Schrijver: Jurriaan Vogel, IT Security Consultant
Organisaties vertrouwen sterk op IT‑leveranciers zonder werkelijk inzicht in hun beveiligingsniveau, vaak gebaseerd op reputatie en langdurige relaties. NIS2 vraagt om een cultuurverschuiving: van blind vertrouwen naar actieve verificatie.
NIS2 maakt een einde aan aannames tussen organisaties. Artikel verplicht entiteiten om de beveiliging van de toeleveringsketen actief te begrijpen, beoordelen, beheersen en contractueel te borgen. De wet vereist objectieve toetsing en actief risicobeheer, waarbij aannames worden vervangen door verificatie. Daarnaast legt de richtlijn de verantwoordelijkheid voor ketenrisico’s expliciet bij organisaties zelf. Veel organisaties gaan er echter nog van uit dat leveranciers automatisch compliant zijn of hun eigen beveiliging volledig op orde hebben.
Het uitbesteden van diensten ontslaat organisaties niet van hun eigen verplichtingen. Het kernprincipe binnen NIS2 luidt dat verantwoordelijkheid nooit kan worden uitbesteed. Hoewel uitbesteden vaak wordt gezien als risicoreductie, geldt het argument “de leverancier doet dat” niet meer. Een organisatie mag activiteiten uitbesteden, maar blijft verantwoordelijk voor cybersecurity en continuïteit. Het bestuur blijft eindverantwoordelijk, ook wanneer derden taken uitvoeren.
Third‑party risico’s vormen vaak de grootste blinde vlek binnen organisaties. Veel organisaties richten zich uitsluitend op directe leveranciers, terwijl NIS2 zich juist op hele toeleveringsketens richt. Ketenrisico’s moeten worden behandeld als strategische bedrijfsrisico’s en mogen niet worden gereduceerd tot slechts technische uitdagingen. Hierdoor is strategische sturing noodzakelijk.
Enkel direct leveranciersbeheer is onvoldoende omdat NIS2 de volledige keten onderdeel maakt van de beveiligingsverantwoordelijkheid. Kwetsbaarheden bij vierde partijen kunnen nog steeds tot NIS2‑overtredingen leiden en moeten daarom actief worden meegenomen in het risicobeheer.
Door digitalisering groeien third-party risico’s explosief: organisaties gebruiken steeds meer SaaS‑diensten, waardoor ketens langer worden en afhankelijkheden ontstaan van onderaannemers en vierde partijen. Veelvoorkomende blind spots zoals sub‑leveranciers en onduidelijke datastromen vergroten de kwetsbaarheid. Supply‑chainaanvallen demonstreren hoe één zwakke schakel binnen een keten een groot aantal organisaties tegelijk kan raken. Neem bijvoorbeeld de cyberaanval op Jaguar Land Rover in 2025. Het incident begon niet bij henzelf, maar via een kwetsbaarheid in software van een derde partij die breed in de industrie wordt gebruikt. Het groeide uit tot de duurste cyberaanval in de Britse geschiedenis, waarbij de verstoring leidde tot een cascade aan operationele problemen bij honderden organisaties wereldwijd.
Door leveranciers te classificeren en minimale beveiligingseisen op te stellen, worden risico’s beheersbaar. Ketenmapping maakt afhankelijkheden zichtbaar en vormt de basis voor ketenanalyses. Contracten richten zich nu vaak op prijs en service en te weinig op veiligheid. NIS2 vereist expliciete securityafspraken waardoor herziening van contracten en vastlegging van doorwerkende verantwoordelijkheden noodzakelijk worden. Daarnaast moeten organisaties leveranciersrisico’s zelfstandig en objectief beoordelen en dit niet overlaten aan leveranciers die feitelijk hun eigen vlees keuren.
Organisaties die nu in actie komen, creëren een concurrentievoordeel. Aantoonbare beveiligingsvolwassenheid versterkt de onderhandelingspositie door een betrouwbare partner te zijn in plaats van een risicofactor. Voor NIS2-plichtige entiteiten wordt bewezen beveiliging steeds vaker een contractvoorwaarde. Ook niet-plichtige organisaties die aan NIS2-verwante eisen voldoen, worden aantrekkelijker voor grotere klanten. Aantoonbare volwassenheid van informatiebeveiliging via bijvoorbeeld ISO-certificering, audits en beleid, bouwt vertrouwen op en opent deuren naar grotere opdrachten. Vroegtijdige compliance voorkomt bovendien kostbare haast later, laatkomers belanden sneller in crisismodus, met hogere kosten en meer fouten. Plichtige organisaties die aan NIS2‑verwante eisen voldoen, worden aantrekkelijker voor grotere klanten. Vroegtijdige compliance voorkomt bovendien kostbare haast later.
Wil je weten waar jouw organisatie staat, welke risico’s je loopt en welke stappen je nu al kunt zetten? Hulp nodig bij het aantoonbaar voldoen aan de NIS2-vereisten middels een ISO 27001-certificaat of NIS2 Supply Chain keurmerk? Neem gerust contact op. Samen zorgen we ervoor dat jouw organisatie klaar is voor NIS2 zonder onnodige complexiteit, maar met maximale impact.
Neem voor meer informatie contact op met Eberly Haalboom, Manager IT Security Consultants, ehaalboom@dignitas.nl, 06-52044763.
Gerelateerde artikelen:
