Spring naar content

Veelgestelde vragen

Deze pagina biedt antwoorden op veelgestelde vragen over NIS2, certificering, audits en aanverwante onderwerpen. Staat jouw vraag er niet tussen? Neem dan contact op met onze supportdesk.

Snel naar...

Voor bedrijven

Wat houdt NIS2 Supply Chain certificering in en hoe kan het bedrijven helpen?

De NIS2-entiteiten, ruim 8.000 essentiële en belangrijke organisaties, zijn verantwoordelijk voor de risico’s en cyberveiligheid van hun toeleveringsketen. Dit betekent dat zij van hun directe leveranciers, vaak mkb-bedrijven, kunnen eisen dat zij kunnen bewijzen digitaal veilig te werken. Die leveranciers, vaak mkb-bedrijven moeten dus een aantoonbaar bewijs (certificaat) overleggen van hun beveiligingsmaatregelen.

 

Het NIS2 Supply Chain certificaat is een bekende standaard voor cybersecurity, speciaal ontwikkeld voor mkb-bedrijven. Het is ontstaan uit een samenwerking van brancheorganisaties, cybersecurityspecialisten, juristen en auditors, en gebaseerd op een praktische cybersecurity-groeiladder.
Met deze certificering kunnen mkb-bedrijven aantonen dat ze voldoen aan de eisen van hun grote klanten.

Waarom zijn NIS2 bedrijven verantwoordelijk voor de cyberveiligheid van hun leveranciers?

Artikel 21.2d van de NIS2 richtlijn stelt:
d) de beveiliging van de toeleveringsketen, met inbegrip van beveiligingsgerelateerde aspecten met betrekking tot de relaties tussen elke entiteit en haar rechtstreekse leveranciers of dienstverleners;
De Europese NIS2 richtlijn (die in Nederland de Cyberbeveiligingswet wordt genoemd) bepaalt dat essentiële en belangrijke organisaties wettelijk verplicht zijn om hun directe leveranciers of dienstverleners te controleren. In geval van risico’s moeten zij borgen dat deze risico’s zijn geadresseerd. Dit betekent dat zij van hun directe leveranciers kunnen eisen dat zij aantoonbaar digitaal veilig werken.

Hoe kunnen leveranciers aantonen dat ze voldoen aan de NIS2 eisen?

Het NIS2 Supply Chain certificaat dient als bewijs dat je organisatie digitaal veilig werkt. Het modulair normensysteem kent drie niveaus (SC10, SC20, en SC30), zodat bedrijven de juiste beveiligingsmaatregelen kunnen implementeren die passen bij hun organisatie en het risico.

Welke bedrijven zijn leveranciers onder de NIS2 richtlijn en voor wie is het NIS2 Supply Chain certificaat belangrijk?

Veel bedrijven en organisaties leveren direct of indirect aan NIS2-plichtige bedrijven en kunnen daardoor verplicht worden om aantoonbaar veilig te werken. Het NIS2 Supply Chain certificaat helpt hen om aan deze eisen te voldoen.

Welk NIS2 SC certificaat moet mijn bedrijf behalen?

Het meest gebruikte certificaat is het NIS2-SC10 Basic. Het juiste certificaat hangt af van het risico dat jouw bedrijf vormt voor je klant. Hoe groter de impact van jouw producten of diensten op je klant, hoe groter het risico dat je vormt, en hoe hoger de norm die je moet behalen. Voor de meeste mkb-bedrijven is NIS2-SC10 voldoende, maar als een bedrijf toegang heeft tot zeer gevoelige gegevens of moeilijk vervangbare producten levert, kan een hogere norm (zoals SC20 of SC30) vereist zijn.

Hoe wordt het juiste certificeringsniveau bepaald?

Het juiste certificeringsniveau hangt af van het risico dat jouw bedrijf vormt voor je klant. Hoe groter de impact van jouw producten of diensten op je klant, hoe groter het risico dat je vormt, en hoe hoger de norm die je moet behalen.

SC10 Basic – Voor mkb-bedrijven met een beperkt risico die leveren aan NIS2-plichtige bedrijven.
SC20 Substantial – Voor bedrijven met verhoogde risico’s door hun rol of toegang tot gevoelige data bijvoorbeeld ICT-bedrijven of bedrijven met OT of fysieke toegang.
SC30 High – Voor cruciale bedrijven in de keten die bij cyberincidenten een groot risico vormen voor verstoringen.

Wat zijn de risico's voor NIS2-entiteiten en hun leveranciers?

NIS2 draait om het beheersen van verschillende soorten risico’s die impact kunnen hebben op de toeleveringsketen. Risico’s kunnen betrekking hebben op IT, digitale communicatie, fysieke infrastructuur, elektronische data-uitwisseling (EDI), leveringssystemen, en producten met operationele technologie (OT) software. Omdat NIS2 een “all hazards”-benadering hanteert, worden naast IT ook andere risico’s meegenomen. Daarom is het van belang dat de ruim 8.000 NIS2-plichtie entiteiten in Nederland aantoonbaar hun ketencyberveiligheid op orde hebben.

Wat moet ik doen als ik twijfel over het juiste certificeringsniveau?

Als je twijfelt over welk certificeringsniveau (SC10, SC20, of SC30) je moet behalen, is het verstandig om dit te overleggen met je klant. De klant kan een inschatting maken van de risico’s die jouw bedrijf mogelijk vormt. Voor verder advies kun je ook contact opnemen met de supportdesk van NIS2 Supply Chain.

Waarom betaal ik maandelijks voor NIS2 Supply Chain?

