaannemers: 5 vragen waarmee je direct ziet of je op koers ligt

Je bent onderaannemer. Je levert timmerwerk, installatiewerk, grondwerk of afbouw voor een groter bouwbedrijf of een woningcorporatie. En tussen de offertes en planningen door krijg je de afgelopen maanden een nieuwe vraag: of je cybersecurity op orde is.

NIS2. Of de Nederlandse versie: de Cyberbeveiligingswet. Het staat in mails van je opdrachtgever, in de kleine lettertjes van aanbestedingen en binnenkort waarschijnlijk in een vragenlijst die je moet invullen voordat je mag inschrijven.

Veel onderaannemers weten niet waar ze staan. Niet omdat ze het niet serieus nemen, maar omdat niemand ze een concrete meetlat voorhoudt.

Daarom: vijf vragen. Geen theorie, geen juridisch jargon. Als je deze vijf eerlijk beantwoordt, weet je binnen tien minuten of je op koers ligt voor de deadline van juli 2026.

Eerst even: Waarom raakt dit jou als onderaannemer? 

NIS2 geldt officieel voor grote bedrijven en essentiële sectoren. Jij als onderaannemer met dertig tot tachtig werkplekken valt er misschien niet direct onder. Maar je opdrachtgever wel.

En die opdrachtgever moet aan de wet aantonen dat zijn hele keten veilig is. Dus krijg jij de vraag doorgespeeld. Soms als formulier, soms als verplichte bijlage bij de aanbesteding, soms als vragenlijst van dertig pagina’s.

Geen antwoord? Geen opdracht.

 

Vraag 1: Kun jij vandaag een cybersecurity-verklaring versturen als je opdrachtgever erom vraagt?

Niet over drie weken. Niet nadat je met je IT-man hebt gebeld. Vandaag.

Als het antwoord nee is, sta je achter. De mails gaan al rond. Bouwbedrijven en woningcorporaties sturen ze nu uit, nog voordat de wet helemaal is ingevoerd. Wie als eerste klaar is, wordt als eerste uitgenodigd voor de volgende aanbesteding.

Veel onderaannemers weten op dit moment niet wat er in zo’n verklaring moet staan. Welke maatregelen tellen mee? Welke afspraken moet je kunnen aantonen? En hoe leg je dat begrijpelijk vast voor een opdrachtgever?

Dat is precies waar het begint.

Op koers:  je hebt een actueel document of rapport waarin staat welke beveiligingsmaatregelen bij jou lopen. Datum erop. Handtekening eronder.

Niet op koers: je denkt dat je IT-leverancier het wel ergens heeft liggen, maar je hebt het zelf nog nooit gezien.

 

Vraag 2: Heeft iedereen in je bedrijf tweestapsverificatie op zijn mail en bedrijfsaccounts?

Iedereen. Ook de planner die al vijftien jaar rondloopt. Ook de uitvoerder die zegt dat hij “geen tijd heeft voor dat gedoe op zijn telefoon”. Ook jijzelf.

Dit is de maatregel die elke IT-auditor als eerste checkt. En meteen ook de belangrijkste reden dat onderaannemers gehackt worden: een medewerker klikt op een phishingmail, de hacker logt in en zonder tweestapsverificatie houdt niks hem tegen.

Op koers: op alle mailboxen, op Microsoft 365, op je projectsoftware, op je boekhouding. Overal staat tweestapsverificatie aan.

Niet op koers: bij de meesten wel, maar er zijn een paar uitzonderingen.

Die uitzonderingen zijn precies waar het risico zit.

 

Vraag 3: Wordt er dagelijks een back-up gemaakt en kun je aantonen dat die werkt?

Iedereen heeft back-ups. De vraag is of je kunt laten zien dat ze werken, op het moment dat je opdrachtgever erom vraagt.

Want NIS2 vraagt geen “ja, we hebben een back-up”. NIS2 vraagt bewijs. Een rapport, een logbestand, een procedure die zwart op wit staat.

Een back-up die nog nooit getest is, is in een audit niets waard. Het is een aanname. En aannames tellen niet mee als je opdrachtgever om een verklaring vraagt.

Daarom hoort bij een goed beheerde back-up een testrestore. Twee keer per jaar zet iemand in een testomgeving een deel van de data terug. Werkt het? Klopt de doorlooptijd? Staat alles waar het hoort? Rapport erover. Klaar

Bij ons hoort dat standaard bij het beheer. Geen losse afspraken, geen meerwerk. Onderdeel van hoe wij werken, zodat jij dat rapport kunt overleggen zodra je het nodig hebt.

