NIS2 als toeleverancier: ik val er zelf niet onder, maar mijn klant stelt eisen
Steeds meer MKB-leveranciers krijgen NIS2-eisen van hun grote klanten, ook al vallen ze zelf niet onder de Cyberbeveiligingswet. Zo zit de supply chain-verplichting in elkaar — en wat je als toeleverancier concreet moet doen.
"Wij zijn maar een klein bedrijf en vallen helemaal niet onder NIS2 — waarom krijgen we dan ineens een vragenlijst van onze grootste klant over onze informatiebeveiliging?"
Het is misschien wel de meest gestelde vraag van het Nederlandse MKB rond de Cyberbeveiligingswet (de Nederlandse implementatie van de Europese NIS2-richtlijn, verwacht op 1 juli 2026). Je valt zelf niet onder de wet, maar je klant wél — en die schuift een deel van zijn verplichtingen contractueel naar jou door. Naar schatting krijgen op deze manier tienduizenden Nederlandse MKB-bedrijven met NIS2 te maken zonder zelf in scope te zijn.
In dit artikel leggen we uit hoe die keten-verplichting werkt, of je zelf onder NIS2 valt, wat je klant concreet van je gaat vragen, en hoe je daar slim op inspeelt.
Waarom krijg je als kleine leverancier toch NIS2-eisen?
NIS2 verplicht entiteiten die wél onder de wet vallen om de beveiliging van hun toeleveringsketen te beheersen. Dit staat in artikel 21 van de richtlijn: organisaties moeten passende maatregelen nemen voor "beveiliging bij het verwerven, ontwikkelen en onderhouden van netwerk- en informatiesystemen, inclusief de relaties met directe leveranciers en dienstverleners".
Praktisch betekent dat: een ziekenhuis, energiebedrijf of grote logistieke partij die onder NIS2 valt, is verplicht om de cyberrisico's van zijn leveranciers in kaart te brengen en te beheersen. Die organisatie kan dat risico niet wegcontracteren, dus geeft het de eisen door aan de keten — via vragenlijsten, contractclausules en audits.
Kort gezegd: je valt niet onder NIS2, maar je zit wél in de keten van een partij die er onder valt. En die partij is wettelijk verplicht om jou erop aan te spreken.
Val je nu zelf onder NIS2 — of alleen indirect?
Eerst het onderscheid scherp krijgen, want dat bepaalt je verplichtingen:
- Direct in scope — je voldoet zélf aan de criteria (gereguleerde sector + minimaal middelgroot, of een automatische uitzondering). Dan heb je eigen wettelijke verplichtingen: zorgplicht, meldplicht en registratie.
- Indirect betrokken — je valt zelf buiten de wet, maar levert aan een organisatie die er wél onder valt. Je verplichtingen zijn dan contractueel, niet wettelijk: ze komen van je klant, niet van de toezichthouder.
Twijfel je in welke categorie je valt? Doe eerst de gratis NIS2-check — in twee minuten weet je of je zelf onder de Cyberbeveiligingswet valt. Een uitgebreide uitleg van sectoren, omvang en uitzonderingen vind je in Val ik onder NIS2? Een complete gids.
Wat vraagt je klant concreet?
De eisen die grote klanten doorgeven, lopen sterk uiteen, maar komen meestal neer op een combinatie van het volgende:
| Wat je klant vraagt | Wat het in de praktijk betekent |
|---|---|
| Security-vragenlijst | Een (soms lange) vragenlijst over je beveiligingsmaatregelen, vaak gebaseerd op ISO 27001 of de NIS2-zorgplicht |
| Contractuele clausules | Afspraken over beveiliging, geheimhouding en aansprakelijkheid in je leveringscontract of een aparte verwerkers-/beveiligingsbijlage |
| Incidentmelding | De plicht om beveiligingsincidenten die je klant raken snel te melden — vaak binnen 24 tot 72 uur |
| Certificering of aantoonbaarheid | Een certificaat (ISO 27001, NEN 7510) of op zijn minst aantoonbaar beleid en bewijs van maatregelen |
| Recht op audit | Het recht van je klant om jouw beveiliging te (laten) controleren |
De rode draad: je klant wil aantoonbaar kunnen maken dat hij zijn keten beheerst. Hoe beter jij dat kunt onderbouwen, hoe minder gedoe — en hoe groter de kans dat je de opdracht houdt.
Wat moet je als toeleverancier echt doen?
Ook al heb je geen wettelijke plicht, de eisen uit de keten zijn reëel en groeien. De slimste aanpak is om de tien NIS2-zorgplichtmaatregelen als baseline te nemen — ze vormen een breed erkend, praktisch fundament voor goede cyberhygiëne, of je nu in scope bent of niet.
- Breng je risico's in kaart. Wat zijn je kroonjuwelen en waar zit je kwetsbaar? Onze TBB-tool helpt je je Te Beschermen Belangen te inventariseren volgens de NCSC-methodiek.
- Meet waar je staat. Doe de gratis gap-analyse en scoor jezelf op de tien zorgplichtmaatregelen volgens het NCSC-rijpheidsmodel. Je krijgt direct inzicht in je grootste gaten.
