NIS2 voor leveranciers aan NIS2-plichtige organisaties: wat moet je nu al regelen?Image source: Bing image creator
11 min leestijd

NIS2 voor leveranciers aan NIS2-plichtige organisaties: wat moet je nu al regelen?

Geschreven door
  • Dennis van de WielDennis van de Wiel · Founder & CEOLinkedIn
Laatst bijgewerkt
Jun 25, 2026

Je bent zelf misschien te klein voor NIS2. Onder de 50 medewerkers, onder de €10 miljoen omzet, niet in een aangewezen sector. Toch ligt er ineens een beveiligingsvragenlijst van 60 vragen op je bureau, gestuurd door een klant die wél onder de wet valt. Of er staat een nieuwe clausule in je contractverlenging, of je krijgt een mail: "Wij vereisen dat onze leveranciers aantoonbaar NIS2-conforme maatregelen hebben."

Dit is de ketenwerking van NIS2, en die raakt veel meer bedrijven dan de wet direct aanwijst. Dit artikel gaat over jouw kant van die relatie: waarom de eis bij je belandt, en hoe je laat zien dat je je zaken op orde hebt.

Waarom de eis bij jou belandt

NIS2-plichtige organisaties zijn wettelijk verplicht om de cyberveiligheid van hun toeleveringsketen te beheersen. Artikel 21 verplicht hen om de beveiliging van hun directe leveranciers te beoordelen en contractueel te borgen. Die verplichting kunnen ze niet uitbesteden, maar wel doorleggen. En dat doen ze, via vragenlijsten, contractclausules en de eis om bewijs te overleggen.

De reden is simpel: een keten is zo sterk als de zwakste schakel. Een ziekenhuis met perfecte interne beveiliging is alsnog kwetsbaar als een softwareleverancier met toegang tot patiëntsystemen gehackt wordt. Aanvallers kiezen steeds vaker juist die route, via een kleinere leverancier het grote doelwit binnen. Daarom moet de NIS2-plichtige klant het risico van zijn leveranciers kennen en beheersen, en daarom komt de vraag bij jou terecht. De relevante vraag is dus niet of je zelf formeel plichtig bent, maar of je klant jou als een risico in zijn keten beschouwt. Verwerk je klantdata of heb je toegang tot hun systemen, dan is het antwoord vrijwel altijd ja.

Hoe de eis er in de praktijk uitziet

De vraag komt zelden binnen als "voldoe aan NIS2". Hij komt in een van drie vormen: een beveiligingsvragenlijst van een procurement-afdeling, een nieuwe clausule in je contract over incidentmelding en auditrechten, of een directe vraag om bewijs zoals een certificaat of testrapport.

Die laatste vorm wordt belangrijker. In audits van toeleveringsketens is een terugkerend beeld dat leverancierslijsten vol staan met de aantekening "OK" zonder dat iemand weet wanneer dat voor het laatst is gecontroleerd. Klanten die NIS2 serieus nemen, nemen daar geen genoegen meer mee. Voor leveranciers die ze als kritiek inschatten, vragen ze bewijs in plaats van een verklaring.

Wat je nu al moet regelen

Het startpunt is een set aantoonbare basismaatregelen. Deze vier wegen het zwaarst omdat ze het meeste risico afdekken en omdat klanten er het vaakst naar vragen: multifactorauthenticatie op systemen met klanttoegang, tijdig bijwerken van software en firmware, geautomatiseerde back-ups met periodieke hersteltesten, en toegangsrechten volgens het principe van minimale rechten.

Bij die back-ups schuilt een valkuil die in audits steeds terugkomt. Veel organisaties hebben wel een back-upoplossing draaien, maar hebben nooit getest of een herstel werkt. Een back-up die je nooit hebt teruggezet, is in een crisis vaak waardeloos. Een leverancier die zijn herstel periodiek test, onderscheidt zich direct.

