NIS2: risicoanalyse van eigen organisatie helpt om grip te krijgen op leveranciersmanagement

NIS2 is een Europese richtlijn die door elk land wordt vertaald naar nationale wetgeving. In een aantal Europese landen is dit al gebeurd. In Nederland verwachten we dat de wet in het tweede kwartaal van 2026 van kracht wordt. Veel bedrijven die onder NIS2 vallen, vragen zich af wat zij precies moeten doen om te voldoen aan deze nieuwe regels.

Wat vraagt NIS2 van leveranciersmanagement?

Robert van Vianen, Partner BDO Digital, ging onlangs in gesprek over de invoering van NIS2 en de impact op leveranciersmanagement met Jasper Nagtegaal, Directeur Digitale Weerbaarheid bij toezichthouder RDI, Noël Jansen, Senior Manager BDO Digital, en Bas Dijkhuizen Head of Competence Center Infrastructure HERO.

Van Vianen ziet in de praktijk dat bedrijven zich in eerste instantie richten op compliance en op zoek zijn naar handvatten om aan NIS2 te voldoen. Er zijn volgens hem geen pasklare antwoorden of lijstjes om af te vinken. Hij adviseert bedrijven uit te gaan van een risicoanalyse van de eigen organisatie en in gesprek te gaan met leveranciers. ‘Waar zitten de risico’s? En hoe kunnen leveranciers helpen deze te adresseren?’

Veel bedrijven hebben al procedures om risico’s bij hun leveranciers te beoordelen. De implementatie van leveranciersmanagement volgens NIS2 begint voor hen dan ook niet vanaf nul. Het draait vooral om coördinatie. Daarbij speelt de directie een belangrijke rol, maar ook afdelingen zoals legal en supply chain moeten hierbij worden betrokken. Bovendien bevatten processen die zijn opgezet voor andere wet- en regelgeving, zoals ESG, ook componenten die bruikbaar zijn voor NIS2.

Het is aan bedrijven om te bepalen waar toeleveranciers, voor zover deze niet vallen onder NIS2, aan moeten voldoen. In de praktijk is het hebben van een ISO-certificering vaak een goed startpunt. Voor kritische toeleveranciers kan een audit of het recht om te gaan kijken worden toegepast. Een andere mogelijkheid is het opstellen van scenario’s van wat er gebeurt als een leverancier in gebreke blijft. Hoewel de aandacht vaak vooral op leveranciers is gericht, is het net zo belangrijk om de eigen organisatie zo in te richten dat zij snel kan reageren op mogelijke risico’s.

Nu starten met digitale weerbaarheid

Als toezichthouder adviseert Jasper Nagtegaal bedrijven aan om nú al te starten met het versterken van hun digitale weerbaarheid . ‘Ga in gesprek met je toeleveranciers en maak ze medeverantwoordelijk. Kijk samen naar wat belangrijk is en neem daarop maatregelen.’ Het is volgens hem belangrijk dat bedrijven dit zelf goed doen. ‘Het toezicht gaat uit van: tell me, show me and prove me. De toezichthouder kijkt straks niet alleen of je op papier voldoet, maar wil ook bewijs zien in beleid, audits en certificeringen. Zelfs rapportages aan de directie worden meegenomen om te kijken hoe serieus het onderwerp wordt genomen.’

Van Vianen benadrukt dat bedrijven nu hun strategie moeten bepalen en aan de slag moeten gaan. Er is geen reden om te wachten tot alle details duidelijk zijn; wat je nu opzet, kun je later altijd verbeteren. De kernvraag die je jezelf moet stellen is: ‘Wat gebeurt er als het mis gaat bij een leverancier?’ Met die vraag kun je de hele organisatie uitleggen waar de risico’s liggen.