NIS2 Toeleveringsketen: Waarom Je Mogelijk Moet Voldoen, Ook Als Je Niet Direct Onder NIS2 Valt
Je hebt de NIS2-criteria gecontroleerd: minder dan 50 werknemers, minder dan 10 miljoen euro omzet, niet in een kritieke sector. Dus NIS2 is niet op jou van toepassing, toch? Niet zo snel. Als een van je klanten onder NIS2 valt, zijn zij wettelijk verplicht om jouw cybersecurity te beoordelen. Dat betekent dat NIS2 je bereikt via de toeleveringsketen, of je nu direct in scope bent of niet.
Wat NIS2 Daadwerkelijk Zegt Over Toeleveringsketens
NIS2 suggereert supply chain security niet alleen. Het verplicht het. Artikel 21(2)(d) van Richtlijn (EU) 2022/2555 vereist dat essentiële en belangrijke entiteiten maatregelen treffen voor: Zie onze uitleg van alle NIS2 vereisten voor de volledige context.
"de beveiliging van de toeleveringsketen, met inbegrip van beveiligingsgerelateerde aspecten betreffende de relaties tussen elke entiteit en haar directe leveranciers of dienstverleners"
— NIS2 Directive, Article 21(2)(d)
Artikel 21(3) gaat verder en vereist dat entiteiten de "algemene kwaliteit van producten en cybersecuritypraktijken van hun leveranciers en dienstverleners, met inbegrip van hun veilige ontwikkelingsprocedures" evalueren. Dit is geen vrijblijvend advies. Het is een wettelijke verplichting met boetes tot 10 miljoen euro of 2% van de wereldwijde omzet.
Hoe Dit Jou Als Leverancier Bereikt
Hoewel je niet direct gereguleerd wordt, creëert NIS2 een cascade-effect via je klantrelaties:
Je klant registreert zich als NIS2-entiteit
Ze zijn wettelijk verplicht om hun supply chain security te beoordelen.
Ze maken een leveranciersbeveiligingsbeleid
NIS2 vereist dat ze minimale beveiligingseisen stellen aan alle leveranciers.
Je ontvangt een cybersecurity-vragenlijst
Je klant moet jouw beveiligingsniveau evalueren en de resultaten documenteren.
Je contract wordt bijgewerkt
Nieuwe clausules vereisen dat je aan specifieke beveiligingsstandaarden voldoet, incidenten meldt en audits toestaat.
Je voldoet of je verliest het contract
Je klant kan niet samenwerken met leveranciers die hun NIS2-compliance ondermijnen.
Wat Je Klanten Zullen Vragen
Op basis van de NIS2-vereisten en CCB-richtlijnen kun je van je NIS2-gereguleerde klanten het volgende verwachten:
Certificeringen en frameworks
- CyberFundamentals (CyFun) Basic certificering of zelfbeoordeling
- ISO/IEC 27001 certificering
- SOC 2 Type II rapport (vooral voor IT/clouddiensten)
- Sectorspecifieke certificeringen (PCI DSS voor betalingen, etc.)
Documentatie en bewijs
- Geschreven beveiligingsbeleid
- Incidentresponsprocedure
- Bedrijfscontinuïteits- en disaster recovery-plan
- Penetratietest- of kwetsbaarheidscanresultaten
- Registratie van security awareness-training voor medewerkers
Contractuele verplichtingen
- Incidentmelding binnen afgesproken termijnen
- Right-to-audit-clausules
- Verwerkingsovereenkomsten afgestemd op beveiligingseisen
- Jaarlijkse beveiligingsbeoordeling of externe audit
De Belgische Context: CCB en CyberFundamentals
België was de eerste EU-lidstaat die NIS2 omzette in nationale wetgeving (Wet van 26 april 2024). Het Centrum voor Cybersecurity België (CCB) is duidelijk over de verwachtingen voor toeleveringsketens:
Dit betekent dat het CCB expliciet CyFun Basic aanbeveelt als de minimale drempel voor elk Belgisch bedrijf dat levert aan NIS2-entiteiten. CyFun Basic is geen overweldigend framework. Het dekt fundamentele maatregelen die elk bedrijf hoort te hebben.
Tijdlijn
Lees ook onze gids voor KMO's en NIS2 met praktische stappen die je je kunt veroorloven.
Welke Leveranciers Worden Het Meest Geraakt?
Sommige leveranciers krijgen eerder en intensiever te maken met supply chain-vereisten:
IT-dienstverleners en MSP's
NIS2 Overweging 86 benoemt managed service providers specifiek vanwege hun "nauwe integratie in de bedrijfsvoering van entiteiten." Ransomwaregroepen zoals Qilin richten zich actief op MSP's omdat één inbraak toegang geeft tot tientallen klanten. Als je IT-diensten levert aan NIS2-entiteiten, sta je vooraan.
