NIS2 voor leveranciers aan NIS2-plichtige organisaties: wat moet je nu al regelen?

NIS2 in het kort voor de leveranciersketen

Waarom NIS2 relevant wordt

NIS2, in Nederland uitgewerkt als de Cyberbeveiligingswet, verplicht organisaties in essentiële en belangrijke sectoren tot aantoonbare cyberveiligheid. Dat klinkt als een interne aangelegenheid, maar NIS2 gaat expliciet verder. Artikel 21 lid 2 sub d van de richtlijn stelt dat entiteiten maatregelen moeten nemen voor "de beveiliging van de toeleveringsketen, met inbegrip van beveiligingsgerelateerde aspecten met betrekking tot de relaties tussen elke entiteit en haar rechtstreekse leveranciers of dienstverleners." In gewone taal: wie levert aan een NIS2-plichtige organisatie, moet aantoonbaar aandacht hebben voor cyberveiligheid. De afnemer is er immers verantwoordelijk voor dat zijn leveranciers het risicoprofiel van de keten niet verhogen.

Tegelijk is er een praktische druk die al voelbaar is, los van de wetgeving zelf. In tientallen EU-lidstaten is NIS2 al omgezet in nationale wetgeving en van kracht. Bedrijven die internationaal handelen of buitenlandse klanten bedienen, kunnen nu al te maken krijgen met concrete eisen uit inkoopprocessen of contractwijzigingen. Zelfs als de Nederlandse Cyberbeveiligingswet nog niet volledig in werking is, is het voor leveranciers aan Europese organisaties verstandig om niet af te wachten.

Wat NIS2 wel en niet is

NIS2 is een Europese richtlijn gericht op het verhogen van de digitale weerbaarheid van kritieke sectoren. Het is geen certificeringsnorm zoals ISO 27001. NIS2 schrijft geen specifieke technische standaard voor en heeft geen eigen auditschema voor leveranciers. Wat het wel doet, is een zorgplicht creëren. NIS2-plichtige organisaties zijn verantwoordelijk voor de weerbaarheid van hun keten en zullen die verantwoordelijkheid doorleggen via inkoopvoorwaarden, vragenlijsten en contractbepalingen.

NIS2 is ook geen statisch gegeven. De richtlijn schrijft maatregelen voor die proportioneel moeten zijn aan de risico's. Dat betekent dat een kleine leverancier niet aan dezelfde lat wordt gehouden als een kritieke datacenterprovider. Wat je moet kunnen aantonen, hangt af van de rol die je in de keten speelt en het risico dat je vertegenwoordigt voor de NIS2-plichtige klant.

Voor welke type leveranciers NIS2 van toepassing is

Essentiële en belangrijke entiteiten

NIS2 maakt onderscheid tussen essentiële entiteiten en belangrijke entiteiten. Essentiële entiteiten zijn actief in sectoren als energie, drinkwater, transport, bankwezen, gezondheidszorg, digitale infrastructuur en ruimtevaart, en vallen onder de zwaarste toezichtsregimes. Toezichthouders kunnen hen proactief en steekproefsgewijs controleren, ook zonder dat er een incident heeft plaatsgevonden. Boetes voor essentiële entiteiten kunnen oplopen tot tien miljoen euro of twee procent van de wereldwijde jaaromzet.

Belangrijke entiteiten vallen in sectoren als post- en koeriersdiensten, afvalbeheer, chemische industrie en digitale dienstverleners. Voor hen geldt reactief toezicht: de toezichthouder grijpt in op basis van meldingen of aanwijzingen, niet preventief. Boetes zijn lager maar nog altijd tot zeven miljoen euro of 1,4 procent van de jaaromzet. Als jouw organisatie rechtstreeks in een van deze sectoren actief is en boven de drempelwaarden van vijftig medewerkers of tien miljoen euro omzet uitkomt, ben je mogelijk zelf een NIS2-plichtige entiteit en gelden de verplichtingen direct.

