Klik op de knop inhoud bewerken om de inhoud te bewerken/toe te voegen.

Wat is het NIS2 Supply Chain keurmerk?

18 juni 2026

Het NIS2 Supply Chain keurmerk is een certificering waarmee een leverancier aantoont dat zijn cybersecuritymaatregelen voldoen aan de eisen die NIS2-plichtige organisaties stellen aan hun toeleveringsketen. Het keurmerk maakt ketenbeveiliging aantoonbaar en verifieerbaar. In dit artikel beantwoorden we de meest gestelde vragen over het keurmerk: voor wie het geldt, wat je moet aantonen, en wat er op het spel staat als je het niet hebt.

Voor welke bedrijven is het NIS2 Supply Chain keurmerk verplicht?

Het NIS2 Supply Chain keurmerk is niet wettelijk verplicht voor alle bedrijven, maar in de praktijk onvermijdelijk voor leveranciers die werken voor organisaties die onder de Cyberbeveiligingswet vallen. Elke NIS2-plichtige organisatie is verplicht haar leveranciers te beoordelen op cybersecuritymaatregelen. Zonder aantoonbare beveiliging loop je als leverancier het risico dat je van de leverancierslijst wordt geschrapt.

De Cyberbeveiligingswet trad op 1 juli 2026 in werking in Nederland. Zij verplicht organisaties in 18 aangewezen sectoren, zoals energie, transport, gezondheidszorg, digitale infrastructuur en ICT-dienstverlening (B2B), om supply chain security actief te beheren. Dat betekent dat zij contractuele beveiligingseisen opleggen aan hun toeleveranciers en die jaarlijks controleren.

De indirecte impact is groot. Hoewel naar schatting 8.000 tot 10.000 organisaties direct onder de wet vallen, raken de ketenverplichtingen naar schatting 50.000 tot 100.000 extra MKB-bedrijven in Nederland. Als je als leverancier toegang hebt tot de systemen, data of netwerken van een NIS2-plichtige klant, dan verwacht die klant van jou aantoonbare maatregelen. Het NIS2 Supply Chain keurmerk is de meest concrete manier om dat aan te tonen.

Wat houdt het NIS2 Supply Chain keurmerk precies in?

Het NIS2 Supply Chain keurmerk is een gestructureerde certificering die bevestigt dat een organisatie de cybersecuritymaatregelen heeft getroffen die NIS2-plichtige afnemers contractueel mogen eisen van hun leveranciers. Het keurmerk toont aan dat je als leverancier geen zwakke schakel bent in de digitale keten van je klanten.

De basis voor het keurmerk ligt in artikel 21 van de NIS2-richtlijn, dat tien concrete technische en organisatorische maatregelen voorschrijft. Voor leveranciers zijn de meest relevante maatregelen:

  • Risicoanalyse en informatiebeveiligingsbeleid: een gedocumenteerde, jaarlijks bijgewerkte risicoanalyse en een door het bestuur goedgekeurd cybersecuritybeleid
  • Incidentafhandeling: een schriftelijk incident response plan met heldere rolverdeling en communicatieprocedures
  • Bedrijfscontinuïteit: vastgelegde back-up- en herstelprocessen met gedocumenteerde RTO en RPO
  • Supply chain security: beoordeling van eigen leveranciers en contractueel vastgelegde beveiligingseisen
  • Cyberhygiëne en bewustzijnstraining: verplichte beveiligingstraining voor medewerkers en bestuurders
  • Toegangsbeveiliging en encryptie: MFA op alle toegangspunten, niet alleen op VPN, en versleuteling van gevoelige data

Het keurmerk is geen eenmalige afvinklijst. Het vraagt om aantoonbaarheid: beleidsdocumenten, trainingsregisters, testresultaten van back-ups en penetratietesten, en een bijgehouden leverancierslijst met risicoanalyses. Je bouwt in feite een evidence pack op dat je bij een audit of klantvraag direct kunt overleggen.


Hi, how are you doing?
Can I ask you something?
👋 Hoi! Ik zie dat je meer wilt weten over het NIS2 Supply Chain keurmerk. Veel MKB-bedrijven in Nederland worstelen op dit moment met precies deze vraag: ben ik als leverancier nog welkom bij mijn NIS2-plichtige klanten? Wat beschrijft jouw situatie het beste?
Dat herkennen we. Steeds meer NIS2-plichtige klanten stellen aantoonbare cybersecuritymaatregelen als harde eis — en leveranciers zonder bewijs vallen af. Hoe urgent is dit voor jou op dit moment?
Goed dat je je oriënteert — dat doen veel MKB-bedrijven op dit moment. Waar ben je vooral naar op zoek? (Selecteer alles wat van toepassing is)
Op basis van wat je hebt aangegeven, kan ons team je precies vertellen waar jouw organisatie nu staat en wat er nog nodig is voor het NIS2 Supply Chain keurmerk. Laat je gegevens achter en we nemen contact met je op voor een vrijblijvende NIS2-quickscan.
✅ Bedankt! Jouw aanvraag is ontvangen. Ons team bekijkt je gegevens en neemt contact met je op om jouw NIS2-situatie te bespreken. We kijken ernaar uit je te helpen.
Bij NTNT begeleiden we MKB-bedrijven door het hele NIS2-voorbereidingstraject — van de eerste zelfevaluatie tot een volledig ingericht evidence pack. Je hoort snel van ons.

