NIS2 ketenverantwoordelijkheid: wat verandert er voor leveranciers én hun klanten?

ISO 27001 richt zich in de kern op de interne beheersing van informatiebeveiliging, de Europese NIS2-richtlijn dwingt organisaties echter om verder te kijken dan de eigen muren. Onder deze richtlijn, die in Nederland zal worden omgezet in de Cyberbeveiligingswet, ontstaat een verplichting om ook risico’s in de toeleveringsketen structureel te beoordelen en te beheersen.

Dat betekent niet dat organisaties (juridisch) verantwoordelijk worden of zijn voor de beveiliging van hun leveranciers, maar wel dat zij inzicht moeten hebben in de risico’s die ontstaan door uitbesteding of afhankelijkheden, en dat zij passende eisen moeten stellen. Van Cloud providers tot softwareleveranciers: organisaties moeten aantoonbaar kunnen maken dat zij grip hebben op de digitale weerbaarheid van de keten waarvan zij deel uitmaken.

Deze verandering vraagt om andere afspraken, nieuwe beoordelingskaders en betere onderbouwing, zowel intern als richting klanten en toezichthouders.

De ISO 27001 norm vraagt organisaties om leveranciers te beoordelen op basis van risico’s. In de praktijk betekent dat dan:

• Je bepaalt welke diensten of middelen je uitbesteedt;
• Je weegt de risico’s;
• Je legt vast hoe je daarmee omgaat.

In veel gevallen wordt dit keurig uitgewerkt in beleid en onderbouwd met een risicoanalyse. Vervolgens wordt er een vragenlijst verstuurd naar leveranciers, soms wordt er nog een verklaring ondertekend, en dat was het.

Op papier sluit je daarmee perfect aan bij annex A.5.19 van de ISO 27001 norm, iets wat veel organisaties inmiddels goed geregeld hebben (zoals ook beschreven in onze eerdere blog over leveranciersbeoordeling). Maar met de komst van de NIS2-richtlijn en in navolging daarvan de Cyberbeveiligingswet verschuift het speelveld. De eisen worden scherper, de verwachtingen explicieter en de vrijblijvendheid verdwijnt.

Het gaat namelijk niet langer om wat je vastlegt, maar wat je daadwerkelijk weet en beheerst. Je moet aantoonbaar maken dat jouw leveranciers passende maatregelen treffen, en niet één keer, maar continu. Het is dus niet genoeg om in een vragenlijst op te nemen of een leverancier MFA gebruikt, je moet begrijpen of:

• Die maatregel passend is;
• Wat de impact is als die faalt;
• En wat jij daar tegenover zet in jouw eigen dienstverlening.

Dat vraagt om een andere benadering: leveranciersclassificatie op basis van impact, concrete eisen in contracten, en waar nodig afspraken over monitoring of zelfs audits. Het is een stap verder dan de ‘vertrouwen-maar-verifiëren’-aanpak van ISO. Onder NIS2 gaat het over kunnen aantonen dat je keten onder controle is, ook als het fout gaat.

De tools en principes uit ISO 27001 zijn daarbij nog steeds waardevol, ze blijven de basis. Maar wie uitsluitend daarop vertrouwt, mist een deel van dat wat NIS2 vraagt: verantwoordelijkheid voor hoe je omga

rganisaties niet alleen hun eigen netwerk- en informatiesystemen moeten beschermen, maar ook aandacht moeten besteden aan de beveiligingspraktijken van hun directe leveranciers en dienstverleners. Deze verplichting is vastgelegd in Artikel 21, lid 2, sub d van de NIS2-richtlijn:

“Essentiële en belangrijke entiteiten moeten passende maatregelen nemen om risico’s te beheren en incidenten te voorkomen. Dit omvat ten minste beveiliging van de toeleveringsketen, met inbegrip van beveiligingsgerelateerde aspecten met betrekking tot de relaties tussen elke entiteit en haar directe leveranciers of dienstverleners.” (Bron: Eur-lex.europa.eu).

• Concreet houdt dit in dat organisaties:
• Leveranciers moeten identificeren als risicodragers binnen hun keten.
• Risico’s die voortkomen uit uitbesteding aan derden in kaart moeten brengen.
• Passende beveiligingsmaatregelen schriftelijk moeten vastleggen, bijvoorbeeld in contracten of Service Level Agreements.
• De prestaties van leveranciers structureel moeten monitoren om te waarborgen dat afgesproken beveiligingsmaatregelen effectief worden nageleefd.
• Incidenten in de keten moeten kunnen signaleren en rapporteren, inclusief meldingen aan de relevante toezichthouders.

Deze eisen maken de relatie met leveranciers formeler en toetsbaar. Het is niet langer voldoende om te vertrouwen op algemene verklaringen of certificeringen, organisaties moeten actief kunnen aantonen dat zij grip hebben op de beveiligingspraktijken binnen hun toeleveringsketen.

In Nederland wordt de NIS2-richtlijn omgezet in de Cyberbeveiligingswet. Hoewel deze wet op moment van schrijven naar verwachting in het derde kwartaal van 2025 in werking treedt, is het belangrijk te benadrukken dat de verplichtingen uit de NIS2-richtlijn sinds 17 oktober 2024 al gelden binnen de Europese Unie. Organisaties doen er daarom verstandig aan om nu al te beginnen met het implementeren van de vereiste maatregelen.

Veel organisaties gebruiken een ISO 27001 certificaat of een zelfverklaring als bewijs van hun volwassenheid. Maar dat zegt weinig over hun rol in de keten, de afhankelijkheden die zij hebben of de specifieke maatregelen die onder NIS2 worden verwacht. Daarbij komt: lang niet elke leverancier ís gecertificeerd of beschikt over een volledig geïmplementeerd Information Security Management System (ISMS). Toch moeten ze wel beoordeeld worden door organisaties die zelf onder de NIS2-verplichtingen vallen. Maar voordat je überhaupt maatregelen of aantoonbaarheid kunt vastleggen, moet je één fundamentele stap zetten: bepalen welke leveranciers echt kritisch zijn.

