TL;DR: NIS2 verplicht bedrijven om de cybersecurity van hun leveranciers actief te beoordelen en contractueel vast te leggen. Die verplichting werkt door naar kleinere toeleveranciers die zelf niet onder NIS2 vallen, maar wel cybersecurity-eisen opgelegd krijgen van hun grote klanten. Of u nu eisen stelt of eisen ontvangt: een gestructureerde aanpak van ketenbeveiliging maakt u een betrouwbaardere partner.
U leest steeds vaker dat NIS2 over uw eigen organisatie gaat. Over uw netwerken, uw incidentmeldingen, uw bestuursaansprakelijkheid. Maar er is een dimensie die veel Vlaamse bedrijven onderschatten: NIS2 stopt niet bij uw eigen voordeur. De wet kijkt naar wie u binnenlaat. Naar uw softwareleveranciers, uw cloudpartners, uw onderhoudsfirma’s en uw machinebouwers.
Dit artikel legt uit wat ketenverantwoordelijkheid onder NIS2 precies inhoudt. We doen dat vanuit twee invalshoeken, want u zit waarschijnlijk in een van deze twee situaties. Ofwel bent u zelf NIS2-plichtig en moet u eisen stellen aan uw leveranciers. Ofwel bent u een toeleverancier die plots een cybersecurity-vragenlijst van een grote klant op zijn bureau krijgt. Beide situaties verdienen een helder antwoord.
Wat zegt NIS2 over supply chain security?
NIS2 verplicht gereguleerde organisaties om de cybersecurity van hun directe leveranciers en dienstverleners te beoordelen en te beheren. Dat is geen losse aanbeveling, maar een expliciete wettelijke maatregel. De basis ligt in artikel 21, lid 2, punt d van de Europese richtlijn, dat spreekt over de beveiliging van de toeleveringsketen, inclusief de beveiligingsaspecten in de relatie tussen een entiteit en haar directe leveranciers.
In België is die verplichting omgezet via de wet van 26 april 2024, die op 18 oktober 2024 in werking trad. Artikel 30 van die wet legt de minimale beveiligingseisen vast, waaronder het beveiligen van de toeleveringsketen. Artikel 31 voegt daar iets belangrijks aan toe: het bestuursorgaan is formeel aansprakelijk voor de naleving. Ketenbeveiliging is met andere woorden geen IT-detail dat u kunt delegeren en vergeten. Het is een verantwoordelijkheid die tot in de directiekamer reikt.
De richtlijn vraagt u om bij de beoordeling rekening te houden met de kwetsbaarheden van elke leverancier, met de algehele kwaliteit van hun producten en met hun cybersecuritypraktijken, inclusief de manier waarop ze hun software ontwikkelen.
Twee perspectieven op ketenverantwoordelijkheid
De ketenverplichting creëert in de praktijk twee fundamenteel verschillende posities. Het is belangrijk dat u weet in welke u zit, want uw actieplan ziet er telkens anders uit.
In het eerste perspectief bent u de NIS2-plichtige entiteit. U valt rechtstreeks onder de wet en u moet uw leveranciers in kaart brengen, hun risico beoordelen en uw contracten aanpassen. De verantwoordelijkheid ligt bij u, en bij nalatigheid riskeren uw bestuurders persoonlijke aansprakelijkheid.
In het tweede perspectief bent u zelf niet NIS2-plichtig, omdat u onder de drempel van vijftig medewerkers en tien miljoen euro omzet blijft. Toch krijgt u te maken met de wet, want uw grote klant is wél NIS2-plichtig en geeft zijn verplichtingen aan u door. Voor u is dit geen wettelijke kwestie maar een commerciële. Voldoet u niet aan de eisen, dan riskeert u de opdracht te verliezen.
Dit tweede scenario raakt duizenden Vlaamse KMO’s die zichzelf nooit als “NIS2-bedrijf” zouden omschrijven. De volgende secties werken beide perspectieven concreet uit.