De maandelijkse bijdrage is nodig omdat NIS2 Supply Chain geen eenmalige certificering is, maar een doorlopend en dynamisch stelsel. Cybersecurity stopt niet na het behalen van een certificaat. Dreigingen, wetgeving en organisaties veranderen continu. Daarom moet je ook na certificering aantoonbaar laten zien dat je cybersecurity op orde blijft.

 

Dit betekent onder andere dat:

 

  • de geldigheid van certificaten controleerbaar is via een QR-code voor derden;
  • steekproeven kunnen worden uitgevoerd door de Stichting Kwaliteitsinnovatie;
  • maatregelen actueel moeten worden gehouden en waar nodig worden aangepast;
  • je periodiek (minimaal per kwartaal, na ingang van de wet in Nederland, Q3 2026) bevestigt dat cruciale zaken zoals back-ups, leveranciers, medewerkers en IT-diensten op orde zijn. Dat zal gebeuren via de portal van NIS2 SC die nu wordt ontwikkeld.
  • je klanten weten dan dat je cybersecurity actueel is
  • we attenderen je op tijd op nieuwe te nemen maatregelen

 

De NIS2 Supply Chain systematiek zorgt voor praktische ondersteuning om je cybersecurity te onderhouden. Je krijgt tips tegen aanvallers en jouw certificaat behoudt zijn waarde voor klanten, samenwerkingspartners en auditors. En uiteraard infomeren we je proactief op actuele wetgeving en Europese ontwikkelingen.

Is NIS2 Supply Chain een tussenstap naar ISO 27001 of NEN 7510?

Veel organisaties stellen zichzelf de vraag: kan NIS2 Supply Chain-certificering helpen als mijn organisatie later ISO 27001 of NEN 7510 wil behalen? 

Ja. Veel organisaties gebruiken NIS2 Supply Chain-certificering als tussenstap richting ISO 27001 of NEN 7510. De maatregelen binnen NIS2 Supply Chain overlappen voor een groot deel met deze normen. Door eerst NIS2 Supply Chain te implementeren, wordt een groot deel van de benodigde organisatorische en technische maatregelen al ingericht. Hierdoor wordt een later ISO- of NEN-traject aanzienlijk overzichtelijker en beter beheersbaar. 

Verder is het zo dat bij een groeipad van SC10 naar SC20 en SC30 de reeds genomen maatregelen niet opnieuw hoeven te worden getoetst. Dat betekent dat je geen dubbele of extra auditkosten hebt wanneer je doorgroeit naar een hoger niveau. 

De eenvoudigste route SC10 → SC20 → SC30 → ISO 27001. 

Moeten wij alles opnieuw doen als wij al ISO 27001 of NEN 7510 hebben?

Nee. Als je organisatie al ISO 27001, NEN 7510 of een andere vergelijkbare norm heeft, hoeven maatregelen die al aantoonbaar zijn geïmplementeerd en recent zijn beoordeeld niet opnieuw te worden uitgevoerd. 

Via mapping wordt vastgesteld welke maatregelen uit je bestaande certificering overeenkomen met de eisen van NIS2 Supply Chain. Deze onderdelen worden dan vrijgesteld van audit. Dit voorkomt dubbel werk, dubbele audits en onnodige kosten. 

Als uitgangspunt geldt dat eerder uitgevoerde audits en beoordelingen maximaal twee jaar oud mogen zijn om voor vrijstelling in aanmerking te komen. 

Voor auditoren

Wat zijn de vereisten om auditor te worden voor het NIS2 Supply Chain certificaat?

Je hebt ervaring met auditing. Voor SC20- en SC30-niveaus is kennis van ISO 27001 vereist. De audits zijn gericht op drie niveaus: SC10 (Basic), SC20 (Substantial) en SC30 (High). Deze vormen samen een ladder waarmee bedrijven stap voor stap hun cyberveiligheid verbeteren. Affiniteit met het mkb is een belangrijke pré. Voor de NIS2-SC30 komen alleen officiële certificeringsinstellingen (CI’s) in aanmerking.

Wat voor soort audit is de NIS2 SC-audit?

De NIS2 SC-audit is een grondige en serieuze audit. Dankzij een beperktere set maatregelen duurt de audit korter dan bij zwaardere normen. Er wordt getoetst of de genomen maatregelen effectief worden toegepast. Het doel is om bedrijven zorgvuldig te auditeren én hen tegelijkertijd te stimuleren in hun groei naar betere cyberveiligheid.

Hoe verloopt de training voor auditoren?

Je volgt een dagdeeltraining waarin je leert werken met onze risicobenadering, procesgericht toetsen en onze rapportagetool. Je oefent met het uitvoeren van stimulerende audits, waarbij toetsen en stimuleren centraal staan.

Wat voor bedrijven ga ik auditen?

Als auditor werk je met een diverse groep bedrijven, variërend van kleine mkb-ondernemingen tot grote leveranciers in kritieke sectoren. Dit zijn bijvoorbeeld IT-dienstverleners, productiebedrijven, logistieke partijen, installatiebedrijven, consultancybedrijven en andere toeleveranciers van NIS2-plichtige organisaties.

 

Omdat hun kennis en ervaring met cyberveiligheid sterk uiteenloopt, stem je je aanpak af op de specifieke context en behoeften van elk bedrijf. Bij kleinere bedrijven ligt de focus vaak op basismaatregelen en bewustwording, terwijl grotere organisaties geavanceerdere securityprocessen en compliance-eisen moeten aantonen. Een effectieve audit houdt rekening met deze verschillen en biedt bedrijven niet alleen een beoordeling, maar ook waardevolle inzichten voor verdere verbetering.

Hoe meld ik me aan als auditor?

Auditorganisaties die willen deelnemen kunnen het contactformulier invullen.

We nemen dan contact met je op. Je ontvangt daarna meer informatie over de afspraken, werkwijze, training en verdere stappen.