Spring naar content

NIS2 en de grote impact op inkoop

Vanaf het tweede kwartaal 2026 moeten 8.000 bedrijven in Nederland voldoen aan de NIS2 richtlijn (Cyberbeveiligingswet). Cybersecurity gaat ook buiten de grenzen van je bedrijf. Naar verwachting krijgen ook 50.000 leveranciers er mee te maken. Dus als inkoper ligt daar een rol voor je. Elke leverancier kan een risico zijn, van IT tot schoonmaakdiensten. Samen Digitaal Veilig en de Nederlandse Vereniging van Inkopers (NEVI) ondersteunen inkopers bij de NIS2.

NIS2: Wat betekent het voor inkopers?

Jij moet ervoor zorgen dat leveranciers aan beveiligingseisen voldoen wanneer er risico’s zijn. Het is belangrijk om te begrijpen dat NIS2 niet alleen betrekking heeft op IT-leveranciers. De risico’s schuilen in meerdere leveranciers. Als inkoper ben jij degene die deze risico’s moet identificeren en leveranciers bewust moet maken van hun verantwoordelijkheden. Geef je leveranciers vast een seintje dat jullie zelf aan de NIS2 werken en dat je wellicht van hen ook zaken gaat verwachten. In de komende maanden zal jouw rol bij het voldoen aan NIS2 belangrijk worden.

Download: Proportionele certificering is conform de NIS2 Cyberbeveiligingswet

Bekijk de 6 video’s voor inkoop over NIS2:

Wat is NIS2?
Inkoper zet jezelf niet klem
Passende normkeuze
Hoe implementeer je NIS2 intern?
Communiceren met je leveranciers
Voordelen voor leveranciers

 

Het ‘All Hazards’ principe raakt meerdere types leveranciers

Vanzelfsprekend is de NIS2 niet alleen een wettelijke verplichting. Het gaat in essentie om het beschermen van organisaties tegen operationele verstoringen. Die kunnen voorkomen via of bij leveranciers. In de NIS2 staat: “de beveiliging van de toeleveringsketen, met inbegrip van beveiligingsgerelateerde aspecten met betrekking tot de relaties tussen elke entiteit en haar rechtstreekse leveranciers of dienstverleners”. Hoe zit dat? Welke risico’s schuilen er dan precies bij leveranciers? NIS2 werkt met een ‘All Hazards’ principe. Dus alle risico’s, ook fysieke, moeten worden beoordeeld. Concrete voorbeelden:

  1. ICT-dienstverleners
    Je MSP, firewall-leverancier, cloud-provider, back-upbeheerder. Zij beheren je systemen en hebben directe toegang. Een hack bij hen is een hack bij jou.

  2. OT en IoT-leveranciers
    Machineleveranciers, onderhoudscontracten voor productieapparatuur, industriële besturingssystemen. Een voedingsproducent of machinebouwer kan 400 tot 800 risico-leveranciers hebben in deze categorie alleen.

  3. ICT-dienstverleners en software
    Leveranciers die je netwerk, firewalls en back-ups beheren, zijn een stevig risico voor je cyberveiligheid. Een zwakke schakel in je IT-beveiliging kan grote gevolgen hebben. Maar ook je software is natuurlijk een risico.

  4. Fysieke toegangsverleners
    Je schoonmaakbedrijf, beveiligingsdienst, technisch onderhoudsbedrijf. Zij lopen door je pand. Dat is een risico. Maak ook cyberafspraken met die leverancier.

  5. Logistieke partners
    Transporteurs, opslagbedrijven. In 2024 viel een voedselproducent stil doordat de toeleverancier van glazen verpakkingen werd gehackt. Lege schappen, miljoenen reputatieschade. Je logistieke keten is je leveringsvermogen.

  6. Financiële dienstverleners
    Je accountant, boekhouder, payrollprovider. Zij beheren je meest gevoelige financiële data. Een hack kan leiden tot financieel misbruik of reputatieschade.

