NIS2 ketenverantwoordelijkheid: een gamechanger
De NIS2-richtlijn, in Nederland geïmplementeerd als de Cyberbeveiligingswet, introduceert een fundamentele verschuiving in hoe organisaties naar hun toeleveranciers kijken. Artikel 21, lid 2(d) vereist expliciet dat essentiële en belangrijke entiteiten beveiliging van de toeleveringsketen opnemen in hun risicobeheersmaatregelen. Dit betekent dat uw cybersecurity niet stopt bij uw eigen netwerk.
Voor veel MKB-organisaties is dit nieuw terrein. Waar ISO 27001 al aandacht besteedde aan leveranciersbeheer via Annex A control 5.19–5.23, maakt NIS2 dit een wettelijke verplichting met potentiële boetes tot €10 miljoen of 2% van de wereldwijde omzet.
Wat eist NIS2 concreet van uw leveranciersbeleid?
De Cyberbeveiligingswet vereist dat organisaties een risicogebaseerde aanpak hanteren voor hun toeleveranciers. Dit omvat het identificeren van kritieke leveranciers — leveranciers wier uitval of compromittering directe impact heeft op uw dienstverlening. Denk aan cloudproviders, softwareleveranciers, managed service providers en datacenters.
Vervolgens moet u per leverancier een risicobeoordeling uitvoeren die kijkt naar de beveiligingsmaatregelen van de leverancier, de aard en gevoeligheid van de gedeelde data, de afhankelijkheid van uw primaire processen, en de geografische en juridische context van de leverancier. Op basis daarvan stelt u proportionele eisen en legt u deze contractueel vast.
De drie niveaus van leveranciersbeoordeling
Niveau 1 — Kritieke leveranciers: Voor leveranciers met directe toegang tot uw systemen of die essentiële diensten leveren, is een diepgaande beoordeling vereist. Dit omvat het opvragen van certificeringen (ISO 27001, SOC 2), het beoordelen van hun incidentresponseplan, het afspreken van meldplichten bij beveiligingsincidenten, en het recht op audit.
Niveau 2 — Belangrijke leveranciers: Leveranciers die toegang hebben tot niet-publieke informatie maar niet direct aan uw kritieke processen leveren. Hier volstaat een standaard beveiligingsvragenlijst en contractuele afspraken over gegevensverwerking en incidentmelding.
Niveau 3 — Standaard leveranciers: Leveranciers zonder toegang tot gevoelige systemen of data. Minimale beoordeling vereist, maar wel bewustzijn van mogelijke indirecte risico's via de keten.
Contractuele eisen onder NIS2
Bestaande leverancierscontracten moeten worden herzien om NIS2-compliance te waarborgen. Essentiële clausules die u moet opnemen zijn een beveiligingsbijlage met minimale technische en organisatorische maatregelen, een incidentmeldplicht met tijdslimieten (maximaal 24 uur voor initiële melding aan u als afnemer), het recht op audit en beveiligingsassessments, clausules over subverwerkers en doorgifte van beveiligingseisen, en een exit-strategie voor het geval van beëindiging van de samenwerking.
Praktisch stappenplan voor MKB
Begin met een leveranciersinventarisatie: breng alle leveranciers in kaart die toegang hebben tot uw data, systemen of netwerken. Classificeer vervolgens elke leverancier in één van de drie niveaus. Voer risicobeoordelingen uit, begin met de kritieke leveranciers. Pas contracten aan waar nodig en stel een jaarlijks reviewproces in om de leveranciersbeoordeling actueel te houden.
Een GRC-platform kan dit proces aanzienlijk vereenvoudigen door leveranciers, beoordelingen, contracten en vervolgacties centraal te beheren. Het iso2700x.nl platform biedt specifieke modules voor leveranciersbeheer die aansluiten bij zowel NIS2 als ISO 27001-eisen.
Veelgemaakte fouten bij ketenbeveiliging
De grootste valkuil is het behandelen van leveranciersbeheer als een eenmalige oefening. NIS2 vereist doorlopend toezicht. Een tweede veelgemaakte fout is het stellen van onrealistische eisen aan kleinere leveranciers: proportionaliteit is een kernprincipe. Een derde fout is het niet includeren van subverwerkers — uw cloudprovider schakelt mogelijk tientallen subdienstverleners in die ook een risico vormen.
Hoe helpt iso2700x.nl bij NIS2 ketenverantwoordelijkheid?
Onze consultants helpen u bij het opzetten van een compleet leveranciersbeheerproces dat voldoet aan zowel NIS2 als ISO 27001. Van risicobeoordeling tot contractsjablonen, van leveranciersinventarisatie tot doorlopend monitoring via ons GRC-platform. Neem contact op voor een gratis adviesgesprek.