Eén van de eerste stappen in het beheersen van ketenrisico’s onder NIS2 is het classificeren van leveranciers: welke partijen zijn cruciaal voor jouw dienstverlening, en welke niet? NIS2 vereist dat organisaties risico’s in de keten actief beoordelen, en daarbij het onderscheid maken tussen kritieke en niet-kritieke leveranciers. Dat bepaalt mede welke beveiligingsmaatregelen nodig zijn, en op welk niveau van toezicht of aantoonbaarheid je moet sturen.

• Een kritieke leverancier is een partij waarvan het falen directe impact heeft op de beschikbaarheid, integriteit of vertrouwelijkheid van jouw kernprocessen of dienstverlening. Denk aan hostingpartners, beheerders van medische of financiële data, OT-leveranciers of softwareleveranciers die diep in je systemen geïntegreerd zijn.
• Een niet-kritieke leverancier levert diensten of producten die weliswaar belangrijk zijn, maar geen directe risico’s opleveren voor bedrijfscontinuïteit of veiligheid bij uitval of misbruik. Denk aan schoonmaakdiensten, standaard kantoorsoftware of low-risk consultancy.

Deze classificatie is niet zwart-wit, maar moet gebaseerd zijn op risico’s in jouw specifieke context. Denk na over vragen zoals:

• Kunnen we tijdelijk zonder deze partij functioneren?
• Heeft de leverancier toegang tot vertrouwelijke of gevoelige gegevens?
• Heeft de leverancier toegang tot ons netwerk of (beheer)systemen?
• Zou uitval of misbruik bij deze leverancier leiden tot melding bij de toezichthouder?
• Kunnen we het effect van een incident bij deze leverancier binnen acceptabele grenzen houden?

Zonder een duidelijke structuur is het voor veel leveranciers lastig om op een consistente en overtuigende manier aan te tonen hoe volwassen hun cybersecurity is. Zeker nu steeds meer afnemers onder toezicht komen te staan, wordt het aantoonbaar beheersen van ketenrisico’s geen keuze meer, maar een vereiste. En precies daar komt het NIS2 Quality Mark in beeld.

Wat is NIS2 Quality Mark? Het Quality Mark is geen papieren checklist, maar een gestructureerde aanpak waarmee je, afhankelijk van jouw rol in de keten en het risico dat je vertegenwoordigt, op het juiste niveau kunt laten zien dat je in control bent. Het sluit inhoudelijk aan op NIS2, maar is praktisch prima uitvoerbaar, ook voor kleinere leveranciers die (nog) geen volledig ISMS hebben draaien.

De drie niveaus van het keurmerk, QM10 (basic), QM20 (substantial) en QM30 (high), zijn risico gebaseerd opgebouwd. Elk niveau bevat eisen op het gebied van:

• Governance;
• Beveiligingsmaatregelen;
• Incidentrespons;
• Leveranciersbeheer;
• Bewustwording.

Naarmate het risico toeneemt, stijgt ook de diepgang van de toetsing. Denk bij QM10 aan een verantwoorde basis met zelfbeoordeling, bij QM30 aan externe toetsing, technische maatregelen en integrale ketenafspraken.

Wat het Quality Mark onderscheidt, is dat het organisaties helpt om gestructureerd en onderbouwd te laten zien hoe zij omgaan met ketenverantwoordelijkheid. In plaats van elke keer opnieuw losse verklaringen, vragenlijsten of audits aan te leveren aan klanten, kun je met het keurmerk aantonen dat je cybersecurity hebt ingericht op een manier die past bij jouw risico’s en positie in de keten. Daarmee voldoe je aan de verwachtingen uit de NIS2-richtlijn én voorkom je discussies over wat voldoende is.

Voor veel organisaties zorgt een classificatie van leveranciers voor rust en overzicht: je weet wie je kritisch moet volgen, welke afspraken je moet maken, en waar je extra beheersmaatregelen nodig hebt. Het vormt een solide basis voor verdere keuzes in je ketenbeheer en risicobeheersing.

De eisen vanuit de NIS2-richtlijn, en straks de Cyberbeveiligingswet, zijn helder: organisaties moeten aantonen dat zij ook hun NIS2 ketenverantwoordelijkheid serieus nemen. Dat betekent niet alleen weten wie je leveranciers zijn, maar ook begrijpen welk risico zij vertegenwoordigen, en structureel kunnen onderbouwen welke beveiligingsmaatregelen zijn getroffen.

Het NIS2 Quality Mark biedt hiervoor een schaalbare en toepasbare oplossing. Met drie niveaus (QM10, QM20 en QM30) sluit het keurmerk aan op de risicoprofielen van verschillende leveranciers en dienstverleners, van basisdienst tot kritieke ketenpartner.

CAN Comply begeleidt organisaties niet alleen bij de implementatie, maar is ook bevoegd om audits uit te voeren op QM10-niveau, en, wanneer het géén NIS2-plichtige entiteit betreft, ook op QM20-niveau. Daarmee combineren we inhoudelijke begeleiding met toetsing binnen één traject, zonder de onafhankelijkheid uit het oog te verliezen.

Wil je weten welk niveau past bij jouw organisatie, of hoe je dit verantwoord integreert in je bestaande ISMS of contractmanagement? Neem gerust contact op, we denken graag met je mee. Zo weet je zeker dat je niet alleen voldoet aan NIS2, maar ook voorbereid bent op de eisen van je klanten en toezichthouders.