0
0 Word lid

NIS2

Wat betekent de nieuwe EU-richtlijn voor jouw inkoop- en supplychain management?

Hoe zorg je ervoor dat je inkoop- en supplychain processen digitaal veilig zijn? Dat is de vraag die veel organisaties zich moeten stellen nu de Europese Unie een nieuwe richtlijn heeft aangekondigd: de NIS2

Vanaf het tweede kwartaal in 2026 moeten 10.000 bedrijven in Nederland voldoen aan deze Cyberbeveiligingswet. Deze richtlijn stelt strenge eisen aan de cyberbeveiliging en de veerkracht van essentiële en belangrijke bedrijven in 18 sectoren. 

Wat houdt de NIS2 in, voor wie geldt het en welke risico’s moet je vermijden?

NIS2 staat voor Network and Information Security. De NIS2-richtlijn richt zich op digitale (cyber) risico’s voor netwerk- en informatiesystemen, zoals het internet en het betalingsverkeer. De richtlijn is gericht op een versterking van de digitale en economische weerbaarheid van Europese lidstaten. De nieuwe wet kan veel impact hebben op supply chain en inkoopmanagement omdat er sprake is van een zorgplicht voor een digitaal veilige supply chain.

Cybersecurity gaat ook buiten de grenzen van je bedrijf. Naar verwachting krijgen naast de 10.000 bedrijven ook 50.000 leveranciers te maken met de nieuwe richtlijn. Voor inkopers ligt daar een belangrijke rol. Elke leverancier kan een risico zijn, van IT- tot schoonmaakdiensten. Samen Digitaal Veilig, een samenwerkingsverband van brancheorganisaties waar Nevi ook aan meedoet, ondersteunt inkopers bij de NIS2.

De NIS2 verplicht je om niet alleen je eigen organisatie, maar ook je toeleveringsketen te beveiligen. Je leveranciers moeten dus ook aan de cyberveiligheidseisen voldoen. Hoe meer je van een leverancier afhankelijk bent, hoe hoger het risico. Dus je krijgt zeker met deze wet te maken.

Maar wellicht valt jouw bedrijf er ook direct onder. Dat kun je controleren. De Rijksinspectie Digitale Infrastructuur van Nederland heeft een tool gelanceerd waarmee bedrijven kunnen checken of ze onder de NIS2-richtlijn gaan vallen in de toekomst. De tool checkt ook bestaande regels voor bedrijven. Na het invullen krijg je inzicht of de richtlijn ook voor jouw organisatie geldt.

Het kan zijn dat je na het proberen van de overheidstool toch nog twijfelt en/of vragen hebt. De tool is namelijk niet voor alle organisaties en bedrijven kristalhelder. Mocht dat zo zijn dan kun terecht bij Supportdesk van Samen Digitaal Veilig. Zij kunnen dit kosteloos voor je uitzoeken.

Ga hier naar de supportdesk
  • Energie
  • Transport
  • Financiële marktinfrastructuur
  • Gezondheidszorg
  • Drinkwater
  • Digitale infrastructuur
  • Onderzoek
  • Afvalwater
  • Vervaardiging/manufacturing
  • Overheidsdiensten
  • Ruimtevaart
  • ICT-dienstverleners
  • Bankwezen
  • Digitale aanbieders
  • Post- en koeriersdiensten
  • Afvalstoffenbeheer
  • Levensmiddelen
  • Chemische stoffen

Er zijn nog veel meer belangrijke bedrijven die onder de NIS2 vallen, zoals levensmiddelenbedrijven, productiebedrijven en afvalstoffenbeheerders. Bij een cybersecurity incident moet je dit binnen 24 uur melden bij de toezichthouder. Dit geldt ook voor je toeleveringsketen. Als een leverancier die belangrijke producten of diensten levert uitvalt, kan dit je bedrijfsvoering verstoren. Daarom moeten leveranciers ook incidenten melden in de keten.
De inwerkingtreding van de NIS2 richtlijn (hoogst waarschijnlijk in Q2 2026) betekent dat jouw organisatie vanaf dat moment volledig compliant moet zijn. In tientallen EU landen is de wet al wel in werking getreden. Dus al jij handelt met bedrijven in de landen dan moet je nu al wel daarnaar handelen. Wacht dus niet te lang. Wat kun jij als inkoper nu al doen om je rol in dit proces effectief op te pakken? Door nu al te beginnen met de nodige stappen, kun je gestructureerd werken naar de deadline.