Wanneer NIS2 nog niet geldt

Als jouw organisatie kleiner is dan vijftig medewerkers en minder dan tien miljoen euro omzet draait, val je in principe buiten de directe toepasselijkheid van NIS2, tenzij je in een sector actief bent die als kritiek wordt beschouwd. Microorganisaties en kleine bedrijven zijn van de directe verplichtingen vrijgesteld. Dat neemt niet weg dat zij als leverancier indirect kunnen worden geraakt doordat hun klanten eisen gaan stellen. Een klein softwarebedrijf dat toegang heeft tot de productiesystemen van een energiebedrijf, krijgt onvermijdelijk te maken met beveiligingsvereisten, ook al valt het zelf buiten de scope van de wet.

Wie actief is in sectoren die niet op de NIS2-lijst staan, en niet levert aan NIS2-plichtige klanten, hoeft op dit moment niets te doen. Maar de reikwijdte van de wet groeit. De verwachting is dat een aanzienlijk deel van de vijftigduizend leveranciers in Nederland op enig moment indirect met NIS2-eisen te maken krijgt.

Grijze gebieden en interpretatie

Niet elke situatie is zwart-wit. Een SaaS-leverancier die HR-software levert aan een zorginstelling die zelf essentieel is, raakt indirect aan NIS2-verplichtingen. Hetzelfde geldt voor een IT-dienstverlener die netwerkapparatuur beheert bij een drinkwaterbedrijf. De NIS2-plichtige klant is verplicht om risico's in de keten in kaart te brengen en zal daarvoor informatie opvragen bij leveranciers. Of jij zelf formeel plichtig bent, is in zo'n geval minder relevant dan de vraag of jouw klant jou als een risico beschouwt.

De handigste manier om je positie te bepalen is via de zelfbeoordelingstool van Digital Trust Center (onderdeel van het Ministerie van Economische Zaken). Die helpt je inschatten of je direct onder de Cyberbeveiligingswet valt. Maar ook als je er buiten valt: als je aan NIS2-plichtige klanten levert, is het verstandig om alvast aantoonbaar in control te zijn. Een NIS2 SC QM10-keurmerk, een CyberFundamentals Basic-certificering of een ISO 27001-certificering zijn concrete manieren om dat vertrouwen te geven, zonder dat je direct een volledig beheersysteem hoeft in te richten.

Wat je nu al moet regelen

Basismaatregelen op het gebied van cyberveiligheid

Het startpunt voor elke leverancier is het inrichten van aantoonbare basismaatregelen op het gebied van cyberveiligheid. Denk aan meervoudige verificatie voor toegang tot systemen, tijdig bijwerken van software en firmware, geautomatiseerde back-ups met periodieke hersteltesten, beperking van toegangsrechten op basis van het principe van minimale rechten, en een gedocumenteerd beleid voor het omgaan met kwetsbaarheden.

Voor leveranciers die dit aantoonbaar willen maken, biedt de NIS2 Supply Chain-certificering (NIS2 SC) een concrete optie. Dit keurmerk is specifiek ontwikkeld voor leveranciers in de keten en werkt met drie niveaus: QM10 (basis), QM20 (substantieel) en QM30 (hoog). Het laagste niveau is toegankelijk voor bedrijven die nog geen volledig beheersysteem hebben ingericht, maar wel basismaatregelen aantoonbaar willen borgen. De CyberFundamentals-certificering, die aansluit bij de Belgische aanpak van NIS2-implementatie, is een vergelijkbare optie voor bedrijven die al actief zijn in de Belgische markt of aan Belgische NIS2-plichtige organisaties leveren.

Risicobeheer en governance

NIS2 legt de nadruk op risicobeheer als fundament. Dat betekent niet dat je een uitgebreid risicobeheerprogramma moet optuigen, maar wel dat je aantoonbaar weet welke risico's je loopt, welke bedrijfsmiddelen van belang zijn, en welke maatregelen je hebt genomen. Voor een leverancier in de keten betekent dit concreet: weet welke klantdata of systemen je beheert, ken de afhankelijkheden, en leg vast welke maatregelen je hebt genomen om verstoringen te voorkomen.

Governance gaat over de vraag wie er verantwoordelijk is. NIS2 maakt duidelijk dat bestuurders persoonlijk aansprakelijk kunnen worden gesteld bij essentiële en belangrijke entiteiten. Voor leveranciers die niet zelf NIS2-plichtig zijn, bestaat die directe aansprakelijkheid niet, maar klanten zullen vragen wie verantwoordelijk is voor informatieveiligheid. Een benoemde eigenaar van het onderwerp, al is dat in kleine organisaties de directeur zelf, geeft vertrouwen en voorkomt discussies.