- Pak de basis aan. Multifactor-authenticatie, back-ups, patchmanagement, toegangsbeheer en bewustwording onder personeel leveren de meeste beveiliging per geïnvesteerde euro.
- Leg het vast. Een klant die om bewijs vraagt, wil beleid en procedures zien — niet alleen goede bedoelingen.
Een volledige, werkbare uitwerking van alle tien maatregelen staat in onze gratis whitepaper: de 10 stappen naar NIS2-compliance en in het artikel NIS2-zorgplicht: de 10 maatregelen volgens het NCSC.
Heb je al ISO 27001? Dan ben je een eind op weg
Werk je al onder ISO 27001, NEN 7510 of BIO 2.0, dan dek je een groot deel van wat klanten vragen al af. Let wel op de specifieke NIS2-accenten — met name incidentmelding en ketenbeveiliging — die niet één-op-één in elke certificering zitten. Welke standaard wat dekt, zetten we op een rij in NIS2 vs ISO 27001, NEN 7510 en BIO 2.0.
Maak er een commercieel voordeel van
Zie de keten-eisen niet als last, maar als kans. Klanten die onder NIS2 vallen, kiezen straks bij voorkeur leveranciers die hun zaken op orde hebben — dat scheelt hén werk en risico. Een leverancier die snel en geloofwaardig een ingevulde vragenlijst, beleid en een gap-analyse kan overleggen, wint het van een concurrent die bij elke vraag begint te improviseren. Vroeg beginnen is hier letterlijk een verkoopargument.
Stappenplan voor toeleveranciers
- Bepaal met de NIS2-check of je zelf direct onder de wet valt.
- Inventariseer welke van je klanten onder NIS2 vallen — daar komen de eisen vandaan.
- Doe de gap-analyse om je huidige rijpheid te meten.
- Dicht eerst de basisgaten (MFA, back-ups, patchen, toegangsbeheer, bewustwording).
- Leg beleid en bewijs vast, zodat je vragenlijsten en audits soepel doorstaat.
- Maak je beveiliging zichtbaar richting klanten — als geruststelling én als verkoopargument.
Volgende stap: weet eerst zeker waar je staat. Doe de gratis NIS2-check en daarna de gap-analyse — samen geef je je grootste klant binnen een half uur een geloofwaardig antwoord.
Veelgestelde vragen
Val ik onder NIS2 als ik lever aan een bedrijf dat er wél onder valt? Nee, niet automatisch. Je valt alleen zélf onder de Cyberbeveiligingswet als je voldoet aan de criteria (gereguleerde sector én minimaal middelgroot, of een automatische uitzondering). Maar je klant is wettelijk verplicht zijn toeleveringsketen te beheersen, dus die kan jou contractueel eisen opleggen — ook als je zelf buiten de wet valt.
Mijn klant stuurt een NIS2-vragenlijst. Ben ik verplicht die in te vullen? Wettelijk niet, want jij valt niet onder de wet. Maar het is een contractuele en commerciële realiteit: je klant heeft de antwoorden nodig om aan zíjn verplichtingen te voldoen. Weiger je, dan riskeer je de samenwerking. In de praktijk is meewerken vrijwel altijd verstandiger dan weigeren.
Welke beveiligingsmaatregelen verwachten klanten minimaal? Meestal de basis van goede cyberhygiëne: multifactor-authenticatie, actueel patchmanagement, betrouwbare back-ups, toegangsbeheer, en bewustwording onder personeel. Dit sluit aan op de tien NIS2-zorgplichtmaatregelen. Met de gap-analyse zie je direct waar je staat.
Is ISO 27001 genoeg om aan de eisen van mijn klant te voldoen? Vaak een groot deel, maar niet altijd alles. ISO 27001 is een sterke basis, maar NIS2 legt extra nadruk op incidentmelding en ketenbeveiliging. Controleer altijd de specifieke clausules in je contract.
Hoeveel MKB-bedrijven krijgen indirect met NIS2 te maken? Schattingen lopen in de tienduizenden Nederlandse MKB-bedrijven die niet zelf onder de wet vallen, maar wel eisen krijgen via grote klanten die dat wél doen. Het is daarmee een veel grotere groep dan de bedrijven die direct in scope zijn.
Wanneer treedt de Cyberbeveiligingswet in werking? De Nederlandse Cyberbeveiligingswet wordt verwacht op 1 juli 2026. Klanten beginnen hun leveranciers echter nu al te bevragen, dus wachten tot de wet er is, is geen goede strategie.
Gratis whitepaper · 12 pagina's
De 10 stappen naar NIS2-compliance
Per maatregel: wat het is, concrete acties, en de valkuil. Direct als PDF in je inbox.
Vraag de whitepaper aanBlijf op de hoogte van NIS2
Periodiek de belangrijkste updates over de Cyberbeveiligingswet, plus praktische tips voor het MKB. Geen spam, uitschrijven kan altijd.
Door je in te schrijven ga je akkoord met onze verwerking van je e-mailadres. Geen spam, makkelijk uitschrijven.