Volg deze tijdlijn om ervoor te zorgen dat je up-to-date blijft:

  • Q1-Q3 2025: Geef je leveranciers te kennen dat jullie aan de NIS2 werken en dat zij zichzelf ook al moeten informeren. Breng de risico’s van je leveranciers in kaart. Identificeer welke leveranciers van cruciaal belang zijn en waar de grootste kwetsbaarheden liggen.
  • Q2-Q3 2025: Start met concrete stappen. Communiceer met je leveranciers over de vereisten van NIS2. Neem de NIS2 op in de inkoopvoorwaarden (zie het voorbeeld addendum bij de downloads op deze pagina) en werk samen met leveranciers aan verbeteringen.
  • Q3 2025-Q1 2026: Zorg dat alle contracten en processen compliant zijn. De NIS2 richtlijn wordt naar alle waarschijnlijkheid in Q2 2026 van kracht De eindverantwoordelijkheid voor NIS2 compliance ligt bij de CEO. Maar ook jij hebt een rol. Het vraagt ook om een gezamenlijke inspanning. Werk proactief aan het versterken van jullie contractuele afspraken, procesborging en leveranciersrelaties. Dit betekent:
    • Zorg ervoor dat alle lopende en nieuwe contracten voldoen aan de NIS2-eisen, inclusief passende bepalingen over informatiebeveiliging, incidentmelding en toezicht. 
    • Richt processen zo in dat je als organisatie zicht houdt op de security performance van leveranciers. Monitor periodiek risico’s, kwetsbaarheden en de opvolging van verbetermaatregelen.
    • Breng inkoop, IT, legal en riskmanagement actief samen om de compliance-aanpak te coördineren en prioriteiten helder te krijgen.
    • Werk met leveranciers aan realistische verbetertrajecten, met duidelijke rollen, planningen en verantwoordelijkheden.
    • Blijf de interne organisatie informeren over de voortgang en impact, zodat ook andere afdelingen voorbereid zijn op audits of toezicht.

Op de website Samen Digitaal Veilig vind je tools die je kunnen ondersteunen, zoals:

  • ​​​​​​​een vragenlijst voor risico-inventarisaties,
  • specifieke checklists per risicoprofiel,
  • een NIS2-supportdesk voor inkopers,
  • en gratis webinars voor verdieping en praktische tips.
Open 'Samen Digitaal Veilig'
Ga als inkoop niet zelf inhoudelijke vragen stellen aan de leveranciers maar vraag om een bewijs dat ze NIS2 proof zijn. Er zijn verschillende certificeringen en keurmerken op de markt. Let op dat je niet overvraagt. Voor verschillende type organisaties zijn verschillende niveaus van eisen waar ze aan moeten voldoen. Ga dus niet iedereen langs dezelfde meetlat leggen. 

Ook zijn er binnen verschillende sectoren diverse standaarden die met cybersecurity te maken hebben. Samen Digitaal Veilig heeft ze op een rijtje gezet in deze PDF: Lees hier de verschillende standaarden (PDF)
Het gaat in essentie om het beschermen van organisaties tegen operationele verstoringen. Die kunnen voorkomen via of bij leveranciers. NIS2 werkt met een ‘All Hazards’ principe. Dus alle risico’s, ook fysieke, moeten worden beoordeeld. Concrete voorbeelden zijn:
  1. Productiesystemen en machines: Van lopende banden tot verpakkingsmachines (ingekocht en onderhouden door leveranciers): als deze systemen worden gehackt, kunnen productieprocessen stilvallen, met grote financiële gevolgen.
  2. Facilitaire leveranciers: Schoonmaakdiensten of beveiligingsbedrijven met fysieke toegang spelen rol in de veiligheid van je bedrijf. Onbevoegden mogen geen toegang krijgen tot je pand.
  3. ICT-dienstverleners en software: Leveranciers die je netwerk, firewalls en back-ups beheren, zijn een stevig risico voor je  cyberveiligheid. Een zwakke schakel in je IT-beveiliging kan grote gevolgen hebben. Maar ook je software is natuurlijk een risico.
  4. Logistieke partners: Transporteurs en opslagbedrijven zorgen dat je producten op tijd bij klanten komen. Een cyberaanval op hen kan dit proces verstoren en je vermogen tot leveren sterk verstoren. De verantwoordelijkheid van jullie om bijvoorbeeld producten te leveren gaat verder dan de muren van je bedrijf.
  5. Financiële dienstverleners: Je accountant, boekhouder of payrollprovider beheert gevoelige financiële gegevens. Een hack bij hen kan leiden tot financieel misbruik.
  6. Leveranciers zoals ontwerpers of marketing- en communicatiebureaus: Ontwerpers die meehelpen bij productontwerp, uitvinders, consultants, reclamebureaus, e-mailmarketingbedrijven en communicatiepartners hebben vaak toegang tot klantgegevens of vertrouwelijke product- en bedrijfsinformatie. Deze informatie is vaak heel gevoelig.
50.000 mkb-bedrijven zijn risico leverancier

