Klik op de knop inhoud bewerken om de inhoud te bewerken/toe te voegen.

Val ik onder NIS2 als ik lever aan een NIS2-bedrijf?

8 juni 2026

Je valt niet automatisch onder NIS2 omdat je levert aan een NIS2-plichtig bedrijf. Toch heeft die klantrelatie wel degelijk gevolgen voor jouw organisatie. Via de zogeheten ketenverantwoordelijkheid kunnen NIS2-plichtige bedrijven contractuele beveiligingseisen aan hun leveranciers opleggen, ook als jij zelf buiten de directe scope van de wet valt. In dit artikel beantwoorden we de meest gestelde vragen over NIS2 en wat het betekent als je levert aan een NIS2-bedrijf.

Wat betekent NIS2 voor bedrijven in de toeleveringsketen?

NIS2 verplicht organisaties in 18 aangewezen sectoren om de beveiliging van hun volledige toeleveringsketen te beoordelen en te bewaken. Dit betekent dat NIS2-plichtige bedrijven verantwoordelijk zijn voor de cybersecurity van hun leveranciers, niet alleen voor hun eigen systemen. Voor jou als toeleverancier resulteert dit in indirecte druk om aantoonbaar veilig te werken.

De Europese NIS2-richtlijn, in Nederland geïmplementeerd via de Cyberbeveiligingswet (CBW), erkent dat digitale ketens zo sterk zijn als hun zwakste schakel. Een cyberaanval via een leverancier kan net zoveel schade aanrichten als een directe aanval op de NIS2-plichtige organisatie zelf. Daarom schrijft artikel 21 van NIS2 supply chain security voor als een van de tien verplichte technische maatregelen.

Concreet houdt dit in dat jouw NIS2-plichtige klant verplicht is om alle leveranciers met toegang tot systemen of gevoelige gegevens te beoordelen op hun cybersecurity maatregelen en beleid. Die beoordeling moet jaarlijks worden herhaald voor kritieke leveranciers en contractueel worden vastgelegd. Naar schatting raakt dit 50.000 tot 100.000 extra MKB-bedrijven in Nederland die zelf niet direct onder NIS2 vallen, maar via hun klanten wel met de gevolgen ervan te maken krijgen.

Val ik automatisch onder NIS2 als mijn klant NIS2-plichtig is?

Nee, je valt niet automatisch direct onder NIS2 als je levert aan een NIS2-plichtig bedrijf. De wet bepaalt je directe verplichting op basis van je eigen sector en omvang, niet op basis van je klantenbestand. Toch creëert de ketenverantwoordelijkheid van NIS2 een indirecte verplichting die in de praktijk vergelijkbare eisen met zich meebrengt.

Het onderscheid is belangrijk. Als je direct onder de Cyberbeveiligingswet valt, ben je wettelijk verplicht om je te registreren bij het NCSC, een zorgplicht na te leven en significante incidenten te melden. Als je indirect in scope valt via een klantrelatie, zijn die formele verplichtingen niet op jou van toepassing. Maar jouw klant heeft wel de wettelijke plicht om jou als leverancier te beoordelen en beveiligingseisen contractueel vast te leggen.

In de praktijk betekent dit dat je klant jou kan vragen om een vragenlijst in te vullen, een risicoanalyse te delen of specifieke maatregelen te treffen. Weiger je dat, dan kan de klant besluiten de samenwerking te beëindigen of te beperken. De druk is dus reëel, ook al staat jouw naam niet in de wet.


Hi, how are you doing?
Can I ask you something?
Hoi! Ik zie dat je meer wilt weten over NIS2 en wat het betekent als je levert aan een NIS2-plichtig bedrijf. Veel MKB-bedrijven herkennen zich in deze situatie. Wat past het beste bij jouw situatie?
Dat herkennen we goed — steeds meer MKB-bedrijven krijgen dit soort vragen van hun klanten. Hoe urgent is dit voor jou op dit moment?
Geen probleem, oriënteren is een goede eerste stap. Wat speelt er bij jou? (Je kunt meerdere opties kiezen)
Op basis van wat je hebt aangegeven kan één van onze specialisten je precies vertellen waar jouw organisatie nu staat en wat de eerste stap is. Laat je gegevens achter en we nemen contact met je op voor een vrijblijvend gesprek.
Bedankt! Je gegevens zijn ontvangen. Ons team bekijkt je aanvraag en neemt contact met je op om jouw NIS2-voorbereiding te bespreken. Fijn dat je de eerste stap hebt gezet! 👍

Welke eisen kunnen NIS2-klanten aan hun leveranciers stellen?

