NIS2 en telecom: wat het voor jou kan betekenen

NIS2 en telecom: wat het voor jou kan betekenen

Oktober 2025

 

 

De komst van de NIS2-richtlijn zet de telecom- en ICT-sector flink op scherp. Deze Europese wetgeving, die in Nederland wordt omgezet in de Cyberbeveiligingswet (en naar verwachting in het tweede kwartaal van 2026 in werking treedt), heeft één duidelijk doel: de digitale weerbaarheid in Europa vergroten.

Digitale aanvallen en storingen raken tegenwoordig niet alleen maar grote bedrijven of overheidsorganisaties. Hedendaags kunnen ze zelfs complete sectoren, zoals bijvoorbeeld telecom, platleggen en daardoor een directe invloed hebben op miljoenen mensen. Daarom is het belangrijk dat alle schakels in de keten, van grote telecomaanbieders, MSP’s tot kleinere ICT-resellers, aandacht besteden aan cybersecurity. Zelfs als jouw bedrijf volgens de NIS2 regels niet officieel als ‘essentieel’ of ‘belangrijk’ wordt aangemerkt, kan NIS2 invloed hebben op jouw bedrijfsvoering. Klanten zullen namelijk vaker eisen stellen aan de beveiliging van jouw diensten en processen.

In dit blog leggen we uit wat NIS2 inhoudt, welke bedrijven in telecom en ICT hieronder vallen en wat je kunt verwachten. Zo ben jij beter voorbereid op de eisen die klanten en de overheid de komende jaren gaan stellen.

Wat is NIS2 en wie valt eronder?

De eerste NIS-wet uit 2016 richtte zich vooral op vitale sectoren zoals energie, transport en digitale infrastructuur. Met NIS2 is die doelgroep fors uitgebreid, omdat digitale verstoringen vandaag de dag een nog veel grotere impact kunnen hebben. Denk aan een telecomnetwerk dat platligt, een ransomware-aanval op een grote cloud dienstverlener of een datalek bij een provider. Daarom richt NIS2 zich nog steeds op de sectoren die onder de eerste NIS-richtlijn vallen, maar zijn deze nu aangevuld met een aantal nieuwe sectoren.

Onder NIS2 vallen onderstaande sectoren:

Zeer kritieke sectoren: energie, vervoer, bankwezen, infrastructuur financiële markt, gezondheidszorg, drinkwater, digitale infrastructuur, beheer van ICT-diensten, afvalwater, overheid en ruimtevaart.

Andere kritieke sectoren: digitale aanbieders, post- en koeriersdiensten, afvalstoffenbeheer, levensmiddelen, chemische stoffen, onderzoek en vervaardiging.

De richtlijn verdeelt organisaties in twee verschillende entiteiten:

  • Essentiële entiteiten: je bent actief in een van de hierboven genoemde ‘zeer kritieke sectoren’ en hebt minimaal 250 medewerkers of een jaaromzet van tenminste €50 miljoen en een balanstotaal van tenminste €43 miljoen.

  • Belangrijke entiteiten: je bent actief in een van de hierboven genoemde ‘zeer kritieke’ of ‘andere kritieke sectoren’ en hebt tussen de 50-249 werknemers of tussen de 10 en 50 miljoen euro jaaromzet en een balanstotaal van tussen de 10 en 43 miljoen euro.

Wat betekent NIS2 concreet voor telecom en ICT?

ICT-resellers en MSP’s maken vrijwel altijd deel uit van de zeer kritieke sectoren ‘digitale infrastructuur’, ‘beheer van ICT-diensten’ of de andere kritieke sector ‘digitale aanbieders’. Maar dat betekent dus niet direct dat je valt onder de NIS2-wetgeving. Hiervoor moet je ook voldoen aan de overige genoemde voorwaarden.

Voorbeelden van bedrijven die vallen onder de ICT-gerelateerde sectoren van NIS2:

Om je een beter beeld te geven van de ICT-gerelateerde sectoren van NIS2 zetten we ze nog even op een rijtje:

  • Digitale infrastructuur: bedrijven die zorgen voor de basis van onze digitale wereld, zoals telecomaanbieders, aanbieders van digitale certificaten, domeinnaamregisters, datacenters, cloudplatforms en digitale marktplaatsen.

  • Beheer van ICT-diensten: IT-bedrijven die organisaties ondersteunen met hun systemen. Denk aan netwerkbeheerders, cybersecurityspecialisten, IT-support en adviesbureaus die cloud, beheer en beveiliging regelen.

  • Digitale aanbieders: bedrijven die digitale diensten aanbieden of digitale infrastructuur beheren zoals aanbieders van openbare elektronische communicatienetwerken en diensten.

Niet steeds niet helemaal zeker of je binnen NIS2 valt? Doe dan de NIS2 Zelfevaluatie van de overheid.

Ik val niet onder NIS2, hoef ik nu helemaal niks te doen?

Kleinere resellers en MSP’s vallen meestal niet direct onder de NIS2-wet, maar hebben er indirect wel mee te maken. Klanten die namelijk wél onder deze wet vallen, kunnen eisen dat al hun leveranciers ook aan bepaalde veiligheidseisen of aan NIS2 voldoen.

