Samen Digitaal Veilig is een initiatief van MKB-Nederland en VNO-NCW

Veilig samenwerken
in de keten

NIS2 en de grote impact op inkoop

Vanaf het derde kwartaal 2025 moeten 10.000 bedrijven in Nederland voldoen aan de NIS2 richtlijn (Cyberbeveiligingswet). Cybersecurity gaat ook buiten de grenzen van je bedrijf. Naar verwachting krijgen ook 50.000 leveranciers er mee te maken. Dus als inkoper ligt daar een rol voor je. Elke leverancier kan een risico zijn, van IT tot schoonmaakdiensten. Samen Digitaal Veilig en NEVI ondersteunen inkopers bij de NIS2.

NIS2: Wat betekent het voor inkopers?

Jij moet ervoor zorgen dat leveranciers aan beveiligingseisen voldoen wanneer er risico’s zijn. Het is belangrijk om te begrijpen dat NIS2 niet alleen betrekking heeft op IT-leveranciers. De risico’s schuilen in meerdere leveranciers. Als inkoper ben jij degene die deze risico’s moet identificeren en leveranciers bewust moet maken van hun verantwoordelijkheden. Geef je leveranciers vast een seintje dat jullie zelf aan de NIS2 werken en dat je wellicht van hen ook zaken gaat verwachten. In de komende maanden zal jouw rol bij het voldoen aan NIS2 belangrijk worden.

Het ‘All Hazards’ principe raakt meerdere types leveranciers

Vanzelfsprekend is de NIS2 niet alleen een wettelijke verplichting. Het gaat in essentie om het beschermen van organisaties tegen operationele verstoringen. Die kunnen voorkomen via of bij leveranciers. In de NIS2 staat: “de beveiliging van de toeleveringsketen, met inbegrip van beveiligingsgerelateerde aspecten met betrekking tot de relaties tussen elke entiteit en haar rechtstreekse leveranciers of dienstverleners”. Hoe zit dat? Welke risico’s schuilen er dan precies bij leveranciers? NIS2 werkt met een ‘All Hazards’ principe. Dus alle risico’s, ook fysieke, moeten worden beoordeeld. Concrete voorbeelden:

  1. Productiesystemen en machines
    Van lopende banden tot verpakkingsmachines (ingekocht en onderhouden door leveranciers): als deze systemen worden gehackt, kunnen productieprocessen stilvallen, met grote financiële gevolgen.
  2. Facilitaire leveranciers
    Schoonmaakdiensten of beveiligingsbedrijven met fysieke toegang spelen rol in de veiligheid van je bedrijf. Onbevoegden mogen geen toegang krijgen tot je pand.
  3. ICT-dienstverleners en software
    Leveranciers die je netwerk, firewalls en back-ups beheren, zijn een stevig risico voor je cyberveiligheid. Een zwakke schakel in je IT-beveiliging kan grote gevolgen hebben. Maar ook je software is natuurlijk een risico.
  4. Logistieke partners
    Transporteurs en opslagbedrijven zorgen dat je producten op tijd bij klanten komen. Een cyberaanval op hen kan dit proces verstoren en je vermogen tot leveren sterk verstoren. De verantwoordelijkheid van jullie om bijvoorbeeld producten te leveren gaat verder dan de muren van je bedrijf.
  5. Financiële dienstverleners
    Je accountant, boekhouder of payrollprovider beheert gevoelige financiële gegevens. Een hack bij hen kan leiden tot financieel misbruik.
  6. Leveranciers zoals ontwerpers of marketing- en communicatiebureaus
    Ontwerpers die meehelpen bij productontwerp, uitvinders, consultants, reclamebureaus, e-mailmarketingbedrijven en communicatiepartners hebben vaak toegang tot klantgegevens of vertrouwelijke product- en bedrijfsinformatie. Deze informatie is vaak heel gevoelig.
  7. Er zijn veel risico’s en dus is een analyse nodig.

De tijdlijn naar compliance

De inwerkingtreding van de NIS2 richtlijn in Q3 (dus ergens tussen 1 juli en 30 september 2025) betekent dat jouw organisatie vanaf dat moment volledig compliant moet zijn. Wat kun jij als inkoper nu al doen om je rol in dit proces effectief op te pakken? Door nu al te beginnen met de nodige stappen, kun je gestructureerd werken naar de deadline. Volg deze tijdlijn om ervoor te zorgen dat je up-to-date blijft:

  • Q1 2025: Geef je leveranciers nu al een seintje dat jullie aan de NIS2 werken en dat zij zichzelf ook al moeten informeren daarover. Breng de risico’s van je leveranciers in kaart. Identificeer welke leveranciers van cruciaal belang zijn en waar de grootste kwetsbaarheden liggen.
  • Q2 2025: Start met concrete stappen. Communiceer met je leveranciers over de vereisten van NIS2. Neem de NIS2 op in de inkoopvoorwaarden en werk samen met leveranciers aan verbeteringen.
  • Q3 2025: Zorg dat alle contracten en processen compliant zijn. De NIS2 richtlijn wordt dan van kracht.

Samenwerking als sleutel tot succes

De eindverantwoordelijkheid voor NIS2 compliance ligt bij de CEO. Maar ook jij hebt een rol. Het vraagt ook om een gezamenlijke inspanning. Werk proactief aan het waarborgen van digitale veiligheid in de supply chain. Het is je taak om ervoor te zorgen dat leveranciers zich bewust worden van hun verantwoordelijkheden en je ondersteunt hen bij het implementeren van de juiste maatregelen om aan de NIS2 eisen te voldoen. Dit betekent dat je niet alleen risico’s identificeert, maar ook nauw samenwerkt met andere afdelingen om een veilige samenwerking te realiseren.

Ondersteuning voor inkopers

Samen Digitaal Veilig en NEVI ondersteunen met praktische hulpmiddelen om bedrijven te helpen bij het voldoen aan de NIS2 richtlijn. Door gebruik te maken van hun expertise kun je als inkoper niet alleen risico’s identificeren, maar ook actie ondernemen en je leveranciers meenemen in het proces.

Conclusie: maak van NIS2 een prioriteit

Als inkoper speel je een cruciale rol in het voldoen aan de NIS2 richtlijn. Begin nu met het analyseren van je leveranciersrisico’s en bouw samen met interne en externe partners aan een veilige toekomst. Geef een seintje aan je leveranciers dat ook zij zich gaan verdiepen in de NIS2. Op deze website staat veel informatie die je hierbij kan ondersteunen, zodat je als bedrijf klaar bent voor 2025. NIS2 is een gedeelde missie waarin jij als inkoper absoluut verschil kan maken.