Je organisatie valt zelf niet onder NIS2. Je bent geen energiebedrijf, geen zorginstelling en geen overheidsorganisatie. Toch krijg je ineens vragen. Lange security vragenlijsten. Nieuwe contractclausules. Verzoeken om bewijs van maatregelen. Hoe zit dat?
NIS2 legt de formele verplichtingen bij essentiële en belangrijke organisaties. Maar die organisaties moeten óók hun keten beheersen. Leveranciers tellen mee. En dus landen de eisen bij jou.
Een veel gestelde vraag is dan ook:
“Wij zijn geen NIS2 entiteit, maar onze klanten wél. Wat moeten wij nu doen?”
In dit artikel krijg je een praktische route. Helder inzicht in wat er van leveranciers verwacht wordt en hoe je dit efficiënt organiseert.
Wat vraagt NIS2 concreet van leveranciers?
NIS2 introduceert een duidelijke ketenzorgplicht. Organisaties die onder NIS2 vallen moeten aantoonbaar grip hebben op de risico’s in hun toeleveringsketen. Dat betekent dat zij risico’s bij leveranciers moeten beoordelen, passende beveiligingsmaatregelen moeten eisen, incidentmeldingen moeten kunnen afdwingen, en dit alles moeten kunnen aantonen richting toezichthouders.
Als leverancier ga je dat merken. Niet omdat jij rechtstreeks onder toezicht valt, maar omdat jouw klant zijn verantwoordelijkheid niet kan ontlopen. Dat vertaalt zich in strengere contracten, security clausules over maatregelen en responstijden, uitgebreide vragenlijsten, auditrechten en verzoeken om aantoonbaar bewijs.
Hier ontstaan vaak twee misverstanden.
Misverstand 1: NIS2 is niet voor ons
Formeel klopt dat misschien. Praktisch niet. Als jouw dienstverlening impact heeft op de continuïteit van een NIS2-plichtige organisatie, dan ben je onderdeel van hun risicobeeld.
Misverstand 2: we moeten aan alles voldoen wat NIS2 zegt
Dat is ook niet juist. Jij hoeft niet automatisch het volledige regime van een NIS2-entiteit te volgen. Wat je wél moet, is kunnen laten zien dat je security volwassen genoeg is voor de rol die je speelt in de keten.
De kernvraag wordt dus, hoe organiseer je dat slim?
Drie strategieën om als leverancier met NIS2 om te gaan
In de praktijk zien we drie aanpakken.
1. Ad hoc reageren op klantvragen
Je wacht af wat klanten vragen. Per klant vul je een vragenlijst in. Soms lever je een beleid aan, soms een verklaring, soms een aparte rapportage.
Voordeel: Geen grote investering vooraf.
Nadeel: Veel maatwerk, veel dubbel werk, weinig standaardisatie. Elke klant stelt net andere eisen. Dit schaalt slecht.
2. Zelf een volledig framework optuigen
Je kiest voor een zwaar normenkader zoals ISO 27001 of SOC 2. Daarmee bouw je een compleet managementsysteem op, inclusief audits en certificering.
Voordeel: Sterk en breed geaccepteerd bewijs richting klanten.
Nadeel: Tijd, kosten en impact op de organisatie. Niet elke leverancier heeft dit niveau nodig.
3. Werken met een gestandaardiseerd NIS2 Supply Chain schema
Het NIS2 Supply Chain certificaat is specifiek ontwikkeld rondom NIS2 en richt zich sterk op ketenbeveiliging. Het werkt met drie niveaus, van basis tot hoog, waarbij het hoogste niveau aansluit op ISO 27001.
Voordeel: Concreet, praktisch en herkenbaar voor NIS2-plichtige klanten. Minder zwaar dan een volledige ISO-certificering.
Nadeel: Niet wettelijk verplicht en niet automatisch voldoende voor elke situatie. Sommige klanten zullen aanvullende eisen stellen.
Waarom NIS2 Supply Chain in de praktijk vaak het meest efficiënt is
Voor veel leveranciers is NIS2 Supply Chain de meest efficiënte middenweg. Waarom?
- Eén keer op orde, meerdere keren gebruiken:
In plaats van per klant opnieuw het wiel uit te vinden, werk je met één gestandaardiseerd pakket aan maatregelen. Dat bewijs kun je hergebruiken bij meerdere klanten. - Herkenbaar richting NIS2 plichtige organisaties
Jouw klant moet aantonen dat hij zijn keten beheerst. Een gestructureerd schema met duidelijke niveaus helpt daarbij. Het maakt jouw volwassenheid inzichtelijk. - Sluit aan op wat je al hebt:
Het schema vraagt geen complete herbouw van je organisatie. Bestaand beleid, processen en technische maatregelen vormen de basis. Je structureert en vult aan waar nodig. - Minder losse vragenlijsten, meer standaardisatie
Klanten blijven vragen stellen. Maar met een duidelijke basis wordt dat gesprek efficiënter. Je verwijst naar een herkenbaar raamwerk in plaats van losse documenten. Dat scheelt tijd, frustratie en eindeloze Excel bestanden.
Wat NIS2 Supply Chain wél en níet is
Het is belangrijk om hier realistisch in te zijn.
