Hand met pen aarzelt boven ongetekend leverancierscontract op vergadertafel, rood waarschuwingsstempel zichtbaar, dramatische zijverlichting.

Wat doe je als een leverancier niet NIS2-compliant is?

Als een leverancier niet NIS2-compliant is, ben jij als afnemer toch verantwoordelijk voor de risico’s die dat met zich meebrengt. De NIS2-richtlijn verplicht organisaties namelijk om niet alleen hun eigen beveiliging op orde te hebben, maar ook de cybersecurity van hun toeleveringsketen actief te beheren. Dit artikel beantwoordt de meest gestelde vragen over wat je kunt doen als een NIS2-leverancier niet compliant blijkt te zijn.

Welke NIS2-verplichtingen gelden er voor jouw leveranciers?

Onder de NIS2-richtlijn ben jij als organisatie verplicht om de beveiliging van je volledige toeleveringsketen te waarborgen. Dit betekent dat je inzicht moet hebben in de cybersecuritymaatregelen van je leveranciers en moet kunnen aantonen dat je supply chain geen onacceptabele risico’s introduceert. De NIS2 supply chain-verplichting geldt voor alle entiteiten die onder de richtlijn vallen, ongeacht of de leverancier zelf ook onder NIS2 valt.

De zorgplicht die voortvloeit uit de Cyberbeveiligingswet (Cbw) omvat onder andere de volgende minimummaatregelen die direct raken aan leveranciersbeheer:

  • Beveiliging van de toeleveringsketen (supply chain security): je moet risico’s in de keten identificeren en beheersen
  • Beveiliging bij verwerving, ontwikkeling en onderhoud: ook software en diensten die je inkoopt vallen hieronder
  • Beleid voor risicoanalyse: een gedocumenteerde aanpak voor het beoordelen van leveranciersrisico’s
  • Toegangsbeveiliging: controle over welke toegang leveranciers hebben tot jouw systemen en data

In de praktijk betekent dit dat je als organisatie actief moet nagaan welke leveranciers toegang hebben tot kritieke systemen of gevoelige gegevens, en wat hun beveiligingsniveau is. Leveranciers die aan NIS2-entiteiten leveren, moeten zich bovendien voorbereiden op informatieverzoeken van hun afnemers over de cybersecuritymaatregelen in hun eigen organisatie. De NIS2-complianceverplichtingen gaan dus verder dan alleen je eigen organisatie.

Hoe stel je vast of een leverancier NIS2-compliant is?

Je stelt vast of een leverancier NIS2-compliant is door een gestructureerde beoordeling uit te voeren op basis van documentatie, vragenlijsten en eventueel technische toetsing. Er bestaat geen officieel NIS2-certificaat voor leveranciers, dus je moet zelf de due diligence uitvoeren of laten uitvoeren. Dit is een bewuste keuze van de wetgever: de zorgplicht ligt bij jou als afnemer.

Een praktische aanpak om leveranciers te beoordelen bestaat uit de volgende stappen:

  1. Breng de toeleveringsketen in kaart: identificeer welke leveranciers toegang hebben tot je systemen, netwerken of gegevens en welke risico’s zij vertegenwoordigen
  2. Stel een vragenlijst op: vraag leveranciers naar hun beveiligingsbeleid, incidentresponsplannen, toegangsbeveiliging en gebruik van encryptie
  3. Vraag naar certificeringen: ISO 27001 of een vergelijkbaar normenkader geeft een goede indicatie van volwassenheid
  4. Voer een technische toets uit: voor kritieke leveranciers kun je een penetratietest of vulnerability scan laten uitvoeren op gedeelde systemen of interfaces
  5. Herhaal periodiek: een eenmalige beoordeling is niet voldoende; de beveiligingssituatie van een leverancier kan veranderen

Gebruik de NIS2-ketenverantwoordelijkheid als uitgangspunt: hoe kritischer de leverancier voor jouw dienstverlening, hoe grondiger de beoordeling moet zijn. Een leverancier die alleen kantoorartikelen levert, vraagt een andere aanpak dan een partij die toegang heeft tot je cloudomgeving of klantdata.

Wat zijn de risico’s als een leverancier niet NIS2-compliant is?

