Supply chain-aanvallen zijn de afgelopen jaren sterk toegenomen. De aanval op SolarWinds in 2020, de Log4Shell-kwetsbaarheid in 2021 en de aanval op MOVEit in 2023 toonden aan hoe kwetsbaar organisaties zijn via hun leveranciers en softwarecomponenten. NIS2 reageert hierop door beveiliging van de toeleveringsketen expliciet op te nemen als een van de tien verplichte maatregelengebieden. Wat dat in de praktijk betekent, lees je in dit artikel.
Waarom leveranciersketen zo’n groot risico vormt
Organisaties zijn afhankelijk van honderden leveranciers: van cloudproviders en softwareleveranciers tot schoonmaakbedrijven, beveiligingsdiensten en externe IT-beheerders. Elke leverancier die toegang heeft tot je systemen, gegevens of gebouwen, is een potentieel aanvalspunt.
Een aanvaller die niet door je verdediging heen kan breken, zoekt de zwakste schakel in je keten op. Dat is vrijwel altijd een kleinere leverancier met minder volwassen beveiliging — maar wel met vertrouwde toegang tot je netwerk.
| Leverancierstype | Typisch risico | Prioriteit in beheer |
|---|---|---|
| Managed service providers (MSP) | Directe netwerktoegang, beheer van systemen | Zeer hoog |
| Clouddiensten (SaaS, IaaS) | Verwerking en opslag van gegevens | Hoog |
| Softwareleveranciers | Kwetsbaarheden in geleverde software | Hoog |
| Facilitaire dienstverleners | Fysieke toegang tot gebouwen en apparatuur | Gemiddeld |
| Logistieke partners | Toegang tot bedrijfsinformatie en systemen | Gemiddeld |
Tip: Begin je leveranciersrisicoanalyse bij de top: welke leveranciers hebben directe toegang tot je meest kritieke systemen of gevoelige gegevens? Dat zijn je Tier-1 leveranciers. Pas daarna werk je de lijst verder uit.
Wat NIS2 concreet vereist van leveranciersbeheer
Artikel 21 lid 2 sub d van de NIS2-richtlijn verplicht organisaties tot “beveiliging van de toeleveringsketen, inclusief beveiligingsgerelateerde aspecten met betrekking tot de relaties tussen elke entiteit en haar directe leveranciers of dienstverleners.”
In de praktijk vertaalt dit zich naar vier kernactiviteiten:
1. Inventarisatie van leveranciers Je moet een actueel overzicht bijhouden van alle leveranciers die een rol spelen in je kritieke processen. Dit leveranciersregister bevat minimaal de naam van de leverancier, de aard van de dienst, het toegangsniveau en een risicoclassificatie.
2. Risicoanalyse per leverancier Op basis van het toegangsniveau en de kritikaliteit beoordeelt je het risico dat elke leverancier vertegenwoordigt. Factoren zijn onder meer: welke toegang heeft de leverancier, welke gegevens verwerkt hij, hoe volwassen is zijn beveiliging en hoe afhankelijk bent je van deze leverancier?
3. Contractuele beveiligingseisen NIS2 vereist dat je beveiligingseisen vastlegt in je contracten met leveranciers. Minimale clausules omvatten meldplicht bij incidenten, recht op audit, beveiliging conform geldende normen en eisen aan sub-uitbesteding.
4. Periodieke monitoring en evaluatie Leveranciersbeheer is geen eenmalige exercitie. Risico’s veranderen, leveranciers wijzigen hun dienstverlening en er doen zich incidenten voor. Stel een ritme in voor periodieke herbeoordeling — ten minste jaarlijks voor hoog-risico leveranciers.
Contractuele eisen: wat leg je vast?
Het opstellen van adequate beveiligingsclausules in leverancierscontracten is voor veel organisaties nieuw terrein. Minimaal dienen de volgende onderwerpen te worden geregeld:
Beveiligingsnormen: De leverancier dient te voldoen aan een expliciet genoemde norm (bijv. ISO 27001) of aan de beveiligingseisen die je zelf stelt.
Incidentmeldplicht: De leverancier is verplicht beveiligingsincidenten die je organisatie kunnen raken, te melden — en wel binnen een termijn die je eigen meldplicht (24 uur aan de toezichthouder) niet in gevaar brengt.
