Compliance 7 min leestijd

NIS2: wat moet je softwareleverancier regelen?.

De NIS2-richtlijn verplicht organisaties om hun toeleveringsketen te beveiligen. Welke eisen stel je aan je softwareleverancier — en hoe controleer je dat?

Jasper Koers ·

In het kort

  • NIS2 verplicht organisaties om beveiligingseisen te stellen aan hun softwareleveranciers
  • Contractuele afspraken over incident response, patching en audit-rechten zijn essentieel
  • Vraag je leverancier naar concrete maatregelen — niet alleen naar intenties
  • Non-compliance kan leiden tot boetes tot 10 miljoen euro of 2% van de wereldwijde omzet

NIS2 en de toeleveringsketen

Sinds oktober 2024 is de Europese NIS2-richtlijn van kracht. Nederland werkt aan de omzetting naar nationale wetgeving via de Cyberbeveiligingswet. Maar ongeacht de exacte datum van implementatie: de eisen zijn helder en organisaties die onder de richtlijn vallen, worden geacht zich nu al voor te bereiden.

Een van de meest ingrijpende onderdelen van NIS2 is supply chain security. Artikel 21 verplicht organisaties om de beveiligingsrisico's in hun toeleveringsketen te beheersen. En voor de meeste bedrijven is software een van de grootste onderdelen van die keten. De vraag is dus niet alleen of jouw organisatie compliant is, maar ook of je softwareleverancier dat mogelijk maakt.

Waarom je leverancier ertoe doet

Software raakt alles: klantgegevens, bedrijfsprocessen, financiele data, communicatie. Een kwetsbaarheid in je applicatie is een kwetsbaarheid in je organisatie. NIS2 erkent dit expliciet. Het Nationaal Cyber Security Centrum (NCSC) benadrukt dat organisaties niet alleen hun eigen systemen moeten beveiligen, maar ook eisen moeten stellen aan de partijen die software voor hen bouwen en beheren.

Supply chain security is geen optioneel onderdeel van NIS2 — het is een kernverplichting. Je bent verantwoordelijk voor de beveiligingskwaliteit van je leveranciers.

Dit betekent concreet: je moet kunnen aantonen welke eisen je stelt aan je softwareleverancier, hoe je die eisen controleert en wat je doet als er tekortkomingen zijn.

Welke vragen stel je aan je softwareleverancier?

Een goed gesprek met je leverancier begint bij de juiste vragen. Hieronder de belangrijkste onderwerpen die je moet adresseren, afgeleid van de NIS2-vereisten.

Incident response

  • Heeft de leverancier een gedocumenteerd incident response-plan?
  • Binnen welke termijn worden beveiligingsincidenten aan jou gemeld?
  • Hoe verloopt de communicatie bij een actief incident?
  • Is er een responsible disclosure-beleid?

Patching en vulnerability management

  • Hoe snel worden bekende kwetsbaarheden (CVE's) gepatcht?
  • Wordt er actief gescand op kwetsbaarheden in dependencies?
  • Is er een gestructureerd updatebeleid voor frameworks en packages?
  • Worden security-updates los van feature-releases uitgerold?

Toegangscontrole en authenticatie

  • Is er role-based access control (RBAC) geimplementeerd?
  • Wordt multi-factor authenticatie (MFA) ondersteund?
  • Hoe is toegang tot productieomgevingen en databases geregeld?
  • Wordt het least privilege-principe toegepast?

Encryptie en databeveiliging

  • Wordt data versleuteld in transit (TLS) en at rest?
  • Hoe worden API-keys, tokens en secrets beheerd?
  • Waar wordt data opgeslagen en valt dit binnen de EU?

Logging en monitoring

  • Wordt er gelogd wie wat doet binnen de applicatie (audit trail)?
  • Zijn er alerts bij verdachte activiteiten?
  • Hoe lang worden logs bewaard en wie heeft er toegang toe?

Bedrijfscontinuiteit

  • Is er een disaster recovery-plan?
  • Hoe vaak worden backups gemaakt en getest?
  • Wat is de gegarandeerde hersteltijd (RTO) en maximaal dataverlies (RPO)?

Checklist: leveranciersbeoordeling onder NIS2

Gebruik onderstaande checklist als vertrekpunt bij het evalueren van je softwareleverancier:

  • Gedocumenteerd beveiligingsbeleid — Is er een security policy beschikbaar voor review?
  • Secure development lifecycle — Wordt security meegenomen in het ontwerp- en ontwikkelproces?
  • Penetratietests — Worden er periodiek onafhankelijke pentests uitgevoerd?
  • Dependency management — Worden third-party packages gemonitord op kwetsbaarheden?
  • Incidentnotificatie — Is er een afgesproken termijn voor het melden van incidenten?
  • Audit-mogelijkheden — Kun je als opdrachtgever audits uitvoeren of laten uitvoeren?
  • Datalocatie — Wordt data verwerkt en opgeslagen binnen de EU?
  • Personeel — Zijn medewerkers getraind op security awareness?