NIS2-plichtige klanten kunnen uiteenlopende beveiligingseisen aan leveranciers stellen, afhankelijk van de toegang die jij hebt tot hun systemen of gegevens. Denk aan aantoonbare beveiligingsmaatregelen, contractuele afspraken over incidentmelding, het gebruik van multifactorauthenticatie en bewijs van medewerkerstraining. Deze eisen worden steeds vaker opgenomen in inkoopcontracten en leveranciersbeoordelingen.

Technische eisen

Op technisch vlak kunnen klanten vragen om bewijs van maatregelen zoals versleutelde verbindingen, netwerksegmentatie, actief patchbeheer en het gebruik van multifactorauthenticatie. Als jij als leverancier toegang hebt tot de systemen van je klant, is het logisch dat die klant wil weten dat jij die toegang goed beveiligt. MFA op alle accounts met toegang tot klantomgevingen is daarbij een minimumeis die steeds vaker contractueel wordt vastgelegd.

Organisatorische en documentaire eisen

Naast technische maatregelen vragen NIS2-klanten ook om organisatorisch bewijs. Denk aan een gedocumenteerd informatiebeveiligingsbeleid, een incidentresponsplan, bewijs van medewerkerstraining en een actuele risicoanalyse. Sommige klanten vragen om een ingevulde vragenlijst of een zelfevaluatie als onderdeel van hun jaarlijkse leveranciersbeoordeling. Hoe meer toegang jij hebt tot gevoelige systemen of gegevens, hoe uitgebreider die eisen doorgaans zijn.

Hoe weet ik of mijn eigen bedrijf direct NIS2-plichtig is?

Je bent direct NIS2-plichtig als je actief bent in een van de 18 aangewezen sectoren én voldoet aan de omvangsdrempel. Middelgrote organisaties hebben 50 tot 249 medewerkers en meer dan 10 miljoen euro omzet of balanstotaal. Grote organisaties hebben 250 of meer medewerkers en meer dan 50 miljoen euro omzet. De snelste manier om je positie te bepalen is de zelfevaluatietool op zelfevaluatie.rdi.nl.

De 18 sectoren zijn verdeeld in twee categorieën. Bijlage I bevat de essentiële sectoren: energie, transport, bankwezen, financiële marktinfrastructuur, gezondheidszorg, drinkwater, afvalwater, digitale infrastructuur, ICT-dienstenbeheer (B2B), overheidsdiensten en ruimtevaart. Bijlage II bevat de belangrijke sectoren: post- en koeriersdiensten, afvalbeheer, chemische industrie, voedingsmiddelenindustrie, maakindustrie (specifieke segmenten), digitale dienstverleners en onderzoek.

Er zijn ook organisaties die altijd in scope vallen, ongeacht hun omvang. Dat zijn aanbieders van openbare elektronische communicatienetwerken, verleners van vertrouwensdiensten, DNS-dienstverleners, TLD-registers en overheidsorganisaties. Als jouw bedrijf in een van deze categorieën valt, gelden de verplichtingen direct.

Twijfel je? Gebruik de zelfevaluatietool van de RDI als startpunt. Die helpt je in enkele minuten bepalen of je binnen de directe scope valt. Vul daarna aan met een inventarisatie van je klanten: lever je aan NIS2-plichtige organisaties met toegang tot hun systemen? Dan is de indirecte scope ook relevant voor jou.

Wat zijn de praktische gevolgen als je levert aan een NIS2-bedrijf?

Als je levert aan een NIS2-plichtig bedrijf, kun je te maken krijgen met beveiligingsvragenlijsten, contractuele beveiligingseisen, audits of verzoeken om aantoonbaar bewijs van je maatregelen. In de praktijk betekent dit dat je jouw cybersecuritybeleid moet kunnen documenteren en laten zien dat je actief werkt aan informatiebeveiliging.

De meest voorkomende praktische gevolgen zijn:

  • Een vragenlijst of leveranciersbeoordeling als onderdeel van het inkoopproces van je klant
  • Contractuele clausules over beveiligingsmaatregelen, incidentmelding en toegangsbeheer
  • Verzoeken om bewijs van medewerkerstraining of een actueel informatiebeveiligingsbeleid
  • Jaarlijkse herbeoordelingen als je als kritieke leverancier wordt aangemerkt
  • Eisen rondom het gebruik van MFA en versleutelde verbindingen bij toegang tot klantomgevingen

De zwaarte van deze eisen hangt af van de toegang die jij hebt. Een leverancier die fysieke kantoorartikelen levert, krijgt andere eisen dan een IT-dienstverlener met directe toegang tot systemen en gegevens. Hoe meer toegang, hoe groter de verwachte inspanning.

Hoe bereid je je als leverancier voor op NIS2-eisen van klanten?