Als een NIS2-toeleverancier niet compliant is, loop jij als afnemer aanzienlijke operationele, juridische en reputatierisico’s. De NIS2-richtlijn maakt duidelijk dat een beveiligingsincident via een niet-compliante leverancier niet als excuus geldt: de verantwoordelijkheid voor de keten ligt bij jou. Boetes voor essentiële entiteiten kunnen oplopen tot 10 miljoen euro of 2% van de wereldwijde jaaromzet.

De concrete risico’s zijn:

  • Operationeel risico: een aanval via een kwetsbare leverancier kan jouw dienstverlening direct verstoren, zoals bij supply chain-aanvallen waarbij kwaadaardige code via softwareleveranciers wordt verspreid
  • Juridisch en toezichtsrisico: toezichthouders kunnen oordelen dat je onvoldoende due diligence hebt uitgevoerd, ook als jijzelf technisch goed beveiligd bent
  • Datalekrisico: leveranciers met toegang tot persoonsgegevens of bedrijfsgevoelige informatie vormen een potentieel lek in je beveiliging
  • Reputatieschade: als een incident via een leverancier publiek wordt, treft de schade ook jouw organisatie
  • Meldplichtverplichtingen: een incident dat via een leverancier ontstaat, moet je mogelijk binnen 24 uur melden bij de nationale autoriteiten

Organisaties die leveranciers NIS2-eisen niet serieus nemen, onderschatten bovendien dat supply chain-aanvallen een van de snelst groeiende dreigingsvectoren zijn. De kwetsbaarheid zit niet altijd in je eigen systemen, maar juist in de verbindingen daartussenin.

Welke stappen kun je nemen als een leverancier niet voldoet?

Als je vaststelt dat een leverancier niet voldoet aan de NIS2-leverancierseisen, zijn er meerdere concrete stappen die je kunt nemen, afhankelijk van hoe kritisch de leverancier is en hoe groot het risico is. Wegkijken is geen optie: jouw zorgplicht blijft bestaan zolang de leverancier toegang heeft tot je systemen of data.

Doorloop de volgende aanpak:

  1. Documenteer de bevindingen: leg vast welke tekortkomingen je hebt geconstateerd en wanneer je de leverancier hierover hebt geïnformeerd
  2. Bespreek een verbeterplan: ga in gesprek met de leverancier en stel een concreet verbetertraject op met duidelijke deadlines
  3. Verhoog het toezicht tijdelijk: zolang de leverancier niet compliant is, kun je aanvullende technische maatregelen nemen, zoals beperking van netwerktoegang of extra monitoring
  4. Beoordeel de kritikaliteit opnieuw: overweeg of de leverancier vervangen kan worden door een alternatief dat wel aan de eisen voldoet
  5. Activeer contractuele clausules: als er afspraken zijn over compliance, spreek de leverancier hier formeel op aan
  6. Documenteer je eigen maatregelen: toon aan toezichthouders aan dat je actief hebt gehandeld zodra je de non-compliance ontdekte

Voor leveranciers die een hoog risico vormen en niet bereid of in staat zijn om te verbeteren, is afscheid nemen soms de enige verantwoorde keuze. De NIS2-ketenverantwoordelijkheid biedt geen ruimte voor het gedogen van structurele tekortkomingen bij kritieke partners.

Welke contractuele afspraken beschermen je bij non-compliant leveranciers?

Contractuele afspraken beschermen je door vooraf duidelijke cybersecurityeisen vast te leggen, inclusief het recht om te controleren, te corrigeren en te beëindigen bij non-compliance. Een leverancier die niet aan NIS2-eisen voldoet terwijl dit contractueel was vereist, is in gebreke. Goede contracten zijn daarmee een essentieel onderdeel van je NIS2 supply chain-beheer.

