Je Leverancierscontracten Zijn Nu Onderdeel van NIS2-compliance

Je grootste klant heeft je zojuist een contractaanvulling gestuurd. Daarin staan cybersecurityeisen die je nog nooit eerder hebt gezien: meldplichten bij incidenten, processen voor kwetsbaarheidsbeheer, bewijs van risicoanalyses en het recht om jouw beveiligingsmaatregelen te auditen. Dit is geen voorkeur van een grote corporate. Dit is NIS2.

Als je goederen of diensten levert aan een organisatie die onder de NIS2-richtlijn valt, gaan jouw contracten veranderen — of ze zijn al veranderd.

De Juridische Grondslag: Artikel 21(2)(d) en Uitvoeringsverordening 2024/2690

NIS2 Artikel 21(2)(d) verplicht entiteiten in scope om "beveiliging van de toeleveringsketen aan te pakken, inclusief beveiligingsgerelateerde aspecten betreffende de relaties tussen elke entiteit en haar directe leveranciers of dienstverleners."

Dat is de richtlijn. De details staan in EU-uitvoeringsverordening 2024/2690, die exact beschrijft wat entiteiten moeten doen. Artikel 5.1.4 van deze verordening is de clausule die leveranciersrelaties door heel Europa verandert. Die specificeert dat contracten tussen NIS2-gereguleerde entiteiten en hun leveranciers het volgende moeten bevatten:

• Cybersecurityvereisten waaraan de leverancier moet voldoen
• Verplichtingen die doorwerken naar onderaannemers — de eisen reiken minimaal twee lagen diep
• Auditrechten waarmee de gereguleerde entiteit naleving kan verifiëren
• Incidentmeldplichten van leverancier naar gereguleerde entiteit
• Verplichtingen voor kwetsbaarheidsbeheer

Dit is geen richtlijn met vrijblijvend karakter. Het is juridisch bindend in elke EU-lidstaat die de NIS2-omzetting heeft afgerond — momenteel Duitsland, België, Italië, Hongarije, Polen en verscheidene andere landen. Elk kwartaal komen er meer landen bij.

Cascade-effect in de toeleveringsketen — Hoe een inbreuk zich verspreidt
!
Oorsprong van de inbreuk
Tier 1-leverancier gecompromitteerd
Een kritieke IT-dienstverlener of softwareleverancier wordt slachtoffer van een cyberaanval
Cascadeert naar directe klanten
▼
Directe impact (Tier 2)
1
Essentiële entiteit A verliest toegang tot kritieke diensten
2
Essentiële entiteit B heeft gevoelige gegevens blootgesteld
3
Belangrijke entiteit C ondervindt operationele verstoring
Verspreidt zich verder stroomafwaarts
▼
Indirecte impact (Tier 3)
1
Stroomafwaartse klanten van entiteit A getroffen
2
Regelgevingsonderzoek gestart in de gehele keten
3
NIS2-incidentmeldingscascade voor alle getroffen entiteiten
4
Reputatie- en financiële schade verspreidt zich sectorbreed
Oorsprong
Directe impact
Indirecte impact

Wie Is Getroffen? Meer Bedrijven Dan Je Denkt

NIS2 reguleert direct essentiële en belangrijke entiteiten: energiebedrijven, ziekenhuizen, transportoperators, aanbieders van digitale infrastructuur, drinkwaterbedrijven en meer. In de hele EU gaat het om tienduizenden organisaties.

Maar hier wordt het interessant voor mkb'ers. Al die gereguleerde entiteiten hebben leveranciers. En op grond van Artikel 21(2)(d) moeten zij de cybersecuritypositie van die leveranciers beoordelen en beveiligingseisen opnemen in hun contracten.

Dat betekent dat jij getroffen bent als:

• Je IT-diensten levert (managed services, cloud hosting, softwareontwikkeling) aan een bedrijf in een NIS2-sector
• Je componenten of grondstoffen levert aan een fabrikant die als essentieel of belangrijk is geclassificeerd
• Je logistiek, transport of warehousing verzorgt voor een gereguleerde entiteit
• Je professionele diensten verleent (advies, juridisch, accountancy) waarbij je toegang hebt tot systemen of data van een gereguleerde entiteit
• Je onderaannemer bent voor een van de bovenstaande partijen — de keten reikt twee lagen diep

Een softwarebedrijf van 30 mensen dat maatwerkapplicaties bouwt voor een Nederlands ziekenhuis? In scope via het contract. Een Pools MSP dat servers beheert voor een Duits energiebedrijf? In scope. Een Belgisch logistiek bedrijf dat transport verzorgt voor een Franse drinkwatermaatschappij? Hetzelfde verhaal.

De kern: je hoeft zelf geen NIS2-entiteit te zijn om met NIS2-eisen geconfronteerd te worden. De verplichtingen bereiken jou via de contracten van jouw klant.

Hoe Zien Die Contractclausules Eruit?