Softwareleveranciers
Moeten veilige ontwikkelingsprocedures aantonen en mogelijk Software Bills of Materials (SBOM's) leveren.
Cloud- en SaaS-aanbieders
Verwacht dat je SOC 2 of ISO 27001 certificeringen levert, plus gedetailleerde beveiligingsdocumentatie.
Professionele diensten (boekhouding, juridisch, HR)
Verwerken gevoelige data voor NIS2-entiteiten. Zullen geconfronteerd worden met datasecurity-eisen in bijgewerkte contracten.
Fysieke leveranciers en logistiek
Minder direct geraakt tenzij ze data verwerken of verbonden systemen beheren, maar supply chain-beleid kan hen alsnog bereiken.
Wat Te Doen
Je hoeft niet in paniek te raken, maar je moet wel actie ondernemen. Hier is een praktische aanpak:
Identificeer je NIS2-gereguleerde klanten
Breng in kaart welke van je klanten in essentiële of belangrijke sectoren zitten. Gezondheidszorg, energie, transport, bankwezen, digitale infrastructuur en openbaar bestuur zijn belangrijk.
Begin met CyFun Basic
Het CCB beveelt dit aan als minimum voor supply chain-entiteiten. Het is behapbaar: fundamentele cybersecuritymaatregelen die elk bedrijf zou moeten hebben.
Documenteer je beveiligingsniveau
Schrijf op wat je al doet. Veel KMO's hebben redelijke beveiliging maar geen documentatie. Dat is de kloof die NIS2 blootlegt.
Bereid je voor op vragenlijsten
Heb antwoorden klaar voor veelgestelde supply chain security-vragen. Een afgeronde CyFun Basic-beoordeling geeft je 80% van die antwoorden.
Praat met je IT-partner
Je MSP of IT-partner moet je kunnen helpen om CyFun Basic te halen. Als ze dat niet kunnen, is dat een waarschuwingssignaal.
Maak Van Compliance Een Concurrentievoordeel
De meeste KMO's zijn niet voorbereid. Uit onderzoek in 2025 bleek dat 34% van de KMO's het budget niet kan vrijmaken voor NIS2-compliance. Dat betekent dat de meerderheid van je concurrenten nog niets doet. Door nu CyFun Basic-gecertificeerd te worden: Houd rekening met de aankomende NIS2 deadlines - hoe eerder je handelt, hoe sterker je positie.
- Behoud je bestaande contracten met NIS2-gereguleerde klanten
- Win je nieuwe opdrachten van klanten die conforme leveranciers nodig hebben
- Onderhandel je vanuit een sterke positie wanneer klanten vragenlijsten sturen
- Verminder je je eigen cyberrisico in het proces
- Positioneer je jezelf voor concurrenten die wachten
Je Volgende Stap
Praat met je IT-partner over NIS2 supply chain-vereisten. Zij kunnen je helpen beoordelen waar je staat en wat je moet doen. Als ze niet bekend zijn met CyFun of NIS2, stuur hen dit artikel door.
Veelgestelde Vragen
Is NIS2 supply chain-compliance wettelijk verplicht voor leveranciers?
Niet direct. NIS2 reguleert je klanten, niet jou. Maar je klanten zijn wettelijk verplicht om hun toeleveringsketen te beveiligen. In de praktijk betekent dit contractuele vereisten die even bindend zijn. Als je niet voldoet, verlies je het contract.
Wat is het minimum dat ik moet doen?
Het CCB beveelt CyberFundamentals (CyFun) Basic niveau aan als minimum voor supply chain-entiteiten. Dit dekt fundamentele cybersecuritymaatregelen zoals toegangsbeheer, back-ups, incidentrespons en security awareness.
Wanneer krijg ik deze vereisten van klanten?
Het gebeurt al. NIS2 is in België van kracht sinds oktober 2024. Essentiële entiteiten moeten hun CyFun Basic-beoordeling indienen tegen april 2026. Terwijl ze zich voorbereiden, bouwen ze nu leveranciersinventarissen en schrijven ze supply chain-beleid.
Wat als ik maar een paar werknemers heb?
Grootte doet er niet toe voor supply chain-vereisten. Zelfs een bedrijf met 5 personen dat IT-diensten levert aan een ziekenhuis (essentiële entiteit) krijgt hiermee te maken. De NIS2-drempels (50 werknemers / 10M euro) gelden alleen voor directe regulering, niet voor supply chain-verplichtingen.
Kan mijn IT-partner me hierbij helpen?
Ja. Een goede MSP of IT-partner moet je kunnen begeleiden bij CyFun Basic en je helpen voorbereiden op klantvragenlijsten. Vraag hen naar hun NIS2- en CyberFundamentals-ervaring.