Veel gesprekken over NIS2 beginnen bij beleid.
Maar veel echte incidenten beginnen ergens anders:
- Een leveranciersaccount dat nooit correct is afgesloten
- Een SaaS-tool waarin “iedereen admin is”
- Een managed service provider met te veel toegang, te lang
Daarom behandelt NIS2 ketenrisico niet als een “optionele extra”. Het plaatst dit expliciet binnen de risicobeheersmaatregelen van Artikel 21 — inclusief de beveiligingsaspecten van je relaties met directe leveranciers of dienstverleners.
Dit artikel is bewust praktisch opgezet. Geen juridische diepduiken, geen “download dit template”. Wel: een heldere aanpak die EU-MKB’s kunnen gebruiken om vertrouwen op te bouwen en verdedigbaar te blijven wanneer klanten (en toezichthouders) vragen: Hoe beheersen jullie leveranciersrisico?
Weet je nog niet zeker of NIS2 op jouw organisatie van toepassing is? Begin hier: Check of NIS2 van toepassing is op jouw organisatie.
TL;DR
- NIS2 verwacht dat je leveranciersrisico meeneemt in je cybersecurity-risicomanagement
- Begin bij directe leveranciers/dienstverleners — probeer niet meteen alles te omvatten
- Het doel is niet “perfecte leveranciers”, maar herhaalbare checks + duidelijke besluiten + bewijs
- Als vragenlijsten van afnemers deals al vertragen, bouw dan een responsesysteem: Vendor security questionnaires: hoe mkb’s sneller reageren
- Voor het complete NIS2-overzicht en prioriteiten: NIS2 readiness checklist voor EU-MKB’s
Wat NIS2 daadwerkelijk van je vraagt
Artikel 21 neemt supply chain security expliciet op in de minimale set risicobeheersmaatregelen en noemt daarbij nadrukkelijk de relatie met je directe leveranciers of dienstverleners.
In normaal Nederlands betekent dat:
Je moet kunnen aantonen dat je weet welke leveranciers ertoe doen, dat je ze op een redelijke manier beoordeelt, en dat je je risico niet simpelweg “uitbesteedt” omdat een ander een deel van je stack beheert.
Ook belangrijk: de richtlijn stuurt erop aan om cybersecuritymaatregelen op te nemen in contractuele afspraken met directe leveranciers en dienstverleners (opnieuw: eerst direct).
Dit is een vertrouwensmechanisme, geen papieren exercitie.
“Directe leveranciers” — een scope die je team niet verplettert
Hier gaat het vaak mis. MKB’s lezen “supply chain security” en zien meteen een eindeloze audit van elke leverancier waar ooit een factuur van is betaald.
Dat is niet de bedoeling. NIS2 richt zich in eerste instantie op directe leveranciers/dienstverleners — partijen waar je op leunt om je dienstverlening te leveren of je operatie draaiende te houden.
Een eenvoudige manier om “direct” in jouw context te definiëren:
- leveranciers die toegang hebben tot je data, of
- leveranciers die toegang hebben tot je systemen, of
- leveranciers die je dienstverlening kunnen verstoren als zij uitvallen
Voldoet een leverancier aan geen van deze criteria? Dan is dat meestal niet waar je begint.
The “Minimum Viable Supplier Risk” routine (SME-friendly, defensible)
Je hebt geen zwaar third-party riskprogramma nodig om serieus genomen te worden. Je hebt iets nodig dat herhaalbaar is.
Stap A — Maak een korte lijst met “kritieke leveranciers”
Richtlijn: maximaal 10–20 om mee te starten:
- cloud hosting / infrastructuur
- identity provider / SSO
- managed IT / MSP / MSSP
- kern-SaaS waarin klantdata staat
- cruciale code-afhankelijkheden (als je software levert)
Stap B — Classificeer leveranciers op toegang en impact (2-minutenscore)
Stel twee vragen:
- Als deze leverancier wordt gecompromitteerd, kan dat de vertrouwelijkheid, integriteit of beschikbaarheid van onze dienst beïnvloeden?
- Hoeveel toegang hebben zij (data / systeem / admin)?
Deel ze vervolgens in drie categorieën:
- Kritiek (hoge toegang + hoge impact)
- Belangrijk
- Laag risicoStap D — Beslis, leg vast en herzie
Stap C — Doe “passende checks” per categorie
Voor kritieke leveranciers wil je een beknopt maar stevig setje signalen:
- hebben ze beveiligingscontacten en een incidentproces?
- MFA/SSO-ondersteuning en toegangsbeheer
- back-up / BCP-aanpak waar relevant
- kwetsbaarheden- en patchbeleid
- bewijs of geloofwaardige attestaties waar mogelijk (niet altijd een certificaat)
Voor belangrijke leveranciers: minder checks. Voor laag risico: documenteer waarom ze laag risico zijn — en ga verder.
