NIS2 en contractmanagement: grip op je leveranciersrisico’s

Door /

NIS2 en contractmanagement: grip op je leveranciersrisico’s

Het is dinsdagmiddag als je inkoopcollega langsloopt. “Heb jij toevallig nog de SLA-afspraken van de onderhoudspartij liggen? Storing op het toegangscontrolesysteem vannacht en het management wil weten of ze de afgesproken reactietijd hebben gehaald, en hoe vaak ze die het afgelopen jaar gemist hebben.” Je weet dat het ergens staat. In het contract van vorig jaar, of in een mail van een collega, of misschien in die SharePoint-map waar niemand meer komt.

Dit zijn de momenten waarop de NIS2 richtlijn echt landt. Niet bij een audit of een incident, maar in een gewone werkweek waarin een collega vraagt om bewijs dat je niet zomaar uit een la kunt trekken. Voor inkoop-, contract- en FM-managers in zorg, onderwijs en bij gemeenten is dit het moment waarop zichtbaar wordt wat er nog ontbreekt.

NIS2 is geen apart security-project dat je naast je werk doet. Het is een aanleiding om te doen wat goede contractmanagement-discipline al vereist: per leverancier weten wat er afgesproken is, wat er wordt nageleefd, welke KPI’s worden gehaald en welke acties openstaan. Wie zijn contractmanagement op orde heeft, heeft NIS2 grotendeels al op orde.

Voor wie geldt de NIS2?

De NIS2-wetgeving onderscheidt twee typen organisaties:

  • Essentiële entiteiten: energie, water, transport, gezondheidszorg, digitale infrastructuur
  • Belangrijke entiteiten: overheidsdiensten, afvalverwerking, post, voedselproductie, digitale dienstverleners

Veel zorginstellingen, gemeenten en onderwijsinstellingen in Nederland vallen hier direct onder, of werken voor organisaties die dat doen. Nederland implementeert de richtlijn via de Cyberbeveiligingswet, die in Q2 2026 van kracht wordt zonder overgangstermijn. Twijfel je of jouw organisatie eronder valt? Raadpleeg de Rijksinspectie Digitale Infrastructuur (RDI) of je juridische afdeling.

Wanneer kom je NIS2 in je werk tegen?

NIS2 duikt op in de gewone contractcyclus, niet alleen bij een audit of incident. Herken de momenten:

  • Nieuw contract: beveiligingseisen, KPI’s en auditrecht moeten expliciet worden vastgelegd, niet later worden toegevoegd.
  • Contractverlenging: zijn de afspraken nog actueel? Zijn er nieuwe risico’s of gewijzigde toegangsrechten?
  • Certificaatverloop: een ISO 27001-certificaat van een leverancier verloopt. Wie signaleert dat en wie handelt?
  • Incident: een leverancier meldt een datalek. Staat in het contract binnen welke termijn dat moet en wie het aanspreekpunt is?
  • Wisseling onderaannemer: je schoonmaakpartij werkt met een nieuwe onderaannemer in een beveiligde zone. Gelden dezelfde eisen?
  • Audit: een toezichthouder vraagt om bewijs van naleving. Kun je dat per leverancier direct laten zien?

NIS2 gaat verder dan IT en verder dan security

De NIS2-richtlijn legt ketenverantwoordelijkheid op. Jij bent verantwoordelijk voor wat jouw leveranciers doen met toegang tot jouw systemen, gebouwen en data. Dat geldt niet alleen voor softwareleveranciers. Ook de partijen die je hebt uitbesteed voor facilitaire diensten vallen hieronder als zij toegang hebben tot kritieke zones of systemen.

Maar NIS2 vraagt meer dan een beveiligingseis op papier. Toezichthouders willen aantoonbare naleving zien. Dat betekent: worden afgesproken KPI’s gehaald, worden audits opgevolgd, worden acties gesloten? Een clausule over toegangsbeheer die nooit is gecontroleerd, telt niet. Naleving aantonen vraagt om de hele uitvoering van het contract, niet alleen de tekst ervan.

Welke leveranciers vallen onder jouw NIS2-verantwoordelijkheid?

Dit is het stuk dat in de meeste NIS2-content ontbreekt. De focus ligt op ICT-leveranciers en SaaS-partijen. Maar in een zorginstelling, gemeente of onderwijsinstelling zijn er meer partijen met toegang dan je denkt. Voor sectorspecifieke context, bekijk onze pagina’s over contractmanagement in de zorg, in het onderwijs en bij de overheid.

