Ketenverantwoordelijkheid onder de Cyberbeveiligingswet (NIS2): waarom uw organisatie óók een cruciale schakel is in de digitale veiligheid van Nederland

Muhammed Akbulut

·

Ketenverantwoordelijkheid

Uw keten is net zo sterk als haar zwakste schakel

De kans is groot dat uw organisatie digitaal verbonden is met één of meerdere essentiële of belangrijke entiteiten zoals zorginstellingen, gemeenten, scholen, waterbedrijven of supermarkten. U levert misschien software, maar even goed voedingsmiddelen, schoonmaakdiensten, transport of AI-oplossingen. En u doet dat professioneel en betrouwbaar.

Maar in de ogen van de nieuwe Cyberbeveiligingswet (NIS2) is dat niet meer genoeg. Deze Europese richtlijn maakt namelijk van digitale veiligheid een gedeelde verantwoordelijkheid binnen de hele keten. Uw organisatie – zelfs als die geen IT-bedrijf is – kan daarmee een cruciale rol spelen in het beschermen van de maatschappij tegen digitale ontwrichting.

In deze blog neem ik u mee door de technische én bestuurlijke aspecten van ketenverantwoordelijkheid. Wat vraagt NIS2 precies van u als toeleverancier? Waarom is dit zo belangrijk? En welke concrete stappen kunt u vandaag nog zetten?

Uw systemen zijn misschien ‘offline’ of zitten ‘veilig’ in de cloud, maar uw impact is digitaal

Veel bestuurders zeggen tegen me:
“Wij zijn klein, alles zit veilig in de cloud. Dus NIS2 geldt niet voor ons, toch?”

Toch wel. De NIS2-richtlijn kijkt namelijk niet alleen naar de aard van uw product of dienst, maar naar uw impact op de continuïteit van een essentiële dienst. En dat kan ook gelden voor bijvoorbeeld:

  • Een voedselgroothandel die levert aan scholen of zorginstellingen
  • Een logistiek bedrijf dat medicijnen distribueert
  • Een schoonmaakbedrijf dat toegang heeft tot gevoelige ruimtes
  • Een onderwijsinstelling die afhankelijk is van AI-gestuurde toelatingssystemen

Als úw systemen falen, denk aan bestelsystemen, logistieke planning, personeelsapplicaties of AI-ondersteunde besluitvorming, kan de afnemer in de keten daar direct last van hebben. En dan is het geen intern probleem meer. Dan raakt het de maatschappij.

Volgens de NIS2 moet elke essentiële of belangrijke entiteit haar keten in kaart brengen en risicobeoordelen, inclusief leveranciers die ogenschijnlijk weinig met IT te maken hebben . En daar komt úw organisatie dus in beeld.

Checklist voor bestuurders: borg uw ketenverantwoordelijkheid

Bent u bestuurder of verantwoordelijk voor risicobeheer, contractmanagement of compliance? Dan is dit wat NIS2, en vooral uw klanten, van u verwachten:

1. Weet waar u staat in de keten

  • Welke van uw klanten vallen onder NIS2 (zorg, overheid, onderwijs, energie)?
  • Welke van uw producten of diensten zijn essentieel voor hún continuïteit?
  • Welke processen in uw organisatie zijn afhankelijk van digitale systemen?

Tip: Wijs een intern aanspreekpunt aan voor cybersecurity en ketensamenwerking. Deze persoon moet overzicht houden over contractuele eisen, beveiligingsmaatregelen en incidentafhandeling.

2. Leg verantwoordelijkheid vast

  • Heeft u afspraken gemaakt over security met uw klanten en leveranciers?
  • Is vastgelegd wie verantwoordelijk is voor het melden van incidenten?
  • Is in contracten opgenomen welke beveiligingsstandaarden gehanteerd worden (zoals ISO 27001, NEN 7510, of BIO)?