Stap D — Beslis, leg vast en herzie
De kracht zit niet in de checklist, maar in het besluitvormingsspoor:
- wat je hebt gecontroleerd
- wat je hebt geaccepteerd
- wat je hebt gemitigeerd
- wat je opnieuw beoordeelt (bijv. jaarlijks of bij wijzigingen)
Dat bewijsspoor is wat je later geloofwaardig maakt.
Contracten: houd het simpel, houd het echt
NIS2 benadrukt het belang van het vastleggen van cybersecurity-verwachtingen in contracten met directe leveranciers en dienstverleners.
Voor MKB’s hoef je geen 20 pagina’s aan clausules toe te voegen. Begin voor kritieke leveranciers met vier praktische afspraken:
- meldplicht bij beveiligingsincidenten (termijnen + contactpunten)
- toegangsbeheer (least privilege, MFA waar haalbaar)
- transparantie over subverwerkers/subcontractors bij gevoelige datastromen
- recht op bewijs (niet “alles mogen auditen”, maar redelijk aantoonbaar)
Helderheid en consistentie wekken vertrouwen — ook als je geen enterprise-gigant bent.
Waar dit écht speelt: afnemersvragen en dealfrictie
Zelfs als NIS2 niet rechtstreeks op jou van toepassing is, raakt het je vaak via je klanten.
Wanneer gereguleerde afnemers hun leveranciers scherper toetsen, merk je dat als:
- security questionnaires
- verzoeken om bewijs
- vervolgvragen als: “kun je dit aantonen?”
Precies daarom adviseren we een herhaalbaar responsesysteem zoals een Answer Pack: één interne bron met standaardantwoorden + bewijs + veilige uitzonderingsformuleringen.
Als je deze verzoeken al krijgt, is dit een van de snelste vertrouwenswinsten die je kunt boeken — zonder nieuwe tooling.
Veelgemaakte fouten (en de betere aanpak)
Fout 1: Elke leverancier proberen te beoordelen
→ Beter: Begin bij direct + kritisch
Fout 2: “We zijn compliant” zeggen zonder bewijs
→ Beter: Toon bewijs en wees eerlijk over gaps, mét plan
Fout 3: Leverancierschecks als een eenmalige actie zien
→ Beter: Maak het herhaalbaar (jaarlijks + bij wijzigingen)
Fout 4: Leveranciersrisico bij IT parkeren
→ Beter: Behandel het als een bedrijfsrisico met duidelijk eigenaarschap
Wil je leveranciersrisico beheersbaar maken — in plaats van eindeloos?
Wij maken van leveranciersrisico geen bureaucratie.
We helpen je een pragmatische, bewijsbare aanpak te bouwen die past bij jouw omvang, sector en delivery-stack.
- Praktische leveranciersrisico-routine afgestemd op Artikel 21
- Documentatie die klaar is voor klant-due-diligence
Leveringsproces conform ISO 27001 • GDPR-bewust ontworpen • Ervaring met ondersteuning van ISO 27001
Over Sunbytes: Transform · Secure · Accelerate
Sunbytes is gebouwd rond drie pijlers die elkaar versterken:
- Transform: We moderniseren producten en delivery — zodat groei geen verborgen kwetsbaarheid introduceert
- Secure: We maken cybersecurity praktisch en operationeel — zodat risicobeheersing onderdeel wordt van hoe je levert
- Accelerate: We helpen organisaties schalen met de juiste mensen en systemen — zodat snelheid niet ten koste gaat van kwaliteit of compliance
Samen helpen deze pijlers EU-MKB’s om te bewegen van “we denken dat het wel goed zit” naar “we kunnen het aantonen” — zeker wanneer leveranciersrisico de kortste route naar echte incidenten blijkt.
FAQs
Het omvat beveiligingsaspecten van je relaties met directe leveranciers of dienstverleners als onderdeel van je risicobeheersmaatregelen.
Niet per se. Een herhaalbare, proportionele aanpak met focus op directe kritieke leveranciers, duidelijke besluiten en bewijs is vaak de sterkste start.
Omdat afnemers verantwoordelijk worden voor hun eigen leveranciersrisico, vragen zij om bewijs. Een Answer Pack verhoogt snelheid en consistentie.
NIS2 onderstreept het belang van het opnemen van cybersecuritymaatregelen in contractuele afspraken met directe leveranciers en dienstverleners.
Laten we beginnen met Sunbytes
Laat ons uw eisen voor het team weten en wij nemen meteen contact met u op.
