Veelgestelde vragen

De NIS2-entiteiten, ruim 8.000 essentiële en belangrijke organisaties, zijn verantwoordelijk voor de risico’s en cyberveiligheid van hun toeleveringsketen. Dit betekent dat zij van hun directe leveranciers, vaak mkb-bedrijven, kunnen eisen dat zij kunnen bewijzen digitaal veilig te werken. Die leveranciers, vaak mkb-bedrijven moeten dus een aantoonbaar bewijs (certificaat) overleggen van hun beveiligingsmaatregelen.

Het NIS2 Supply Chain certificaat is een bekende standaard voor cybersecurity, speciaal ontwikkeld voor mkb-bedrijven. Het is ontstaan uit een samenwerking van brancheorganisaties, cybersecurityspecialisten, juristen en auditors, en gebaseerd op een praktische cybersecurity-groeiladder.
Met deze certificering kunnen mkb-bedrijven aantonen dat ze voldoen aan de eisen van hun grote klanten.

Artikel 21.2d van de NIS2 richtlijn stelt:
d) de beveiliging van de toeleveringsketen, met inbegrip van beveiligingsgerelateerde aspecten met betrekking tot de relaties tussen elke entiteit en haar rechtstreekse leveranciers of dienstverleners;
De Europese NIS2 richtlijn (die in Nederland de Cyberbeveiligingswet wordt genoemd) bepaalt dat essentiële en belangrijke organisaties wettelijk verplicht zijn om hun directe leveranciers of dienstverleners te controleren. In geval van risico’s moeten zij borgen dat deze risico’s zijn geadresseerd. Dit betekent dat zij van hun directe leveranciers kunnen eisen dat zij aantoonbaar digitaal veilig werken.

Het NIS2 Supply Chain certificaat dient als bewijs dat je organisatie digitaal veilig werkt. Het modulair normensysteem kent drie niveaus (QM10, QM20, en QM30), zodat bedrijven de juiste beveiligingsmaatregelen kunnen implementeren die passen bij hun organisatie en het risico.

Veel bedrijven en organisaties leveren direct of indirect aan NIS2-plichtige bedrijven en kunnen daardoor verplicht worden om aantoonbaar veilig te werken. Het NIS2 Supply Chain certificaat helpt hen om aan deze eisen te voldoen.

Het meest gebruikte certificaat is het NIS2-SC10 Basic. Het juiste certificaat hangt af van het risico dat jouw bedrijf vormt voor je klant. Hoe groter de impact van jouw producten of diensten op je klant, hoe groter het risico dat je vormt, en hoe hoger de norm die je moet behalen. Voor de meeste mkb-bedrijven is NIS2-SC10 voldoende, maar als een bedrijf toegang heeft tot zeer gevoelige gegevens of moeilijk vervangbare producten levert, kan een hogere norm (zoals SC20 of SC30) vereist zijn.

Het juiste certificeringsniveau hangt af van het risico dat jouw bedrijf vormt voor je klant. Hoe groter de impact van jouw producten of diensten op je klant, hoe groter het risico dat je vormt, en hoe hoger de norm die je moet behalen.

SC10 Basic – Voor mkb-bedrijven met een beperkt risico die leveren aan NIS2-plichtige bedrijven.
SC20 Substantial – Voor bedrijven met verhoogde risico’s door hun rol of toegang tot gevoelige data bijvoorbeeld ICT-bedrijven of bedrijven met OT of fysieke toegang.
SC30 High – Voor cruciale bedrijven in de keten die bij cyberincidenten een groot risico vormen voor verstoringen.

NIS2 draait om het beheersen van verschillende soorten risico’s die impact kunnen hebben op de toeleveringsketen. Risico’s kunnen betrekking hebben op IT, digitale communicatie, fysieke infrastructuur, elektronische data-uitwisseling (EDI), leveringssystemen, en producten met operationele technologie (OT) software. Omdat NIS2 een “all hazards”-benadering hanteert, worden naast IT ook andere risico’s meegenomen. Daarom is het van belang dat de ruim 8.000 NIS2-plichtie entiteiten in Nederland aantoonbaar hun ketencyberveiligheid op orde hebben.

Als je twijfelt over welk certificeringsniveau (QM10, QM20, of QM30) je moet behalen, is het verstandig om dit te overleggen met je klant. De klant kan een inschatting maken van de risico’s die jouw bedrijf mogelijk vormt. Voor verder advies kun je ook contact opnemen met de supportdesk van NIS2 Supply Chain.

Je hebt ervaring met auditing. Voor SC20- en SC30-niveaus is kennis van ISO 27001 vereist. De audits zijn gericht op drie niveaus: SC10 (Basic), SC20 (Substantial) en SC30 (High). Deze vormen samen een ladder waarmee bedrijven stap voor stap hun cyberveiligheid verbeteren. Affiniteit met het mkb is een belangrijke pré. Voor de NIS2-SC30 komen alleen officiële certificeringsinstellingen (CI’s) in aanmerking.

De NIS2 SC-audit is een grondige en serieuze audit. Dankzij een beperktere set maatregelen duurt de audit korter dan bij zwaardere normen. Er wordt getoetst of de genomen maatregelen effectief worden toegepast. Het doel is om bedrijven zorgvuldig te auditeren én hen tegelijkertijd te stimuleren in hun groei naar betere cyberveiligheid.

Je volgt een dagdeeltraining waarin je leert werken met onze risicobenadering, procesgericht toetsen en onze rapportagetool. Je oefent met het uitvoeren van stimulerende audits, waarbij toetsen en stimuleren centraal staan.

Als auditor werk je met een diverse groep bedrijven, variërend van kleine mkb-ondernemingen tot grote leveranciers in kritieke sectoren. Dit zijn bijvoorbeeld IT-dienstverleners, productiebedrijven, logistieke partijen, installatiebedrijven, consultancybedrijven en andere toeleveranciers van NIS2-plichtige organisaties.

Omdat hun kennis en ervaring met cyberveiligheid sterk uiteenloopt, stem je je aanpak af op de specifieke context en behoeften van elk bedrijf. Bij kleinere bedrijven ligt de focus vaak op basismaatregelen en bewustwording, terwijl grotere organisaties geavanceerdere securityprocessen en compliance-eisen moeten aantonen. Een effectieve audit houdt rekening met deze verschillen en biedt bedrijven niet alleen een beoordeling, maar ook waardevolle inzichten voor verdere verbetering.

Auditorganisaties die willen deelnemen kunnen het contactformulier invullen.

We nemen dan contact met je op. Je ontvangt daarna meer informatie over de afspraken, werkwijze, training en verdere stappen.