Rij verbonden kantoorgebouwen in staal- en grijstinten met beveiligingsslot op voordeur, symboliseert toeleveringsketenbeheer en regelgeving.

Geldt NIS2 ook voor organisaties die niet direct in scope vallen?

/in /door

Ja, de NIS2-richtlijn kan ook gelden voor organisaties die formeel buiten de directe scope vallen. Dit komt doordat NIS2-plichtige organisaties verplicht zijn hun gehele toeleveringsketen te beveiligen, waardoor indirecte verplichtingen ontstaan voor leveranciers en partners. In dit artikel beantwoorden we de meest gestelde vragen over indirecte NIS2-verplichtingen, wat dit betekent voor jouw organisatie en hoe je praktisch aan de slag gaat.

Hoe bepaal je of jouw organisatie indirect onder NIS2 valt?

Je organisatie valt indirect onder de NIS2-scope als je producten of diensten levert aan organisaties die wél direct NIS2-plichtig zijn. De NIS2-richtlijn verplicht essentiële en belangrijke entiteiten namelijk om risico’s in hun leveranciersketen te beheersen, wat betekent dat zij eisen stellen aan de beveiliging van hun toeleveranciers. Indirecte NIS2-verplichtingen vloeien dus voort uit contractuele en operationele afhankelijkheden.

Stel jezelf de volgende vragen om te bepalen of dit op jouw organisatie van toepassing is:

  • Lever je diensten of producten aan organisaties in sectoren zoals energie, zorg, transport, financiële dienstverlening of ICT?
  • Heb je toegang tot systemen, netwerken of gevoelige data van klanten die onder NIS2 vallen?
  • Ben je als ICT-dienstverlener, softwareleverancier of onderhoudsbedrijf onderdeel van een kritisch bedrijfsproces bij een klant?
  • Verwerkt of beheert jouw organisatie gegevens die essentieel zijn voor de continuïteit van een NIS2-plichtige partij?

Als je één of meer van deze vragen met “ja” beantwoordt, is de kans groot dat jouw klanten al eisen aan je stellen of dat binnenkort zullen doen. De beveiliging van digitale omgevingen wordt daarmee niet alleen een interne keuze, maar een externe verwachting vanuit de markt.

Wat zijn de gevolgen als een toeleverancier niet aan NIS2 voldoet?

Als een toeleverancier niet voldoet aan de beveiligingseisen die NIS2-plichtige klanten stellen, riskeer je het verlies van contracten, uitsluiting van aanbestedingen en reputatieschade. NIS2-plichtige organisaties zijn wettelijk verplicht om hun ketenbeveiliging aantoonbaar te borgen en mogen leveranciers die onvoldoende beveiliging bieden niet langer inzetten voor kritieke processen.

De praktische gevolgen kunnen ingrijpend zijn:

  • Contractbeëindiging: Klanten mogen leveranciers die niet aan hun beveiligingseisen voldoen van hun leverancierslijst verwijderen.
  • Aansprakelijkheid: Als een incident bij jou leidt tot schade bij een NIS2-plichtige klant, kan die klant jou aansprakelijk stellen voor de gevolgen.
  • Uitsluiting bij aanbestedingen: Overheids- en semipublieke opdrachtgevers nemen cybersecurity-eisen steeds vaker op als selectiecriterium.
  • Indirecte boetes: Hoewel de boetes direct bij de NIS2-plichtige organisatie terechtkomen, kan een leverancier via contractuele bepalingen alsnog financieel aansprakelijk worden gesteld.

Het risico zit dus niet alleen in directe handhaving, maar ook in de commerciële en juridische gevolgen van het niet voldoen aan de verwachtingen van jouw klanten.

Welke beveiligingsmaatregelen verwachten NIS2-plichtige klanten van hun leveranciers?

NIS2-plichtige klanten verwachten van hun leveranciers aantoonbare maatregelen op het gebied van risicobeheersing, toegangsbeveiliging, incidentrespons en continuïteit. De exacte eisen variëren per klant en sector, maar er zijn duidelijke gemeenschappelijke verwachtingen die steeds vaker contractueel worden vastgelegd.

De meest gevraagde maatregelen zijn:

  • Risicoanalyse: Een actueel overzicht van de risico’s die jouw dienstverlening met zich meebrengt voor de klant.
  • Toegangsbeheer: Strikte controle over wie toegang heeft tot systemen en data, inclusief multifactorauthenticatie en het principe van minimale rechten.
  • Encryptie: Versleuteling van data in transit en in rust, zodat gevoelige informatie beschermd blijft.
  • Incidentmelding: Duidelijke afspraken over hoe en wanneer je een beveiligingsincident meldt aan de klant.
  • Continuïteitsplan: Een aantoonbaar plan voor herstel bij uitval of een cyberaanval.
  • Bewustwording en training: Medewerkers die weten hoe ze phishing en andere dreigingen herkennen.