  • Beveiligingsdiensten: zij hebben toegangspassen, lopen ’s nachts door serverruimtes en beheren toegangscontrolesystemen die direct gekoppeld zijn aan je netwerk.
  • Onderhoudsbedrijven: monteurs die inloggen op je gebouwbeheersysteem (BMS/BAS) voor klimaatbeheer, liften of brandmeldinstallaties. Die systemen zijn steeds vaker verbonden met je IT-infrastructuur.
  • Schoonmaakpartijen in beveiligde zones: een medewerker in een dataruimte of laboratorium heeft fysieke toegang tot kritieke omgevingen.
  • Cateraars in gesloten locaties: in datacenters of beveiligde overheidsgebouwen hebben ook cateringmedewerkers toegang tot zones die beheerst moeten zijn.
  • Externe partijen in onderwijsgebouwen: bij universiteiten, hogescholen en ROC’s hebben leveranciers vaak toegang tot labs, serverruimtes en onderzoeksomgevingen. Wie beheert die toegangsrechten en wie controleert of vertrekkende medewerkers van die partijen hun pas inleveren?

47% van organisaties noemt compromittering via derden als hun grootste beveiligingsrisico.* Dat zijn niet alleen softwareleveranciers. Dat zijn alle partijen met toegang, fysiek of digitaal.

*Bron: Cybersecurity Insiders, Third-Party Risk Management Report 2024

Wat hoort er in je contractmanagement voor NIS2?

NIS2 schrijft geen standaardteksten voor, maar toezichthouders verwachten dat je per leverancier aantoonbaar afspraken hebt gemaakt én dat je kunt laten zien dat ze worden nageleefd. Dat vraagt om meer dan een security-paragraaf. Dit hoort er per leverancierscontract in te zitten:

  • Beveiligingseisen: specifieke maatregelen, geen vage formuleringen. Denk aan toegangsbeheer, versleuteling en screeningen van personeel.
  • KPI’s en performance-afspraken: meetbare prestaties met normwaarden en meetfrequentie. Niet alleen op security, ook op kwaliteit en beschikbaarheid van de dienst.
  • Acties en opvolging: wat is gesignaleerd, wie pakt het op, wanneer is het gesloten.
  • Auditrecht en audit-opvolging: niet alleen het recht om te controleren, maar ook hoe bevindingen worden afgehandeld en gedocumenteerd.
  • Incidentrapportage: meldtermijn, aanspreekpunt en escalatiepad zijn expliciet vastgelegd.
  • Certificeringen: ISO 27001 of vergelijkbaar, met verloopdatum actief bewaakt.
  • Subcontractanten: gelden dezelfde eisen voor onderaannemers? Staat dat in het contract?
  • Periodiek leveranciersoverleg: vaste momenten voor performance, incidenten en verbeterpunten, met verslaglegging.

Een contract hebben is niet hetzelfde als naleving aantonen

Stel dat een toezichthouder morgen vraagt: laat zien dat leverancier X voldoet aan de afgesproken beveiligingseisen en dat de KPI’s worden gehaald. Wat is je antwoord?

Als dat antwoord begint met “dat staat ergens in een contract, maar ik moet even zoeken”: dan heb je een uitdaging.

NIS2-naleving aantonen betekent dat je op elk moment per leverancier kunt laten zien:

  • Welke leveranciers toegang hebben tot welke systemen of zones
  • Welke afspraken, KPI’s, SLA’s en beveiligingseisen per contract zijn vastgelegd
  • Of die afspraken actueel zijn en worden nageleefd
  • Welke acties openstaan vanuit audits, incidenten of leveranciersoverleg
  • Wanneer certificaten verlopen of contracten aflopen

90% van organisaties claimt risicobeheerpraktijken te hebben, maar slechts 47% monitort die ook actief.* Dat gat is precies waar het misgaat bij een audit. 30% van organisaties had in het afgelopen jaar geen enkele beveiligingsbeoordeling van leveranciers. Niet omdat ze het niet wilden, maar omdat ze geen structuur hebben om het bij te houden.

*Bron: Ponemon Institute, Third-Party Risk Management Study 2024

Hoe je NIS2-naleving structureel bijhoudt

NIS2-naleving werkt alleen als het deel is van je dagelijkse contractmanagement, niet een aparte administratie ernaast. Een jaarlijkse handmatige inventarisatie van leveranciers, contracten en certificaten is geen werkbare aanpak. Je loopt altijd achter de feiten aan.

Per leverancier wil je in één overzicht zien: afspraken, KPI’s, acties, audits, certificaten en leveranciersoverleg. Geen aparte security-silo. Eén plek voor alles wat je per leverancier moet kunnen aantonen. Dat is geen compliance-wens, dat is contractmanagement-discipline.

