Cookie Consent

By clicking “Accept”, you agree to the storing of cookies on your device to enhance site navigation, analyze site usage, and assist in our marketing efforts. View our Privacy Policy for more information.

deny icon
Deny
allow icon
Accept
088 254 25 66
Support
Home
Blog
Waarom jouw klant straks jouw risico wordt
NIS2 voor leveranciers

Waarom jouw klant straks jouw risico wordt

NIS2 geldt misschien niet voor jou, maar jouw klanten verwachten straks wél dat jij je beveiliging op orde hebt.

Gepost op
21
April
2026
NIS2 laptop met kettingen aan leverancier

Jouw klant valt er misschien wel onder

De Cyberbeveiligingswet (de Nederlandse uitwerking van NIS2) treedt naar verwachting in Q2 2026 in werking, de Tweede Kamer stemde op 15 april 2026 voor, nu is de Eerste Kamer aan zet.

Misschien denk jij: "Ik val daar niet onder." Dat klopt waarschijnlijk. Maar hier zit de crux: jouw klant mogelijk wél. En daarmee jij indirect ook.

Organisaties die onder NIS2 vallen, moeten niet alleen hun eigen beveiliging op orde hebben, maar ook de risico's in hun leveranciersketen aantoonbaar beheersen.

En dat is precies waar het voor jou als ondernemer spannend wordt.

Wat is ketenverantwoordelijkheid binnen NIS2?

NIS2 richt zich op organisaties in kritieke sectoren: energie, transport, financiën, gezondheidszorg, overheid en een handvol andere.

Die organisaties zijn wettelijk verplicht om hun digitale beveiliging op orde te hebben én om de risico's in hun leveranciersketen structureel te beoordelen en te beheersen. Dit staat expliciet in artikel 21 lid 2 sub d van de NIS2-richtlijn.

Kort gezegd: ook als jij zelf buiten de wet valt, kun je er alsnog mee te maken krijgen via je klanten.

Als jouw bedrijf toegang heeft tot de systemen, data of netwerken van zo'n organisatie, of als je producten of diensten levert die zij gebruiken, ben je onderdeel van hun risicoprofiel. En dus word jij beoordeeld.

Twee concrete situaties

Voorbeeld 1 - De gemeente

Je levert aan een gemeente: Jouw bedrijf levert software, diensten of producten aan een gemeentelijke afdeling. De gemeente valt onder NIS2 en is verplicht haar leveranciersketen te beoordelen. Ze vragen om schriftelijk bewijs dat jouw IT-beveiliging op orde is. Kun je dat niet leveren, dan wordt dat een contractrisico en in de praktijk steeds vaker een dealbreaker.

Voorbeeld 2 - De zorginstelling

Je levert aan een ziekenhuis of GGZ-instelling: Jouw bedrijf levert producten of diensten aan een ziekenhuis, GGZ-instelling of grote thuiszorgorganisatie. Deze zorginstellingen vallen onder NIS2 én moeten voldoen aan NEN 7510. Ze zijn verplicht hun leveranciersketen te beoordelen en vragen jou als toeleverancier aan te tonen dat jouw eigen IT-omgeving veilig is. Kun je dat niet onderbouwen met documentatie, dan kom je niet door hun leveranciersscreening.


Wat verwacht een opdrachtgever concreet?

Als jouw klant onder NIS2 valt, kun je de volgende vragen verwachten, gericht aan jou als leverancier:

  • Hoe is jouw IT-omgeving beveiligd?
  • Hoe regel jij toegangsbeheer en MFA binnen jouw eigen bedrijf?
  • Wat is jouw back-up- en herstelstrategie als er iets misgaat?
  • Hoe detecteer en behandel jij beveiligingsincidenten?
  • Kun je dit aantoonbaar maken, met documentatie?

Die laatste vraag is meteen de spannendste. "Wij regelen dat goed" is geen antwoord meer. Ze willen bewijs: rapportages, beleidsdocumenten, configuratie-overzichten.

Wat als je dit niet op orde hebt?

Als jouw klant onder NIS2 valt en jij kunt de beveiligingsvragen niet beantwoorden, zijn de gevolgen concreet:

  • Je verliest de opdracht, of komt bij de volgende aanbesteding niet eens door de voorselectie
  • Bestaande contracten komen onder druk te staan als klanten hun leveranciersketen moeten opschonen
  • Bij een incident waarbij jouw omgeving een rol speelde, loop je reputatie- én aansprakelijkheidsrisico

De wet geldt niet voor jou. Maar de gevolgen wel.

Wie nu niet investeert in aantoonbaarheid, verliest straks de opdrachten aan concurrenten die dat wél kunnen laten zien.

Hoe maak je het aantoonbaar?

Aantoonbaarheid vraagt om drie dingen en een goede IT-leverancier regelt dit voor je:

1.Maatregelen die daadwerkelijk zijn ingericht

Denk aan endpointbeveiliging, patchmanagement, back-ups, MFA en netwerksegmentatie. Niet als losse tools, maar als samenhangende inrichting, opgezet en beheerd door jouw IT-leverancier.

2.Vastlegging van wat er gedaan wordt

Elke maatregel moet gedocumenteerd staan. Niet achteraf samengesteld voor een audit, maar als onderdeel van hoe de omgeving dagelijks beheerd wordt. Jouw IT-leverancier zorgt dat die vastlegging er altijd is.

3.Rapportages die je kunt laten zien

Als jouw klant, een auditor of verzekeraar ernaar vraagt, moet je binnen een dag een overzicht kunnen overleggen. Op controlniveau, niet alleen een dashboard met groene vinkjes. Een goede IT-leverancier levert je die rapportages standaard, zonder dat je er zelf achteraan hoeft.

