NIS2 verplichtingen vanuit het perspectief van de IT leverancier

Hoewel IT‑leveranciers doorgaans niet rechtstreeks onder deze verplichtingen vallen, heeft de richtlijn wel grote impact op hun rol binnen de toeleveringsketen. Niet alleen worden hun klanten verplicht om risico’s in die keten te beheersen, ook wordt van leveranciers verwacht dat zij aantoonbaar bijdragen aan een veilig digitaal ecosysteem. 

In Nederland wordt NIS2 geïmplementeerd via de Cyberbeveiligingswet (Cbw), het Cyberbeveiligingsbesluit (Cbb) en de Ministeriële Regeling (MR), met een verwachte inwerkingtreding in het tweede kwartaal van 2026. Dat lijkt ver weg, maar voor leveranciers is dit precies het moment om zich goed voor te bereiden.

De reikwijdte van NIS2 strekt zich uit over sectoren als energie, zorg, digitale infrastructuur, transport en financiële diensten. Alleen IT-leveranciers die zelf als essentiële of belangrijke entiteit kwalificeren – bijvoorbeeld managed service providers (MSP’s) of cloudproviders – vallen rechtstreeks onder de wet.

Toch heeft NIS2 ook voor alle andere IT-leveranciers directe gevolgen. Hun klanten (die wél onder NIS2 vallen) zijn namelijk verplicht de beveiliging van hun leveranciers kritisch te beoordelen en risico’s in de keten te beheersen. Daardoor wordt cybersecurity-compliance een belangrijke commerciële en contractuele factor. Een leverancier die zijn beveiligingsprocessen aantoonbaar op orde heeft, scoort beter in aanbestedingen en onderhandelingen. Omgekeerd kan het ontbreken daarvan leiden tot uitsluiting, reputatieschade of non-compliance bij de klant – met mogelijke aansprakelijkheidsrisico’s tot gevolg.

Een belangrijk element van NIS2 is het pakket van tien zorgplichten uit artikel 21. Voor IT-leveranciers zijn vooral twee daarvan relevant, omdat ze het fundament vormen van veilige software, systemen en dienstverlening.

De eerste betreft de beveiliging van de toeleveringsketen. NIS2-organisaties (je klanten) moeten beoordelen in hoeverre hun leveranciers veilige ontwikkelpraktijken toepassen, kwetsbaarheden adequaat oplossen en transparantie bieden over de kwaliteit van producten en diensten. Dit raakt direct principes als secure-by-design, regelmatige updates, penetratietesten en risicoanalyses. Als leverancier moet je dus kunnen aantonen dat je processen en producten voldoen aan moderne beveiligingsstandaarden.

De tweede betreft de beveiliging bij aanschaf, ontwikkeling en onderhoud. Klanten zijn verplicht risico’s te analyseren voordat ze IT-producten of -diensten inkopen. Dat betekent dat jij als leverancier de benodigde documentatie moet kunnen leveren: inzicht in gebruikte componenten, bekende kwetsbaarheden en eventuele conformiteitsverklaringen. Wat vroeger vaak “nice to have” was, is nu een standaard onderdeel van professionele dienstverlening.

Daarnaast spelen andere zorgplichten een rol, zoals het ondersteunen van klanten bij incidentmeldingen, het faciliteren van audits, het trainen van personeel en het zorgvuldig documenteren van beveiligingsprocessen. Hoewel NIS2 primair gericht is op de organisaties die zelf onder de wet vallen, kan dit hele pakket doorwerken naar hun leveranciers.

NIS2 gaat ervan uit dat verplichtingen ook contractueel worden vastgelegd. Organisaties die onder de wet vallen, moeten schriftelijke afspraken maken met hun leveranciers over beveiliging, incidentbeheer en ketenverantwoordelijkheid. Dit leidt tot aanscherping van Service Level Agreements (SLAs), IT-overeenkomsten en algemene voorwaarden.

Als leverancier moet je rekening houden met contractuele bepalingen over snelle incidentmelding, heldere afspraken over updates en patchbeleid, toegestane auditmogelijkheden voor klanten, transparantie over subcontractors, en duidelijke exit-afspraken die waarborgen dat data veilig en tijdig wordt overgedragen bij beëindiging van de relatie.

Het is verstandig om waar mogelijk inspanningsverplichtingen te formuleren, zodat je zware resultaatsverplichtingen en onredelijke aansprakelijkheidsrisico’s voorkomt. Gezamenlijke risicoanalyses met de klant helpen om heldere verwachtingen vast te leggen en discussies tijdens de uitvoering te voorkomen.

Goede voorbereiding begint met het in kaart brengen van je eigen toeleveringsketen. Welke partijen schakel je in, welke softwarecomponenten gebruik je en waar kunnen zich beveiligingsrisico’s voordoen? Het opstellen of actualiseren van je beveiligingsbeleid, incidentresponsplannen en documentatie is daarbij belangrijk.

Daarnaast is het verstandig om de basale beveiligingsmaatregelen te versterken – zeker voor mkb-leveranciers. Denk aan multifactorauthenticatie, encryptie, toegangsbeheer, regelmatige backups en structurele updates. Interne bewustwording blijft een sleutelonderdeel: medewerkers moeten snappen welke rol zij spelen in de keten en hoe zij bijdragen aan risicovermindering. Het documenteren van processen is bovendien essentieel, omdat NIS2 sterk leunt op aantoonbaarheid.

Samenwerking met klanten wordt steeds belangrijker. Door actief informatie te delen, audits te faciliteren en transparant te zijn over ontwikkelprocessen en beveiligingsmaatregelen, bouw je vertrouwen op en versterk je je positie in de markt. Klanten zullen leveranciers immers steeds vaker beoordelen op hun NIS2-compatibiliteit. Tijdige voorbereiding is daarom zowel een juridische als een strategische keuze.

NIS2 is geen wet die slechts op afstand aan IT-leveranciers raakt – integendeel, de richtlijn maakt hen tot een cruciale schakel in een veilig digitaal Europa.

Door nu al te investeren in beleid, processen, documentatie en samenwerking met klanten, kunnen leveranciers niet alleen voldoen aan de verwachtingen van hun opdrachtgevers, maar ook hun concurrentiepositie duidelijk versterken. Het veilig en transparant leveren van IT-diensten wordt de nieuwe norm. Wie die norm vroegtijdig omarmt, staat sterker op het moment dat de Nederlandse Cyberbeveiligingswet in werking treedt.