MSP’s: De poortwachters van het internet onder de loep

Vanaf 15 augustus 2026 krijgen organisaties in de sector digitale infrastructuur te maken met de Cyberbeveiligingswet (Cbw). Voor deze sector is de Rijksinspectie Digitale Infrastructuur (RDI) de aangewezen toezichthouder.
Om te bepalen hoe goed organisaties zijn voorbereid, analyseerde de RDI de resultaten van haar Quickscan. Tussen februari 2024 en september 2025 vulden ruim 800 organisaties de scan volledig in. Hoewel de resultaten anoniem zijn, geven ze een goed beeld van de uitdagingen waar de sector voor staat.
De conclusie is duidelijk: de technische basis is vaak op orde, maar er moet nog veel gebeuren.
Bestuurders moeten zelf cyberkennis opbouwen
De Cyberbeveiligingswet legt nadrukkelijk verantwoordelijkheid bij de directie. Bestuurders moeten niet alleen eindverantwoordelijk zijn voor cybersecurity, maar ook voldoende kennis hebben om cyberrisico’s te herkennen, af te wegen en hierover besluiten te nemen. Deze kennis moet bovendien actueel blijven. Ook medewerkers moeten periodiek worden opgeleid. MSP’s moeten hun klanten hierover informeren.
Uit de Quickscan blijkt dat veel organisaties deze bestuursverantwoordelijkheid nog onvoldoende hebben ingericht.
Incidenten moeten razendsnel worden gemeld
Een tweede aandachtspunt is de meldplicht. Bij een significant cyberincident moet een eerste melding binnen 24 uur worden gedaan aan het aangewezen CSIRT. Binnen 72 uur moet een uitgebreidere analyse volgen. Dat vraagt om duidelijke interne procedures, heldere verantwoordelijkheden en een organisatie die ook buiten kantooruren snel kan handelen. MSP’s moeten hierop anticiperen en hierover afspraken maken met de klant. Juist daar blijken veel organisaties nog onvoldoende op voorbereid.
Leveranciers worden onderdeel van uw eigen cyberrisico
Misschien wel de grootste verandering zit in de ketenzorgplicht. Onder de Cyberbeveiligingswet bent u niet alleen verantwoordelijk voor uw eigen beveiliging, maar als MSP ook voor de beveiliging van uw klant. Alle NIS2-entiteiten moeten ook de risico’s van hun leveranciers, en dus ook van de MSP, beoordelen en passende maatregelen nemen. Tegelijk komen ook gewone organisaties (die geen NIS2-entiteit zijn) via de keten met NIS2 in aanraking.
Dat betekent onder andere: risicoanalyses uitvoeren op leveranciers, beoordelen welke leveranciers kritisch zijn, passende beveiligingseisen contractueel vastleggen, controleren of leveranciers deze maatregelen daadwerkelijk uitvoeren en de risico’s periodiek opnieuw beoordelen.
Voor veel organisaties is dit het meest complexe onderdeel van de nieuwe wetgeving.
De techniek is vaak al op orde
De Quickscan laat gelukkig ook positieve resultaten zien. Veel organisaties beschikken al over multifactor-authenticatie (MFA), goede back-upvoorzieningen, beveiligde communicatie, processen voor incidentregistratie en een duidelijke interne verdeling van verantwoordelijkheden. Dat betekent dat de grootste uitdaging vaak niet meer technisch is, maar organisatorisch.
Een goede Quickscan is geen vrijstelling
De RDI benadrukt dat de Quickscan uitsluitend bedoeld is als hulpmiddel om organisaties inzicht te geven in hun huidige situatie. Een goede score betekent niet dat een organisatie automatisch voldoet aan de Cyberbeveiligingswet.
Organisaties blijven zelf verantwoordelijk voor het volledig naleven van alle wettelijke verplichtingen en doen er verstandig aan tijdig vast te stellen of zij onder de wet vallen en welke maatregelen nog ontbreken.
Wat betekent dit voor uw organisatie?
De Quickscan laat vooral zien dat de grootste uitdagingen niet liggen in firewalls of antivirussoftware.
De echte opgave zit in:
- bestuurlijke verantwoordelijkheid;
- incidentprocedures;
- leveranciersbeheer;
- aantoonbaarheid.
Juist dat laatste wordt de komende jaren steeds belangrijker. Niet alleen richting de toezichthouder, maar ook richting klanten. Dat geldt dus ook voor MSP’s in Nederland. Organisaties die onder de Cyberbeveiligingswet vallen, zullen immers steeds vaker bewijs vragen dat hun leveranciers hun cybersecurity aantoonbaar op orde hebben. Als MSP zult u hier dan ook regelmatig op worden bevraagd.
Voor veel organisaties betekent dit dat cybersecuritycertificering een logische volgende stap wordt om aan te tonen dat zij voldoen aan de verwachtingen van klanten én aan de eisen die de NIS2 Cyberbeveiligingswet stelt aan ketenbeveiliging.
Gerelateerde artikelen
We houden je op de hoogte!