Als een leverancier niet NIS2-compliant is, ben jij als afnemer mogelijk medeverantwoordelijk voor de risico’s die dat met zich meebrengt. Zeker als jouw organisatie zelf onder de NIS2-richtlijn valt, ben je verplicht om ook de beveiliging van je toeleveranciers te bewaken. In dit artikel beantwoorden we de meest gestelde vragen over wat je kunt doen als een leverancier niet aan de NIS2-eisen voldoet.
Welke risico’s loop je als jouw leverancier niet NIS2-compliant is?
Als jouw leverancier niet NIS2-compliant is, loop je als organisatie een aanzienlijk beveiligingsrisico. Een zwakke schakel in de keten kan een toegangspoort zijn voor cybercriminelen. Omdat jij verantwoordelijk bent voor je eigen digitale weerbaarheid, kunnen de gevolgen van een incident bij een leverancier direct op jou terugslaan, zowel operationeel als juridisch.
Concreet gaat het om de volgende risico’s:
- Datalekken via de leverancier: Als een leverancier toegang heeft tot jouw systemen of gegevens en zelf onvoldoende beveiligd is, kunnen aanvallers via die route binnenkomen.
- Verstoringen in de bedrijfscontinuïteit: Een cyberaanval bij een kritieke leverancier kan jouw eigen dienstverlening platleggen.
- Juridische aansprakelijkheid: Als toezichthouders vaststellen dat jij onvoldoende maatregelen hebt genomen in de keten, kun jij boetes of sancties krijgen, ook al was de leverancier de zwakke plek.
- Reputatieschade: Klanten en partners verwachten steeds vaker dat jij aantoonbaar zorgvuldig omgaat met de beveiliging van je gehele keten.
Kortom: een niet-compliant leverancier is niet alleen het probleem van die leverancier. Het is ook jouw probleem.
Wat zegt NIS2 over de verantwoordelijkheid voor toeleveranciers?
NIS2 legt expliciet ketenverantwoordelijkheid op aan organisaties die onder de richtlijn vallen. Dat betekent dat je niet alleen je eigen beveiliging op orde moet hebben, maar ook passende maatregelen moet nemen ten aanzien van de leveranciers waarmee je samenwerkt. In Nederland wordt dit verankerd in de Cyberbeveiligingswet, die naar verwachting in het tweede kwartaal van 2026 in werking treedt.
De richtlijn vereist dat je een risicoanalyse uitvoert van je toeleveringsketen. Daarin beoordeel je welke leveranciers toegang hebben tot jouw systemen of gegevens, en welke risico’s dat met zich meebrengt. Vervolgens ben je verplicht om op basis van die analyse maatregelen te treffen. Dat kan gaan om contractuele eisen, technische beperkingen of het stellen van minimumeisen aan de beveiliging van leveranciers.
Het is dus niet voldoende om zelf goed beveiligd te zijn. De NIS2 supply chain-verplichting betekent dat je actief toezicht moet houden op de beveiligingspraktijken van de partijen waarmee je samenwerkt.
Hoe controleer je of een leverancier NIS2-compliant is?
Je controleert of een leverancier NIS2-compliant is door gerichte vragen te stellen over het beveiligingsbeleid, de risicobeheerprocedures en de incidentmeldingsprocessen. Vraag ook naar certificeringen of aantoonbare audits. Een leverancier die serieus omgaat met NIS2 kan dit onderbouwen met documentatie.
Praktische stappen om de compliance van een leverancier te toetsen:
- Vraag naar een informatiebeveiligingsbeleid: Heeft de leverancier een gedocumenteerd beleid voor informatiebeveiliging? Is dit recent bijgewerkt?
- Controleer op certificeringen: ISO 27001 is een erkende standaard die veel overlap heeft met NIS2-vereisten. Een gecertificeerde leverancier heeft al een flink deel van het werk gedaan.
- Stel vragen over incidentrespons: Hoe reageert de leverancier op een beveiligingsincident? Is er een meldingsprocedure?
- Vraag naar toegangsbeheer en patchbeheer: Worden updates tijdig doorgevoerd? Wie heeft er toegang tot welke systemen?
- Laat een vragenlijst invullen: Gebruik een gestandaardiseerde beveiligingsvragenlijst als basis voor het gesprek.
Houd er rekening mee dat compliance een doorlopend proces is, geen eenmalige actie. Bouw controles in op vaste momenten, bijvoorbeeld jaarlijks of bij contractverlenging.
Wat zijn je opties als een leverancier weigert NIS2-compliant te worden?