Bij ClickOn is dit geen apart traject dat je er bovenop krijgt. Het zit verweven in hoe we IT beheren. Elke maatregel wordt vastgelegd, elke maand ontvang je een rapportage, en als iemand vragen stelt, een klant, auditor of verzekeraar, schuiven wij aan om het technische deel toe te lichten

Praktische checklist: staat jouw beveiliging er klaar voor?

Gebruik deze checklist om te controleren of jouw IT-leverancier dit voor je geregeld heeft:

☐    Is jouw IT-omgeving voorzien van actuele endpointbeveiliging en patchmanagement?

☐    Is MFA ingericht op alle accounts die toegang hebben tot bedrijfs- of klantdata?

☐    Is er een gedocumenteerd back-up- en herstelbeleid?

☐    Zijn er afspraken over hoe beveiligingsincidenten worden gedetecteerd en gemeld?

☐    Kun je dit alles schriftelijk aantonen met rapportages en documentatie?

Staan er vinkjes open? Dan regelt een goede IT-leverancier dit voor je en zorgt dat je het ook kunt laten zien.

ISO 27001 of NIS2 Supply Chain: wat past bij jouw situatie?

Val jij zelf onder NIS2, of eisen jouw klanten dat jij NIS2-maatregelen toepast? Dan heb je aantoonbare compliance nodig en daarvoor zijn twee instrumenten beschikbaar.

ISO 27001

Dit is de meest directe route als jouw organisatie zelf onder NIS2 valt. De overlap met NIS2 bedraagt zo'n 70 tot 80 procent op het technische vlak, dat scheelt aanzienlijk in tijd en kosten. Belangrijk om te weten: ISO 27001 dekt NIS2 niet volledig. Meldplichten richting toezichthouders, bestuurdersaansprakelijkheid en sector- specifieke registratieverplichtingen vallen buiten de ISO-scope. Het is een sterk fundament, geen complete oplossing.

NIS2 Supply Chain certificaat (SC10, SC20 of SC30)

Dit certificaat is specifiek ontwikkeld voor organisaties die niet zelf onder NIS2 vallen, maar waarvan klanten wél aantoonbare NIS2-maatregelen eisen. Welk niveau past, hangt af van jouw rol en risicoprofiel in de keten, dat bepalen we samen.

ISO 27001 is niet zomaar een keuze, de EU schrijft het voor als de aanbevolen standaard voor NIS2.

ClickOn is ISO27001-gecertificeerd en begeleidt klanten naar zowel ISO 27001 als NIS2 Supply Chain certificering. Als onze klant bouw je direct op dat gecertificeerde fundament: 47 van de 93 Annex A-controls, zoals patchmanagement, back-up, MFA, endpointbeveiliging en netwerksegmentatie, zijn bij ons extern getoetst en aantoonbaar ingericht. Daarmee heb je het technische deel al grotendeels gedekt, ongeacht welke route het beste bij jou past.


Wat moet je nu doen?

Begin met weten waar je staat. Welke van jouw klanten vallen mogelijk onder NIS2, of eisen NIS2-compliance van jou? En wat kun jij hen op dit moment latenzien als ze ernaar vragen?

Weet je het niet zeker? Dan is een gratis IT-scan een goed startpunt. Je ziet precies wat er al staat en waar nog werk zit, voordat je klant de vraag stelt.

→  Lees meer over hoe ClickOn NIS2 technisch invult

→  Lees meer over ISO 27001 voor MKB

Afspraak inplannen
Neem contact op
Gratis en geheel vrijblijvend

welk IT pakket past bij jou?

ster
Start
On
Ideaal voor startende bedrijven die de basis goed voor elkaar willen hebben.
54
/maand
per werkplek
Bekijk pakket
Goed in de basis:
cirkel met check
Veilige en up to date werkplek met onze werkplek monitoring
cirkel met check
Endpoint Detectie and Response
cirkel met check
Antivirus en ransomware-bescherming
cirkel met check
Endpoint backup
cirkel met check
Support zonder extra factuur
Meest gekozen
essentials
On
Alles wat je nodig hebt om op een veilige manier je werk te doen.
84
/maand
per werkplek
Bekijk pakket
Alles wat je nodig hebt:
cirkel met check
De veilige werkplek uit StartOn plus:
cirkel met check
Microsoft 365 Business Premium
cirkel met check
Back-up voor Microsoft 365
cirkel met check
Anti-phising en security awareness trainingen
cirkel met check
DarkWeb monitoring
cirkel met check
Doorlopende scans op kwetsbaarheden
cirkel met check
Support, zonder extra factuur
ster met 7 punten
PREMIUM
On
IT zonder kopzorgen, inclusief 24/7 bewaking door security-experts.
114
/maand
per werkplek
Bekijk pakket
Alles wat je nodig hebt:
cirkel met check
De veilige werkplek uit StartOn + EssentialsOn plus:
cirkel met check
24/7 Managed Detection & Response
cirkel met check
Automatische account vergrendeling bij verdacht gedrag
cirkel met check
Toegang tot ons documentatiesysteem
cirkel met check
Restore-test eens per 6 maanden
cirkel met check
Eenmaal per jaar security overleg
cirkel met check
Support, zonder extra factuur

IT zonder ruis, juist als het serieus wordt

Klaar om te weten waar je staat?

Wil je inzicht in wat jouw organisatie technisch al goed geregeld heeft en waar nog werk zit?

Contactgegevens
Plan een gratis IT-Scan