Je organisatie valt zelf niet onder NIS2. Je bent geen energiebedrijf, geen zorginstelling en geen overheidsorganisatie. Toch krijg je ineens vragen. Lange security vragenlijsten. Nieuwe contractclausules. Verzoeken om bewijs van maatregelen. Hoe zit dat?
NIS2 legt de formele verplichtingen bij essentiële en belangrijke organisaties. Maar die organisaties moeten óók hun keten beheersen. Leveranciers tellen mee. En dus landen de eisen bij jou.
Een veel gestelde vraag is dan ook:
“Wij zijn geen NIS2 entiteit, maar onze klanten wél. Wat moeten wij nu doen?”
In dit artikel krijg je een praktische route. Helder inzicht in wat er van leveranciers verwacht wordt en hoe je dit efficiënt organiseert.
NIS2 introduceert een duidelijke ketenzorgplicht. Organisaties die onder NIS2 vallen moeten aantoonbaar grip hebben op de risico’s in hun toeleveringsketen. Dat betekent dat zij risico’s bij leveranciers moeten beoordelen, passende beveiligingsmaatregelen moeten eisen, incidentmeldingen moeten kunnen afdwingen, en dit alles moeten kunnen aantonen richting toezichthouders.
Als leverancier ga je dat merken. Niet omdat jij rechtstreeks onder toezicht valt, maar omdat jouw klant zijn verantwoordelijkheid niet kan ontlopen. Dat vertaalt zich in strengere contracten, security clausules over maatregelen en responstijden, uitgebreide vragenlijsten, auditrechten en verzoeken om aantoonbaar bewijs.
Hier ontstaan vaak twee misverstanden.
Misverstand 1: NIS2 is niet voor ons
Formeel klopt dat misschien. Praktisch niet. Als jouw dienstverlening impact heeft op de continuïteit van een NIS2-plichtige organisatie, dan ben je onderdeel van hun risicobeeld.
Misverstand 2: we moeten aan alles voldoen wat NIS2 zegt
Dat is ook niet juist. Jij hoeft niet automatisch het volledige regime van een NIS2-entiteit te volgen. Wat je wél moet, is kunnen laten zien dat je security volwassen genoeg is voor de rol die je speelt in de keten.
De kernvraag wordt dus, hoe organiseer je dat slim?
In de praktijk zien we drie aanpakken.
Je wacht af wat klanten vragen. Per klant vul je een vragenlijst in. Soms lever je een beleid aan, soms een verklaring, soms een aparte rapportage.
Voordeel: Geen grote investering vooraf.
Nadeel: Veel maatwerk, veel dubbel werk, weinig standaardisatie. Elke klant stelt net andere eisen. Dit schaalt slecht.
Je kiest voor een zwaar normenkader zoals ISO 27001 of SOC 2. Daarmee bouw je een compleet managementsysteem op, inclusief audits en certificering.
Voordeel: Sterk en breed geaccepteerd bewijs richting klanten.
Nadeel: Tijd, kosten en impact op de organisatie. Niet elke leverancier heeft dit niveau nodig.
Het NIS2 Supply Chain certificaat is specifiek ontwikkeld rondom NIS2 en richt zich sterk op ketenbeveiliging. Het werkt met drie niveaus, van basis tot hoog, waarbij het hoogste niveau aansluit op ISO 27001.
Voordeel: Concreet, praktisch en herkenbaar voor NIS2-plichtige klanten. Minder zwaar dan een volledige ISO-certificering.
Nadeel: Niet wettelijk verplicht en niet automatisch voldoende voor elke situatie. Sommige klanten zullen aanvullende eisen stellen.
Voor veel leveranciers is NIS2 Supply Chain de meest efficiënte middenweg. Waarom?
Het is belangrijk om hier realistisch in te zijn.
Wat het wél is
Wat het níet is
De waarde hangt af van acceptatie in de markt. In veel gevallen helpt het sterk. Maar het vervangt niet elke contractuele afspraak.