Wat NIS2-plichtige bedrijven moeten eisen van hun leveranciers
Als NIS2-plichtige entiteit bent u verplicht uw ketenrisico te beheren, en dat doet u door eisen contractueel op te leggen aan uw directe leveranciers. De wet vraagt geen audit van élke leverancier met dezelfde intensiteit, maar wel een risicogebaseerde aanpak waarbij u uw kritieke leveranciers prioriteert.
Het begint bij categoriseren. Welke leveranciers hebben toegang tot uw netwerken of verwerken gevoelige bedrijfsinformatie? Een clouddienst die uw volledige administratie host, een machinebouwer die op afstand inlogt op uw productielijn of een onderhoudsfirma met beheerderstoegang weegt zwaarder dan een leverancier zonder enige digitale koppeling. De wettekst bevat geen harde drempel zoals omzet of personeelsaantal. De kriticiteit wordt kwalitatief bepaald: in welke mate brengt een storing bij die leverancier uw eigen continuïteit in gevaar?
Eens u weet welke leveranciers ertoe doen, verankert u uw eisen contractueel. Vier clausules komen onder NIS2 telkens terug. De eerste is een dwingende incidentmeldingsplicht: uw leverancier moet elk relevant cyberincident onverwijld melden, zodat u binnen uw eigen wettelijke termijn van 24 uur een eerste waarschuwing bij het CCB kunt indienen. De tweede is een actief auditrecht, inclusief het recht om periodiek penetratietesten te laten uitvoeren op de systemen van de leverancier. De derde zijn technische minimumnormen zoals multifactorauthenticatie, geprivilegieerd toegangsbeheer, netwerksegmentatie en back-upbeheer. De vierde is een afspraak over vulnerability- en patchmanagement, met strikte termijnen waarbinnen bekende kwetsbaarheden verholpen moeten zijn.
Deze clausules verschillen wezenlijk van de verwerkersovereenkomsten die u al kent uit de GDPR. Een verwerkersovereenkomst beschermt persoonsgegevens. De NIS2-clausules beschermen de beschikbaarheid, integriteit en continuïteit van uw volledige operationele infrastructuur, zowel IT als OT.
Cyberplan helpt u uw leveranciers te beoordelen met een gestructureerd vendor risk assessment, zodat u onderbouwd kunt aantonen dat u uw ketenrisico beheerst.
Uw klant eist cybersecurity-compliance: wat nu?
Krijgt u van een grote klant een cybersecurity-vragenlijst of een eis tot certificering, dan is dat het rechtstreekse gevolg van NIS2-ketenverantwoordelijkheid. Uw klant is verplicht zijn leveranciers te beoordelen en geeft die verplichting aan u door. U valt zelf misschien buiten de wet, maar commercieel staat er evenveel op het spel.
Dit mechanisme is in België al volop operationeel. In de maakindustrie eisen grote afnemers dat hun machinebouwers de operationele technologie beveiligen volgens de IEC 62443-standaard. Ziekenhuizen verplichten hun IT- en softwareleveranciers om penetratietesten en strikte toegangscontroles aan te tonen. In de logistiek worden transportpartners geaudit op hun tracking- en managementsystemen. Stel: uw grootste klant is een ziekenhuis dat onder NIS2 valt. Dan is de kans reëel dat u binnenkort moet bewijzen dat uw eigen huis op orde is.
De verleiding bestaat om dit als een last te zien. Dat is begrijpelijk, maar het is de verkeerde framing. Bekijk het zo: uw concurrenten krijgen dezelfde vraag. Wie als eerste een geloofwaardig antwoord heeft, wint de aanbesteding. Cybersecurity-compliance is geen kostenpost die u overkomt, maar een toegangsticket dat u zich kunt aanmeten vóór uw concurrent dat doet.
Hebt u van uw klant een cybersecurity-eis gekregen? Een audit is de snelste manier om aan te tonen dat u het serieus neemt. Het levert u een helder beeld van waar u staat en een routekaart om de gaten te dichten die uw klant straks zal aankaarten.
Welke certificeringen en labels tellen als bewijs?