Incidentrespons en meldplicht

NIS2 stelt strikte termijnen voor het melden van incidenten aan toezichthouders: een vroegtijdige melding binnen 24 uur, een uitgebreider rapport binnen 72 uur, en een eindverslag binnen een maand. Directe NIS2-plichtige organisaties zijn hieraan gebonden. Maar ook als leverancier heb je hierin een rol. Als jouw systemen of dienstverlening onderdeel zijn van een incident bij een NIS2-plichtige klant, moet die klant snel kunnen handelen. Dat vereist dat jij transparantie kunt bieden over wat er is misgegaan en wanneer.

Zorg dus dat je minimaal een basisproces hebt voor incidentafhandeling. Dat hoeft geen uitgebreid draaiboek te zijn, maar wel een heldere beschrijving van wie wat doet als er iets misgaat, hoe klanten worden geïnformeerd, en hoe je het incident documenteert. Klanten zullen bij contractonderhandelingen steeds vaker vragen hoe jij omgaat met security-incidenten die hen kunnen raken.

Wat je nog niet hoeft te doen

Volledige compliance-inrichting

Als je als leverancier niet zelf NIS2-plichtig bent, hoef je op dit moment geen volledig beheersysteem in te richten dat aan alle tien NIS2-zorgplichtmaatregelen voldoet. Dat niveau van inrichting is gereserveerd voor essentiële en belangrijke entiteiten die zelf onder toezicht staan. Wat van leveranciers verwacht wordt, is proportioneel aan hun rol en het risico dat ze vertegenwoordigen. Wie alleen standaardsoftware levert zonder toegang tot kritieke klantprocessen, kan met een NIS2 SC QM10-keurmerk of een CyberFundamentals Basic-certificering al een groot deel van de klantverwachtingen afdekken. Wie als IT-dienstverlener diepe toegang heeft tot kritieke systemen, doet er verstandig aan om richting ISO 27001 of een hoger NIS2 SC-niveau te werken.

Het onderscheid is belangrijk. NIS2 heeft een gelaagde structuur: de verplichtingen voor leveranciers worden bepaald door de contractuele relatie en de risicoklasse, niet door een uniforme norm die voor iedereen gelijk is. De keuze voor het juiste niveau is dus niet willekeurig, maar een bewuste afweging op basis van je rol in de keten en de eisen van je klanten.

Overdocumentatie

Een veelgemaakte fout is het optuigen van een uitgebreide documentatieopzet voordat er ook maar iets is ingericht. Procedures, beleidssjablonen en risicoregisters zijn alleen waardevol als ze de werkelijkheid beschrijven. Wie nu vijftig pagina's beleid schrijft zonder de maatregelen te hebben doorgevoerd, bouwt een papieren systeem. Auditoren en klanten kijken niet alleen naar wat er op papier staat, maar ook naar het bewijs dat maatregelen daadwerkelijk werken.

Begin met de maatregelen zelf: toegangsbeheer, bijwerken, back-ups, bewustwording. Documenteer die zo simpel mogelijk. Je kunt altijd uitbreiden, maar beginnen met documentatie die verder gaat dan de praktijk creëert verwarring en administratieve lasten zonder toegevoegde waarde.

Overhaaste toolingkeuzes

De markt voor compliance- en beveiligingstools is groot en groeit snel. Veel leveranciers worden benaderd met oplossingen die beloven alles in een keer te regelen. De valkuil zit niet in het gebruik van tooling, maar in het kiezen zonder helder beeld van wat je nodig hebt. Een platform dat je basismaatregelen, risicobeheer en bewijsverzameling samenbrengt, bespaart aanzienlijk veel tijd ten opzichte van werken met spreadsheets en losse documenten. Maar de winst is het grootst als je weet welke normen je wilt afdekken en welk niveau je nastreeft.

Breng daarom eerst in kaart of je gaat voor NIS2 SC QM10, CyberFundamentals Basic of een breder kader zoals ISO 27001. Dat bepaalt de scope van wat je inricht en welke functionaliteit je van een platform verwacht. Wie die keuze bewust maakt, haalt direct waarde uit tooling en voorkomt dat een implementatie halverwege bijgesteld moet worden.