  7. Dienstverleners met data toegang
    Partijen met EDI-toegang maar ook je marketingbureau dat klantdata van je verwerkt, je HR-leverancier, je consultant met toegang tot vertrouwelijke bedrijfsinformatie. Ook je reclamebureau kan een risico zijn.

  8. Alle nieuwe leveranciers
    Nieuwe leveranciers zullen standaard de afspraken moeten nakomen en bewijs moeten hebben anders kunnen ze geen leverancier worden.

  9. Alle leveranciers via basis cyberhygiëne​
    De wet verplicht niet dat je alle leveranciers een verplichting oplegt. Maar steeds meer bedrijven kiezen dit als moment om basis cyberhygiëne voor alle leveranciers in te voeren.

Samenwerking als sleutel tot succes

De eindverantwoordelijkheid voor NIS2 compliance ligt bij de CEO. Maar ook jij hebt een rol. Het vraagt ook om een gezamenlijke inspanning. Werk proactief aan het waarborgen van digitale veiligheid in de supply chain. Het is je taak om ervoor te zorgen dat leveranciers zich bewust worden van hun verantwoordelijkheden en je ondersteunt hen bij het implementeren van de juiste maatregelen om aan de NIS2 eisen te voldoen. Dit betekent dat je niet alleen risico’s identificeert, maar ook nauw samenwerkt met andere afdelingen om een veilige samenwerking te realiseren.

Ondersteuning voor inkopers

Samen Digitaal Veilig en NEVI ondersteunen met praktische hulpmiddelen om bedrijven te helpen bij het voldoen aan de NIS2 richtlijn. Door gebruik te maken van hun expertise kun je als inkoper niet alleen risico’s identificeren, maar ook actie ondernemen en je leveranciers meenemen in het proces.

Gebruik het SDV Platform

Gebruik het SDV-platform: een laagdrempelig en praktisch instrument dat je direct helpt om grip te krijgen op je leveranciersketen. Met een abonnement word je volledig ondersteund in het ketenzorgplicht-deel van NIS2 Supply Chain en hoef je het niet zelf uit te zoeken. Ben je een NIS2-organisatie? Doe dan net als veel andere organisaties en maak het jezelf makkelijk. Vooral de ERI-functionaliteit bespaart je enorm veel tijd, omdat je leveranciers niet meer handmatig hoeft te beoordelen maar dit gestructureerd en efficiënt kunt doen.

Wil je dit ook eenvoudig regelen? Kies dan voor een SDV-abonnement en ga direct aan de slag.

Conclusie: maak van NIS2 een prioriteit

Als inkoper speel je een cruciale rol in het voldoen aan de NIS2 richtlijn. Begin nu met het analyseren van je leveranciersrisico’s en bouw samen met interne en externe partners aan een veilige toekomst. Geef een seintje aan je leveranciers dat ook zij zich gaan verdiepen in de NIS2. Op deze website staat veel informatie die je hierbij kan ondersteunen, zodat je als bedrijf klaar bent voor 2025. NIS2 is een gedeelde missie waarin jij als inkoper absoluut verschil kan maken.

 

NEVI NIS2 informatie

NEVI ondersteunt inkopers en supply chain managers met NIS2.

Lees meer

Inkoopvoorwaarden model addendum voor NIS2 (leveranciers)

Maak duidelijke afspraken met je leveranciers. Gratis download.

Download direct

Neem deel aan onze webinars > Alles voor de impact van nieuwe NIS2 wetgeving.

Naar de webinars

Q&A voor inkopers over NIS2 Supply Chain (NIS2 SC)

Wat is NIS2 Supply Chain (NIS2 SC)?

NIS2 Supply Chain is een cybersecurity-certificering die specifiek is ontwikkeld om te voldoen aan de ketenverplichtingen uit de NIS2-Cyberbeveiligingswet. De norm richt zich op leveranciers en is proportioneel, praktisch en auditbaar.

Wat wordt er bedoeld met proportioneel?

