NIS2 en de leveranciersketen: beveiliging van toeleveranciers
NIS2 verplicht tot het beveiligen van je leveranciersketen. Hoe beoordeel je leveranciers, wat leg je contractueel vast en hoe beheers je de risicos?
Een van de ingrijpendste aspecten van NIS2 is de verplichting om de beveiliging van de leveranciersketen te beheren. Organisaties zijn verantwoordelijk voor hun eigen beveiliging maar ook voor de risico's die hun toeleveranciers met zich meebrengen. Grote cyberaanvallen als SolarWinds en Kaseya hebben aangetoond hoe een aanval op één leverancier kan leiden tot massale compromittering van honderden of duizenden klantorganisaties tegelijk.
Waarom leveranciersbeveiliging zo relevant is
De meeste organisaties vertrouwen op tientallen externe leveranciers die toegang hebben tot hun systemen, data of netwerken. Denk aan de leverancier van het boekhoudpakket die via een remote support-sessie inlogt. De IT-beheerder die beheerderachtige toegang heeft tot de servers. De HR-softwareleverancier die persoonsgegevens van medewerkers verwerkt. De schoonmaakbedrijf dat buiten kantooruren toegang heeft tot het pand en daarmee indirect tot computers.
Elk van die leveranciers is een potentieel aanvalspunt. Als een aanvaller de systemen van een kleine softwareleverancier comprometteert die op zijn beurt toegang heeft tot honderd klantorganisaties, zijn al die klanten kwetsbaar.
Wat NIS2 concreet vereist
NIS2 vereist dat organisaties in hun risicobeheersbeleid aandacht besteden aan beveiliging van de leveranciersketen. Concreet betekent dit:
Een inventarisatie van kritieke leveranciers: welke externe partijen hebben toegang tot jouw systemen, data of netwerken, en hoe kritiek is die afhankelijkheid?
Een beoordeling van het beveiligingsniveau van die leveranciers: hebben ze adequate beveiligingsmaatregelen? Is dat aantoonbaar via certificering, audit of een beveiligingsvragenlijst?
Contractuele afspraken over beveiligingsvereisten: leg in contracten met kritieke leveranciers vast welke beveiligingsnormen zij moeten naleven, hoe zij incidenten melden en hoe je als klant kunt controleren of ze aan de afspraken voldoen.
Procedures voor het beheren van toegang van leveranciers: zorg dat leveranciers alleen de toegang hebben die ze echt nodig hebben en dat die toegang wordt ingetrokken als ze er geen gebruik meer van maken.
Hoe je begint met leveranciersbeoordeling
Een leveranciersbeoordeling begint met een inventarisatie. Stel voor je eigen organisatie vast:
Welke leveranciers hebben directe toegang tot je systemen? Dit zijn de meest kritieke: IT-beheerders, softwareleveranciers met remote access, cloudproviders.
Welke leveranciers verwerken gevoelige bedrijfsdata? Accountants, HR-dienstverleners, juridische adviseurs, marktonderzoekers.
Welke leveranciers hebben fysieke toegang tot locaties met systemen? Schoonmaak, beveiliging, facilitaire dienstverleners.
Welke leveranciers leveren componenten of software die verwerkt worden in jouw eigen producten of diensten?
Prioriteer de beoordeling op basis van het niveau van toegang en de gevoeligheid van de data.
Beveiligingsvragenlijsten voor leveranciers
De meest praktische manier om het beveiligingsniveau van leveranciers te beoordelen, is via een beveiligingsvragenlijst. Die vragenlijst bevraagt de leverancier op de belangrijkste beveiligingsaspecten: authenticatiebeleid, patchbeheer, incidentrespons, back-upbeheer, toegangscontrole, encryptiebeleid.
Voor kleinere leveranciers is een beknopte vragenlijst van tien tot twintig vragen voldoende. Voor grote of bijzonder kritieke leveranciers is een uitgebreide vragenlijst of een externe audit gerechtvaardigd.
Sommige leveranciers beschikken over certificeringen als ISO 27001 of SOC 2 die de resultaten van een externe audit vastleggen. Die certificeringen verlichten de beoordelingslast: je kunt het certificaat gebruiken als bewijs van een adequaat beveiligingsniveau.
