NIS2 Boardroom Training

Normen & keten

NIS2 SC10, SC20 en SC30: wat betekenen die niveaus eigenlijk?

Deze certificeringsniveaus zijn geen wetstekst, maar een praktische marktvertaling van proportionele cybersecurity in de keten voor leveranciers, IT- en OT-dienstverlening.

In gesprekken met leveranciers komt steeds vaker de vraag op of NIS2 SC10, SC20 of SC30 passend is. Dat zijn geen wettelijke NIS2-categorieën, maar niveaus uit het model NIS2 Supply Chain. Juist daarom is bestuurlijke duiding belangrijk: deze niveaus kunnen praktisch nuttig zijn, maar mogen niet worden verward met de juridische indeling van essentiële en belangrijke entiteiten.

De vergelijking van Samen Digitaal Veilig laat een oplopende schaal zien in complexiteit, governance, leveranciersrisico, technische diepgang en het aantal maatregelen. Daarmee kunnen organisaties en hun leveranciers gerichter spreken over proportionaliteit in plaats van over een one size fits all-benadering.

Wat de drie niveaus grofweg betekenen

SC10 richt zich op basiscyberhygiëne voor mkb-leveranciers en organisaties met beperkte digitale ketenimpact. SC20 past eerder bij IT-, OT- en IoT-dienstverlening, toegang tot klantnetwerken en verwerking van gevoelige data. SC30 is bedoeld voor grotere of complexere leveranciers, zoals softwarepartijen, MSP’s, hosting-, cloud- en kritieke OT/IT-omgevingen.

Waarom dit voor bestuur en inkoop relevant is

Veel organisaties worstelen met de vraag welke eisen zij redelijkerwijs aan leveranciers kunnen stellen. Een gelaagd model helpt om leveranciersrisico te differentiëren. Dat voorkomt dat iedere leverancier dezelfde eisen krijgt, maar ook dat kritieke leveranciers te licht worden beoordeeld.

Wat u hiermee wel en niet kunt doen

Wel: leveranciersgesprekken structureren, proportionaliteit onderbouwen en eisen beter laten aansluiten op ketenrisico. Niet: concluderen dat een leverancier juridisch aan NIS2 voldoet enkel omdat een bepaald SC-niveau is behaald. De wettelijke zorgplicht en bestuurlijke verantwoordelijkheid blijven breder dan een certificaat alleen.

Vragen voor de bestuurskamer en auditcommissie

  • Welke leveranciers zouden wij als basis, substantieel of hoog risico classificeren?
  • Sluiten onze assurance-eisen aan op feitelijke afhankelijkheid?
  • Waar vragen wij om een certificaat, waar om auditbevindingen en waar om gerichte bewijsstukken?
  • Wie beoordeelt of leveranciersverklaringen voldoende zijn?

Bestuurlijke conclusie

SC10, SC20 en SC30 kunnen behulpzaam zijn als marktinstrument voor leveranciersbeheersing. De waarde zit vooral in de onderliggende gedachte van passende en proportionele maatregelen per rol en risico in de keten.

Veelgestelde vragen over normen & keten

Zijn SC10, SC20 en SC30 wettelijke niveaus uit NIS2?

Nee. Het zijn niveaus binnen een certificeringsmodel voor supply-chain-cybersecurity, niet de juridische categorieën uit de richtlijn of de Cyberbeveiligingswet.

Kan een certificaat de hele leveranciersbeoordeling vervangen?

Nee. Een certificaat kan helpen, maar u zult altijd moeten kijken naar feitelijke afhankelijkheid, toegang, data, incidentafspraken en continuïteit.

Is SC30 altijd beter dan SC20?

Niet per se. Het juiste niveau hangt af van rol, impact en complexiteit. Proportionaliteit blijft het uitgangspunt.

Volgende stap

Maak leveranciersnormen proportioneel

Wilt u beoordelen welke leveranciersniveaus in uw keten passend zijn? Gebruik de NIS2 quickscan of bespreek dit in een bestuurlijke sessie over ketenbeheersing en assurance.