27 augustus 2025

Cyberweerbaarheid

Cybersecurity

NIS2 is een Europese richtlijn die door elk land wordt vertaald naar nationale wetgeving. In een aantal Europese landen is dit al gebeurd. In Nederland verwachten we dat de wet in het tweede kwartaal van 2026 van kracht wordt. Veel bedrijven die onder NIS2 vallen, vragen zich af wat zij precies moeten doen om te voldoen aan deze nieuwe regels.

Wat vraagt NIS2 van leveranciersmanagement?

Robert van Vianen, Partner BDO Digital, ging onlangs in gesprek over de invoering van NIS2 en de impact op leveranciersmanagement met Jasper Nagtegaal, Directeur Digitale Weerbaarheid bij toezichthouder RDI, Noël Jansen, Senior Manager BDO Digital, en Bas Dijkhuizen Head of Competence Center Infrastructure HERO.

Van Vianen ziet in de praktijk dat bedrijven zich in eerste instantie richten op compliance en op zoek zijn naar handvatten om aan NIS2 te voldoen. Er zijn volgens hem geen pasklare antwoorden of lijstjes om af te vinken. Hij adviseert bedrijven uit te gaan van een risicoanalyse van de eigen organisatie en in gesprek te gaan met leveranciers. ‘Waar zitten de risico’s? En hoe kunnen leveranciers helpen deze te adresseren?’

Veel bedrijven hebben al procedures om risico’s bij hun leveranciers te beoordelen. De implementatie van leveranciersmanagement volgens NIS2 begint voor hen dan ook niet vanaf nul. Het draait vooral om coördinatie. Daarbij speelt de directie een belangrijke rol, maar ook afdelingen zoals legal en supply chain moeten hierbij worden betrokken. Bovendien bevatten processen die zijn opgezet voor andere wet- en regelgeving, zoals ESG, ook componenten die bruikbaar zijn voor NIS2.

Het is aan bedrijven om te bepalen waar toeleveranciers, voor zover deze niet vallen onder NIS2, aan moeten voldoen. In de praktijk is het hebben van een ISO-certificering vaak een goed startpunt. Voor kritische toeleveranciers kan een audit of het recht om te gaan kijken worden toegepast. Een andere mogelijkheid is het opstellen van scenario’s van wat er gebeurt als een leverancier in gebreke blijft. Hoewel de aandacht vaak vooral op leveranciers is gericht, is het net zo belangrijk om de eigen organisatie zo in te richten dat zij snel kan reageren op mogelijke risico’s.

Nu starten met digitale weerbaarheid

Als toezichthouder adviseert Jasper Nagtegaal bedrijven aan om nú al te starten met het versterken van hun digitale weerbaarheid . ‘Ga in gesprek met je toeleveranciers en maak ze medeverantwoordelijk. Kijk samen naar wat belangrijk is en neem daarop maatregelen.’ Het is volgens hem belangrijk dat bedrijven dit zelf goed doen. ‘Het toezicht gaat uit van: tell me, show me and prove me. De toezichthouder kijkt straks niet alleen of je op papier voldoet, maar wil ook bewijs zien in beleid, audits en certificeringen. Zelfs rapportages aan de directie worden meegenomen om te kijken hoe serieus het onderwerp wordt genomen.’

Van Vianen benadrukt dat bedrijven nu hun strategie moeten bepalen en aan de slag moeten gaan. Er is geen reden om te wachten tot alle details duidelijk zijn; wat je nu opzet, kun je later altijd verbeteren. De kernvraag die je jezelf moet stellen is: ‘Wat gebeurt er als het mis gaat bij een leverancier?’ Met die vraag kun je de hele organisatie uitleggen waar de risico’s liggen.

Over de auteurs

  • Robert van Vianen

    Robert van Vianen is Partner Risk Services - Cyber Security & Privacy bij BDO Digital.

    BDO

Gerelateerd nieuws

Nieuwe Defensiewet: klaar voor de strijd, maar tegen welke prijs?

De geopolitieke spanning aan de grenzen van Europa neemt toe. Sinds de Russische inval in Oekraïne is veiligheid geen abstract begrip meer, maar een concrete opgave. Binnen Nederland groeit het besef dat de krijgsmacht beter voorbereid moet zijn op crisissituaties en militaire dreiging. Met de Wet op de defensiegereedheid (Wodg) wil het kabinet Defensie in staat stellen sneller te schakelen van vredesorganisatie naar krijgsmacht die direct inzetbaar is bij grootschalige operaties.

De grens tussen hulpmiddel en AI in besluitvorming

Steeds vaker duikt kunstmatige intelligentie (AI) op in bestuurlijke besluitvorming, van vergunningsaanvragen tot asielprocedures. De vraag is dan wanneer een digitaal hulpmiddel als AI wordt beschouwd. En welke verantwoordelijkheden daaruit volgen voor transparantie, toetsing en documentatie.

Europese waakhond: ‘AI‑systemen bedreigen grondrechten, menselijk toezicht onvoldoende’

De Europese grondrechtenwaakhond FRA (European Union Agency for Fundamental Rights) waarschuwt in een vorige week verschenen rapport dat organisaties slecht zijn voorbereid op het beoordelen en beperken van grondrechtenrisico’s bij het gebruik van hoog‑risico‑AI. Volgens de FRA dreigt daardoor een kloof tussen de ambities van de AI Act en de dagelijkse praktijk bij ontwikkelaars en gebruikers van AI‑systemen in onder meer asiel, onderwijs, werk, politie en sociale zekerheid. Die kloof raakt direct aan de manier waarop mensen en AI in de samenleving samen optrekken: als de menselijke kant van die samenwerking – kennis, reflectie en kritisch vermogen – tekortschiet, verliest AI haar grond voor vertrouwen.

De cruciale rol van een veilige meldcultuur bij cybersecurity

Onlangs publiceerde de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) het Cybersecuritybeeld Nederland (CSBN) 2025. Het rapport schetst een digitale dreigingsomgeving die steeds complexer, diverser en onvoorspelbaarder wordt. Terwijl de dreiging groeit, ligt de verdediging in het versterken van de digitale basishygiëne. Organisatiecultuur speelt hierbij een belangrijke rol in hoe incidenten worden herkend en gemeld. Het CSBN 2025 maakt duidelijk dat digitale veiligheid geen puur technologisch vraagstuk is, maar afhankelijk is van hoe mensen binnen organisaties handelen. Transparency International Nederland (TI-NL) benadrukt daarom de cruciale rol van menselijk gedrag en een veilige meldcultuur bij effectieve cybersecurity.
Meer nieuws