Contractuele bescherming
Zorg dat kritieke leveranciers contractuele beveiligingsverplichtingen accepteren. De meeste professionele leveranciers zijn bereid beveiligingseisen in contracten op te nemen. Elementen om op te nemen:
Beveiligingsstandaard die de leverancier moet naleven, minimaal in lijn met ISO 27001 of een vergelijkbare norm.
Meldplicht bij beveiligingsincidenten die (mogelijk) effect hebben op jouw organisatie, met een concrete termijn, bijvoorbeeld binnen 24 uur.
Auditrecht, het recht om de beveiligingsstatus van de leverancier te controleren, hetzij via een vragenlijst, hetzij via een audit ter plaatse.
Toegangsbeheer, het principe dat de leverancier uitsluitend de minimaal noodzakelijke toegang heeft en dat toegang direct wordt ingetrokken als de opdracht eindigt.
Bewaarplicht voor logs van activiteiten die verband houden met jouw systemen of data.
Monitoring van leveranciers
Leveranciersbeoordeling is geen eenmalige activiteit. Plan periodieke herbeoordelingen in, minimaal jaarlijks voor kritieke leveranciers. Vraag om bijgewerkte certificeringen of bevestiging van naleving van de beveiligingsafspraken.
Monitor ook of leveranciers hun eigen verplichtingen nakomen: reageren ze tijdig op beveiligingsincidenten? Informeren ze je bij wijzigingen in hun beveiligingsbeleid?
Wat als een leverancier niet wil meewerken?
Sommige leveranciers zijn bereid noch in staat om aan beveiligingseisen te voldoen. Dat stelt je voor een afweging: is de waarde van de leverancier groot genoeg om de beveiligingsrisico's te accepteren, of is het tijd om een alternatief te zoeken?
Voor kritieke leveranciers met aanzienlijke toegang tot je systemen is het aanvaarden van een onvoldoende beveiligingsniveau een bewuste risicokeuze die je moet documenteren. Als dat risico te groot is, is overstappen naar een leverancier die wel aan beveiligingseisen voldoet de enige correcte oplossing.
NIS2 en de leveranciersketen: verplichtingen op een rij
| Verplichting | NIS2-artikel | Voor wie | Wat het betekent |
|---|---|---|---|
| Leveranciersrisicobeheer | Art. 21 lid 2d | Essentiële en belangrijke entiteiten | Beleid voor selectie en beoordeling van leveranciers |
| Minimale beveiligingseisen in contracten | Art. 21 lid 2d | Inkoper die NIS2-entiteit is | Beveiligingsclausules in leverancierscontracten |
| Incidentmelding door leveranciers | Contractueel vereist | Leveranciers van NIS2-entiteiten | Meldplicht bij veiligheidsincidenten die jou raken |
| Continuïteitsgaranties | Art. 21 lid 2c | Essentiële entiteiten | Leverancier moet continuïteitsplan kunnen aantonen |
Leveranciers beoordelen: een praktisch model
| Beoordelingscriterium | Weging | Hoe meten |
|---|---|---|
| ISO 27001-certificering of vergelijkbaar | 30% | Certificaat opvragen |
| AVG-verwerkersovereenkomst aanwezig | 20% | Contract controleren |
| Incidentmeldprocedure beschikbaar | 20% | Vragenlijst |
| Track record (geen bekende incidenten) | 15% | Referenties, nieuws |
| Financiële stabiliteit (continuïteit) | 15% | Jaarrekening, Creditsafe |
Praktijkscenario: zorginstelling beoordeelt 18 leveranciers voor NIS2
Een zorginstelling met 85 medewerkers (essentiële entiteit) inventariseerde alle leveranciers met toegang tot patiëntdata of kritieke systemen: 18 leveranciers.
Per leverancier werden 5 criteria beoordeeld (scorelijst 1-5). Uitkomst:
- 7 leveranciers: score 4-5 (ISO 27001, DPA aanwezig, transparante incidentprocedure) → geen actie
- 8 leveranciers: score 2-3 → brief met verbeterverzoek en deadline 6 maanden
- 3 leveranciers: score 1 (geen AVG-overeenkomst, geen bewijs van beveiliging) → contract beëindigd of noodprocedure gestart
Tijdsinvestering: 32 uur voor 18 beoordelingen + 8 uur voor opvolgingsacties.
