NIS2 en leveranciers

Niet rechtstreeks plichtig, toch geraakt

Een leverancier wordt niet automatisch wettelijk NIS2-plichtig doordat hij levert aan een gemeente, ziekenhuis, energiebedrijf of andere NIS2-organisatie. Toch kan de praktische impact groot zijn.

Waarom opdrachtgevers eisen doorleggen

NIS2-organisaties moeten risico’s in hun toeleveringsketen beheersen. Zij moeten daarom weten welke leveranciers toegang hebben tot systemen, gegevens of kritieke processen en wat de gevolgen zijn wanneer zo’n leverancier uitvalt.

Opdrachtgevers kunnen beveiligingseisen opnemen in contracten, aanbestedingen, leveranciersvragenlijsten en auditprogramma’s. Voorbeelden zijn MFA, incidentmeldtermijnen, back-upvereisten, continuïteitsplannen, periodieke tests, beveiligingsbeleid en bewijs van opvolging.

Wanneer is de ketenimpact hoog?

De impact is meestal groter wanneer een leverancier beheerdersrechten heeft, gevoelige gegevens verwerkt, netwerktoegang heeft, op afstand beheert of een dienst levert waarvan uitval belangrijke processen stillegt.

Wat betekent dit voor kleinere organisaties?

Ook een klein IT-bedrijf, softwareleverancier, installatiebedrijf of professionele dienstverlener kan worden gevraagd om een beveiligingsniveau aantoonbaar te maken dat sterk lijkt op de eisen voor een rechtstreeks NIS2-plichtige organisatie.

Praktische voorbereiding

Breng belangrijke opdrachtgevers, kritieke diensten, systeemtoegang, contractuele meldtermijnen en eigen onderaannemers in kaart. Zorg vervolgens dat beleid en maatregelen niet alleen bestaan, maar ook aantoonbaar zijn.

Deze pagina is informatief. Controleer bij twijfel altijd de actuele officiële informatie of raadpleeg een juridisch of cybersecuritydeskundige.