NIS2 Boardroom Training

Supply chain

NIS2 supply chain: hoe organiseert u leveranciersbeheersing die werkt?

NIS2 supply chain gaat niet alleen over contracten met IT-leveranciers, maar over het beheersen van digitale afhankelijkheden die de continuïteit van uw organisatie raken.

De term NIS2 supply chain klinkt technisch, maar raakt in de praktijk vooral governance, continuïteit en interne beheersing. Veel organisaties zijn niet alleen kwetsbaar door hun eigen systemen, maar juist door MSP’s, SaaS-oplossingen, ERP-leveranciers, hosting, telecom, logistiek en operationele toeleveranciers.

De bestuurlijke vraag is daarom niet óf leveranciers belangrijk zijn, maar welke afhankelijkheden werkelijk kritisch zijn en welke eisen, bewijsstukken en fallbackscenario’s daarbij horen.

Belangrijke nuance: leveranciers vallen niet automatisch onder de Cyberbeveiligingswet

Een rechtstreekse leverancier voelt de impact van de Cyberbeveiligingswet vaak via contractuele eisen, audits en aanvullende maatregelen van zijn klant. Dat betekent niet automatisch dat die leverancier zelf rechtstreeks onder de wet en het bijbehorende toezicht valt. Die nuance hoort ook in de bestuurskamer thuis, omdat zij veel uitmaakt voor proportionaliteit en leveranciersgesprekken.

Waarom ketenrisico bestuurlijk zichtbaar moet worden

De aangeleverde documentatie van Samen Digitaal Veilig laat terecht zien dat een incident bij een leverancier kan doorwerken naar operatiekamers, voedselketens, havens, ERP-processen, telecom, betalingen of HVAC-installaties. Voor bestuur en toezicht is dat relevant omdat de feitelijke impact vaak niet zit in de leverancier zelf, maar in de verstoring van het primaire proces dat op die leverancier leunt.

Werk met risicoklassen voor directe leveranciers

Voor de checklists is daarom een driedeling nuttig:

  • hoog risico: leveranciers met beheerrechten, kritieke software, hosting, cloud, datacenter, identity, telecom of essentiële grondstoffen;
  • middenrisico: leveranciers van belangrijke technische installaties, infrastructuur, transport of distributie die de continuïteit merkbaar kunnen raken;
  • lager risico: overige toeleveranciers waarbij uitval vervelend is, maar niet direct ontwrichtend.

De juiste classificatie blijft maatwerk per organisatie. Niet iedere MSP is even kritisch en niet iedere logistieke partij heeft dezelfde impact.

Welke vragen in bestuur en toezicht thuishoren

  • Welke directe leveranciers ondersteunen kritieke processen?
  • Welke leveranciers hebben digitale toegang, beheerrechten of gevoelige data?
  • Welke leveranciers zijn moeilijk vervangbaar?
  • Welke ketenscenario’s kunnen onze continuïteit, veiligheid of reputatie direct raken?
  • Welke contractuele eisen, meldafspraken en bewijsstukken vragen wij per risicoklasse?

Van leverancierslijst naar echte leveranciersbeheersing

Een eenvoudige leverancierslijst is nog geen supply-chain-beheersing. Nodig is een verbinding met risicoanalyse, continuïteit, incidentrespons en bestuurlijke rapportage. Pas dan wordt duidelijk waar extra reviews, audits, penetratietesten, back-upafspraken, exit-scenario’s of escrow daadwerkelijk nodig zijn.

Praktische eerste stap

Start met drie overzichten: kritieke processen, kritieke leveranciers en kritieke toegangen. Bespreek vervolgens per leverancier de impact van uitval, de digitale verwevenheid, de meldafspraken en het fallbackscenario. Daarmee ontstaat meer bestuurlijke grip dan met één generieke vragenlijst voor alle leveranciers tegelijk.

Veelgestelde vragen over NIS2 supply chain

Vallen onze leveranciers automatisch onder de wet?

Nee. Sommige leveranciers vallen zelfstandig binnen scope, maar zeker niet allemaal. Veel leveranciers worden vooral indirect geraakt via eisen van klanten die zelf onder de Cyberbeveiligingswet vallen.

Moeten alle leveranciers op hetzelfde niveau worden beoordeeld?

Nee. Juist proportionaliteit is belangrijk. Kritieke leveranciers vragen om scherpere eisen en meer bewijs dan minder kritieke partijen.

Hoort dit thuis in bestuur, auditcommissie, RvC of RvT?

Ja. Zodra leveranciersuitval direct effect heeft op continuïteit, meldplicht, veiligheid of reputatie, is het een bestuurlijk onderwerp.

Volgende stap

Van ketenafhankelijkheid naar bestuurlijke keuzes

Wilt u leveranciersrisico vertalen naar uw eigen organisatie? Gebruik de NIS2 quickscan als eerste inventarisatie of bespreek dit onderwerp in een NIS2 boardroom training.

Voor verdieping kunt u ook lezen over all hazards en NIS2, te beschermen belangen en SC10, SC20 en SC30.