Hoe verschilt het NIS2 Supply Chain keurmerk van andere cybersecurity-certificeringen?

Het NIS2 Supply Chain keurmerk verschilt van certificeringen zoals ISO 27001 of het Cyber Fundamentals Framework doordat het specifiek is ontworpen voor de ketenverantwoordelijkheid onder de Cyberbeveiligingswet. Andere certificeringen zijn breed van opzet; dit keurmerk is direct gekoppeld aan de verplichtingen die NIS2-plichtige organisaties aan hun leveranciers opleggen.

ISO 27001 versus het NIS2 Supply Chain keurmerk

ISO 27001 is een internationale norm voor informatiebeveiliging en vraagt om een volledig ingericht Information Security Management System (ISMS). Het is een uitgebreide en kostbare certificering die voor veel MKB-bedrijven zwaarder is dan nodig. Het NIS2 Supply Chain keurmerk sluit dichter aan bij de specifieke maatregelen uit artikel 21 en is daardoor toegankelijker voor leveranciers die primair willen aantonen dat ze veilig samenwerken met NIS2-plichtige klanten.

AVG-compliance versus NIS2-certificering

Veel bedrijven denken dat AVG-compliance hen ook NIS2-gereed maakt. Dat klopt niet volledig. De AVG richt zich op de bescherming van persoonsgegevens; NIS2 richt zich op de beveiliging van netwerk- en informatiesystemen. NIS2 vraagt bovendien om een bredere meldplicht (alle significante beveiligingsincidenten, eerste melding binnen 24 uur), expliciete bestuurstraining en actievere directiebetrokkenheid. Organisaties die al serieus aan de AVG voldoen, hebben een voorsprong, maar het NIS2 Supply Chain keurmerk vraagt meer.

Welke eisen moet een bedrijf aantonen om het keurmerk te behalen?

Om het NIS2 Supply Chain keurmerk te behalen, moet je als organisatie aantoonbaar voldoen aan de tien zorgplichtmaatregelen uit artikel 21 van de NIS2-richtlijn, toegespitst op jouw rol als leverancier. Aantoonbaarheid is het sleutelwoord: het gaat niet alleen om wat je doet, maar ook om wat je kunt bewijzen.

Concreet moet je de volgende elementen kunnen overleggen:

  1. Gedocumenteerde risicoanalyse die jaarlijks wordt bijgewerkt en door het bestuur is goedgekeurd
  2. Schriftelijk incident response plan met rolverdeling, communicatieprocedures en bewijs van oefening via scenario’s
  3. Vastgelegde back-up- en herstelprocessen met gedocumenteerde RTO en RPO, en bewijs van regelmatige hersteltests
  4. Leverancierslijst met risicoanalyses van jouw eigen kritieke toeleveranciers, inclusief contractuele beveiligingsafspraken
  5. MFA op alle toegangspunten, netwerksegmentatie en tamper-proof logging
  6. Trainingsregisters van afgeronde beveiligingstrainingen voor medewerkers en bestuurders, inclusief phishing-simulaties
  7. Resultaten van penetratietesten, minimaal jaarlijks uitgevoerd
  8. Bewijs van bestuursbetrokkenheid: het beveiligingsbeleid moet aantoonbaar door het bestuur zijn goedgekeurd

Belangrijk: de maatregelen moeten proportioneel zijn aan jouw risicoprofiel, sector en omvang. Een klein IT-bedrijf met tien medewerkers heeft een ander bewijspakket nodig dan een middelgrote logistieke dienstverlener. De kern blijft hetzelfde: je bouwt een evidence pack op dat je bij elke klantvraag of audit direct kunt overleggen.

Hoe vraag je het NIS2 Supply Chain keurmerk aan?

Het aanvragen van het NIS2 Supply Chain keurmerk verloopt via een gestructureerd traject van vijf fasen, van zelfevaluatie tot doorlopende aantoonbaarheid. Het proces start met het bepalen van je positie en eindigt met een formele registratie bij het NCSC zodra de Cyberbeveiligingswet van kracht is.