Op koers: dagelijkse back-up van je bestanden, mail en projectdata. Twee keer per jaar een geteste restore. Rapport erover, zodat je het direct aan je opdrachtgever kunt laten zien.

Niet op koers: je weet dat er een back-up is, maar je hebt geen rapport dat aantoont dat het terugzetten ook werkt.

 

Vraag 4: Weet iedereen wat te doen als het fout gaat?

Eén medewerker klikt op een phishingmail. Merkt tien minuten later dat er iets niet klopt. Wat doet hij?

Als het antwoord “weet ik niet” of “bellen naar het kantoor” is, heb je geen incidentplan. Dan heb je alleen hoop dat het goed komt.

Een incidentplan hoeft geen dik document te zijn. Eén A4 is genoeg. Wie bel je? Wat is het telefoonnummer? Wie beslist of we de laptops van het netwerk halen? Wie informeert de opdrachtgever als klantdata is geraakt? Wie doet de melding bij de Autoriteit Persoonsgegevens binnen 72 uur, als dat moet?

Op koers: één A4, bij iedereen op de werkplek of in de app. Jaarlijks een korte oefening.

Niet op koers: “dat regelen we als het gebeurt.” Dan ben je al te laat.

 

Vraag 5: Wie is bij jou verantwoordelijk voor cybersecurity en weet die persoon dat ook?

Dit is de lastigste van de vijf, want de meeste onderaannemers hebben geen IT-afdeling. Er is een directeur. Er is een officemanager die “ook computers doet”. En er is een IT-bedrijf dat af en toe langskomt.

NIS2 vraagt om een aanwijsbare verantwoordelijke. Iemand met naam en toenaam die kan zeggen: “dit is mijn aandachtsgebied, ik weet wat loopt, ik weet waar we staan. ”

Dat hoeft niet per se jijzelf te zijn. Je IT-partner mag die rol overnemen, mits schriftelijk vastgelegd. Maar iemand moet het zijn.

Op koers: er is een naam op papier. Die persoon weet het. Je opdrachtgever kan die naam opvragen en krijgt binnen een dag antwoord

Niet op koers: “volgens mij doet Jan dat, of nee, dat was toch Peter van dat IT-bedrijf? Of doen wij dat zelf?”

Als niemand het zeker weet, doet niemand het.

Je score

Vijf vragen. Hoeveel kun je er met ja beantwoorden?

  • Vijf van de vijf: je bent verder dan 80 procent van de onderaannemers in de bouw. Zorg dat je dat kunt aantonen en maak er een verkoopargument van richting nieuwe opdrachtgevers.
  • Drie of vier: je bent op de goede weg, maar de gaten die er zijn, vallen op in een audit. Meestal zijn het de back-up-test en het incidentplan die ontbreken. Dat is in twee weken te regelen.
  • Twee of minder: je loop achter. Niet op de wet maar op de ketenpartners die de mails nu al rondsturen. Begin deze maand, dan ben je voor de zomer compliant.

Belangrijker dan de score: je weet nu waar je staat. Dat alleen al is meer dan de meeste onderaannemers hebben.

 

Wat je nu kunt doen

Drie dingen, in volgorde:

  1. Schrijf de vijf antwoorden op. Eerlijk. Voor jezelf. Geen “ik denk dat”. Weten of niet weten.
  2. Bel je opdrachtgevers. Vraag welke van hen onder NIS2 valt en wat ze straks van jou gaan eisen. Ze zijn hier vaak zelf nog zoekende en waarderen dat je het initiatief neemt.
  3. Wijs een verantwoordelijke aan, op papier. Iedereen binnen je bedrijf of een IT-partner die de rol schriftelijk overneemt. Zonder naam blijf het een voornemen.

 

Hoe wij dit regelen

Wij werken met een Cybersecurity cockpit. Achttien beveiligingsmaatregelen, zichtbaar in één scherm. Je opdrachtgever vraagt om een verklaring, jij genereert een rapport, je stuur het door. Klaar.

Daaronder zit de rest: de tweestapsverificatie die voor iedereen aanstaat, de back-ups die elke dag draaien én getest worden, het incidentplan op één A4, en de schriftelijke afspraak over wie welke verantwoordelijkheid draagt.

En wij zijn zelf ISO 27001-gecertificeerd. Wij voldoen aantoonbaar aan dezelfde norm die wij voor jou inrichten. Geen IT-bedrijf dat roept dat het geregeld is. Een partner die kan laten zien dat het geregeld is.

Wil je weten waar jij staat?

Plan een afspraak met ons in. In een half uur lopen we samen vijf vragen door, bekijken we jouw situatie en maken we concreet welke stappen je nog moet zetten.

Bel 0413 – 490620 of mail naar verkoop@drieo.nl.