Klanten leggen deze eisen steeds vaker vast in verwerkersovereenkomsten of specifieke leveranciersbeoordelingen. Het is verstandig om proactief met jouw klanten in gesprek te gaan over hun verwachtingen, zodat je niet voor verrassingen komt te staan.

Hoe verschilt de aanpak voor organisaties die wél in scope vallen?

Organisaties die direct onder de NIS2-scope vallen, hebben wettelijke verplichtingen met bijbehorende handhaving, terwijl organisaties buiten de directe scope alleen indirecte, contractueel gedreven verplichtingen hebben. Het verschil zit niet zozeer in de maatregelen zelf, maar in de juridische basis, de toezichthouder en de consequenties bij niet-naleving.

Voor organisaties die wél direct in scope vallen, gelden onder de Nederlandse Cyberbeveiligingswet, die naar verwachting in het tweede kwartaal van 2026 in werking treedt, de volgende concrete verplichtingen:

  • Registratieplicht bij de bevoegde nationale autoriteit.
  • Verplichte melding van significante incidenten binnen 24 uur na ontdekking.
  • Een aantoonbaar risicomanagementproces dat periodiek wordt geëvalueerd.
  • Persoonlijke aansprakelijkheid van bestuurders voor naleving van de zorgplicht.
  • Verplichte bestuurderstraining om kennis en vaardigheden op het gebied van cyberbeveiliging aantoonbaar te borgen.

Voor organisaties buiten de directe scope ontbreken deze formele verplichtingen, maar de praktische beveiligingsmaatregelen die klanten vragen zijn grotendeels vergelijkbaar. Het grote verschil is dat je bij directe scope te maken hebt met toezichthouders en boetes, terwijl je bij indirecte scope te maken hebt met marktdruk en contractuele eisen.

Wanneer is het verstandig om NIS2-maatregelen toch door te voeren?

Het is verstandig om NIS2-maatregelen door te voeren als je levert aan NIS2-plichtige organisaties, werkt met gevoelige of kritieke data, of als je organisatie sterk digitaal afhankelijk is. Zelfs zonder directe wettelijke verplichting bieden de maatregelen uit de NIS2-richtlijn een solide basis voor digitale weerbaarheid die elke organisatie ten goede komt.

Er zijn een aantal situaties waarin het doorvoeren van NIS2-maatregelen bijzonder verstandig is:

  • Je wil groeien in de markt: Organisaties die aantoonbaar veilig werken, onderscheiden zich positief bij aanbestedingen en in commerciële gesprekken.
  • Je werkt met persoonsgegevens of bedrijfskritieke informatie: De AVG en andere wetgeving stellen al eisen aan beveiliging; NIS2-maatregelen versterken deze naleving.
  • Je wil continuïteitsrisico’s beperken: Cyberaanvallen zijn voor elke organisatie een reëel risico. Een goed ingerichte beveiliging beperkt de kans op uitval en de schade bij een incident.
  • Je klanten vragen er expliciet om: Als klanten al beveiligingseisen stellen of dat binnenkort wordt verwacht, is proactief handelen efficiënter dan reactief aanpassen.

Cyberbeveiliging en NIS2 zijn geen doel op zich, maar een middel om de continuïteit, reputatie en grip op je digitale omgeving te borgen. Dat zijn belangen die voor elke organisatie relevant zijn, ongeacht de formele scope.

Hoe begin je met NIS2-voorbereiding als je buiten de directe scope valt?

Begin met een nulmeting van je huidige beveiligingssituatie, zodat je weet waar de grootste risico’s en lacunes zitten. Vanuit die basis kun je prioriteiten stellen en stap voor stap de maatregelen doorvoeren die het meest relevant zijn voor jouw organisatie en klanten. Je hoeft niet alles tegelijk aan te pakken; een gestructureerde aanpak in kleine stappen is effectiever dan een alles-of-niets benadering.

Een praktische aanpak ziet er als volgt uit:

  1. Breng je digitale omgeving in kaart: Welke systemen, applicaties en data zijn kritiek voor jouw bedrijfsvoering en voor je klanten?
  2. Voer een risicoanalyse uit: Wat zijn de meest waarschijnlijke dreigingen en wat is de impact als het misgaat?
  3. Stel basismaatregelen in: Denk aan multifactorauthenticatie, patchbeheer, back-ups en toegangsbeheer. Veel hiervan is al beschikbaar binnen platforms zoals Microsoft 365.
  4. Documenteer je maatregelen: Zorg dat je aantoonbaar kunt maken wat je doet en waarom. Dit is essentieel als klanten om bewijs vragen.
  5. Train je medewerkers: Bewustwording is een van de meest effectieve beveiligingsmaatregelen. Zorg dat iedereen weet hoe phishing en andere dreigingen eruitzien.
  6. Maak afspraken over incidentrespons: Wat doe je als er toch iets misgaat? Een helder plan voorkomt paniek en beperkt schade.