Om de last van individuele audits te beperken, aanvaarden NIS2-plichtige organisaties verschillende certificeringen als bewijs dat een leverancier zijn cybersecurity op orde heeft. Niet elk label past bij elk bedrijf, dus het loont de moeite om het verschil te kennen voordat u investeert.
De onderstaande tabel vat de belangrijkste bewijsmiddelen samen.
| Certificering | Wat het aantoont | Geschikt voor | Kosten-indicatie |
|---|---|---|---|
| CyberFundamentals (CyFun) label | Wettelijk vermoeden van conformiteit onder de Belgische NIS2-wet | De meeste Vlaamse KMO’s, vooral wie hoofdzakelijk in België levert | Begeleiding subsidieerbaar via VLAIO; certificeringskosten zelf te dragen |
| ISO/IEC 27001:2022 | Een werkend informatiebeveiligingsbeheersysteem, internationaal erkend | Bedrijven met internationale klanten of exportactiviteit | Hoger, met jaarlijkse audits; internationaal het breedst aanvaard |
| SOC 2 Type II | Operationele effectiviteit van interne controles over een periode | Cloud-, hosting- en datacenterleveranciers | Aanzienlijk, vooral relevant voor SaaS en hosting |
| ISAE 3402 | Betrouwbaarheid van uitbestede processen, aangetoond via auditrapport | Dienstverleners die kritieke processen voor anderen draaien | Aanzienlijk, doorgaans op vraag van grote afnemers |
Voor de meeste Vlaamse KMO’s is een CyFun-label het snelste en meest pragmatische pad. Het is door het CCB ontwikkeld als praktische vertaling van de NIS2-eisen, en een gecertificeerd label biedt onder de Belgische wet een wettelijk vermoeden van conformiteit. Het CCB adviseert NIS2-entiteiten zelfs om hun leveranciers minstens het CyFun-niveau Basic te laten aantonen.
Twee kanttekeningen zijn eerlijk om te maken. Een ISO 27001-certificaat moet voor NIS2 worden afgestemd: u moet uw Statement of Applicability kunnen mappen op de controls van het toepasselijke CyFun-niveau. En het CyFun-label heeft buiten België, Ierland en Roemenië geen automatische erkenning. Exporteert u naar Duitsland of Frankrijk, dan vragen afnemers daar vaak alsnog een volledige ISO 27001-certificering. Welk label voor u het juiste is, hangt dus sterk af van waar uw klanten zitten. In ons artikel over ISO 27001 of CyberFundamentals gaan we dieper in op die keuze.
Vendor risk assessment: hoe beoordeelt u uw leveranciers praktisch?
Een leveranciersbeoordeling, of vendor risk assessment, is het gestructureerde proces waarmee u het cybersecurityrisico van uw leveranciers in kaart brengt en opvolgt. Het CCB en ENISA bevelen een gelaagde methodologie aan, want niet elke leverancier verdient dezelfde diepgang.
De lichtste laag is een gestandaardiseerde vragenlijst die de leverancier zelf invult om zijn basisbeveiliging aan te tonen. Voor kritieke leveranciers gaat u een stap verder met een technisch-organisatorische audit, on-site of op afstand. Daarboven komen externe dreigingsanalyses, waarbij u de publieke systemen van de leverancier continu scant op kwetsbaarheden. Tot slot beoordeelt u de service level agreements: kan de leverancier incidenten binnen afgesproken termijnen mitigeren?
De vraag welke leveranciers u moet beoordelen, beantwoordt u dus niet met “allemaal”. U focust op de kritieke partners, de leveranciers wiens uitval uw eigen werking lamlegt. Het CyberFundamentals-kader biedt hier concrete houvast met vijf controls voor ketenbeheer, van het bijhouden van een actuele leveranciersinventaris (ID.SC-2) tot het gezamenlijk opstellen en testen van herstelplannen met kritieke leveranciers (ID.SC-5).
Een veelgemaakte fout is het verwarren van eenmalig en doorlopend. Een leveranciersbeoordeling is geen momentopname die u in een la legt. ENISA dringt aan op doorlopende controle, zeker omdat de tijd tussen het bekend worden van een kwetsbaarheid en het misbruik ervan dramatisch is gekrompen. Wat vandaag veilig oogt, kan over een maand een open deur zijn.