Veelgemaakte misverstanden over NIS2

NIS2 geldt op het hoogste niveau voor alle leveranciers

Een hardnekkig misverstand is dat alle leveranciers aan NIS2-plichtige organisaties moeten voldoen aan het zwaarste niveau van de richtlijn. Dat is onjuist. NIS2 schrijft een proportionele aanpak voor: de eisen die aan een leverancier worden gesteld, moeten afgestemd zijn op de risico's die die leverancier vormt voor de keten. Een schoonmaakbedrijf dat een datacenter bezoekt, heeft andere verplichtingen dan een IT-dienstverlener met beheertoegang tot kritieke netwerken. De NIS2 SC-certificering houdt hier expliciet rekening mee met haar drie niveaus.

Dit misverstand leidt er soms toe dat leveranciers onnodig lang wachten omdat ze de lat te hoog leggen. Ze denken dat ze aan een uitgebreide certificering of volledig ISMS moeten voldoen voordat ze iets kunnen laten zien. In werkelijkheid kunnen basisdocumentatie en basismaatregelen al een groot deel van de verwachtingen van klanten afdekken.

NIS2 vereist directe certificering

NIS2 is geen certificeringsnorm en verplicht leveranciers niet tot een specifiek certificaat. De richtlijn vereist dat NIS2-plichtige organisaties hun leveranciersrisico's beheersen, maar laat open hoe leveranciers dat aantonen. Een ISO 27001-certificering, een NIS2 SC-keurmerk, een ingevulde vragenlijst of een zelfverklaring kunnen allemaal volstaan, afhankelijk van de verwachtingen van de klant. Wat telt, is de aantoonbaarheid, niet het specifieke instrument.

Dat neemt niet weg dat een keurmerk voordelen heeft. Het vervangt herhalende vragenlijsten van meerdere klanten, geeft structuur aan de inrichting en maakt het eenvoudiger om aan te tonen dat je in control bent. Maar wie denkt dat NIS2 compliance onmogelijk is zonder certificering, houdt zichzelf onnodig klein.

Alleen technische maatregelen zijn voldoende

NIS2 adresseert uitdrukkelijk ook de menselijke en organisatorische kant van cyberveiligheid. Technische maatregelen zoals firewalls, meervoudige verificatie en encryptie zijn noodzakelijk, maar onvoldoende. Medewerkers moeten weten hoe ze phishing herkennen, wat ze doen bij een vermoedelijk incident, en waarom bepaalde beleidsregels gelden. Bestuurders moeten aantoonbaar betrokken zijn bij besluiten over informatiebeveiliging.

De meldplicht is een goed voorbeeld. Die werkt alleen als medewerkers weten dat ze verdachte situaties moeten melden en als er een duidelijk intern kanaal voor bestaat. Een technisch perfect beveiligd systeem met medewerkers die nooit zijn getraind en geen idee hebben van procedures, voldoet niet aan de geest van NIS2.

De relatie tussen NIS2 en bestaande frameworks

Samenhang met ISO 27001

ISO 27001 en NIS2 overlappen inhoudelijk in grote mate. Beide vereisen risicobeheer, beleid voor toegangsbeheer, incidentafhandeling, bedrijfscontinuïteit en aantoonbare beheersmaatregelen. Een ISO 27001-certificering geeft een NIS2-plichtige klant al een sterk signaal dat jij je informatiebeveiliging serieus neemt. DEKRA en andere certificeringsinstanties bevestigen dat ISO 27001 gecombineerd met aanvullende documentatie in veel gevallen voldoende is om aan NIS2-verwachtingen te voldoen.

Het verschil zit in de focus. ISO 27001 bouwt een volledig informatiebeveiligingsbeheersysteem op, inclusief de jaarlijkse beheersreview en continue verbetering. NIS2 is meer resultaatgericht: het gaat om aantoonbare weerbaarheid, niet om het doorlopen van een specifiek beheerproces. Voor leveranciers zonder ISO 27001-certificering biedt een NIS2 SC-keurmerk op QM10-niveau een haalbaar alternatief als startpunt.

