NIS2 en toeleveranciers: wanneer ben je indirect verplicht?
Val je niet rechtstreeks onder NIS2 maar lever je diensten aan bedrijven die dat wél doen? Dan krijg je alsnog te maken met cybersecurity-eisen. Zo werkt de supply chain-verplichting.
- Val je niet rechtstreeks onder NIS2? Je klanten die dat wél doen, zijn wettelijk verplicht hun toeleveranciers te beoordelen op cybersecurity
- Dat betekent contractuele eisen, security-vragenlijsten en mogelijk een CyFun-certificering als voorwaarde om te mogen leveren
- Het CCB adviseert minimaal CyFun Basic (34 controls) voor toeleveranciers. Dat stopt volgens CERT.be 82% van de gedocumenteerde aanvallen
- Geen boete van het CCB, wél mogelijk contractverlies en aansprakelijkheidsclaims als je beveiliging niet op orde is
Hoe werkt de NIS2 supply chain-verplichting?
De Belgische NIS2-wet verplicht essentiële en belangrijke entiteiten om hun supply chain-risico’s te beheren. Artikel 21, lid 2, punt d is helder: organisaties moeten de beveiliging van hun toeleveringsketen waarborgen, inclusief de relaties met directe leveranciers en dienstverleners.
Concreet moeten NIS2-plichtige bedrijven:
- De cybersecurity-kwetsbaarheden van elke directe leverancier beoordelen
- De kwaliteit van beveiligingsproducten en -praktijken van leveranciers evalueren
- Beveiligingseisen opnemen in contracten met leveranciers
- Toezicht houden op de naleving ervan
De verplichting ligt bij de NIS2-entiteit. Maar het effect rolt door naar jou als toeleverancier. Je klant móét jouw beveiliging controleren. Doet die dat niet, dan schendt die klant zelf de wet.
Val je er indirect onder? Drie scenario’s
Je KMO heeft minder dan 50 medewerkers, minder dan 10 miljoen euro omzet, en zit niet in een NIS2-sector. NIS2 geldt niet rechtstreeks voor jou. Maar in deze drie situaties krijg je er toch mee te maken:
1. Je levert IT-diensten aan een NIS2-bedrijf. Je beheert servers, netwerken of applicaties voor een ziekenhuis, energiebedrijf of transportfirma. Jouw toegang tot hun systemen maakt jou een directe risicofactor. Verwacht gedetailleerde security-vragenlijsten en contractuele verplichtingen.
2. Je levert SaaS of cloud-diensten. Je boekhoudpakket, CRM of HR-tool verwerkt data van een NIS2-plichtige klant. Die klant moet beoordelen of jouw platform veilig genoeg is. Geen bewijs van basisbeveiliging? Mogelijk geen contract.
3. Je levert fysieke diensten aan kritieke infrastructuur. Schoonmaak, onderhoud, catering bij een waterbedrijf of energiecentrale. Fysieke toegang tot beveiligde locaties valt ook onder supply chain-risicobeheer. Minder ingrijpend dan IT-leveranciers, maar verwacht badgebeleid en achtergrondcontroles.
Belgische bedrijven die onder NIS2 vallen, sturen hun leveranciers nu al security-vragenlijsten. “We nemen security serieus” is geen acceptabel antwoord meer. Ze willen gedocumenteerd bewijs: een CyFun-label, een ISO 27001-certificaat, of minimaal een ingevulde zelfbeoordeling met concrete maatregelen.
Wat verandert er concreet voor jou?
Als toeleverancier van een NIS2-plichtig bedrijf kun je het volgende verwachten:
| Wat | Voorbeeld |
|---|---|
| Security-vragenlijst | Gebruikt je bedrijf MFA? Hoe vaak maak je backups? Heb je een incidentprocedure? |
| Contractuele clausules | Beveiligingseisen in de SLA, auditrecht voor je klant, meldplicht bij incidenten |
| Bewijs van maatregelen | CyFun-label, ISO 27001-certificaat, of gedocumenteerd beveiligingsbeleid |
| Incidentmelding | Verplichting om je klant binnen een afgesproken termijn te informeren bij een incident |
| Periodieke evaluatie | Jaarlijkse herbeoordeling van je beveiligingsniveau |
Het positieve: deze eisen zijn voorspelbaar. Je kunt je er op voorbereiden. En als je het goed doet, wordt het een concurrentievoordeel.
CyFun als de standaard voor leveranciers
Het CCB heeft het CyberFundamentals (CyFun) framework specifiek ontworpen voor de Belgische KMO-economie. Het idee: één certificering, bruikbaar voor meerdere klanten. Geen aparte audit per klant.