Het implementatietraject ziet er als volgt uit:

  1. Fase 1 (week 1 tot 2): Positiebepaling. Voer de NIS2-zelfevaluatie uit via zelfevaluatie.rdi.nl, controleer of jouw sector en omvang binnen scope vallen, inventariseer leveranciers met toegang tot jouw systemen, en identificeer welke van jouw klanten NIS2-plichtig zijn.
  2. Fase 2 (week 3 tot 4): Gap-analyse. Breng in kaart welke van de tien maatregelen al aanwezig zijn, wat ontbreekt, en wat quick wins zijn versus langetermijninvesteringen.
  3. Fase 3 (maand 2 tot 3): Kernprocessen inrichten. Stel een incident response plan op, activeer MFA op alle toegangspunten, segmenteer het netwerk, test back-ups en train medewerkers en bestuurders.
  4. Fase 4 (maand 3 tot 4): Documentatie en leveranciersbeheer. Stel beleidsdocumenten op, bouw de leverancierslijst met risicoanalyses, leg contractuele beveiligingsafspraken vast en bereid je voor op NCSC-registratie.
  5. Fase 5 (doorlopend): Aantoonbaarheid en continue verbetering. Bouw het evidence pack op, voer jaarlijkse penetratietesten uit, onderhoud tamper-proof logging, voer een jaarlijkse review uit en registreer je formeel bij het NCSC via mijn.ncsc.nl.

De registratie bij het NCSC zelf duurt circa tien minuten als je de gegevens vooraf hebt verzameld: contactinformatie, naam van de verantwoordelijke, overzicht van diensten en een lijst van internetdomeinen. De voorbereiding is het echte werk.

Wat zijn de gevolgen als een leverancier het keurmerk niet heeft?

Als een leverancier het NIS2 Supply Chain keurmerk niet heeft, riskeert hij te worden uitgesloten van opdrachten bij NIS2-plichtige klanten. Die klanten zijn wettelijk verplicht hun leveranciers jaarlijks te beoordelen op cybersecuritymaatregelen en kunnen bij onvoldoende beveiliging contracten beëindigen of nieuwe opdrachten weigeren.

De gevolgen zijn op twee niveaus voelbaar:

Gevolgen voor de leverancier zelf

Een leverancier zonder aantoonbare NIS2-compliance verliest zijn concurrentiepositie. Steeds meer NIS2-plichtige organisaties nemen supply chain beveiliging op als harde eis in aanbestedingen en contracten. Wie geen keurmerk of vergelijkbaar bewijs kan overleggen, valt af. Daarnaast loop je als leverancier zelf risico op incidenten die via jouw systemen doorwerken naar jouw klanten, met mogelijke aansprakelijkheid als gevolg.

Gevolgen voor de NIS2-plichtige klant

Een NIS2-plichtige organisatie die een leverancier zonder adequate beveiliging in haar keten houdt, voldoet zelf niet aan de supply chain-verplichting uit artikel 21. Dat kan leiden tot boetes van maximaal 10 miljoen euro of 2% van de wereldwijde jaaromzet. Bovendien kunnen bestuurders persoonlijk aansprakelijk worden gesteld bij grove nalatigheid. Het gevolg is dat NIS2-plichtige klanten actief hun leverancierslijst opschonen en alleen werken met partijen die aantoonbare maatregelen hebben getroffen.

Hoe helpt managed IT bij de voorbereiding op het NIS2 Supply Chain keurmerk?

Een managed IT-partner helpt je het NIS2 Supply Chain keurmerk stap voor stap voor te bereiden door de technische maatregelen in te richten, de documentatie op orde te brengen en de aantoonbaarheid te borgen. Dat bespaart tijd en voorkomt dat je cruciale onderdelen over het hoofd ziet.

Veel van de vereiste maatregelen zijn technisch van aard en vragen om specifieke expertise. Een managed IT-partner richt ze voor je in en beheert ze proactief, zodat jij je kunt richten op je kernactiviteiten.

Hoe wij je helpen met het NIS2 Supply Chain keurmerk

Bij NTNT begeleiden we MKB-bedrijven door het hele NIS2-voorbereidingstraject, van de eerste zelfevaluatie tot een volledig ingericht evidence pack. Concreet doen we het volgende voor je:

  • Gap-analyse: we brengen in kaart welke van de tien zorgplichtmaatregelen al aanwezig zijn en wat er nog ontbreekt
  • Technische inrichting: we activeren MFA via Cisco Duo op alle toegangspunten, richten netwerksegmentatie in en zorgen voor tamper-proof logging
  • Cybersecurity monitoring: via Huntress bewaken we jouw omgeving proactief op dreigingen en incidenten
  • Bewustzijnstraining: via Phished trainen we jouw medewerkers en bestuurders met phishing-simulaties en awareness-programma’s, inclusief trainingsregisters voor het evidence pack
  • Documentatie en beleid: we helpen je incident response plan, risicoanalyse, leverancierslijst en beveiligingsbeleid op te stellen en actueel te houden
  • Jaarlijkse review: we voeren periodieke penetratietesten uit en houden het evidence pack up-to-date voor audits en klantvragen

Wil je weten waar jouw organisatie nu staat? Neem contact op met NTNT voor een vrijblijvende NIS2-quickscan, zodat je precies weet wat je nog moet doen om het NIS2 Supply Chain keurmerk te behalen.

Delen
Foto van Dirk-Jan Padmos

Dirk-Jan Padmos

Interesse of wil je wat meer informatie?

dirk-jan.padmos@ntnt.nl
Laatste nieuws.