Auditrecht: Je behoudt het recht om de beveiliging van de leverancier te laten auditen, hetzij zelf, hetzij door een erkende derde partij.
Sub-uitbesteding: De leverancier mag kritieke activiteiten niet zonder je toestemming verder uitbesteden, en eventuele sub-leveranciers zijn gebonden aan dezelfde beveiligingseisen.
Exit-clausule: Bij een beveiligingsincident of bij structurele niet-naleving van beveiligingseisen heb je het recht de overeenkomst te beëindigen zonder boete.
Praktisch aan de slag: een stapsgewijze aanpak
De implementatie van leveranciersrisicobeheer hoeft niet in één keer volledig te zijn. Een gefaseerde aanpak werkt in de praktijk beter:
Fase 1 — Inventariseer (maand 1-2): Breng alle leveranciers in kaart en classificeer ze op basis van toegangsniveau en kritikaliteit.
Fase 2 — Analyseer (maand 2-3): Voer een risicobeoordeling uit voor je top-10 hoog-risico leveranciers. Vraag hen om bewijs van hun beveiligingsmaatregelen (certificaten, auditrapportages, vragenlijsten).
Fase 3 — Contracteer (maand 3-6): Herzie bestaande contracten en voeg beveiligingsbijlagen toe. Stel een standaard beveiligingsbijlage op voor nieuwe contracten.
Fase 4 — Monitor (doorlopend): Stel een jaarlijkse evaluatiecyclus in en stel triggers vast die leiden tot tussentijdse herbeoordeling (incident bij de leverancier, wijziging in dienstverlening, negatief auditresultaat).
Veelgestelde vragen
Moet ik ook sub-leveranciers van mijn leveranciers beoordelen? NIS2 richt zich primair op directe leveranciers. Maar het is verstandig te vragen naar de beveiligingspraktijken van kritieke sub-leveranciers, zeker wanneer die directe toegang hebben tot je systemen.
Wat doe ik als een leverancier mijn beveiligingseisen niet wil ondertekenen? Dat is een risicosignaal. Je hebt de keuze: accepteer het risico bewust en documenteer je overwegingen, of zoek een alternatieve leverancier. Bij hoog-risico leveranciers is acceptatie zonder nadere maatregelen doorgaans niet te rechtvaardigen.
Is een ISO 27001-certificaat van een leverancier voldoende bewijs? Een ISO 27001-certificaat is een goede indicatie, maar geen absolute garantie. Controleer de scope van het certificaat en of je specifieke dienst erin is opgenomen.
Hoe vaak moet ik mijn leveranciersrisicoanalyse actualiseren? Ten minste jaarlijks voor hoog-risico leveranciers. Daarnaast bij significante wijzigingen in de dienstverlening, na incidenten of bij het afsluiten van een nieuw contract.
Wat als een leverancier niet wil meewerken aan een audit? Een weigering om mee te werken aan een audit is een ernstig signaal. Beoordeel of je het risico wilt accepteren, dan wel de samenwerking wilt beëindigen. Leg je overweging schriftelijk vast.
Heb je hulp nodig bij het opzetten van een leveranciersrisicobeheer programma conform NIS2? Control One begeleidt je van inventarisatie tot implementatie. Bekijk onze tarieven op de prijzenpagina.
Compliant aan NIS2, AVG of DORA?
Control One koppelt wettelijke verplichtingen aan je ISO-controls, beleid en risicoanalyse. Eén platform voor zowel ISO als wetgeving.
Gerelateerde artikelen
AVG datalekken melden: procedure en verplichting
Een datalek melden bij de AP — wanneer verplicht, binnen welke termijn en wat vermeldt je?
NIS2 boetes en sancties: wat riskeert je?
NIS2 kent boetes tot €10 miljoen of 2% omzet. Wanneer worden ze opgelegd en hoe voorkomt je ze?
NIS2 zorgplicht: concrete maatregelen voor je organisatie
De NIS2 zorgplicht vertaalt zich naar 10 concrete maatregelengebieden. Wat moet je implementeren?
Cyber Resilience Act: wat betekent het voor Nederlandse bedrijven?
De CRA stelt cybersecurity-eisen aan software en hardware. Wat verandert er voor producenten en importeurs?