NIS2 en de toeleveringsketen: 5 clausules die u van uw leveranciers moet eisen
Sophie Martin
Juridisch analist — Europees digitaal recht
Begin 2024 leed een Europees productiebedrijf een ernstig beveiligingsincident. De aanvaller richtte zich niet rechtstreeks op het bedrijf — hij maakte gebruik van de VPN-inloggegevens van een onderhoudsleverancier. Het bedrijf was zelf NIS2-conform. De leverancier niet. Het resultaat: 18 dagen productiestilstand, 3,5 miljoen euro schade en een formeel onderzoek door de bevoegde nationale autoriteit.
Dit is precies het scenario dat artikel 21(2)(d) van richtlijn 2022/2555 wil voorkomen.
Wat NIS2 vereist voor de beveiliging van de toeleveringsketen
Artikel 21 van richtlijn 2022/2555 verplicht essentiële en belangrijke entiteiten risicobeheermaatregelen te implementeren die de beveiliging van de toeleveringsketen expliciet omvatten. Dit geldt voor directe leveranciers en dienstverleners — niet alleen interne systemen.
Vier concrete verplichtingen vloeien voort uit dit artikel. Ten eerste: risico's beoordelen van directe leveranciers en dienstverleners, met bijzondere aandacht voor ICT-dienstverleners (MSP's, cloud, SaaS). Ten tweede: cybersecurityclausules opnemen in leverancierscontracten. Ten derde: de beveiligingspositie van kritieke leveranciers continu monitoren. Ten vierde: gedocumenteerde bewijzen van deze beoordelingen bijhouden voor inspecties (artikel 21, richtlijn 2022/2555).
Het NCSC-NL geeft in zijn richtlijnen aan dat entiteiten een register van derdepartijrisico's moeten opstellen en dit bij een controle moeten kunnen overleggen.
Waarom uw leveranciers uw grootste aanvalsoppervlak zijn
Volgens ENISA was bij 62% van de significante beveiligingsincidenten in 2023 toegang van derden betrokken. MSP's en cloudserviceproviders vormen het grootste deel van deze aanvalsvectoren. Een leverancier zonder verplichte multifactorauthenticatie (MFA) voor gedeelde toegang is een open deur. Een onderaannemer die uw gegevens buiten de EU opslaat zonder contractuele waarborgen creëert tegelijkertijd NIS2- en AVG-aansprakelijkheid.
Het regelgevingsrisico is aanzienlijk: een inbreuk die voortkomt uit een onbeveiligde leverancier wordt behandeld als uw eigen nalevingsfout.
5 concrete contractclausules
Clausule 1: Recht op beveiligingsaudit
Het contract moet uw organisatie (of een aangestelde externe auditor) het recht verlenen beveiligingsaudits bij de leverancier uit te voeren, met een maximale opzegtermijn van 30 dagen. De leverancier moet volledig meewerken en toegang verlenen tot relevante systemen, documentatie en gebeurtenislogboeken. Zonder deze clausule kunt u niet verifiëren of contractuele beveiligingstoezeggingen worden nagekomen.
Clausule 2: Meldingsplicht bij beveiligingsincidenten — 24 uur
De leverancier moet u binnen 24 uur na ontdekking op de hoogte stellen van elk beveiligingsincident dat uw systemen of gegevens kan beïnvloeden. Dit weerspiegelt direct artikel 23 van richtlijn 2022/2555. U heeft zelf 24 uur om het NCSC-NL te waarschuwen — die termijn is onmogelijk te halen als uw leverancier 72 uur wacht voordat hij u informeert.
Clausule 3: Minimale beveiligingsstandaarden
Definieer precieze technische vereisten: MFA verplicht voor alle toegang tot uw systemen, gegevensversleuteling tijdens overdracht (minimaal TLS 1.2) en in rust (AES-256), kritieke beveiligingspatches toegepast binnen 72 uur na release, en een gedocumenteerd beleid voor beheer van bevoorrechte toegang. Deze standaarden moeten verifieerbaar zijn — de leverancier moet bewijzen kunnen leveren zoals ISO 27001-certificering, SOC 2 Type II-rapporten of onafhankelijke kwetsbaarheidsscans.
Clausule 4: Gegevenslocatie en soevereiniteit
Leg contractueel vast waar uw gegevens worden opgeslagen en verwerkt. Overdrachten buiten de EU moeten voldoen aan de AVG-overdrachtsmechanismen (standaardcontractclausules, adequaatheidsbesluiten). Verbied uitdrukkelijk verdere sub-verwerking van uw gegevens zonder voorafgaande schriftelijke toestemming. Voor gevoelige sectoren (gezondheidszorg, financiën, kritieke infrastructuur) overweeg EU-exclusieve gegevensopslag te vereisen.
Clausule 5: Aansprakelijkheid en boetes
Definieer contractuele boetes bij schending van beveiligingsverplichtingen: een vaste boete per incident dat niet tijdig is gemeld, vergoeding voor directe schade als gevolg van beveiligingsfalen van de leverancier, en het recht op boetevrije beëindiging bij een ernstige schending van beveiligingsverplichtingen. Deze boetes moeten proportioneel zijn — voldoende om naleving te stimuleren, maar niet zo hoog dat leveranciers het contract niet kunnen accepteren.
Hoe het NCSC-NL het leveranciersbeheer zal verifiëren
Tijdens een audit of onderzoek kunnen NCSC-NL-inspecteurs uw leverancierscontracten, uw register van derdepartijrisico's en bewijzen van periodieke leveranciersbeoordelingen opvragen. Essentiële entiteiten worden geacht een geformaliseerd beoordelingsproces te hebben — minimaal jaarlijks voor kritieke ICT-leveranciers.
Uw register van derdepartijrisico's moet elke leverancier met systeemtoegang documenteren: de bijbehorende risicoklassificatie, actieve mitigatiemaatregelen en de datum van de laatste formele beoordeling.
Waar te beginnen
Identificeer uw 10 meest kritieke leveranciers — degenen met toegang tot uw informatiesystemen, die gevoelige gegevens verwerken of waarvan de onbeschikbaarheid uw activiteiten zou stilleggen. Beoordeel voor elk of uw huidige contract de 5 bovengenoemde clausules bevat.
Neem deze clausules op bij de eerstvolgende contractverlenging. Voor contracten met meer dan 12 maanden resterende looptijd, overweeg een contractwijziging.
NIS2 (artikel 21, richtlijn 2022/2555) vereist niet dat u alle leveranciers van de ene dag op de andere certificeert. Het vereist dat u actief risicobeheer aantoont — via contracten, gedocumenteerde beoordelingen en een bijgehouden register.
*Dit artikel is uitsluitend informatief en vormt geen juridisch advies. Raadpleeg voor specifieke vragen over uw situatie een gekwalificeerde juridische professional.*