De NIS2 Supply Chain komt in drie oplopende niveaus: SC10, SC20 en SC30. SC10 vormt de basis en richt zich op organisatorische, mensgerichte, fysieke en technologische beheersmaatregelen. SC20 en SC30 bouwen hierop voort met aanvullende eisen rondom IT-management en, waar relevant, OT-management. SC30 is daarbij het meest uitgebreid en bevat extra beheersmaatregelen ten opzichte van SC20.
Binnen SC10 implementeer je fundamentele beheersmaatregelen zoals een formeel vastgesteld cybersecuritybeleid met duidelijke verantwoordelijkheden, multi-factor authenticatie en strikte toegangsrechten, procedures voor het detecteren en melden van incidenten, structurele beveiliging en updates van apparaten, en gerichte bewustwording en training voor medewerkers en bestuurders.
SC20 gaat een stap verder met aanvullende maatregelen zoals informatieclassificatie en beleid rondom vertrouwelijkheid, expliciete cybersecurity eisen richting leveranciers in contracten, striktere registratie en monitoring van gebruikersaccounts, beveiliging van gegevensoverdracht via encryptie en veilige communicatiekanalen, en periodieke interne evaluaties om naleving te toetsen.
SC30 is het meest uitgebreide niveau en vraagt om aanvullende beheersmaatregelen zoals gestructureerd beheer van OT-systemen met inventarisatie, segmentatie en patchmanagement, strengere controle op clouddiensten inclusief selectie en exitstrategieën, veilige softwareontwikkeling met broncodebeheer en beveiligingstesten, procedures voor digitale forensische bewijslast bij incidenten, en onafhankelijke externe audits van de cybersecuritymaatregelen.
In Nederland wordt NIS2 omgezet naar de Cyberbeveiligingswet (Cbw) , waarbij de nadruk sterk ligt op ketenbeheer via contracten en inkoopvoorwaarden. Dat betekent dat je als leverancier kunt rekenen op strengere afspraken in je overeenkomsten, zoals duidelijke security clausules over minimale maatregelen, harde afspraken over incidentmelding binnen vastgestelde termijnen, auditrechten voor je klant en periodieke rapportageverplichtingen. Dit geldt ook wanneer je al beschikt over een certificaat.
NIS2 Supply Chain kan hierbij een solide basis vormen, omdat het laat zien dat je structureel werkt aan beveiliging en risicobeheersing. Tegelijk blijven klant specifieke afspraken nodig, bijvoorbeeld over responstijden of aanvullende eisen vanuit een bepaalde sector. Zie het daarom als een stevig fundament, maar niet als het eindpunt.
Vaak wel. Zeker voor leveranciers met meerdere NIS2-klanten, organisaties die nog geen zwaar framework hebben, en partijen die groeiende security eisen zien vanuit de markt.
Maar soms ook niet. Voor een heel kleine leverancier met één klant kan een gerichte, klantspecifieke aanpak voldoende zijn. En organisaties die al ISO 27001 of SOC 2 gecertificeerd zijn, dekken vaak al een groot deel van de eisen af. Daar is NIS2 Supply Chain mogelijk overbodig of slechts aanvullend.
Welke route je ook kiest, uiteindelijk draait het om uitvoering en aantoonbaarheid. Maatregelen moeten niet alleen op papier staan, maar ook worden uitgevoerd, gemonitord en onderhouden. Leveranciersbeoordelingen moeten periodiek worden herhaald. Incidenten moeten worden geregistreerd en geëvalueerd.
Daar ligt de rol van tooling.
Met het TrustBound GRC-platform leg je maatregelen vast als concrete taken met verantwoordelijken en bewijs. Je koppelt keteneisen aan bestaande kaders zoals ISO 27001. En je rapporteert in begrijpelijke taal aan management én klanten.
Zo voorkom je dat NIS2 een stapel documenten wordt. En zorg je dat security geen project is, maar een beheersbaar proces. Precies wat jouw klanten van jou als leverancier willen zien: grip.
Meer info over NIS2 Supply Chain vind je op de website https://nis2supplychain.eu/
TrustBound GRC is partner van NIS2 Supply Chain.