Plan intake
NIS2

NIS2 en je leveranciersketen

Laatst bijgewerkt: 12 mei 2026Leestijd: 6 minDoor URL.nl Redactie

TL;DR

NIS2 verplicht je om leveranciersrisico structureel mee te nemen in je risicobeheer. Dat raakt contracten, due diligence, monitoring en exit-strategieën. Een leveranciers­incident is geen excuus, je blijft zelf verantwoordelijk voor de continuïteit van je dienst.

Waarom keten expliciet in NIS2 zit

Veel grote incidenten van de afgelopen jaren begonnen bij een leverancier. SolarWinds, MOVEit en Kaseya zijn bekende voorbeelden. NIS2 maakt ketenrisico daarom een expliciete verplichting, in plaats van een impliciete.

Wat moet je inrichten

  • Een risicogestuurd leveranciersbeleid met segmentering naar kritikaliteit
  • Due diligence vooraf, periodiek herhaald
  • Contractuele eisen voor security, audits en incidentmelding
  • Monitoring tijdens de looptijd, niet alleen bij onboarding
  • Een exit-strategie voor kritieke leveranciers

Wat in contracten moet staan

Goede contracten bevatten ten minste: meldplicht bij incidenten binnen een vaste termijn, auditrechten, security-baseline aansluitend bij jouw risicoprofiel, escalatieproces, recht op pentest of certificering, en exit-clausules met datateruggave.

Doorlopende monitoring

Eenmalige controle is onvoldoende. Werk met jaarlijkse reviews, threat-intelligence over kritieke leveranciers en koppel meldingen aan je incident response process. Voor zeer kritieke partners: koppel via een leveranciersportaal of API-monitoring.

Praktische start

  1. Maak een lijst van alle leveranciers met dataverwerking of toegang tot je systemen
  2. Classificeer naar kritikaliteit (vervangbaar, belangrijk, kritiek)
  3. Start contractuele upgrades bij kritieke partners
  4. Plan periodieke reviews in je governance

Veelgestelde vragen

Geldt dit ook voor SaaS-tools?

Ja, elke leverancier met toegang tot data of systemen valt onder ketenrisicobeheer.

Hoe ver de keten in?

Begin bij directe leveranciers (tier 1). Voor kritieke diensten ook tier 2, denk aan onderliggende cloud- of telecomproviders.

Is een ISO-certificaat van mijn leverancier genoeg?

Het is een sterk signaal, maar geen vervanging voor je eigen risicoanalyse en contractuele eisen.

Deze informatie is bedoeld als praktische uitleg en vormt geen juridisch advies. Controleer altijd de actuele wetgeving en raadpleeg waar nodig een juridisch adviseur of toezichthouder.

Verder lezen

Laatst bijgewerkt op 12 mei 2026 door de URL.nl Redactie.

Wil je weten wat jouw organisatie nodig heeft?

Plan een korte cybersecurity intake. We nemen samen je situatie door en geven concrete vervolgstappen.

Plan een cybersecurity intake