Wat het wél is
- Een praktisch raamwerk met concrete eisen.
- Een manier om aantoonbaar te maken welke maatregelen je hebt ingericht.
- Een duidelijk signaal naar de markt dat je ketensecurity serieus neemt.
Wat het níet is
- Geen juridische vrijwaring. Je bent niet automatisch “veilig” voor alle claims.
- Geen garantie dat klanten nooit extra eisen stellen.
- Geen wettelijke verplichting vanuit NIS2 zelf.
De waarde hangt af van acceptatie in de markt. In veel gevallen helpt het sterk. Maar het vervangt niet elke contractuele afspraak.
De verschillende niveaus van NIS2 Supply Chain
De NIS2 Supply Chain komt in drie oplopende niveaus: SC10, SC20 en SC30. SC10 vormt de basis en richt zich op organisatorische, mensgerichte, fysieke en technologische beheersmaatregelen. SC20 en SC30 bouwen hierop voort met aanvullende eisen rondom IT-management en, waar relevant, OT-management. SC30 is daarbij het meest uitgebreid en bevat extra beheersmaatregelen ten opzichte van SC20.
SC10, basismaatregelen
Binnen SC10 implementeer je fundamentele beheersmaatregelen zoals een formeel vastgesteld cybersecuritybeleid met duidelijke verantwoordelijkheden, multi-factor authenticatie en strikte toegangsrechten, procedures voor het detecteren en melden van incidenten, structurele beveiliging en updates van apparaten, en gerichte bewustwording en training voor medewerkers en bestuurders.
Uitbreidingen in SC20 ten opzichte van SC10
SC20 gaat een stap verder met aanvullende maatregelen zoals informatieclassificatie en beleid rondom vertrouwelijkheid, expliciete cybersecurity eisen richting leveranciers in contracten, striktere registratie en monitoring van gebruikersaccounts, beveiliging van gegevensoverdracht via encryptie en veilige communicatiekanalen, en periodieke interne evaluaties om naleving te toetsen.
Uitbreidingen in SC30 ten opzichte van SC20
SC30 is het meest uitgebreide niveau en vraagt om aanvullende beheersmaatregelen zoals gestructureerd beheer van OT-systemen met inventarisatie, segmentatie en patchmanagement, strengere controle op clouddiensten inclusief selectie en exitstrategieën, veilige softwareontwikkeling met broncodebeheer en beveiligingstesten, procedures voor digitale forensische bewijslast bij incidenten, en onafhankelijke externe audits van de cybersecuritymaatregelen.
Specifiek voor Nederland, ketenzorgplicht en contracten
In Nederland wordt NIS2 omgezet naar de Cyberbeveiligingswet (Cbw) , waarbij de nadruk sterk ligt op ketenbeheer via contracten en inkoopvoorwaarden. Dat betekent dat je als leverancier kunt rekenen op strengere afspraken in je overeenkomsten, zoals duidelijke security clausules over minimale maatregelen, harde afspraken over incidentmelding binnen vastgestelde termijnen, auditrechten voor je klant en periodieke rapportageverplichtingen. Dit geldt ook wanneer je al beschikt over een certificaat.
NIS2 Supply Chain kan hierbij een solide basis vormen, omdat het laat zien dat je structureel werkt aan beveiliging en risicobeheersing. Tegelijk blijven klant specifieke afspraken nodig, bijvoorbeeld over responstijden of aanvullende eisen vanuit een bepaalde sector. Zie het daarom als een stevig fundament, maar niet als het eindpunt.
Is NIS2 Supply Chain altijd de beste keuze?
Vaak wel. Zeker voor leveranciers met meerdere NIS2-klanten, organisaties die nog geen zwaar framework hebben, en partijen die groeiende security eisen zien vanuit de markt.
Maar soms ook niet. Voor een heel kleine leverancier met één klant kan een gerichte, klantspecifieke aanpak voldoende zijn. En organisaties die al ISO 27001 of SOC 2 gecertificeerd zijn, dekken vaak al een groot deel van de eisen af. Daar is NIS2 Supply Chain mogelijk overbodig of slechts aanvullend.
Tot slot, van papier naar praktijk
Welke route je ook kiest, uiteindelijk draait het om uitvoering en aantoonbaarheid. Maatregelen moeten niet alleen op papier staan, maar ook worden uitgevoerd, gemonitord en onderhouden. Leveranciersbeoordelingen moeten periodiek worden herhaald. Incidenten moeten worden geregistreerd en geëvalueerd.
Daar ligt de rol van tooling.
Met het TrustBound GRC-platform leg je maatregelen vast als concrete taken met verantwoordelijken en bewijs. Je koppelt keteneisen aan bestaande kaders zoals ISO 27001. En je rapporteert in begrijpelijke taal aan management én klanten.
Zo voorkom je dat NIS2 een stapel documenten wordt. En zorg je dat security geen project is, maar een beheersbaar proces. Precies wat jouw klanten van jou als leverancier willen zien: grip.
Meer info over NIS2 Supply Chain vind je op de website https://nis2supplychain.eu/
TrustBound GRC is partner van NIS2 Supply Chain.