Voorbeeld: Een schoonmaakbedrijf dat fysiek toegang heeft tot dataruimtes, moet in een verwerkersovereenkomst helder hebben hoe met die toegang wordt omgegaan. Niet alleen fysiek, maar ook qua procedures en incidentmelding.

3. Voer risicoanalyses uit op uw processen

  • Welke systemen in uw bedrijf zijn ‘kritiek’ voor uw dienstverlening aan klanten?
  • Hoe goed zijn deze beschermd tegen uitval, sabotage of datalekken?
  • Zijn de risico’s van AI-gebruik, externe tools of cloudleveranciers bekend?

Pro-tip: Een eenvoudige mapping van bedrijfsprocessen en ondersteunende systemen levert al snel inzicht op. Voeg daarbij de afhankelijkheden van externe tools en leveranciers, en u hebt een basis voor risicobeoordeling.

4. Zorg voor transparantie en awareness

  • Weet uw personeel wie de NIS2-klanten zijn?
  • Wordt er training gegeven over veilig digitaal handelen en incidentmeldingen?
  • Heeft u procedures om klanten snel en duidelijk te informeren bij incidenten?

Goed om te weten: Onder NIS2 moeten incidenten binnen 24 uur gemeld worden aan toezichthouders. Maar die meldingsplicht strekt zich óók uit naar leveranciers — zéker als het incident impact heeft op de keten .

Waar u vastloopt, denken wij mee

Het goede nieuws? U hoeft het niet alleen te doen.

Muhammed Akbulut

Cyber Security Expert

Veel organisaties weten wél dat ze ‘iets’ moeten doen, maar lopen vast op vragen als:

  • Hoe bepaal ik of mijn organisatie binnen scope valt?
  • Wat is een ‘passende maatregel’ als je geen IT-afdeling hebt?
  • Hoe maak ik afspraken met klanten zonder meteen juridisch conflict?

Bij FidelSec denken we graag met u mee. Wij combineren technische kennis (cloud, AI, netwerkbeveiliging) met juridische expertise (NIS2, AVG, contractmanagement). We maken risico’s inzichtelijk, geven direct uitvoerbaar advies en helpen u grip te krijgen op uw rol in de keten.

Maak een vrijblijvende afspraak en ontdek wat ú kunt doen om aan de NIS2 te voldoen én sterker te staan in de keten.

Meer weten?

Klaar om cyber security en compliance eenvoudig en toegankelijk te maken?

Neem contact op!
Maak een afspraak!

Bronnen

  1. NIS2-richtlijn (EU) 2022/2555 – officiële tekst
    Europese Unie, EUR-Lex. Beschrijft de verplichtingen rond beveiligingsmaatregelen, risicobeheer in de keten, en meldplichten.
    https://eur-lex.europa.eu/legal-content/NL/TXT/?uri=CELEX:32022L2555
  2. NCTV – Cyberbeveiligingswet
    NCTV website over de cyberbeveiligingswet.
    https://www.nctv.nl/onderwerpen/cyberbeveiligingswet
  3. NCSC – Infosheet: Verplichtingen onder de NIS2-richtlijn (zorgplicht)
    Nationaal Cyber Security Centrum. Geeft een begrijpelijke samenvatting van de zorgplicht voor organisaties, inclusief ketenbeheer.
    https://www.ncsc.nl/documenten/publicaties/2024/februari/27/infosheet-nis2-verplichtingen-zorgplicht
  4. NCSC – Infosheet: Verplichtingen meldplicht NIS2
    Verheldert de procedure, termijnen en verantwoordelijkheden voor incidentmelding volgens NIS2, ook in relatie tot ketenpartners.
    https://www.ncsc.nl/documenten/publicaties/2024/december/17/nis2-verplichtingen-meldplicht
  5. ENISA – Good Practices for Supply Chain Cybersecurity
    Europees agentschap voor cybersecurity. Technische en organisatorische aanbevelingen voor ketenverantwoordelijkheid in o.a. de logistiek, cloud en non-IT sectoren.
    https://www.enisa.europa.eu/publications/good-practices-for-supply-chain-cybersecurity