Inkopers opgelet, NIS2 komt eraan!
Wat betekent dit voor jou en je leveranciers?
Op 1 juli 2026 wordt NIS2 van kracht. Da’s toch iets voor de ICT-afdeling? Helemaal waar, maar ook voor inkopers! Hoe regel je NIS2 in je leveranciersketen? Met de nieuwe Cyberbeveiligingswet (NIS2) moet jouw organisatie cyberrisico’s bij leveranciers niet alleen beoordelen, maar ook contractueel vastleggen.
Dat betekent dat je cybersecurity-eisen moet opnemen in inkoopvoorwaarden en overeenkomsten. Verder moet je leveranciers toetsen op aantoonbare digitale veiligheid en keuzes vastleggen en borgen in het contractproces. Als cybervereisten namelijk niet contractueel zijn vastgelegd, zijn ze niet afdwingbaar en daar ligt dus een taak voor de afdeling inkoop om dat goed te organiseren.
Elke leverancier individueel beoordelen is onwerkbaar en met te zware eisen worden leveranciers weggejaagd. Daarom volstaat veelal proportionele certificering via NIS2 Supply Chain. Er zijn 3 niveaus – NIS2-SC10 (basis cyberhygiëne), NIS2-SC20 (verhoogde waarborgen) en NIS2-SC30 (uitgebreide beveiliging). Voor vrijwel alle kleine en (middel)grote organisaties is de basis cyberhygiëne (NIS2-SC10) toereikend. Hiermee stel je een uniforme, schaalbare ondergrens in en heb je het noodzakelijke bewijs richting directie en toezichthouder.
Wil je kijken wat NIS2 breder voor impact heeft op je totale organisatie? Kijk dan het webinar terug dat SDV samen met Axoft medio april heeft georganiseerd. Mail aan sales@axoft.nl voor de link, of bel als je wilt sparren met een van onze cyberexperts.
