Hoe verandert NIS2 je personeelsbeleid? Monteurs zijn straks je grootste risico én grootste kracht

Als we denken aan cybersecurity, zien we vaak iemand achter een laptop op kantoor. Maar de realiteit van de installatiebranche is anders. De echte digitale frontlinie ligt niet op kantoor, maar in de bus, in de meterkast en op de bouwplaats.

Met de komst van NIS2 wordt cyberveiligheid een vast onderdeel van je bedrijfsvoering. Je kunt de duurste firewalls kopen, maar als monteur Jan bij de klant een router ophangt met wachtwoord 1234, of zijn tablet met klantdata laat slingeren in een open bus, is je beveiliging zo lek als een mandje.

NIS2 draait daarom niet alleen om techniek, maar vooral om mensen, gedrag en processen. Dat vraagt om een update van je personeelsbeleid. Niet om je mensen dwars te zitten, maar om ze te beschermen.

In dit artikel lees je hoe je van je buitendienst je sterkste verdedigingslinie maakt.

1. De monteur: risico of held?

Onder NIS2 zijn monteurs cruciaal. Waarom? Omdat zij letterlijk de fysieke wereld met de digitale wereld verbinden.

Het risico Monteurs hebben toegang tot kritieke plekken: serverruimtes, ziekenhuizen, fabrieken. Ze werken met tablets vol adressen en alarmcodes. Ze loggen in op netwerken van klanten.

Eén onbedoelde fout kan leiden tot een beveiligingsincident bij de klant — en jij blijft als leverancier onderdeel van die ketenverantwoordelijkheid.

De kracht Tegelijk zijn monteurs ook de oren en ogen van je bedrijf. Zij zien het als een serverkast open blijft staan. Zij merken het als er een vreemde USB-stick in een machine zit.

Een goed getrainde monteur is je beste menselijke firewall.

2. Bewustwording: geen saaie PowerPoint, maar toolbox-taal

Je hoeft monteurs geen IT-experts te maken. Ze moeten vooral digitaal straatwijs worden.

Integreer cybersecurity in je standaard toolbox-meetings.

Concrete situaties:

De ‘McDonalds’-valkuil

• Situatie: even lunchen en via gratis openbare wifi werkbonnen versturen.

• Volgens ons NIS2-beleid: niet toegestaan. Openbare wifi is onveilig. Gebruik altijd 4G/5G of VPN.
  

De ‘Aardige receptioniste’

• Situatie: “Mag ik even op jouw tablet kijken voor een telefoonnummer?”

• Volgens ons NIS2-beleid: apparaten nooit uit handen geven. Social engineering is een van de belangrijkste aanvalsvormen.
  

Het ‘Gele briefje’

• Situatie: wachtwoorden op stickers plakken.

• Volgens ons NIS2-beleid: wachtwoorden staan alleen in de beveiligde wachtwoordmanager, nergens anders.
  

De ‘Update-knop’

• Situatie: meldingen wegklikken omdat het niet uitkomt.

• Volgens ons NIS2-beleid: updates dichten lekken. Installeren zodra het kan.
  

De ‘USB-stick van de klant’

• Situatie: “Kun je deze update even draaien vanaf deze USB?”

• Risico: malware of supply chain-aanval.

• Volgens ons NIS2-beleid: nooit onbekende USB’s gebruiken. Alleen goedgekeurde middelen.
  

3. Veilig werken op locatie: de nieuwe standaard

Onder NIS2 moet je kunnen aantonen dat je veilig werkt. Dat betekent duidelijke afspraken voor gedrag op locatie.

Werkbonnen en foto’s

Veel monteurs maken foto’s van meterkasten met hun privételefoon en appen die naar de zaak.

• Probleem: die foto’s bevatten persoonsgegevens en belanden in privéclouds.

• Volgens ons NIS2-beleid: foto’s maken we uitsluitend via de werkbon-app op de zakelijke tablet.
  

Remote beheer & IoT

Installeer je een slimme thermostaat, laadpaal of camera?

• Standaardwachtwoorden worden altijd direct gewijzigd.

• Open verbindingen in routers laten we nooit achter, tenzij strikt noodzakelijk en goed beveiligd.
  

Schermvergrendeling

Een tablet onbeheerd in de bus is een goudmijn voor dieven.

• Tablet onbeheerd? Scherm op slot.

• Bus op slot. Altijd.
  

4. Toegangsrechten: niet iedereen hoeft overal bij te kunnen

Een belangrijk NIS2-principe is: least privilege.

Dat betekent:

• Monteurs krijgen alleen toegang tot systemen die zij nodig hebben.

• Toegang vervalt automatisch bij functiewijziging of uitdiensttreding.

• Tijdelijke accounts bij projecten, niet permanent.

Zo beperk je schade als een account misbruikt wordt.

5. Communicatie en cultuur: “Meld het, verberg het niet”

Dit is misschien wel het belangrijkste onderdeel van je personeelsbeleid.

NIS2 eist dat incidenten snel gemeld en opgevolgd worden. Dat betekent: liever één keer te veel melden dan één keer te laat.

Zonder meldcultuur lukt dat niet.

Als er angst heerst (“als ik iets fout doe, word ik boos aangesproken”), zullen monteurs fouten verbergen:

“Oh, ik klikte op een phishing-link… laat maar.”

Dat is dodelijk.

Een niet-gemeld incident is onder NIS2 vaak ernstiger dan het incident zelf.

Creëer daarom een veilige meldcultuur:

1. Straf niet – iedereen kan een fout maken, het wordt pas gevaarlijk als je zwijgt.

2. Beloon alertheid – wie phishing herkent, verdient een compliment.

3. Duidelijke lijnen – iedereen weet: bij twijfel bel ik direct [IT-partner/manager].

6. Het personeelshandboek: wat moet erin?

Zet afspraken zwart op wit, in begrijpelijk Nederlands.

Neem op:

• Privégebruik: mogen er apps op zakelijke tablets? (liefst alleen goedgekeurd)

• Wachtwoorden: minimaal 12 tekens, MFA verplicht, nooit delen

• Verlies/diefstal: direct bellen, ook in het weekend, zodat remote wipe mogelijk is

• Clean bus/screen: geen codes of tablets rondslingeren

7. Praktische tips voor het MKB (direct toepasbaar)

• Privacy-screens: voorkom meekijken bij klanten of onderweg

• De noodkaart: geplastificeerd stappenplan in elke bus

  1. Isoleer/zet uit

  2. Bel nummer X

  3. Wacht op instructie

• VOG: NIS2 verplicht geen VOG, maar leidt er in de praktijk toe dat opdrachtgevers in zorg, overheid en vitale sectoren dit steeds vaker eisen.

Conclusie

Je monteurs zijn geen robots die je kunt programmeren. Het zijn vakmensen die hun werk goed willen doen.

Cybersecurity is onder NIS2 geen IT-onderwerp meer, maar net zo’n basisvoorwaarde als een helm, een VCA-certificaat of veiligheidsschoenen.

Als je die mindset creëert, heb je aan je monteurs geen risico, maar een sterk en alert team dat jouw bedrijf digitaal veilig houdt.