Op basis van de uitvoeringsverordening en vroege handhavingspatronen in de EU kun je verwachten dat jouw NIS2-gereguleerde klanten clausules opnemen die de volgende gebieden dekken:

1. Basisvereisten voor Beveiliging

Je klant definieert minimale cybersecuritystandaarden waaraan jij moet voldoen. Deze zijn doorgaans afgestemd op de tien beveiligingsmaatregelen uit Artikel 21(2), waaronder:

• Risicoanalyse en beveiligingsbeleid voor informatiesystemen
• Procedures voor incidentafhandeling
• Bedrijfscontinuïteit en crisisbeheersing
• Cryptografie en encryptiebeleid waar van toepassing
• Personeelsbeveiliging en toegangscontrole
• Meervoudige authenticatie

2. Incidentmeldplichten

Je bent verplicht je klant te informeren over elk beveiligingsincident dat hun systemen of data kan raken. De termijnen spiegelen de eigen meldvereisten van NIS2 — doorgaans 24 uur voor een vroege waarschuwing, 72 uur voor volledige melding. Jouw klant heeft dit nodig omdat ze zelf meldverplichtingen hebben op grond van Artikel 23.

3. Audit- en Verificatierechten

Verwacht clausules die jouw klant (of diens auditor) het recht geven om jouw beveiligingsmaatregelen te verifiëren. Dit kan inhouden:

• Opvragen van bewijs van beveiligingscertificeringen (ISO 27001, SOC 2)
• On-site of remote beveiligingsbeoordelingen
• Periodieke self-assessment vragenlijsten
• Inzage in resultaten van penetratietests of kwetsbaarheidsscans

4. Doorwerking naar Onderaannemers

Als je zelf onderaannemers inschakelt, ben je verplicht gelijkwaardige cybersecurityvereisten aan hen op te leggen. Dit is het cascade-effect: de NIS2-verplichtingen van jouw klant stromen via jou door naar jouw leveranciers. De keten reikt minimaal twee lagen diep.

5. Beëindigingsclausules

Veel contracten bevatten het recht om te beëindigen als je niet voldoet aan de cybersecurityvereisten, of als je een ernstige beveiligingsinbreuk meemaakt die niet adequaat wordt opgelost.

Wat Dit Concreet Betekent voor het Mkb

Laten we direct zijn over de praktische impact:

Het goede nieuws: Het meeste wat NIS2 via leverancierscontracten eist, sluit aan bij de basishygiëne voor cybersecurity die elk goed geleid bedrijf al zou moeten hebben. Als je fatsoenlijke toegangscontroles, patchbeheer, back-upprocedures en incidentresponsplannen hebt, begin je niet bij nul.

De realiteit: Veel mkb'ers hebben deze maatregelen niet gedocumenteerd en geformaliseerd. Goede praktijken hebben is niet genoeg — je hebt bewijs nodig. Contracten zullen van je verlangen dat je naleving aantoont, niet alleen beweert.

De kans: Bedrijven die zich nu voorbereiden, verkrijgen een concurrentievoordeel. Als jouw concurrent geen NIS2-conforme beveiligingsmaatregelen kan aantonen en jij wel, win jij het contract. Dit speelt al in Duitsland, waar BSI-handhaving leveranciersbeveiliging tot een prioriteit op boardniveau heeft gemaakt.

Een praktische aanpak:

1. Bepaal welke van jouw klanten NIS2-entiteiten zijn. Controleer of ze actief zijn in essentiële of belangrijke sectoren. Twijfel je? Vraag het ze gewoon — ze weten het zelf.
2. Voer een gapanalyse uit op de maatregelen van Artikel 21. Een stapsgewijze NIS2-gapanalyse laat zien waar je aan de eisen voldoet en waar de hiaten zitten.
3. Documenteer alles wat je al doet. Veel mkb'ers hebben adequate beveiligingspraktijken maar nul documentatie. Begin met schriftelijk beleid voor toegangscontrole, incidentrespons en back-upprocedures.
4. Pak de hiaten aan. Prioriteer op basis van wat jouw klanten waarschijnlijk als eerste zullen eisen: incidentmeldcapaciteit, toegangscontrole en kwetsbaarheidsbeheer.
5. Bereid je bewijspakket voor. Maak een leveranciersbeveiligingsprofiel dat je met klanten kunt delen: certificeringen, beleidsdocumenten, datum van laatste audit, contactpersoon voor incidentrespons.

Doe de gratis NIS2 Quick Scan en ontdek in vijf minuten waar jouw organisatie staat ten opzichte van de vereisten van Artikel 21.