Als een leverancier weigert te voldoen aan NIS2-eisen, heb je drie hoofdopties: extra technische maatregelen treffen om het risico te beperken, de samenwerking heronderhandelen met duidelijke eisen, of de relatie beëindigen en overstappen naar een compliant alternatief. Welke optie het meest geschikt is, hangt af van hoe kritiek de leverancier is voor jouw bedrijfsvoering.
Risico beperken zonder de leverancier te wisselen
Als de leverancier moeilijk te vervangen is op korte termijn, kun je compenserende maatregelen nemen. Denk aan het beperken van de toegang die de leverancier heeft tot jouw systemen, het toevoegen van extra beveiligingslagen zoals monitoring, of het segmenteren van je netwerk zodat een incident bij de leverancier niet direct doorwerkt in jouw omgeving.
Overstappen naar een compliant leverancier
Als een leverancier structureel weigert mee te werken aan beveiligingsvereisten, is overstappen op termijn de meest logische keuze. Zeker als het gaat om leveranciers die toegang hebben tot gevoelige gegevens of kritieke systemen. Documenteer je pogingen om de leverancier te bewegen tot compliance, want dit kan relevant zijn als je later vragen krijgt van een toezichthouder.
Welke contractuele afspraken beschermen je bij niet-naleving?
Goede contractuele afspraken beschermen je door duidelijk vast te leggen welke beveiligingseisen gelden, wat de gevolgen zijn bij niet-naleving, en wie aansprakelijk is bij een incident. Zonder deze afspraken sta je bij een datalek of cyberaanval via een leverancier juridisch zwak.
Zorg dat contracten met leveranciers minimaal de volgende elementen bevatten:
- Beveiligingseisen: Omschrijf concreet welke maatregelen de leverancier moet treffen, zoals versleuteling, toegangsbeheer en regelmatige updates.
- Auditrecht: Leg vast dat jij het recht hebt om de naleving van beveiligingsafspraken te controleren, eventueel via een onafhankelijke partij.
- Meldplicht bij incidenten: Verplicht de leverancier om jou direct te informeren bij een beveiligingsincident dat jouw gegevens of systemen kan raken.
- Aansprakelijkheidsclausule: Bepaal wie aansprakelijk is voor schade die ontstaat door een beveiligingsfout aan de kant van de leverancier.
- Ontbindingsrecht: Neem een clausule op waarmee je de overeenkomst kunt beëindigen als de leverancier structureel niet aan de beveiligingseisen voldoet.
Laat contracten beoordelen door iemand met kennis van zowel IT-beveiliging als contractrecht. De combinatie van technische en juridische expertise is hier essentieel.
Wanneer moet je een toezichthouder informeren over een niet-compliant leverancier?
Je bent verplicht een toezichthouder te informeren wanneer een beveiligingsincident via een leverancier een significante impact heeft op de continuïteit of vertrouwelijkheid van jouw dienstverlening. NIS2 schrijft voor dat significante incidenten binnen 24 uur gemeld worden bij de bevoegde autoriteit. Een leverancier die structureel niet compliant is en daarmee een aantoonbaar risico vormt, kan ook reden zijn voor melding of overleg met de toezichthouder.
In Nederland is de bevoegde toezichthouder afhankelijk van de sector. Voor ICT-dienstverlening is dat doorgaans het Nationaal Cyber Security Centrum (NCSC) of een sectorspecifieke autoriteit. Raadpleeg de actuele richtlijnen van de Cyberbeveiligingswet om te bepalen welke autoriteit voor jouw organisatie relevant is.
Houd een logboek bij van de stappen die je hebt gezet om leveranciers te laten voldoen aan NIS2-eisen. Dit toont aan dat je als organisatie zorgvuldig hebt gehandeld, ook als het uiteindelijk toch misgaat.
Hoe IT Aanspreekpunt helpt met NIS2 en leveranciersbeveiliging
NIS2-compliance in de keten is complex, zeker als je ook nog je dagelijkse bedrijfsvoering draaiende moet houden. Wij helpen MKB-organisaties om grip te krijgen op hun digitale beveiliging, inclusief de risico’s die via leveranciers binnenkomen. Concreet doen wij dat door:
- Het uitvoeren van een risicoanalyse van jouw toeleveringsketen
- Het implementeren van technische maatregelen zoals MFA, toegangsbeheer en monitoring en updates
- Het opstellen van beveiligingseisen die je kunt opnemen in leverancierscontracten
- Begeleiding bij ISO 27001-certificering, een erkende standaard die aansluit op NIS2-vereisten
- Volledige ontzorging via onze totale ICT-ontzorging, zodat jij je kunt focussen op je bedrijf
Wil je weten waar jouw organisatie nu staat en wat er nodig is om NIS2-compliant te worden? Neem contact met ons op voor een vrijblijvend gesprek.