De cijfers achter het risico
De cijfers maken duidelijk waarom de wetgever de toeleveringsketen zo nadrukkelijk in NIS2 heeft verankerd. De aanval verloopt steeds vaker niet via uw eigen voordeur, maar via die van uw leverancier.
Volgens het Verizon Data Breach Investigations Report van 2026 was bij 48% van de bevestigde datalekken wereldwijd een externe partner of leverancier betrokken. Dat is een stijging van 60% op jaarbasis tegenover het rapport van 2025, waarin de betrokkenheid van derden nog op 30% lag. Voor het eerst in de negentienjarige geschiedenis van het rapport haalde het misbruiken van softwarekwetsbaarheden de diefstal van inloggegevens in als belangrijkste startpunt van een inbraak: bijna een derde (31%) van alle inbreuken begint daar.
Dat laatste cijfer is veelzeggend in een ketencontext. Het CCB rapporteert dat de gemiddelde tijd tussen de publieke bekendmaking van een kwetsbaarheid en het actieve misbruik ervan is gedaald tot ongeveer vijf dagen. Bijna een derde van de bekende kwetsbaarheden wordt zelfs binnen 24 uur uitgebuit. Een leverancier die traag patcht, wordt zo een direct risico voor u.
Hoe concreet dat wordt, bleek begin 2026 in de Belgische zorgsector. Op 13 januari werd het Antwerpse ziekenhuis AZ Monica getroffen door een cyberaanval die voortkwam uit een datalek bij een gemeenschappelijke externe leverancier van patiëntregistratiesoftware. Door een kwetsbaarheid bij die ene toeleverancier, verergerd door het ontbreken van robuuste multifactorauthenticatie, kregen aanvallers toegang tot de gegevens van 71.000 Belgische patiënten en zorgverleners. Het incident trof niet één maar minstens vijf Belgische ziekenhuizen die op dezelfde leverancier vertrouwden, waaronder ZAS, ZOL en AZ Delta. Dat is de zogenaamde één-op-veel-impact die supply chain-aanvallen zo gevaarlijk maakt. We schreven eerder over de supply chain-aanval bij Odido en Blue Yonder; NIS2 maakt dit type risicobeheer nu wettelijk verplicht.
Subsidies voor ketenbeveiliging
De Vlaamse overheid verlaagt de financiële drempel om uw ketenbeveiliging op orde te brengen, zodat compliance geen reden hoeft te zijn om uit de markt te vallen. Er zijn twee hoofdkanalen, en voor ketenwerk is er een duidelijke voorkeur.
Het VLAIO Cybersecurity Verbetertraject is het sterkste instrument. Vlaamse KMO’s krijgen tot 50% subsidie op begeleidingstrajecten tussen 7.100 en 39.000 euro, uitbreidbaar tot maximaal 60.000 euro. Binnen zo’n traject past een leveranciersbeoordeling perfect: het START-pakket levert een nulmeting en een roadmap, terwijl de MEDIUM- en PLUS-pakketten ook de implementatie van maatregelen zoals netwerksegmentatie en incidentresponsplannen ondersteunen. Grotere ondernemingen onder NIS2 kunnen aanspraak maken op 35% subsidie, indien ze nog geen cybersecurity-roadmap hebben.
Daarnaast bestaat de KMO-portefeuille, die advies over supply chain security mee kan financieren. Voor begeleide ketenwerk-trajecten promoten we doorgaans het Verbetertraject, omdat het beter aansluit bij de gefaseerde aanpak die ketenbeveiliging vraagt.
Eén eerlijke kanttekening: de subsidie dekt de begeleiding en de interne maatregelen, maar niet de kosten van de externe instantie die uw CyFun-label of ISO-certificaat formeel uitreikt. Die certificeringskosten draagt u zelf. Het is goed om dat van bij de start mee te begroten.