Een goede start hoeft niet complex of kostbaar te zijn. De beschikbare modules en diensten voor ICT-beheer en beveiliging bieden vaak al een stevige basis waarop je verder kunt bouwen.

Hoe Puur ICT helpt met NIS2-voorbereiding

Of je nu direct onder de NIS2-scope valt of indirect via je klanten te maken krijgt met beveiligingseisen, wij helpen je stap voor stap naar een aantoonbaar veilige digitale omgeving. Als Microsoft 365-specialist en gecertificeerde ICT-dienstverlener combineren we technische expertise met een pragmatische aanpak in begrijpelijke taal.

Dit is wat wij voor je doen:

  • Nulmeting en risicoanalyse: We brengen je huidige beveiligingssituatie in kaart en bepalen samen waar de prioriteiten liggen.
  • Technische implementatie: Van toegangsbeheer en encryptie tot incidentrespons, we implementeren de juiste maatregelen binnen het Microsoft-ecosysteem.
  • Bestuurderstraining en cyber awareness: We maken bestuurders en medewerkers handelingsbekwaam, zodat beveiliging geen papieren exercitie blijft, maar een levend onderdeel van de organisatie.
  • Doorlopend beheer en rapportage: We monitoren, beheren en rapporteren proactief, zodat je altijd inzicht hebt in je beveiligingsstatus.
  • Één aanspreekpunt: Geen losse leveranciers te coördineren, maar één partner die volledig ontzorgt van advies tot beheer.

Wil je weten waar jouw organisatie nu staat en wat de volgende stap is? Neem contact op met Puur ICT voor een vrijblijvend gesprek. We denken graag met je mee, in kleine stappen en zonder onnodig jargon.

Gerelateerde artikelen

Misschien ook iets voor u
Zware stalen kluisdeur op een kier in een moderne serverruimte met blauw omgevingslicht en een tweede versterkte deur op de achtergrond.Wat is de Cyberbeveiligingswet en hoe verschilt die van NIS2?
Gouden messing hangslot op modern bureau naast geordende mappen, groene plant op achtergrond, kantoorbeveiliging.Hoe beveilig je je organisatie goed zonder dat het een enorm project of grote investering wordt?
Open compliance-dossier met auditchecklist op modern bureau, laptop op achtergrond met beveiligingsdashboard, kantooromgeving met natuurlijk licht.Hoe maak je NIS2-compliance aantoonbaar richting toezichthouders?
IT-beveiligingsprofessional bekijkt crisisrespons-checklist op laptop, rood alarmlicht op gezicht, collega's op achtergrond.Hoe stel je een crisisorganisatie in voor een cyberincident?
Hangslot op laptoptoetsenbord omringd door ethernetkabels en notitieboekje, symboliseert cybersecurity op kantoor.Waar begin je als je je organisatie cybersecurityproof wilt maken?
Opgeruimd modern bureau met open laptop, kleurgecodeerde mappen, sticky notes en koffiekop in zacht natuurlijk licht.Hoe richt je een digitale werkomgeving in zodat kennis makkelijk overdraagbaar is?
Gehandschoende handen die een beschadigd serverrek herstellen in een modern datacenter met blauw en amber licht.Wat is een goede strategie om je organisatie snel te laten herstellen na een cyberaanval?
Stapel compliance-documenten naast laptop met beveiligingsdashboard, calculator en euromunten op modern bureau.Wat kost NIS2-compliance gemiddeld voor een middelgrote organisatie?

De ICT Specialist uit het Noorden

De ICT specialist uit het Noorden; het kantoor van Puur ICT in Heerenveen mag dan wel gelegen zijn in Friesland, maar wij zijn actief in het hele land.

Met onze oplossingen om jouw ICT te versimpelen en bedrijfsprocessen te verbeteren ontzorgen wij onze klanten. Onze ICT specialisten nemen jou graag mee op reis naar de Microsoft 365 cloud om de ICT functionaliteit vanuit Microsoft 365 volledig te benutten.

Contactgegevens

Tel:  +31 (0) 88 165 2300
Email:  info@puurict.nl

Hoofdkantoor Heerenveen
Abe Lenstra Boulevard 62
8448 JB HEERENVEEN

Vestiging Amsterdam
Hullenbergweg 413
1101 CS AMSTERDAM

Cookieverklaring
Privacyverklaring
Algemene voorwaarden
Kennisbank

Volg ons ook op

LinkedIn

YouTube

© Copyright - Puur ICT | De Microsoft 365 specialist uit het Noorden