NIS2 ketenverantwoordelijkheid gaat over meer dan contracten. Wie voor cruciale processen afhankelijk is van softwareleveranciers, SaaS-oplossingen, MSP’s, hostingpartijen of beheerders, moet kunnen aantonen dat die afhankelijkheden in beeld zijn en dat risico’s actief worden beheerst.
Onder de Cyberbeveiligingswet is de beveiliging van de toeleveringsketen expliciet onderdeel van de zorgplicht. Dat maakt leveranciersrisico niet alleen een IT-thema, maar ook een bestuurlijk onderwerp van continuïteit, weerbaarheid en toezicht.
Waarom dit onderwerp zwaarder weegt dan vroeger
De meeste organisaties zijn digitaal verweven met anderen. Identiteit, back-up, softwareontwikkeling, beheer, cloudplatformen, API-koppelingen en communicatie lopen vaak via meerdere externe partijen. Daardoor kan één incident bij een leverancier direct effect hebben op uw eigen dienstverlening.
Dat is precies waarom NIS2 ketenverantwoordelijkheid niet ophoudt bij vertrouwen op een leverancier. Het bestuur moet kunnen uitleggen welke leveranciers echt kritiek zijn, wat de impact van uitval is en welke terugvalmogelijkheden bestaan.
Wat ketenverantwoordelijkheid niet is
Ketenverantwoordelijkheid betekent niet dat u juridisch alle fouten van leveranciers overneemt. Het betekent wel dat u niet kunt volstaan met een certificaat, een handtekening of de aanname dat de leverancier het wel geregeld heeft. De organisatie moet zelf een eigen risicobeoordeling maken en prioriteiten stellen.
De vragen die in bestuur, auditcommissie, RvC of RvT thuishoren
- Welke leveranciers zijn werkelijk kritisch voor primaire processen en continuïteit?
- Welke toegangen, beheerrechten, data of koppelingen hebben zij?
- Welke beveiligings- en meldafspraken zijn contractueel vastgelegd?
- Hoe wordt getoetst of afspraken in de praktijk werken?
- Wat is het scenario als een kritieke leverancier uitvalt of wordt gecompromitteerd?
Deze vragen helpen bestuur en toezicht om niet in details te verzanden, maar wel door te vragen op de punten die er echt toe doen.
Waar organisaties vaak op vastlopen
Veel organisaties hebben wel leverancierslijsten, maar geen echte prioritering. Niet iedere leverancier vraagt dezelfde diepgang. Een risicogebaseerde indeling in kritisch, belangrijk en regulier maakt het mogelijk om eisen en toezicht proportioneel te organiseren.
Een tweede probleem is versnippering. Inkoop, IT, privacy, juridische zaken en businessafdelingen hebben elk een deel van het beeld. Zonder bestuurlijke samenhang ontstaat geen compleet risicobeeld.
Wat een werkbare aanpak is
- breng kritieke leveranciers en digitale ketenpartners in kaart;
- koppel leveranciers aan processen, data en continuïteitsimpact;
- leg minimumeisen vast voor beveiliging, incidentmelding, continuïteit, logging, toegang en exit;
- beoordeel leveranciers periodiek opnieuw, vooral bij wijzigingen, incidenten of contractverlenging;
- zorg voor bestuurlijke rapportage op uitzonderingen, afhankelijkheden en open risico’s.
Wie dat goed organiseert, maakt van leveranciersbeheersing een normaal onderdeel van governance in plaats van een incidentele controleactie.
Veelgestelde vragen over NIS2 ketenverantwoordelijkheid
Is een ISO-certificaat van de leverancier genoeg?
Nee. Het kan een nuttig signaal zijn, maar vervangt geen eigen risicoafweging, contractuele borging en beoordeling van de praktijk.
Moeten alle leveranciers hetzelfde proces doorlopen?
Nee. NIS2 is risicogebaseerd. Kritieke leveranciers vragen meer diepgang en frequenter toezicht dan niet-kritieke leveranciers.
Gaat het alleen over IT-leveranciers?
Nee. Ook leveranciers die indirect cruciale processen, data of continuïteit raken kunnen bestuurlijk relevant zijn.
Volgende stap
Van kennis naar gesprek
Wilt u dit onderwerp vertalen naar uw eigen bestuur, RvC of RvT? Combineer de kennisbank met de NIS2 boardroom training of start met de NIS2 quickscan als eerste stap in governance, interne beheersing en bestuurlijke prioritering.