Wat eist de NIS2 (CbW) over leverancierbeoordelingen?

In een tijd waarin grote cyberincidenten — zoals Jaguar Land Rover — laten zien hoe kwetsbaar ketens zijn, is één ding duidelijk: je cybersecurity is nooit sterker dan de zwakste schakel in je supply chain. Leveranciersbeoordelingen zijn daarom niet langer “nice to have”, maar een harde noodzaak. De NIS2/Cyberbeveiligingswet maakt dit bovendien een wettelijke plicht. Maar hoe pak je zo’n leveranciersbeoordeling nu effectief aan?

Begin met helder beleid

Een goede leveranciersbeoordeling begint met duidelijke afspraken binnen je eigen organisatie. Denk aan:

  • Wat verwachten we minimaal van leveranciers?
  • Welke criteria hanteren we bij selectie en beoordeling?
  • Hoe vaak beoordelen we leveranciers opnieuw?
  • Wat doen we bij afwijkingen?

Zonder beleid wordt elke beoordeling willekeurig — en dat maakt het onmogelijk om aantoonbaar compliant te zijn.

Weet wie je leveranciers zijn

Het klinkt simpel, maar veel organisaties hebben geen compleet overzicht. Breng daarom in kaart:

  • Welke leveranciers leveren welke diensten?
  • Welke informatie of systemen raken ze?
  • Welke subleveranciers schakelen zij op hun beurt weer in?

Zonder dit overzicht kun je geen risico’s bepalen of onmogelijk je leveranciers categoriseren.

Voer gestructureerde leveranciersbeoordelingen uit

Dit is de kern van een leveranciersbeoordeling. Kijk onder meer naar:

  • Beveiligingsbeleid en -maatregelen
  • Certificeringen (ISO 27001 etc.) of assurance (SOC2 etc.)
  • Technische en organisatorische maatregelen
  • Gebruik van subleveranciers

Bij grote leveranciers (bijvoorbeeld Microsoft, AWS, Google etc.) werk je met vaste documentatie zoals SOC2‑rapporten en de Service Trust Portals — zij onderhandelen helaas niet over individuele securityclausules.

Leg afspraken contractueel vast

Heb je al bestaande afspraken met je leveranciers? De wet (o.a. artikel 10 van de Cyberbeveiligingswet) verplicht dit zelfs. Bestaande afspraken kunnen zelfs niet meer toereikend zijn.

Denk bij het maken van afspraken aan:

  • Security-eisen
  • Toegangsbeperkingen
  • Incidentmeldplicht
  • Auditrechten
  • Inzet subleveranciers
  • Exitprocedures

Alles wat je beoordeelt, moet je ook vastleggen. Anders wordt het niet afdwingbaar.

Controleer regelmatig of afspraken nageleefd worden

Een eenmalige vragenlijst is niet genoeg: het belang van je keten wordt steeds groter. Denk bij het uitvoeren van beoordelingen aan:

  • Jaarlijkse beoordelingen
  • Controleren van SOC2-/ISO-rapporten
  • Nagaan of er beveiligingsincidenten zijn geweest
  • Vergelijken van auditbevindingen met contractuele afspraken
  • Controleren of subleveranciers gewijzigd zijn

Belangrijk om te realiseren: naleving is een proces, geen momentopname.

Tot slot: NIS2 duwt de verplichting de keten in

Ook als je leverancier zelf niet onder NIS2 valt, kan jouw organisatie eisen stellen. De verantwoordelijkheid ligt namelijk bij jou.

Een goede leveranciersbeoordeling is geen bureaucratie, maar een investering in continuïteit, vertrouwen en weerbaarheid. Meer weten? Neem contact op met AuditConnect.

Contact