Relatie met SOC 2

SOC 2 is een rapportagestandaard die met name relevant is voor dienstverlenende organisaties richting Noord-Amerikaanse klanten. Het adresseert vergelijkbare thema's als NIS2 (beveiliging, beschikbaarheid, vertrouwelijkheid), maar is niet gebaseerd op Europese wetgeving. Een SOC 2-rapport dat aantoont dat je beheersmaatregelen werken, kan bij sommige NIS2-plichtige klanten als bewijs worden gebruikt, maar is geen directe vervanging voor NIS2-compliance.

Voor Europese leveranciers die al een SOC 2-traject doorlopen of overwegen, is het zinvol om te beoordelen in hoeverre dat traject ook NIS2-verwachtingen afdekt. In de praktijk zijn er veel raakvlakken, maar NIS2 legt specifiek de nadruk op de leveranciersketen en de meldplicht, twee aspecten die in SOC 2 minder prominent zijn. Een gecombineerde aanpak via een platform dat meerdere normen gelijktijdig beheert, kan voorkomen dat je hetzelfde werk twee keer doet.

Voorbereiding op toekomstige eisen

De Europese wetgevingsagenda staat niet stil. De Cyber Resilience Act (CRA) introduceert nieuwe verplichtingen voor fabrikanten van producten met digitale elementen, van slimme apparaten tot softwarecomponenten. DORA richt zich op de financiële sector met strikte eisen voor digitale weerbaarheid en leveranciersbeheer. De trend is duidelijk: de reikwijdte van cyberveiligheidsverplichtingen groeit, en ketenverantwoordelijkheid wordt structureel onderdeel van het Europese regelgevingskader.

Wie nu al investeert in een gestructureerde aanpak van informatiebeveiliging, bouwt een fundament dat ook bruikbaar is voor toekomstige eisen. Documentatie, risicoregisters, beleid en beheersmaatregelen zijn herbruikbaar over meerdere normen heen. De efficiëntie van een geïntegreerd systeem ten opzichte van losse, per-norm ingerichte processen wordt met elk nieuw raamwerk groter.

Hoe je NIS2 gefaseerd aanpakt

Starten met overzicht

De eerste stap is altijd inzicht krijgen. Dat begint met de vraag: lever ik aan NIS2-plichtige organisaties, en zo ja, welke risico's vertegenwoordig ik voor hen? Breng vervolgens in kaart welke bedrijfsmiddelen, systemen en gegevens van belang zijn voor jouw dienstverlening aan die klanten. Dit hoeft geen uitgebreide inventarisatie te zijn, maar je hebt de informatie nodig om verstandige keuzes te maken over prioriteiten.

Beoordeel tegelijkertijd welke basismaatregelen je al hebt en waar de gaten zitten. Een eerlijke zelfevaluatie op basis van de tien zorgplichtmaatregelen uit NIS2 geeft richting. Meerdere brancheorganisaties en het Digital Trust Center bieden daarvoor gratis hulpmiddelen aan. Dit startpunt geeft structuur aan wat daarna komt, zonder dat je al verplichtingen aangaat die je nog niet kunt nakomen.

Stap voor stap verbeteren

NIS2-voorbereiding werkt het best als een geordend verbeterproces, niet als een alles-tegelijk-project. Prioriteer de maatregelen met de hoogste risicoreductie: toegangsbeheer, bijwerken van systemen, back-ups, en bewustwording bij medewerkers. Die vier categorieën zijn ook de basis voor NIS2 SC QM10 en de CyberFundamentals Basic-niveaus.

Leg elke maatregel vast zodra je die hebt ingericht. Niet in een uitgebreid beleidsdocument, maar in een heldere beschrijving van wat er gedaan wordt, wie ervoor verantwoordelijk is en hoe je bewijs verzamelt dat het werkt. Dat bewijs is wat klanten en auditoren nodig hebben. Na de basismaatregelen volgt het aanpakken van risicobeheer, incidentafhandeling en leveranciersbeheer van je eigen toeleveranciers.

Meebewegen met groei

NIS2-compliance is geen eindtoestand maar een continu proces. De richtlijn verwacht dat organisaties hun maatregelen periodiek evalueren en bijstellen op basis van nieuwe risico's. Voor een groeiende SaaS-organisatie betekent dat: meer medewerkers vraagt om beter toegangsbeheer, nieuwe klanten in gevoelige sectoren vraagt om een herbeoordeling van je risicoprofiel, en nieuwe technologie vraagt om bijgewerkte beheersmaatregelen.