Daarnaast verwacht een klant een werkend incidentproces. Als jouw dienst onderdeel is van een incident bij een NIS2-plichtige klant, moet die snel kunnen handelen om zijn eigen meldtermijnen te halen. Geen uitgebreid draaiboek nodig, wel een helder proces: wie doet wat, hoe informeer je je klant, en hoe leg je het incident vast.

Hoe je het aantoont: NIS2 Supply Chain, Cyber Fundamentals, of ISO 27001

NIS2 is zelf geen certificeringsnorm en verplicht je niet tot een specifiek certificaat. De klant wil aantoonbaarheid, en daarvoor zijn er drie gangbare routes. Welke past, hangt af van je rol in de keten en de markt waarin je klanten opereren.

NIS2 Supply Chain (SC). Het Nederlandse keurmerk, sinds januari 2026 de nieuwe naam van het originele NIS2 Quality Mark. Specifiek ontwikkeld voor leveranciers in de keten, met drie niveaus: SC10 (Basic) voor mkb met beperkt risico, SC20 (Substantial) voor leveranciers met toegang tot gevoelige data of systemen zoals ICT- en OT-dienstverleners, en SC30 (High) voor cruciale ketenpartners en NIS 2 plichtigen. Het grote voordeel: één keurmerk vervangt het telkens opnieuw invullen van vragenlijsten van verschillende klanten. Je verwijst gewoon naar je niveau en bedrijven gaan al gauwer met jullie aan de slag.

CyberFundamentals (CyFun). Het Belgische equivalent, relevant als je aan Belgische NIS2-plichtige klanten levert. Het kent een startniveau Small en drie assurance-niveaus: Basic, Important en Essential. Welke je nodig hebt, bepaalt je klant op basis van het risico dat je vertegenwoordigt.

ISO 27001. Vaak onderschat in dit verband, maar de sterkste optie als je hem al hebt of overweegt. ISO 27001 dekt inhoudelijk een groot deel van wat NIS2 van leveranciers vraagt: risicobeheer, toegangsbeheer, incidentafhandeling, bedrijfscontinuïteit en aantoonbare beheersmaatregelen. Voor een NIS2-plichtige klant is een ISO 27001-certificaat een direct herkenbaar signaal dat je je informatiebeveiliging serieus neemt, en het wordt breed geaccepteerd als bewijs in de keten. Wie ISO 27001 heeft, dekt daarmee de meeste SC- en CyFun-eisen al af en hoeft zelden een apart keurmerk te halen. Heb je diepe toegang tot kritieke klantsystemen, of verwachten meerdere grote klanten een volwassen managementsysteem, dan is ISO 27001 het overwegen waard boven een keurmerk.

De rode draad: een ingevulde vragenlijst, een onderbouwde zelfverklaring, een SC- of CyFun-keurmerk of een ISO 27001-certificaat kunnen allemaal volstaan. Wat telt, is de aantoonbaarheid, afgestemd op het risico dat jij voor de klant vormt.

Wat nog kan wachten

Niet alles hoeft meteen, en het verkeerd inschatten daarvan laat leveranciers onnodig vastlopen. Een volledig beheersysteem dat aan alle NIS2-zorgplichtmaatregelen voldoet, is voorbehouden aan organisaties die zelf onder toezicht staan. Lever je alleen standaardsoftware zonder diepe toegang tot kritieke klantprocessen, dan dek je met SC10 of CyberFundamentals Basic al een groot deel van de verwachtingen af. Stel ook overdocumentatie en overhaaste toolingkeuzes uit: begin met de maatregelen zelf, documenteer beknopt, en kies pas tooling als je weet welk niveau en kader je nastreeft.

Twee misverstanden die leveranciers vertragen

"Wij moeten aan het zwaarste niveau voldoen." Onjuist. NIS2 schrijft een proportionele aanpak voor. Een schoonmaakbedrijf dat een datacenter bezoekt heeft andere verplichtingen dan een IT-dienstverlener met beheertoegang tot kritieke netwerken. De keurmerken houden daar met hun niveaus rekening mee. Dit misverstand zorgt ervoor dat leveranciers de lat te hoog leggen en daardoor te lang wachten.