Contractuele afspraken

NIS2 verwacht dat beveiligingseisen niet alleen in woorden worden besproken, maar ook contractueel worden vastgelegd. De volgende elementen horen in je overeenkomst met een softwareleverancier:

  • Service Level Agreements (SLA's) voor beschikbaarheid, responstijden en hersteltijden
  • Incidentmeldplicht met een vastgelegde meldtermijn (NIS2 vereist dat significante incidenten binnen 24 uur aan de toezichthouder worden gemeld)
  • Audit-rechten die je het recht geven om de beveiligingsmaatregelen van je leverancier te controleren
  • Geheimhoudingsclausules voor toegang tot gevoelige data en systemen
  • Exit-strategie met afspraken over data-overdracht en verwijdering bij beeindiging van de samenwerking
Zonder contractuele borging zijn beveiligingsafspraken niet meer dan goede voornemens. NIS2 vraagt om aantoonbare maatregelen — en een contract is het eerste bewijsstuk.

Consequenties van non-compliance

De consequenties van het niet naleven van NIS2 zijn aanzienlijk. Voor essentiele entiteiten kunnen boetes oplopen tot 10 miljoen euro of 2% van de wereldwijde jaaromzet. Voor belangrijke entiteiten gelden boetes tot 7 miljoen euro of 1,4% van de omzet. Daarnaast kan de toezichthouder bestuurders persoonlijk aansprakelijk stellen.

Maar de financiele boetes zijn slechts een deel van het verhaal. Reputatieschade na een beveiligingsincident, het verlies van klanten en contracten, en de operationele schade van een cyberaanval wegen vaak zwaarder dan de boete zelf.

Hoe Coding Agency hiermee omgaat

Bij Coding Agency is security een integraal onderdeel van ons ontwikkelproces. We werken standaard met geautomatiseerde security-scans in onze CI/CD-pipeline, voeren dependency-monitoring uit en bouwen applicaties op basis van het security by design-principe. Onze hosting draait op AWS-infrastructuur binnen de EU, met versleuteling, geautomatiseerde backups en gestructureerde logging.

We documenteren onze beveiligingsmaatregelen, ondersteunen onze klanten bij audits en leggen afspraken over incident response en patching contractueel vast. Niet omdat NIS2 dat nu verplicht, maar omdat het past bij hoe professionele software hoort te worden gebouwd en beheerd.

Aan de slag

NIS2 is geen ver-van-mijn-bedshow meer. De richtlijn is actief, de nationale wetgeving komt eraan en toezichthouders bereiden zich voor op handhaving. Als je organisatie onder NIS2 valt — of als je klanten dat doen — is het nu het moment om je softwareleverancier kritisch te evalueren.

Wil je sparren over de NIS2-eisen aan je software of toeleveringsketen? Neem contact op voor een vrijblijvend gesprek. We denken graag mee over de technische en contractuele kant van compliance.

Veelgestelde vragen

NIS2 kent geen certificering voor leveranciers. Maar als jouw organisatie onder NIS2 valt, ben je verplicht om passende beveiligingseisen te stellen aan je leveranciers. Je moet kunnen aantonen dat je leverancier voldoet aan jouw security-eisen via contractuele afspraken, audits en documentatie.
Dan loop je als opdrachtgever risico op non-compliance. Begin met een gap-analyse: welke eisen stelt NIS2 aan supply chain security, en waar schiet je leverancier tekort? Bespreek een verbeterplan met deadlines. Komt er geen beweging, dan is het verstandig om alternatieven te verkennen.
Een kleinere leverancier valt zelf mogelijk niet direct onder NIS2. Maar als die leverancier software levert aan een organisatie die wel onder de richtlijn valt, dan gelden er indirect eisen via de supply chain-verplichting. De opdrachtgever moet aantonen dat ook kleinere leveranciers aan passende beveiligingsnormen voldoen.
Gerelateerde expertise Consultancy
Bekijk
Onderwerpen
NIS2 Supply Chain Compliance Security

Gerelateerde artikelen

Juridisch

NIS2 & softwareontwikkeling

De brede impact van NIS2 op het softwareontwikkelproces en je organisatie.

Lees artikel
Architectuur

Security by design in Laravel

Hoe security vanaf het begin wordt ingebouwd in de architectuur.

Lees artikel
Architectuur

ISO-proof software ontwikkelen

Software bouwen die voldoet aan ISO 27001-eisen.

Lees artikel

Hulp nodig?

Vragen over dit onderwerp? Laten we het erover hebben.

Neem contact op