Wie dat proces van meet af aan inricht als iets dat meeschaalt met de organisatie, voorkomt dat compliance een periodiek achterstands-project wordt. Dat vraagt om een beheerstructuur die actueel blijft, niet een document dat eens per jaar wordt bijgewerkt en de rest van de tijd ergens in een map staat.

De rol van tooling bij NIS2

Overzicht en structuur

Zodra de basismaatregelen staan en je merkt dat het bijhouden van de voortgang moeilijker wordt, is tooling waardevol. Een centraal systeem geeft inzicht in welke maatregelen zijn ingericht, welke bewijsstukken er zijn, en waar nog actie nodig is. Dat overzicht is ook essentieel als klanten vragen stellen over je security-status: je kunt snel en feitelijk antwoord geven in plaats van door spreadsheets te spitten.

Structuur in tooling helpt ook bij het onderscheid tussen wat je doet en waarom je het doet. Maatregelen die gekoppeld zijn aan normeisen en risico's, zijn eenvoudiger te verdedigen bij klanten en toezichthouders dan losse lijstjes met acties. Een goed ingericht systeem maakt zichtbaar dat je in control bent, niet alleen dat je dingen gedaan hebt.

Borging van maatregelen

Een maatregel die eenmalig is ingericht maar niet meer actueel is, heeft beperkte waarde. Tooling helpt om te zorgen dat maatregelen geborgd blijven. Denk aan periodieke herinneringen voor het controleren van toegangsrechten, het bijwerken van risicobeoordelingen, of het testen van back-ups. Automatische bewaking via integraties met cloudomgevingen en ontwikkeltools maakt dat je niet zelf hoeft na te gaan of iets nog klopt.

Voor leveranciers die hun klanten willen overtuigen van hun betrouwbaarheid, is aantoonbare continuïteit minstens zo belangrijk als het hebben van de juiste maatregelen. Bewijs dat maatregelen structureel werken en niet alleen bij een audit zijn opgefrist, is overtuigender dan een gecorrigeerd document dat eens per jaar wordt bijgewerkt.

Continu inzicht

NIS2 vraagt om een aanpak die meebewegen met veranderingen in risico's en technologie. Tooling die real-time inzicht geeft in de status van beheersmaatregelen en afwijkingen direct zichtbaar maakt, ondersteunt dat. Signalen dat iets niet meer werkt zoals bedoeld, een integratie die afwijkingen toont of een test die niet meer slaagt, zijn waardevolle input voor tijdige bijsturing.

Continu inzicht is ook relevant voor de meldplicht. Als er een incident plaatsvindt, heb je de informatie nodig om snel te handelen en te melden. Een systeem dat bewijs en incidentinformatie centraal bijhoudt, maakt die korte termijnen van 24 en 72 uur uitvoerbaar in plaats van paniekmoment.

Hoe Tidal Control ondersteunt bij NIS2

Praktische ondersteuning

Tidal Control ondersteunt zowel de NIS2 CyberFundamentals-aanpak als de NIS2 Quality Mark-certificering (NIS2 SC), inclusief het QM10-niveau dat specifiek bedoeld is als toegankelijk startpunt voor leveranciers. Het platform biedt voorgebouwde beheersmaatregelen en beleidssjablonen die direct laten zien welke normeisen je al afdekt en waar nog werk nodig is. Daarmee kun je direct starten zonder eerst van nul op te bouwen.

De integraties met cloudproviders en ontwikkeltools zoals Microsoft en AWS maken het mogelijk om bewijsverzameling te automatiseren. Zo hoef je niet handmatig na te gaan of configuraties nog kloppen of toegangsrechten actueel zijn. Meer dan 150 geautomatiseerde tests geven continu inzicht in de staat van je beheersmaatregelen, wat het bijhouden van bewijs voor klanten en toezichthouders aanzienlijk eenvoudiger maakt.

Structuur zonder complexiteit

Een van de uitdagingen bij NIS2-voorbereiding is dat het snel overweldigend kan aanvoelen, vooral voor teams die compliance erbij doen naast hun andere werk. Tidal Control fungeert als een centrale plek voor alle compliance-informatie. Beheersmaatregelen, beleidsdocumenten, risicobeoordelingen en afwijkingen staan op een plek, overzichtelijk en toegankelijk voor iedereen die erbij betrokken is.