Als leverancier bereid je je voor op NIS2-eisen door je beveiligingsmaatregelen te documenteren, basisprocessen in te richten en aantoonbaar bewijs op te bouwen. Je hoeft daarvoor niet volledig NIS2-compliant te zijn, maar je moet wel kunnen laten zien dat je serieus omgaat met informatiebeveiliging.

Een praktisch stappenplan voor leveranciers:

  1. Bepaal je positie: Gebruik zelfevaluatie.rdi.nl om te checken of je zelf direct in scope valt. Breng ook in kaart welke klanten NIS2-plichtig zijn en welke toegang jij tot hun systemen hebt.
  2. Voer een gap-analyse uit: Welke beveiligingsmaatregelen heb je al? Denk aan MFA, back-ups, patchbeheer en een incidentresponsplan. Wat ontbreekt nog?
  3. Richt kernprocessen in: Stel een schriftelijk informatiebeveiligingsbeleid op, activeer MFA op alle relevante accounts, zorg voor regelmatige back-ups en test je herstelprocessen.
  4. Train je medewerkers: NIS2-klanten vragen steeds vaker om bewijs van bewustzijnstraining. Zorg dat medewerkers phishing herkennen en weten hoe ze moeten handelen bij een incident.
  5. Bouw een evidence pack op: Verzamel documentatie van je maatregelen, trainingsregisters, risicoanalyses en beleidsdocumenten. Dit is het bewijs dat je aan klanten kunt overleggen.

Je hoeft dit niet allemaal tegelijk te doen. Begin met de maatregelen die het meeste risico afdekken en bouw van daaruit verder. Quick wins zoals het activeren van MFA en het documenteren van je back-upproces zijn snel gerealiseerd en maken al een groot verschil in een leveranciersbeoordeling.

Wat gebeurt er als je als leverancier niet voldoet aan NIS2-eisen?

Als je als leverancier niet voldoet aan de beveiligingseisen van een NIS2-plichtige klant, riskeer je dat die klant de samenwerking beëindigt of je uit hun leveranciersbestand verwijdert. Directe boetes van toezichthouders ontvang je niet als je zelf buiten de directe NIS2-scope valt, maar de commerciële en contractuele gevolgen kunnen aanzienlijk zijn.

NIS2-plichtige organisaties zijn wettelijk verplicht om hun leveranciers te beoordelen en beveiligingseisen contractueel vast te leggen. Als jij als leverancier niet aan die eisen voldoet, brengt dat de NIS2-plichtige klant zelf in een lastige positie ten opzichte van hun toezichthouder. De kans is dan groot dat zij de relatie herzien of beëindigen.

Daarnaast geldt: als er een incident plaatsvindt waarbij jouw systemen of toegang een rol spelen, kan de NIS2-plichtige klant jou aansprakelijk stellen op basis van contractuele afspraken. Zeker als achteraf blijkt dat je aantoonbaar nalatig bent geweest in je beveiligingsmaatregelen, kan dit leiden tot schadeclaims of juridische procedures.

De zakelijke risico’s zijn dus reëel: verlies van klanten, reputatieschade en mogelijke aansprakelijkheid. Dat maakt proactieve voorbereiding niet alleen verstandig, maar ook commercieel relevant voor je positie als leverancier.

Hoe wij je helpen bij NIS2-voorbereiding als leverancier

Als je levert aan NIS2-plichtige bedrijven, wil je kunnen aantonen dat je serieus omgaat met cybersecurity. Wij helpen MKB-bedrijven om die basis concreet en aantoonbaar in te richten, zonder onnodige complexiteit.

Wat we voor je kunnen doen:

  • Gap-analyse: We brengen samen in kaart welke beveiligingsmaatregelen je al hebt en wat er nog ontbreekt ten opzichte van wat jouw klanten verwachten.
  • Technische maatregelen: We helpen je met het activeren van MFA via Cisco Duo, het inrichten van veilige back-upprocessen en het beheer van je systemen.
  • Security Awareness Training: Via ons SAT-programma met Huntress trainen we je medewerkers met korte, praktische episodes over phishingherkenning en cyberhygiëne. De trainingsregisters zijn bruikbaar als bewijs in een leveranciersbeoordeling.
  • Evidence pack: We helpen je de documentatie op orde te brengen zodat je klanten aantoonbaar kunt laten zien dat je beveiligingsmaatregelen op orde zijn.
  • Doorlopend beheer: Als managed IT-partner zorgen we ervoor dat je beveiliging actueel blijft, ook als de eisen van je klanten veranderen.

Wil je weten waar jouw organisatie nu staat en wat de eerste stap is? Neem contact met ons op voor een vrijblijvend gesprek over jouw NIS2-voorbereiding.

Delen
Foto van Dirk-Jan Padmos

Dirk-Jan Padmos

Interesse of wil je wat meer informatie?

dirk-jan.padmos@ntnt.nl
Laatste nieuws.