"Techniek is genoeg." Onjuist. NIS2 adresseert nadrukkelijk ook de menselijke en organisatorische kant. Medewerkers moeten phishing herkennen en weten wat ze doen bij een vermoed incident. Een technisch goed beveiligd bedrijf zonder getrainde mensen of incidentproces voldoet niet aan wat klanten verwachten.

Een eerlijk startpunt

De eerste stap is bepalen of en hoe je geraakt wordt. Lever je aan organisaties in kritieke sectoren, en welke van je systemen of diensten raken hun kritieke processen? Het Digital Trust Center van het Ministerie van Economische Zaken heeft een zelfevaluatietool waarmee je je positie binnen tien minuten kunt inschatten. Breng daarna in kaart welke basismaatregelen je al hebt en kies bewust een niveau en kader, in plaats van te reageren op de vragenlijst die toevallig als eerste binnenkomt.

Hoe Tidal Control leveranciers ondersteunt

Tidal Control biedt voorgebouwde beheersmaatregelen en beleidssjablonen voor NIS2 Supply Chain, CyberFundamentals en ISO 27001, zodat je het kader kiest dat bij je klanten en je rol past. Je ziet direct welke eisen je al afdekt, en omdat de kaders elkaar grotendeels overlappen hoef je een maatregel maar één keer in te richten. Het leveranciersbeheer ondersteunt de ketenkant: je houdt bij welke van je eigen toeleveranciers toegang hebben tot wat. Bewijs wordt automatisch verzameld via integraties met onder andere Microsoft en AWS, en meer dan 300 geautomatiseerde tests geven doorlopend inzicht of je maatregelen werken. Begin je met SC10 en groei je later door naar ISO 27001, dan bouw je voort op wat er al staat. ISO 27001 en NIS2 ernaast monitoren? Tidal toont inzichtelijk de gaps tussen ISO 27001 en NIS2.

Wil je weten hoe jouw organisatie ervoor staat?

Voordat je een vragenlijst beantwoordt of een niveau kiest, helpt het om te weten waar je staat. Welke basismaatregelen heb je al, en waar zitten de gaten?

Doe de gratis Quickscan en krijg in vijf minuten een eerste beeld van je positie en de logische vervolgstappen. Geen verkoopgesprek, geen verplichtingen.

Doe de gratis Quickscan →

Veelgestelde vragen over NIS2 voor leveranciers

Moet ik aan NIS2 voldoen als ik zelf niet onder de wet val?

Niet rechtstreeks, maar je krijgt de eisen indirect via je klanten. NIS2-plichtige organisaties moeten hun leveranciersrisico beheersen en leggen dat contractueel door. Lever je aan een organisatie in een kritieke sector en verwerk je hun data of heb je toegang tot hun systemen, dan krijg je via een vragenlijst, een contractclausule of een verzoek om bewijs alsnog met NIS2-eisen te maken.

Telt mijn ISO 27001-certificaat als bewijs voor NIS2?

Ja, en sterker dan veel leveranciers denken. ISO 27001 dekt inhoudelijk een groot deel van wat NIS2 van leveranciers vraagt en wordt breed erkend als bewijs in de keten. Wie ISO 27001 heeft, dekt daarmee de meeste SC- en CyFun-eisen al af en hoeft zelden nog een apart keurmerk te halen.

Wat is het verschil tussen NIS2 Supply Chain en CyberFundamentals?

NIS2 Supply Chain (SC10, SC20, SC30) is het Nederlandse keurmerk voor leveranciers in de keten. CyberFundamentals (CyFun) is het Belgische kader van het CCB, met een startniveau Small en de assurance-niveaus Basic, Important en Essential. Welke voor jou relevant is, hangt af van de markt waarin je klanten opereren: Nederlandse klanten vragen doorgaans NIS2 Supply Chain, Belgische klanten CyberFundamentals.

Schrijf je in voor maandelijkse updates: wat er nieuw is bij Tidal, framework-nieuws en compliance-resources.

Door je e-mailadres in te sturen ga je akkoord met ons Privacybeleid.