Het leveranciersbeheer-module ondersteunt specifiek de ketenverplichting: je kunt bijhouden welke leveranciers je gebruikt, welke risico's zij vertegenwoordigen, en welke afspraken je met hen hebt gemaakt. Dat is precies de informatie die een NIS2-plichtige klant van jou nodig heeft om zijn eigen ketenzorgplicht aan te tonen, en die jij zelf nodig hebt als je zelf onder de wet valt.

Schaalbaar richting compliance

Tidal Control is opgezet voor startups, scale-ups en grotere organisaties, met een gelaagde aanpak die meeschaalt. Wie begint met NIS2 QM10 en later groeit naar ISO 27001 of een hoger NIS2-niveau, hoeft niet opnieuw te beginnen. De beheersmaatregelen, het bewijs en de documentatie die je hebt opgebouwd, vormen het fundament voor verdere uitbreiding. Dat maakt de investering in een vroeg stadium direct bruikbaar, ook als je ambities later groter worden.

Met een gratis proefperiode van veertien dagen kun je het platform verkennen voordat je een beslissing neemt. Dat geeft een realistisch beeld van wat tooling toevoegt aan je NIS2-aanpak, zonder dat je direct een langetermijnverplichting aangaat.

Veelgestelde vragen over NIS2 voor leveranciers

Voor welke type leveranciers is NIS2 daadwerkelijk van toepassing?

NIS2 is direct van toepassing op organisaties die zelf als essentiële of belangrijke entiteit worden aangemerkt: actief in kritieke sectoren, met meer dan vijftig medewerkers of tien miljoen euro omzet. Voor leveranciers die niet zelf in die categorieën vallen, geldt een indirecte toepasselijkheid via de ketenzorgplicht van hun klanten. Hoe zwaar de verwachtingen zijn, hangt af van de rol die je speelt in de keten en het risico dat jouw systemen of diensten vormen voor de NIS2-plichtige afnemer.

Welke NIS2-maatregelen moet je nu al regelen en welke nog niet?

De maatregelen die je nu al moet inrichten zijn de basismaatregelen: meervoudige verificatie, tijdig bijwerken, geautomatiseerde back-ups met hersteltesten, beperking van toegangsrechten, en een eenvoudig incidentproces. Wat je kunt uitstellen, is een volledig uitgewerkt beheersysteem, uitgebreide documentatieopzetten en toolingkeuzes voordat de basis staat. De prioritering hangt af van het risiconiveau dat klanten aan jou toekennen.

Wat zijn de grootste misverstanden over NIS2 bij leveranciers?

De drie meest voorkomende misverstanden zijn: dat het zwaarste niveau van NIS2 voor alle leveranciers geldt (niet zo, het is proportioneel), dat je een formeel certificaat nodig hebt om aantoonbaar te zijn (niet per se, een zelfverklaring of vragenlijst kan ook volstaan), en dat alleen technische maatregelen tellen (ook menselijke en organisatorische maatregelen zijn onderdeel van NIS2-compliance).

Hoe verhoudt NIS2 zich tot bestaande frameworks zoals ISO 27001 en SOC 2?

ISO 27001 dekt inhoudelijk veel van wat NIS2 verwacht en wordt door de meeste klanten en toezichthouders erkend als sterk bewijs van informatiebeveiliging. SOC 2 heeft overlap maar is niet gericht op Europese wetgeving en adresseert de NIS2-specifieke onderdelen zoals de meldplicht en leveranciersketen minder expliciet. Een geïntegreerde aanpak via een platform voorkomt dubbel werk als je meerdere normen tegelijkertijd wilt afdekken.

Wanneer wordt tooling noodzakelijk om NIS2 beheersbaar te houden?

Tooling wordt waardevol zodra je de basismaatregelen hebt staan en merkt dat het bijhouden van de voortgang, het verzamelen van bewijs en het beheren van afwijkingen te veel tijd kost in spreadsheets of losse documenten. Voor kleinere organisaties met een beperkte scope kan dat later zijn dan voor snelgroeiende SaaS-bedrijven met meerdere klanten in gevoelige sectoren. Als klanten structureel vragen naar bewijs van je security-status, is dat het signaal dat een centraal systeem zijn investering terugverdient.