Neem in leverancierscontracten minimaal de volgende bepalingen op:

  • Cybersecurityeisen: een expliciete verplichting voor de leverancier om aan specifieke beveiligingsnormen te voldoen, zoals ISO 27001 of de NIS2-minimummaatregelen
  • Auditrecht: het recht om de beveiligingsmaatregelen van de leverancier periodiek te laten toetsen, door jou of een onafhankelijke partij
  • Meldplicht voor incidenten: de leverancier moet jou onmiddellijk informeren bij een beveiligingsincident dat jouw organisatie kan raken
  • Verbeterplicht: een verplichting om tekortkomingen binnen een redelijke termijn te herstellen
  • Beëindigingsgrond: de mogelijkheid om de overeenkomst te beëindigen als de leverancier structureel niet aan de eisen voldoet
  • Aansprakelijkheidsclausule: afspraken over schadevergoeding als een incident bij de leverancier schade veroorzaakt bij jouw organisatie

Voor nieuwe inkooptrajecten biedt de ICO-wizard van het ministerie van BZK een handig hulpmiddel om de juiste cybersecurityeisenpakketten te selecteren per type product of dienst. Zo bouw je NIS2-eisen structureel in bij elke aanbesteding, in plaats van achteraf te corrigeren.

Wanneer is het verstandig om een vCISO in te schakelen bij leveranciersbeheer?

Het is verstandig om een virtuele CISO (vCISO) in te schakelen bij leveranciersbeheer als je organisatie niet de interne expertise of capaciteit heeft om de NIS2 supply chain-verplichtingen zelfstandig te beheren. Dit geldt zeker als je veel leveranciers hebt, als leveranciers toegang hebben tot kritieke systemen, of als je te maken hebt met een complex leverancierslandschap. Een vCISO brengt de benodigde kennis in huis zonder dat je een fulltime CISO hoeft aan te stellen.

Specifieke situaties waarin een vCISO meerwaarde biedt bij leveranciersbeheer:

  • Je wilt een gestructureerd leveranciersbeoordelingsprogramma opzetten maar weet niet waar te beginnen
  • Je moet leveranciers NIS2-eisen stellen maar mist de technische kennis om te beoordelen of die eisen worden nageleefd
  • Je staat voor een toezichtsonderzoek en moet kunnen aantonen dat je de keten actief beheert
  • Je wilt contractuele cybersecurityeisen opstellen die juridisch en technisch kloppen
  • Je hebt een incident gehad via een leverancier en wilt de schade beperken en herhaling voorkomen

Een virtuele CISO via Continuous-Q werkt als een strategische sparringpartner die zowel de technische als de beleidsmatige kant beheerst. Dat maakt het mogelijk om leveranciersbeheer niet als een eenmalig project te behandelen, maar als een doorlopend proces dat meegroeit met je organisatie. Juist bij NIS2-ketenverantwoordelijkheid, waar de eisen continu worden aangescherpt, is die continuïteit een groot voordeel.

Hoe Q-Cyber helpt bij NIS2 leveranciersbeheer

Wij begrijpen dat het beheren van leveranciersrisico’s onder NIS2 complex en tijdrovend is, zeker als je dit naast je reguliere werkzaamheden moet doen. Q-Cyber helpt organisaties om grip te krijgen op hun toeleveringsketen, van de eerste inventarisatie tot het opstellen van contractuele eisen en het uitvoeren van technische toetsen. Onze aanpak is pragmatisch, onafhankelijk en altijd afgestemd op jouw specifieke risicoprofiel.

Wat we concreet voor je kunnen doen:

  • Supply chain mapping: we brengen je leverancierslandschap in kaart en prioriteren op basis van risico
  • Leveranciersbeoordelingen: we voeren assessments uit bij leveranciers en beoordelen hun beveiligingsniveau objectief
  • Beleid en contracteisen: we schrijven cybersecurityeisen voor leverancierscontracten en inkoopdocumenten
  • Technische toetsing: via red teaming of vulnerability scans toetsen we de beveiliging van kritieke leveranciersverbindingen
  • vCISO-ondersteuning: als virtuele CISO ondersteunen we je structureel bij het beheren van leveranciersrisico’s onder NIS2
  • Gap-analyses en trainingen: we brengen in kaart waar je nu staat en trainen je team om leveranciersrisico’s te herkennen en te beheersen

We werken volledig onafhankelijk, zonder binding aan softwarepartijen of andere toeleveranciers. Dat betekent dat ons advies altijd in jouw belang is. Wil je weten hoe je jouw leveranciersrisico’s onder NIS2 aanpakt? Neem contact met ons op en we bespreken samen de beste aanpak voor jouw situatie.