Door toenemende digitalisering zijn er nieuwe kwetsbaarheden ontstaan die specifiek voortkomen uit de supply chain. Dit zijn de meest voorkomende kwetsbaarheden binnen een supply chain: 

  • Cyberaanvallen op leveranciers
     Leveranciers binnen de supply chain kunnen het doelwit worden van cyberaanvallen met als doel toegang te verkrijgen tot gevoelige data of systemen. Wanneer een leverancier gecompromitteerd raakt, kan dit leiden tot een reeks beveiligingsproblemen in de gehele keten.
     
  • Onveilige externe toegang
    Wanneer derde partijen toegang krijgen tot systemen of gegevens binnen de supply chain, kan een gebrekkige beveiliging van externe toegangspunten een bedreiging vormen. Deze onbeveiligde toegang kan worden misbruikt voor kwaadwillende doeleinden.
     
  • Onvoldoende gegevensbeveiliging bij partners
    Als partners in de supply chain onvoldoende gegevensbeveiliging implementeren, kunnen gevoelige gegevens worden blootgesteld aan ongeautoriseerde toegang.
     
  • Malware en kwaadaardige software
    Malware en andere kwaadaardige software kunnen zich verspreiden via de supply chain. Hierdoor kunnen systemen en gegevens beschadigd raken of gecompromitteerd worden.
     
  • Verstoring van leveringen
    Cyberaanvallen kunnen ook gericht zijn op het verstoren van de logistieke processen binnen de supply chain. Dit kan leiden tot vertragingen, verstoorde voorraden en uiteindelijk impact hebben op de operationele efficiëntie.
Je kunt ook een analyse doen vanuit het beschermen van de belangen van de organisatie. Wil je daar meer over weten? Via Samen Digitaal Veilig lees je hier meer over: NIS2 en het beschermen van belangen

 

E-book Samen digitaal veilig

Template addendum NIS2-richtlijn en Wbni

Bekijk ook

NIS2: Nieuwe wet voor cybersecurity

NIS2: Nieuwe wet voor cybersecurity

In Deal 1 2024 stond een artikel over de NIS2 wet en wat dit voor inkoop betekent. In de komende uitgaven van Deal komt NIS2 vaker onder de aandacht. Lees er meer over.

Meer informatie
Digitalisering

Digitalisering

Digitalisering is een ontwikkeling die het inkoopvak op meerdere vlakken raakt. Nevi wijst je de weg.

Meer informatie
Maatschappelijk verantwoord inkopen

Maatschappelijk verantwoord inkopen

Maatschappelijk verantwoord inkopen is van groot belang. Nevi heeft hier passende trainingen voor.

Meer informatie
Het product is toegevoegd
Naar je productoverzicht Verder winkelen

Deze website gebruikt cookies

Wij gebruiken noodzakelijke en analytische cookies om de site beter te laten functioneren en te optimaliseren. Om relevante advertenties op andere sites te tonen, gebruiken wij advertentie cookies waarvoor wij graag jouw toestemming vragen. Lees meer over ons privacy statement en onze cookie verklaring.

Cookie instellingen

De website van Nevi maakt gebruik van functionele en analytics cookies. Stel hieronder je voorkeur in. Wil je meer weten? Lees dan onze privacy statement en onze cookie verklaring voor meer informatie.