De komst van de NIS2-richtlijn en de nieuwe Cyberbeveiligingswet werpt haar schaduw vooruit. Veel mkb-bedrijven beseffen nog niet dat ook zij straks geraakt worden. Hans ten Hove, Area Vice President Continental Europe bij Kaseya, licht toe waarom dit een belangrijk moment is voor msp’s om hun rol te pakken en mkb-klanten te helpen cyberweerbaar te worden.
In Nederland zullen straks zo’n 8 tot 10 duizend bedrijven rechtstreeks onder de NIS2-wetgeving vallen, vertelt Ten Hove. Dat zijn bedrijven die in bepaalde sectoren actief zijn en cruciaal voor digitale weerbaarheid, echter met een ondergrens van 50 medewerkers of EUR 10M omzet. “Veel mkb’ers en hun msp’s denken daardoor dat de wet voor hen niet geldt,” zegt hij. “Maar dat is een misvatting. Grote bedrijven moeten volgens de wet ook aantonen dat hun hele toeleverketen cyberweerbaar is. Die verantwoordelijkheid schuiven ze door naar hun leveranciers. En daar zitten vaak kleine mkb-bedrijven bij. Voldoet zo’n leverancier niet, dan kan dat grote gevolgen hebben voor de relatie.”
Het resultaat: ook bedrijven van slechts vijf medewerkers kunnen straks te maken krijgen met aangescherpte cybervoorwaarden vanuit hun grootste klanten. Wie daar niet op voorbereid is, loopt het risico opdrachten of klanten kwijt te raken.
Certificeringen helpen inzicht bieden
Om die verantwoordelijkheid hanteerbaar te maken, hebben brancheorganisaties, VNO-NCW en de overheid het initiatief Samen Digitaal Veilig opgezet. Dit introduceert drie niveaus van certificeringen — Quality Marks 10, 20 en 30 — die een uniforme indicatie geven van de cyberweerbaarheid van toeleveranciers. Hoe kritischer een leverancier in de keten, hoe hoger het niveau dat gevraagd kan worden. “Dat is een slimme manier om grote bedrijven inzicht te geven in hun keten en mkb’ers houvast te bieden,” zegt Ten Hove. “Een bedrijf kan bijvoorbeeld aan zijn leveranciers vragen minimaal Quality Mark 10 te halen, en aan cruciale partners Quality Mark 30.”
Voor msp’s ligt hier een duidelijke kans. “Als msp zit je in een sleutelpositie,” stelt Ten Hove. “Je hebt niet alleen je eigen zaken goed op orde te hebben — je klanten rekenen erop dat jij hen begeleidt. Dit is hét moment om klanten uit te leggen dat ze deze ontwikkelingen serieus moeten nemen en hen daarbij te ondersteunen. Daarmee kun je je zelfs onderscheiden van andere aanbieders.”
Kaseya heeft zijn portfolio ingericht om msp’s daarbij te ondersteunen. “We bieden oplossingen die passen bij elk niveau van de Quality Marks, en vaak zelfs verder gaan,” aldus Ten Hove. “We helpen msp’s bij het opzetten van business continuity, zodat downtime bij een incident wordt beperkt. We hebben oplossingen voor endpoint- en userbeveiliging, inclusief training en phishingsimulaties, zodat ook de ‘menselijke factor’ wordt aangepakt. En alles is geïntegreerd, zodat msp’s efficiënt kunnen werken en kosten kunnen beheersen.”
De recent geïntroduceerde Kaseya 365-diensten spelen daarbij een belangrijke rol. Deze combineren dertien diensten voor endpoint- en userbeveiliging, inclusief tientallen vooraf geconfigureerde automatiseringen. “Daarmee hebben msp’s alles in handen om klanten snel en effectief te helpen en tegelijk hun eigen marges gezond te houden,” legt hij uit.
Beyond compliance: onderscheiden door pentesting
Naast compliance kunnen msp’s zich nog verder onderscheiden met diensten die extra zekerheid bieden, zoals geautomatiseerde penetratietesten. “Voorheen waren pentests iets voor gespecialiseerde bureaus en grote corporates,” zegt Ten Hove. “Ze waren duur, arbeidsintensief en nauwelijks beschikbaar voor het mkb. Door onze overname van het Vonahi pentestplatform kunnen msp’s dit nu als dienst aanbieden. Je hoeft het klanten alleen maar uit te leggen — ze vragen er zelf niet om, want ze kennen het vaak niet.”
Volgens Ten Hove past het perfect in het gesprek over ketenverantwoordelijkheid. “Als je je klanten kunt vertellen dat ze niet alleen voldoen aan Quality Mark 30, maar ook nog vier keer per jaar een pentest laten uitvoeren, dan geeft dat een enorm vertrouwen. Daar win je klanten mee.”
‘Actief adviseren’
Ten Hove benadrukt dat het voor msp’s niet voldoende is om alleen diensten ‘op de plank te hebben liggen’. Ze moeten proactief het gesprek aangaan met hun klanten. “Veel mkb’ers denken dat een antiviruspakket en een back-up voldoende zijn. Maar ze hebben geen idee welke eisen hun klanten straks aan hen stellen. Het is aan jou als msp om hen die bewustwording bij te brengen. Doe een digitale APK bij je klanten. Bespreek wat ze goed doen en waar nog gaten zitten. Daarmee help je niet alleen je klant, je laat ook zien dat je een partner bent die meedenkt en vooruitkijkt.”
Dat het mkb steeds vaker kiest voor een msp, blijkt ook uit recente onderzoeken. “Ongeveer 85 procent van de mkb-bedrijven heeft al een deel van hun IT uitbesteed of is dat van plan,” vertelt Ten Hove. “En dat is verstandig. Een msp doet dit dagelijks, heeft de schaal, expertise en ervaring die je zelf niet kunt evenaren. En voor msp’s is het interessant omdat ze met de juiste diensten en adviezen hun klantenbestand kunnen uitbreiden en verdiepen.”
Voor Ten Hove is de boodschap duidelijk: “NIS2 en de Cyberbeveiligingswet zijn niet alleen een verplichting, ze bieden ook kansen. Wie als msp nu investeert in kennis, diensten en advisering rond ketenverantwoordelijkheid, kan zich onderscheiden in de markt en zijn klanten beter helpen. En dat is uiteindelijk waar het om draait.”