Het opleggen van cybersecurity eisen aan leveranciers kan de inkooprelatie beschadigen als de eisen te hoog of te zwaar zijn. NIS2 SC heeft 3 levels die makkelijk haalbaar en minder kostbaar zijn terwijl ze wel afdoende bescherming bieden.

Waarom is NIS2 SC relevant voor inkopers?

Omdat de NIS2-wetgeving expliciet vraagt dat organisaties risico’s in hun leveranciersketen beheersen. Dat betekent dat je als bedrijf moet kunnen aantonen dat je leveranciers een passende certificering hebben en dat dit contractueel is vastgelegd.  NIS2 SC is veel sneller te halen voor leveranciers en is ook prijstechnisch interessanter dan een zware cybernorm die de relatie onder druk kan zetten.

Wie auditeren NIS2 SC?

NIS2 SC wordt geauditeerd door een breed en professioneel netwerk. In totaal zijn er circa 45 auditorganisaties actief zoals SGS, DNV, EY, Forvis Mazars en KIWA.

Is het wettelijk toegestaan om een lagere norm dan ISO 27001 te vragen?

Ja. NIS2 schrijft geen specifieke norm voor, maar een risicoanalyse en passende maatregelen. NIS2 SC is juist ontwikkeld om dit proportioneel in te vullen, zonder leveranciers onnodig te belasten.

Waarom niet standaard ISO 27001 eisen?

ISO 27001 is vaak te zwaar en te kostbaar voor mkb-leveranciers. Dit leidt tot hogere prijzen, afhaken van leveranciers en druk op de relatie. NIS2 SC biedt een passend alternatief dat aansluit bij het daadwerkelijke risico.

Hoe helpt NIS2 SC bij business continuity?

De certificering kijkt expliciet naar continuïteitsrisico’s in de keten:

  • Wat gebeurt er als een leverancier uitvalt?
  • Heeft dit impact op primaire processen?
  • Hoe snel is vervanging mogelijk?

Dit sluit direct aan op de verantwoordelijkheden van inkoop.

Kunnen leveranciers met ISO 27001 ook NIS2 SC gebruiken?

Ja. Leveranciers met ISO 27001 kunnen via een verkort traject instromen, omdat veel maatregelen al zijn geïmplementeerd. Er vindt geen dubbele audit plaats op bestaande controls.

Hoe voorkomt NIS2 SC verstoring van leveranciersrelaties?

Door te werken met minimale, wettelijk voldoende eisen per risicoklasse. Lage risico’s vragen een lichtere norm, hoge risico’s een zwaardere. Dit houdt de keten intact en voorkomt onnodige kosten.

Waarom is het zo belangrijk om cyberrisico’s binnen de leveranciersketen goed te beheersen?

Nederland is het vijfde exportland en het achtste importland ter wereld. We verkopen en kopen wereldwijd in. Juist daarom is het beheersen van cyberrisico’s in de supply chain essentieel. NIS2 Supply Chain (NIS2 SC) helpt bedrijven om hun internationale leveranciersketen aantoonbaar te beveiligen, zonder de relatie met leveranciers onnodig onder druk te zetten door het opleggen van een te zware norm.

Is NIS2 SC een erkende certificering?

Ja. NIS2 SC is erkend in Nederland en wordt nu ook internationaal uitgerold. Bedrijven uit heel Europa, waaronder Zweden, Duitsland en zelfs IJsland, zijn actief.

Wat betekent dit concreet voor mijn inkoopvoorwaarden?

Je kunt opnemen dat leveranciers moeten beschikken over een passende, geauditeerde cybersecurity-certificering, zoals NIS2 SC, afgestemd op hun risicoprofiel. Daarmee voldoe je aan de NIS2-verplichtingen zonder overregulering.

Wat is het grootste voordeel voor inkoop?

Je voldoet aantoonbaar aan de wet, beheerst ketenrisico’s en behoudt leveranciers tegen acceptabele kosten voor hen en voor jezelf. Dat is precies waar goed inkoopbeleid over gaat.