NIS2based
Terug naar kennisbank
2 juni 20264 min lezenSectoren

NIS2 voor IT-dienstverleners en MSP's: dubbel in beeld

ICT-beheerdiensten (MSP's en MSSP's) vallen onder de zwaarste NIS2-categorie én leveren aan klanten die er onder vallen. Wat betekent de Cyberbeveiligingswet voor IT-dienstverleners en wat moet je regelen?

Geen enkele sector zit zo dubbel in NIS2 als de IT-dienstverlening. Managed service providers (MSP's) en managed security service providers (MSSP's) staan zelf in de zwaarste NIS2-categorie, én ze leveren aan tal van klanten die onder de wet vallen — en dus eisen doorgeven. In dit artikel lees je wat de Nederlandse Cyberbeveiligingswet (verwacht op 1 juli 2026) betekent voor IT-bedrijven.

Wil je direct weten of jouw IT-bedrijf eronder valt? Doe de gratis NIS2-check — antwoord in 2 minuten.

Valt jouw IT-bedrijf onder NIS2?

NIS2 noemt ICT-servicebeheer (B2B) expliciet in Annex I — de sectoren met hoge kritikaliteit (zie het volledige overzicht van NIS2-sectoren). Daaronder vallen onder meer:

  • Managed service providers (MSP's) — beheer van IT-omgevingen, netwerken en systemen voor klanten
  • Managed security service providers (MSSP's) — beheer van security, monitoring, SOC-diensten

Daarnaast valt digitale infrastructuur (cloud computing, datacenters, DNS, CDN, IXP's) onder Annex I. Of je direct onder de wet valt, hangt af van je omvang: minimaal middelgroot — ≥50 medewerkers óf ≥€10 miljoen omzet/balanstotaal. Een aantal categorieën, zoals DNS-aanbieders en TLD-registries, valt er zelfs ongeacht hun grootte onder.

Waarom IT-dienstverleners dubbel in beeld zijn

  1. Je kunt zelf in scope vallen als MSP, MSSP of digitale-infrastructuuraanbieder. Dan heb je eigen wettelijke verplichtingen: zorgplicht, meldplicht en registratie.
  2. Je bent een ketenrisico voor je klanten. Klanten die onder NIS2 vallen, zijn verplicht de beveiliging van hun leveranciers te beheersen. Als beheerder van hun IT ben jij precies de partij waar zij naar kijken — dus je krijgt vragenlijsten, contractuele eisen en audits, ook als je zelf nét buiten de directe scope valt.

Die tweede route betekent dat vrijwel elke serieuze IT-dienstverlener met NIS2 te maken krijgt. Meer daarover in NIS2 als toeleverancier.

Wat is er specifiek voor IT-dienstverleners van belang?

  • Toegang tot klantsystemen — jouw beheertoegang is een geliefd doelwit; een aanval op jou raakt al je klanten tegelijk.
  • Supply chain als kernrisico — RMM-tools, remote access en gedeelde admin-accounts vragen extra hardening.
  • Aantoonbaarheid — klanten willen bewijs: beleid, certificering (ISO 27001) en ingevulde vragenlijsten.
  • Meldketen — een incident bij jou kan meldplichtig zijn bij jouw toezichthouder én bij die van je klanten.

Maak NIS2 een verkoopargument

Voor IT-dienstverleners is NIS2 niet alleen een verplichting, maar ook een kans. Klanten zoeken straks bewust naar leveranciers die hun zaken op orde hebben en kunnen helpen met compliance. Een MSP die zelf aantoonbaar NIS2-proof is — én klanten door hun gap-analyse kan loodsen — onderscheidt zich direct.

Wat moet je doen?

  1. Bepaal je positie met de gratis NIS2-check: val je direct onder de wet als MSP/MSSP of digitale-infrastructuuraanbieder?
  2. Meet je rijpheid met de gap-analyse tegen de tien NCSC-zorgplichtmaatregelen.
  3. Hard je beheertoegang — MFA overal, just-in-time-toegang, gescheiden admin-accounts, logging en monitoring.
  4. Maak je beveiliging aantoonbaar — beleid, certificering en standaard-vragenlijstantwoorden klaar voor klanten.
  5. Werk de basis bij met de whitepaper: de 10 stappen naar NIS2-compliance.

Volgende stap: doe de gratis check en daarna de gap-analyse — binnen een half uur weet je waar je staat, voor jezelf én voor je klanten.

Veelgestelde vragen

Valt een MSP automatisch onder NIS2? ICT-servicebeheer (MSP's en MSSP's) staat in Annex I. Of je direct onder de wet valt, hangt af van je omvang: minimaal middelgroot (≥50 medewerkers óf ≥€10 miljoen omzet). Kleinere MSP's vallen vaak net buiten de directe scope, maar krijgen vrijwel altijd eisen via hun klanten. Doe de NIS2-check.

Wat is het verschil tussen een MSP en een MSSP onder NIS2? Beide vallen onder ICT-servicebeheer in Annex I. Een MSP beheert algemene IT-omgevingen; een MSSP levert specifiek beveiligingsdiensten zoals monitoring en SOC. De NIS2-verplichtingen zijn voor beide gelijk.

Mijn klant valt onder NIS2 — wat verwacht die van mij als IT-leverancier? Vrijwel zeker een security-vragenlijst, contractuele beveiligingsafspraken, snelle incidentmelding en mogelijk certificering of auditrecht. Je klant is wettelijk verplicht zijn keten te beheersen. Zie NIS2 als toeleverancier.

Helpt ISO 27001 mij als IT-dienstverlener? Ja, sterk. ISO 27001 dekt een groot deel van de NIS2-zorgplicht en is precies het bewijs waar klanten naar vragen. Let op de NIS2-accenten meldplicht en ketenbeveiliging. Zie NIS2 vs ISO 27001, NEN 7510 en BIO 2.0.

Wanneer treedt de Cyberbeveiligingswet in werking? De wet wordt verwacht op 1 juli 2026. De volledige tijdlijn staat in NIS2-deadline: wanneer treedt de Cyberbeveiligingswet in werking?.

Gratis whitepaper · 12 pagina's

De 10 stappen naar NIS2-compliance

Per maatregel: wat het is, concrete acties, en de valkuil. Direct als PDF in je inbox.

Vraag de whitepaper aan
Nieuwsbrief

Blijf op de hoogte van NIS2

Periodiek de belangrijkste updates over de Cyberbeveiligingswet, plus praktische tips voor het MKB. Geen spam, uitschrijven kan altijd.

Door je in te schrijven ga je akkoord met onze verwerking van je e-mailadres. Geen spam, makkelijk uitschrijven.