Stappenplan: leveranciersketen beveiligen voor NIS2
Stap 1: inventariseer kritieke leveranciers
Welke leveranciers hebben toegang tot je systemen, data of kritieke processen?
Stap 2: stel een beoordelingsmodel op
Gebruik de tabel hierboven of een sectorspecifieke norm (NIS2 bijlage II, ISO 27036).
Stap 3: voer een initiële beoordeling uit
Stuur een vragenlijst, vraag certifieringen op en raadpleeg openbare bronnen.
Stap 4: voeg beveiligingseisen toe aan contracten
Minimaal: meldplicht bij incidenten binnen 24 uur, recht op audit, AVG-verwerkersovereenkomst.
Stap 5: plan jaarlijkse herbeoordelingen
Leveranciersrisico's veranderen. Plan minimaal één keer per jaar een update van de beoordeling.
Veelgestelde vragen
Moeten al mijn leveranciers NIS2-compliant zijn?
Nee. NIS2 verplicht je tot het beheren van de beveiligingsrisico's in je leveranciersketen, niet tot het garanderen dat al je leveranciers zelf NIS2-compliant zijn. Het gaat erom dat je de risico's in kaart hebt en proportionele maatregelen neemt.
Wat als mijn leverancier veel groter is dan mijn eigen bedrijf?
Grote leveranciers als Microsoft, Google of SAP hebben doorgaans uitgebreide beveiligingsprogramma's en certificeringen. Je kunt hun publiek beschikbare certificeringen en beveiligingsdocumentatie gebruiken als basis voor je beoordeling.
Zijn er standaardvragenlijsten beschikbaar?
Ja. De NIST Cybersecurity Supply Chain Risk Management (C-SCRM)-richtlijnen en de ENISA Threat Landscape voor de leveranciersketen bieden referentiekaders. Ook het NCSC publiceert richtlijnen voor leveranciersbeveiliging.
*Zie ook: NIS2 technische maatregelen en NIS2 boetes en risicos.*
Aanvullende context voor het MKB
De uitdagingen die in dit artikel worden beschreven, zijn niet universeel. Wat voor een bedrijf van honderd medewerkers werkt, hoeft niet te werken voor een bedrijf van vijftien. En andersom: kleine bedrijven hebben soms meer flexibiliteit en kunnen sneller veranderingen doorvoeren dan grote organisaties.
Het MKB-segment is divers. Een productiebedrijf heeft andere digitale uitdagingen dan een adviesbureau. Een familiebedrijf dat twintig jaar op dezelfde manier werkt, staat voor andere change management-uitdagingen dan een startup die van begin af aan digitaal is ingericht.
Gebruik de informatie in dit artikel als startpunt voor een gesprek in jouw eigen organisatie over hoe de beschreven aanpak aansluit bij jouw specifieke situatie. De beste aanpak is de aanpak die werkt voor jouw mensen, jouw processen en jouw klanten.
Wanneer hulp inschakelen?
Externe expertise is zinvol als je intern de kennis of capaciteit mist om dit onderwerp goed aan te pakken. Maar wees selectief. Niet elk vraagstuk rechtvaardigt een externe consultant.
Externe hulp is zinvol bij: gebrek aan specifieke technische expertise die je niet snel intern kunt opbouwen, de noodzaak van een onafhankelijk perspectief bij interne meningsverschillen, en grote implementatietrajecten waarbij de risico's van fouten hoog zijn.
Voor standaard implementaties en kleinere beslissingen is zelf leren en uitvoeren vaak efficiënter en goedkoper dan telkens externe expertise inhuren. Investeer in de eigen kennisopbouw van medewerkers die verantwoordelijk zijn voor dit domein.
Bronnen voor verdere verdieping
Naast de artikelen op Digitaalgezag zijn er kwalitatieve externe bronnen voor verdere verdieping:
Het Nationaal Cyber Security Centrum (ncsc.nl) voor cybersecurity-gerelateerde onderwerpen. De website van de Autoriteit Persoonsgegevens (autoriteitpersoonsgegevens.nl) voor AVG en privacyvraagstukken. Microsoft Learn (learn.microsoft.com) voor uitgebreide gratis trainingen over Microsoft-producten. De Kamer van Koophandel (kvk.nl) voor subsidies, regelgeving en ondernemen in het algemeen.