Veelgestelde vragen over NIS2 ketenverantwoordelijkheid
Geldt NIS2 ketenverantwoordelijkheid ook als ik zelf niet onder NIS2 val?
Niet rechtstreeks, maar wel in de praktijk. Valt u onder de drempel van vijftig medewerkers en tien miljoen euro omzet, dan bent u niet wettelijk verplicht. Levert u echter aan een NIS2-plichtige klant, dan moet die klant u cybersecurity-eisen opleggen. U voldoet er dan aan om de opdracht te behouden.
Welke leveranciers moet ik als NIS2-bedrijf beoordelen?
U beoordeelt uw kritieke leveranciers, niet alle leveranciers. Kritiek betekent: leveranciers wiens storing of compromittering uw eigen continuïteit of veiligheid in gevaar brengt. Denk aan partners met netwerktoegang, beheerderstoegang of toegang tot gevoelige data. De wet hanteert geen vaste drempel, maar een kwalitatieve risico-inschatting.
Is een CyFun-label voldoende om aan klanteneisen te voldoen?
Voor de meeste Belgische klanten wel. Een CyFun-label biedt onder de Belgische NIS2-wet een wettelijk vermoeden van conformiteit, en het CCB adviseert minstens het niveau Basic. Levert u aan buitenlandse afnemers in landen als Duitsland of Frankrijk, dan vragen die vaak alsnog een ISO 27001-certificering, omdat CyFun daar geen automatische erkenning heeft.
Wat is het verschil tussen een NIS2-clausule en een GDPR-verwerkersovereenkomst?
Een verwerkersovereenkomst richt zich uitsluitend op de bescherming van persoonsgegevens. NIS2-contractclausules gaan breder: ze beschermen de beschikbaarheid, integriteit en continuïteit van uw volledige operationele infrastructuur, zowel IT als OT. Ze bevatten typisch een incidentmeldingsplicht, een auditrecht en technische minimumnormen.
Hoe snel moet een leverancier een incident melden onder NIS2?
Dat legt u contractueel vast, en u stemt het af op uw eigen wettelijke termijn. Als NIS2-entiteit moet u een eerste waarschuwing binnen 24 uur bij het CCB indienen. Daarom verplicht u uw leverancier om elk relevant incident onverwijld te melden, zodat u tijdig kunt reageren.
Worden de kosten van een CyFun- of ISO-certificering gesubsidieerd?
De begeleiding en de interne beveiligingsmaatregelen zijn subsidieerbaar via het VLAIO Verbetertraject of de KMO-portefeuille. De formele certificeringskosten van de externe, geaccrediteerde instantie vallen daar niet onder. Die draagt u zelf, dus reken ze van bij de start mee in uw budget.
Ketenverantwoordelijkheid als concurrentievoordeel
Ketenverantwoordelijkheid voelt voor veel bedrijven als een opgelegde last. Begrijpelijk, maar het is een gemiste kans om het zo te lezen. De realiteit is dat elke schakel in de Vlaamse economie nu dezelfde vraag krijgt: kunt u aantonen dat uw cybersecurity op orde is? Wie daar een geloofwaardig en aantoonbaar antwoord op heeft, wordt de partner van keuze.
Of u nu eisen stelt aan uw leveranciers of eisen ontvangt van uw klanten, het vertrekpunt is identiek: weten waar u staat. Een audit brengt dat in beeld, en levert meteen de routekaart op om de gaten te dichten die anders bij een leveranciersbeoordeling of klantvraag boven water komen. Een cybersecurity audit is daarmee de logische eerste stap, ongeacht aan welke kant van de keten u zit.
Cyberplan begeleidt Vlaamse bedrijven aan beide zijden van de keten: we helpen NIS2-plichtige organisaties hun leveranciers gestructureerd te beoordelen, en we helpen toeleveranciers om snel en onderbouwd aan te tonen dat ze de eisen van hun klant ernstig nemen. Wilt u weten waar uw keten kwetsbaar is en hoe u dat aanpakt met tot 50% subsidie via VLAIO? Boek een kennismaking en we brengen het in één gesprek in kaart.
