Trusq

feitelijke duiding · herleidbaar naar primaire bronnen

Onderwerpen Kansen Doe de check Samenwerken LinkedIn NL·EN
Uitleg

Mijn klant valt onder NIS2 en vraagt mij om maatregelen — moet dat?

Vastgesteld 2026-06-16 · ≈ 2 min lezen · Dirk Baaijen

NIS2 verplicht onder NIS2 vallende organisaties om risico's in hun toeleveringsketen te beheersen. Als leverancier valt u meestal niet zelf onder de wet, maar uw klant mag eisen contractueel doorgeven; weigeren kan betekenen dat u de opdracht verliest.

Kort antwoord: Uw klant die onder NIS2 valt, is wettelijk verplicht om de beveiliging van zijn toeleveringsketen te beheersen, en mag daarvoor eisen aan u stellen. Als gewone leverancier valt u doorgaans niet zelf rechtstreeks onder NIS2, maar de eisen bereiken u via het contract. Voldoen is dus geen wettelijke plicht voor u, maar wel vaak een voorwaarde om de klant te behouden.

Wat NIS2 van uw klant vraagt

NIS2 — Richtlijn (EU) 2022/2555 — verplicht essentiële en belangrijke entiteiten passende en evenredige maatregelen te nemen om de risico's voor hun netwerk- en informatiesystemen te beheersen. Artikel 21 noemt daarbij uitdrukkelijk de beveiliging van de toeleveringsketen, inclusief beveiligingsaspecten van de relaties tussen de entiteit en haar directe leveranciers of dienstverleners. De richtlijn vraagt de onder NIS2 vallende organisatie dus om naar haar eigen ketenrisico's te kijken en daar rekening mee te houden — ook in haar inkoop- en contractkeuzes.

Dat is de juridische basis onder de vraag die u krijgt: uw klant zet zijn eigen verplichting door in de keten. De richtlijn legt die plicht bij de entiteit zelf, niet rechtstreeks bij iedere leverancier.

Valt u zelf onder NIS2?

NIS2 geldt voor organisaties in de sectoren genoemd in de bijlagen bij de richtlijn (zoals energie, transport, digitale infrastructuur, levensmiddelen en bepaalde productie), die boven de drempel voor middelgrote ondernemingen vallen. Valt u als leverancier zelf binnen die sectoren en boven die omvang, dan kunt u rechtstreeks onder de wet vallen — met eigen verplichtingen. De richtlijn wordt per lidstaat in nationaal recht omgezet; de precieze reikwijdte en uitzonderingen volgen uit die nationale implementatie en het toezicht daarop.

Valt u er niet onder, dan ontstaat uw verplichting niet uit de wet maar uit het contract. De eis van uw klant is dan een commerciële, contractuele eis — geen rechtstreekse wettelijke plicht voor u.

Wat betekent dit praktisch?

Drie nuchtere conclusies. Ten eerste: de vraag is legitiem en zal vaker terugkomen, omdat uw klant er zelf op wordt aangesproken. Ten tweede: beoordeel of u zelf onder NIS2 valt — dat verandert of "moeten" wettelijk of contractueel is. Ten derde: zelfs zonder eigen wettelijke plicht is meewerken vaak verstandig, want weigeren kan betekenen dat de klant een leverancier kiest die de gevraagde maatregelen wél kan aantonen. Welke maatregelen redelijk en evenredig zijn, hangt af van uw rol in de keten en de aard van de dienst; de richtlijn vraagt om proportionaliteit, niet om identieke eisen voor iedereen.

Lees ook: Transport & Logistiek. Doe de scan.

Bronnen

  1. https://eur-lex.europa.eu/eli/dir/2022/2555/oj
    Richtlijn (EU) 2022/2555 (NIS2); zie art. 21 over risicobeheermaatregelen, waaronder beveiliging van de toeleveringsketen.
  2. https://digital-strategy.ec.europa.eu/en/policies/nis2-directive
    Europese Commissie, toelichting op de NIS2-richtlijn en haar reikwijdte.

Deel op LinkedIn

Lees ook

U

NIS2-zorgplicht: de beveiligingsmaatregelen

Artikel 21 van de NIS2-richtlijn verplicht essentiële en belangrijke entiteiten tot tien concrete, risicogebaseerde beveiligingsmaatregelen waarover het bestuur eindverantwoordelijkheid draagt.

A

AI beveiligen in kritieke infrastructuur: waar AI Act, Cyber Resilience Act en NIS2 samenkomen

Eén AI-systeem in een haven valt vaak onder drie kaders tegelijk: de AI Act (art. 15) beveiligt het AI-systeem zelf, de Cyber Resilience Act het product, en NIS2 verplicht de exploitant als essentiële entiteit. Dit stuk legt uit hoe ze samenkomen en wie waarvoor verantwoordelijk is.

U

Dekt mijn ISO 27001-certificering de zorgplicht onder NIS2?

ISO 27001 dekt een groot deel van de NIS2-risicobeheermaatregelen, maar is geen automatische compliance. Meldplicht, bestuursverantwoordelijkheid, ketenrisico en registratie moet je apart afdekken.

Dirk Baaijen

Over deze kennisbank

Samengesteld en onderhouden door YRproject — programma- en projectregie op het snijvlak van digitale transformatie, AI en regelgeving. Elke feitelijke claim is herleidbaar naar de primaire bron. Achter YRproject staat Dirk Baaijen Over & methode →

Een project of programma? Werk met YRproject →

De maandelijkse briefing

AI-regulering in vijf minuten: wat er veranderde, wat eraan komt en wat het betekent. Geen spam, uitschrijven kan altijd.

Je adres wordt alleen hiervoor gebruikt en op eigen servers bewaard.