NIS2 vs ISO 27001 — Vergelijking van vereisten
◈Alleen NIS2
Verplichte incidentmelding aan autoriteiten (24u / 72u)
Persoonlijke aansprakelijkheid op bestuursniveau voor cyberbeveiliging
Verplichtingen voor toeleveringsketenbeveiliging voor essentiële entiteiten
Sectorspecifieke regelgevingsverplichtingen
⬡Gedeelde vereisten
Risicobeheer voor informatiebeveiliging
Toegangsbeheer en identiteitsbeheer
Bedrijfscontinuïteit en herstel na rampen
Beveiligingsbewustzijn en -training
◇Alleen ISO 27001
Interne audit- en managementreviewcycli
Documentatie van de Verklaring van Toepasselijkheid (SoA)
Formele certificering en externe audit
◈Alleen NIS2
Verplichte incidentmelding aan autoriteiten (24u / 72u)
Persoonlijke aansprakelijkheid op bestuursniveau voor cyberbeveiliging
Verplichtingen voor toeleveringsketenbeveiliging voor essentiële entiteiten
Sectorspecifieke regelgevingsverplichtingen
⬡Gedeelde vereisten
Risicobeheer voor informatiebeveiliging
Toegangsbeheer en identiteitsbeheer
Bedrijfscontinuïteit en herstel na rampen
Beveiligingsbewustzijn en -training
◇Alleen ISO 27001
Interne audit- en managementreviewcycli
Documentatie van de Verklaring van Toepasselijkheid (SoA)
Formele certificering en externe audit
De middelste kolom toont vereisten die zowel NIS2 als ISO 27001 delen

De Deadline Is Nu

Dit is geen toekomstig probleem. De contractuele vereisten stromen al door in landen waar NIS2-omzetting is afgerond:

• Duitsland: NIS2UmsuCG van kracht sinds december 2025. BSI-registratiedeadline verstreken in maart 2026. Gereguleerde entiteiten werken actief leverancierscontracten bij.
• België: Volledige operationele volwassenheid. Beoordelingen van de toeleveringsketen maken deel uit van de reguliere compliance.
• Italië: ACN publiceert sectorspecifieke richtlijnen tot september 2026. Deadline implementatiemaatregelen: oktober 2026.
• Polen: NIS2-wet van kracht sinds maart 2026. Registratiedeadline: 3 oktober 2026.
• Nederland: Cyberbeveiligingswet (Cbw) — stemming nakend na het parlementaire debat van maart 2026. Verwacht van kracht in Q2 2026. Toezichthouders: RDI en NCSC.
• Oostenrijk: NISG 2026 treedt volledig in werking op 1 oktober 2026.

Elk land dat live gaat, betekent meer gereguleerde entiteiten die bijgewerkte contracten sturen naar hun leveranciers. Als je grensoverschrijdend actief bent — en dat geldt voor de meeste toeleveringsketens — bouwt de golf van contractuele vereisten snel op.

Drie Fouten om te Vermijden

Fout 1: "Wij vallen niet onder NIS2, dus dit geldt niet voor ons." Dit is de meest voorkomende en meest kostbare misvatting. Jij bent misschien geen NIS2-entiteit, maar jouw klanten zijn dat wel. Hun nalevingsverplichtingen worden jouw contractuele verplichtingen. Dit negeren betekent contracten verliezen.

Fout 2: "We regelen het wel als het contract binnenkomt." Tegen de tijd dat de contractaanvulling arriveert, verwacht je klant een reactie binnen weken, niet maanden. Een gapanalyse uitvoeren, maatregelen implementeren en bewijs documenteren kost minimaal 3-6 maanden. Begin voordat het contract er is.

Fout 3: "Een ISO 27001-certificering dekt alles." ISO 27001 is een uitstekende basis, maar NIS2 heeft specifieke vereisten (meldtermijnen voor incidenten, cascadering door de toeleveringsketen, governanceverplichtingen onder Artikel 20) die verder gaan dan generiek informatiebeveiligingsbeheer. Gebruik je ISO-framework als vertrekpunt en breng dan de NIS2-specifieke hiaten in kaart.

Belangrijkste Conclusies

• NIS2 Artikel 21(2)(d) en Uitvoeringsverordening 2024/2690 Artikel 5.1.4 maken cybersecurityclausules in leverancierscontracten juridisch verplicht voor gereguleerde entiteiten.
• Mkb'ers die leveren aan NIS2-entiteiten vallen indirect in scope via contractuele vereisten — ook als ze zelf geen NIS2-entiteiten zijn.
• Het cascade-effect is reëel: vereisten stromen van gereguleerde entiteit naar leverancier naar onderaannemer, minimaal twee lagen diep.
• Voorbereiding is een concurrentievoordeel. Bedrijven die NIS2-conforme beveiliging kunnen aantonen, winnen contracten. Wie dat niet kan, verliest ze.
• Boetes voor NIS2-gereguleerde entiteiten kunnen oplopen tot €10 miljoen of 2% van de wereldwijde omzet. Ze hebben sterke financiële prikkels om ervoor te zorgen dat hun leveranciers voldoen — en om degenen die dat niet doen te vervangen.

---

Bronnen: DLA Piper — NIS2 Directive Explained Part 3: Supply Chain Security, DIESEC — NIS2 for SMEs, Turing Law — NIS2 and Contracting, EU-uitvoeringsverordening 2024/2690, NIS2-richtlijn 2022/2555 Artikel 21(2)(d).