NIS2 voor energie-MKB rond IPKW Arnhem
De NIS2-deadline van 17 oktober 2024 is voorbij en de handhaving rolt nu uit. Voor energie-MKB en toeleveranciers van netbeheerders rond IPKW Arnhem betekent dat: niet panieken, wel begrijpen waar de eisen biten. Drie kernverplichtingen die in elk MKB van 30-100 medewerkers terugkomen.
Rond IPKW Arnhem en de bredere energie-as zit een dichte populatie energie-MKB: technische dienstverleners, leveranciers van meet- en regelapparatuur, installateurs van laadinfrastructuur, en software-toeleveranciers richting netbeheerders. De NIS2-richtlijn raakt deze laag zwaarder dan gemiddeld MKB, omdat energie als sector onder de "essential entities" valt en de keten eromheen onder "important entities". De Nederlandse implementatie (de Cyberbeveiligingswet) is na vertraging in beweging, en de Europese deadline van 17 oktober 2024 is geweest. Handhaving rolt nu daadwerkelijk uit, en wachten op duidelijkheid is geen optie meer. Wel is panieken net zo onnodig. De drie kernverplichtingen waar elk energie-MKB van 30 tot 100 medewerkers concreet mee aan de slag moet, zijn ruwweg deze.
Het eerste is een werkende incident-meldplicht. NIS2 vraagt een eerste melding bij de bevoegde autoriteit binnen 24 uur na detectie van een significant incident, een tussenrapportage binnen 72 uur, en een eindrapport binnen een maand. Dat klinkt simpel maar vraagt vooraf: wie detecteert, wie beslist of het significant is, wie meldt, en wie schrijft het rapport. Een blanco template in een lade is geen plan. Een geoefend plan met namen, telefoonnummers, en een go-no-go-criterium dat in een crisis te volgen is, wel.
Het tweede is een gedocumenteerd risico-management-proces. NIS2 accepteert niet "we hebben het in ons hoofd" of "onze IT-leverancier regelt dat". Concreet betekent dat een risicoregister waarin de belangrijkste informatiebeveiligingsrisico's staan, met beoordeling op kans en impact, beheersmaatregelen, en een eigenaar per risico. Geen ISO-bibliotheek van honderd pagina's, wel een levend document dat elk kwartaal even op tafel komt en waar de directie op kan tekenen. Dezelfde eisen zien we terug in NEN 7510 voor zorg en ISO 27001 voor IT, dus wie daar al stappen op heeft, is een eind op weg.
Het derde is supply-chain security. Jouw leveranciers en sub-leveranciers vallen onder de scope van jouw verantwoordelijkheid. Voor een energie-MKB betekent dat: weten wie jouw hosting doet, waar jouw monitoring-data heen gaat, welke SaaS-tools toegang hebben tot OT- of klant-data, en of die partijen zelf onder controle zijn. Een leverancier-inventaris met data-type, locatie, en contractuele waarborgen (verwerkersovereenkomst, security-bijlage, recht op audit bij kritische leveranciers) is een redelijk vroege investering die bij elke audit terugkomt.
Waar deze aanpak niet helpt: als jullie als energie-MKB toch écht onder de drempel van NIS2-toepasbaarheid vallen (klein bedrijf, geen sleutelpositie in de keten). Dan is een lichte aanpak op basis van algemene MKB-cyberhygiene zinvoller dan een volledig NIS2-traject optuigen. Een korte intake helpt om te zien aan welke kant van de streep je staat. Vanaf de "essential" of "important"-kant wachten is niet houdbaar; toezichthouders gaan steekproeven uitvoeren.
Werk je rond Arnhem in energie-MKB of toelevering richting netbeheerders? Lees [wat we voor MKB in Arnhem doen](https://www.vectel.nl/regio/arnhem), of doe direct de [NIS2-scan](https://www.vectel.nl/scan/nis2) om te zien waar jullie nu staan.