GRIP vult het gat tussen je ERP- of Spend-systeem en de inhoud van je leverancierscontracten. Per contract zie je de KPI’s, acties, audits en certificaatdata bij elkaar. Niet als vinkjeslijst, maar als levend overzicht dat je dagelijks gebruikt. Meer dan 50 organisaties in zorg, onderwijs en de publieke sector werken zo al met GRIP. Bekijk het Contract Dashboard om te zien hoe dat er in de praktijk uitziet.

GRIP Facility is ISO 27001 gecertificeerd en host alle data binnen Europa.

NIS2 stappenplan, drie stappen om vandaag mee te beginnen

  1. Inventariseer welke leveranciers fysieke of digitale toegang hebben tot kritieke systemen of zones, en welke KPI’s en afspraken voor hen gelden.
  2. Controleer per contract of beveiligingseisen, KPI’s, auditrecht en incidentrapportage expliciet zijn vastgelegd en actueel zijn.
  3. Stel een ritme in voor leveranciersoverleg, audits, certificaatverloop en actie-opvolging. Niet als project, maar als vast onderdeel van je contractcyclus.

Veelgestelde vragen over NIS2 en contractmanagement

Voor wie geldt NIS2 precies?

NIS2 geldt voor organisaties in sectoren die als kritiek worden beschouwd: energie, water, transport, gezondheidszorg, digitale infrastructuur, overheidsdiensten en meer. Nederland implementeert de richtlijn via de Cyberbeveiligingswet, die in Q2 2026 van kracht wordt. Twijfel je of jouw organisatie eronder valt? Raadpleeg de Rijksinspectie Digitale Infrastructuur (RDI) of je juridische afdeling.

Wat is ketenverantwoordelijkheid onder NIS2?

Ketenverantwoordelijkheid betekent dat jij als opdrachtgever verantwoordelijk bent voor de beveiligingsmaatregelen van je leveranciers, voor zover zij toegang hebben tot jouw systemen, data of gebouwen. Je kunt die verantwoordelijkheid niet overdragen aan de leverancier. Je moet aantonen dat je de juiste afspraken hebt gemaakt én dat je controleert of ze worden nageleefd.

Vallen schoonmaak- en cateringleveranciers ook onder NIS2?

Ja, als zij toegang hebben tot beveiligde zones, serverruimtes of systemen die gekoppeld zijn aan je IT-infrastructuur. De wet maakt geen onderscheid naar type dienstverlening. Wat telt, is de toegang die een leverancier heeft en het risico dat daarmee gepaard gaat.

Welke rol spelen KPI’s en acties bij NIS2-naleving?

NIS2 vraagt aantoonbare naleving, geen papieren afspraken. Een beveiligingseis die nooit is gecontroleerd, telt niet voor een toezichthouder. Met meetbare KPI’s, opgevolgd acties en gedocumenteerde leveranciersgesprekken laat je zien dat afspraken niet alleen gemaakt zijn, maar ook werken. Dat is precies wat goede contractmanagement-discipline al vraagt.

Moet ik voor NIS2 een aparte administratie inrichten?

Nee, en dat is ook niet werkbaar. NIS2-naleving lukt alleen als het onderdeel is van je reguliere contractmanagement. Een aparte compliance-administratie leidt tot dubbele invoer en achterstanden. Beter is om je bestaande contractbeheer te verrijken met de informatie die NIS2 vraagt: toegangsrechten, KPI’s, auditopvolging en certificaatdata per leverancier op één plek.

Wanneer treedt de Cyberbeveiligingswet in werking?

De verwachte inwerkingtreding is Q2 2026. Er is geen overgangstermijn voorzien. Organisaties die dan nog niet compliant zijn, lopen direct het risico op toezichtsmaatregelen en boetes. Begin nu met het inrichten van je contractmanagement, niet vlak voor de deadline.

Hoe toon je naleving aan bij een audit?

Bij een audit moet je per leverancier kunnen laten zien welke afspraken er zijn, of KPI’s worden gehaald, welke acties zijn opgepakt vanuit eerdere audits of leveranciersoverleg, en of certificaten actueel zijn. Dat lukt alleen als je contractbeheer structureel is ingericht. Zoeken in mappen en mailboxen is geen antwoord dat een toezichthouder accepteert.

Wil je zien hoe GRIP je contractmanagement én NIS2-naleving in één overzicht vastlegt? Boek een demo van het Contract Dashboard en zie per leverancier wat er afgesproken is, welke KPI’s worden gehaald en welke acties openstaan.

Contact
Contact
Scroll naar boven