Voor toeleveranciers adviseert het CCB minimaal CyFun Basic: 34 concrete maatregelen op het gebied van toegangsbeheer, patchmanagement, backups en incidentdetectie. Volgens CERT.be blokkeert dat basisniveau al 82% van de aanvallen in hun dreigingsprofielen.
De niveaus in context:
| CyFun-niveau | Aantal controls | Relevant voor |
|---|---|---|
| Small | ~20 | Zelfstandigen en micro-ondernemingen als opstap |
| Basic | 34 | KMO-toeleveranciers (de aanbevolen minimum) |
| Important | 133 | IT-dienstverleners en leveranciers met systeemtoegang |
| Essential | 218 | Kritieke toeleveranciers van essentiële entiteiten |
Welk niveau jij nodig hebt, hangt af van wat je levert en aan wie. Een schoonmaakbedrijf bij een energiecentrale kan volstaan met Basic. Een managed service provider die het netwerk van een ziekenhuis beheert, zal richting Important moeten.
Meer over de niveaus lees je in ons artikel over het CyberFundamentals framework. Wil je direct starten? Onze CyFun zelfbeoordeling helpt je op weg.
Wat kun je nu doen?
- Breng je klanten in kaart. Lever je aan bedrijven in energie, gezondheidszorg, transport, water, telecom, financiële diensten of digitale infrastructuur? Dan is de kans groot dat zij onder NIS2 vallen en jij eisen krijgt
- Start met CyFun Basic. Download de gratis zelfbeoordelingstool via de CyFun Toolbox en werk de 34 controls door. Documenteer wat je al doet en waar de gaten zitten
- Leg je maatregelen vast. Een geschreven security-beleid en een logboek van maatregelen zijn je bewijs bij vragen van klanten. Zonder documentatie tel je beveiliging niet mee
- Bespreek eisen met je klanten. Wacht niet tot de vragenlijst komt. Neem het initiatief en vraag welk CyFun-niveau ze verwachten. Dat toont professionaliteit en geeft je tijd om je voor te bereiden
- Bekijk subsidies. VLAIO biedt via de KMO-portefeuille subsidies aan voor cybersecurity-advies en -implementatie. Daarnaast lopen er Cybersecurity Verbetertrajecten met tot 50% subsidie
Een ransomware-aanval op een externe leverancier van check-in systemen legde Brussels Airport, London Heathrow en Berlin Brandenburg tegelijk plat. 6% van de vluchten werd geannuleerd. Eén gecompromitteerde toeleverancier, drie luchthavens getroffen. Dit is precies het scenario dat NIS2 probeert te voorkomen.
NIS2 verplicht jou als KMO-toeleverancier niet rechtstreeks. Maar je klanten die er wél onder vallen, zijn wettelijk verplicht jouw beveiliging te beoordelen. Geen bewijs van basismaatregelen betekent contractverlies, niet een boete van het CCB. De oplossing is praktisch: start met CyFun Basic, documenteer wat je doet, en maak van security een concurrentievoordeel in plaats van een kostenpost.
Dit artikel is informatief en geen juridisch advies. De NIS2-wet is nieuw en de praktische invulling van supply chain-eisen evolueert. Raadpleeg het CCB of een gespecialiseerde jurist voor je specifieke situatie.
Wil je weten of de NIS2-wet rechtstreeks op jouw organisatie van toepassing is? Beantwoord 7 vragen en je krijgt een eerste indicatie.
Doe de NIS2 CheckVeelgestelde vragen
Bronnen
Gerelateerde artikels
NIS2 voor KMO's: de complete gids
Alles wat Belgische KMO's moeten weten over de NIS2-wet: scope, verplichtingen, CyFun framework, meldplicht en deadlines.
NIS2: valt jouw bedrijf eronder? Checklist
Bepaal in 3 stappen of de Belgische NIS2-wet op jouw KMO van toepassing is. Check je sector, grootte en leveranciersrelaties met onze checklist.
NIS2-boetes in België: wat riskeert je bedrijf?
De Belgische NIS2-wet kent boetes tot 10 miljoen euro. Maar hoe realistisch is dat voor KMO’s? Overzicht van sancties, bestuurdersaansprakelijkheid en hoe het CCB handhaaft.
CyberFundamentals (CyFun): het Belgische framework uitgelegd
CyberFundamentals is het Belgische cybersecurity-framework van het CCB. Vier niveaus, gratis tools en de route naar NIS2-compliance voor KMO’s.
CyFun SMALL: de gratis zelfbeoordeling stap voor stap
CyFun SMALL helpt kleine KMO’s en zelfstandigen hun basisbeveiliging op orde te krijgen. Doorloop de 7 aanbevelingen stap voor stap met deze praktische gids.