Een concreet voorbeeld: een ICT-reseller met tien medewerkers levert een communicatiedienst aan een groot ziekenhuis. Het ziekenhuis moet voldoen aan NIS2 en vraagt daarom van de reseller dat hij voldoet aan specifieke beveiligingsmaatregelen. Zo wordt de hele keten beter beschermd en blijven kritieke diensten beveiligd.

Het zijn van een directe leverancier van een organisatie die onder NIS2 valt, betekent dus niet direct dat jij zelf verplicht bent om aan NIS2 te voldoen, maar dat klanten dit wel van je vragen, omdat zij bij controle door de toezichthouder moeten kunnen aantonen dat ook risico’s van uitbestede activiteiten veilig genoeg zijn. In dit geval kom je dus niet zelf onder toezicht te staan, maar zal je aan je klant wel alle informatie moeten kunnen aanleveren om aan te tonen dat de diensten die je levert veilig zijn.

Welke verplichtingen brengt NIS2 met zich mee?

NIS2 neemt drie verplichtingen met zich mee: zorgplicht, meldplicht en registratieplicht.

Zorgplicht

De zorgplicht betekent dat bedrijven moeten aantonen dat ze hun digitale risico’s kennen en passende maatregelen nemen. Dat gaat verder dan een firewall of antivirus. Het gaat om het periodiek uitvoeren van risicoanalyses, het regelmatig testen van systemen, het toepassen van goede toegangsbeveiliging zoals tweestapsverificatie, het veilig opslaan en versleutelen van klantdata en bedrijfsinformatie en het maken en testen van back-ups.

Registratieplicht

Entiteiten moeten zich registreren bij het Nationaal Cyber Security Centrum (NCSC). Deze registratie maakt duidelijk dat zij onder de wet vallen en zorgt ervoor dat ze toegang krijgen tot relevante informatie over dreigingen. Ook moeten organisaties hun internetdomeinen aanmelden, zodat het toezicht en de beveiliging vollediger en actueler wordt.

Meldplicht

De meldplicht stelt dat ernstige incidenten binnen 24 uur gemeld moeten worden bij de toezichthouder via het NCSC-portaal. Dit geldt voor storingen, cyberaanvallen of datalekken die een grote impact hebben op jouw dienstverlening of die van je klanten. Na de initiële melding moet er binnen 72 uur een update komen en tot slot een maand later een eindverslag. Het doel hiervan is dat incidenten snel worden opgepakt, de impact beperkt blijft en toezichthouders tijdig inzicht krijgen in de risico’s.

Wat betekent dit concreet voor jou als reseller of MSP?

Voor jou betekent NIS2 dat klanten in de toekomst steeds vaker vragen (kunnen) gaan stellen over de veiligheid van jouw diensten. Ketenzorg is namelijk misschien wel een van de grootste veranderingen binnen NIS2. Hierbij moeten bedrijven niet alleen naar hun eigen, maar ook naar de processen van hun leveranciers en klanten kijken.

Klanten willen daarom zekerheid over hoe jij omgaat met updates, patchbeleid en incidentmeldingen. Daarnaast zal er ook kritischer gekeken worden naar de partijen waarmee je samenwerkt; leveranciers moeten aantoonbaar veilig werken om de keten betrouwbaar te houden. Daarnaast zullen contracten steeds vaker bepalingen over beveiliging, meldprocedures en audits bevatten.

Dit klinkt misschien als extra werk, maar het biedt ook kansen. Bedrijven die hun zaken goed op orde hebben, worden aantrekkelijker voor grotere klanten en versterken hiermee hun positie in de markt.

Welke stappen kun je nu alvast zetten?

Een goede voorbereiding begint met inzicht in je eigen keten. Breng in kaart wie je belangrijkste leveranciers en klanten zijn en controleer of basismaatregelen inzake wachtwoorden, back-ups en updates op orde zijn. Maak duidelijke afspraken over hoe je samenwerkt bij incidenten of storingen en communiceer actief met je klanten. Laat zien dat je hun zorgen serieus neemt en dat je verantwoordelijk omgaat met digitale veiligheid. Zo leg je een stevige basis om aan de eisen van NIS2 te voldoen.

Wat als je niets doet?

Voldoe je niet aan NIS2 maar moet dit volgens de criteria wel? Dan kunnen de gevolgen groot zijn:

  • Boetes en sancties bij niet-naleving;

  • Verlies van vertrouwen bij klanten;

  • Uitsluiting of lagere scoringskans bij aanbestedingen of grote projecten.

Kort samengevat

NIS2 is bedoeld om de digitale weerbaarheid in Europa te versterken. Voor ICT-resellers en MSP’s betekent dit dat cybersecurity (nog) belangrijker worden en de samenwerking met leveranciers en klanten nog meer aandacht krijgen. Ook kun je verwachten dat klanten kritischer worden. Door nu al een goed inzicht te krijgen en je basis op orde te brengen, sta je straks sterker.

Bij KeenSystems helpen we jou als Partner hierbij. Ongeacht of je nu werkt met VoIP, Cloud PBX of Mobiel: wij zorgen dat jouw dienstverlening veilig, betrouwbaar en toekomstbestendig blijft.

Wil je direct starten? Bezoek deze pagina, download de gids of het whitepaper en zet vandaag de eerste stap naar veiligere communicatie.

 

 

Banner 'Plan een kennismaking in'
Frits van Tiel

Frits van Tiel

Senior Software Engineer

keensystems-image-contact

Neem contact op met KeenSystems

Ik wil meer weten