Blog
Leveranciersrisico’s onder NIS2: complete gids voor third-party risk management (2026)
NIS2 verplicht organisaties om cyberrisico’s in de leveranciersketen aantoonbaar te beheren — vaak het meest ingrijpende onderdeel van compliance. Cloud-, software-, MSP- en outsourcingpartners moeten zichtbaar en beheerst zijn.
Wat is third-party risk management onder NIS2?
Structureel identificeren, beoordelen en monitoren van risico’s van externe leveranciers — supply-chain security / ketenbeveiliging.
Welke leveranciers beoordelen?
Vooral cloud-, hosting-, MSP-, software-, security- en outsourcingpartners met toegang tot systemen of data.
Stap 1 — Inventariseer ICT-leveranciers
Wie heeft toegang, wie verwerkt data, wie ondersteunt kritieke processen?
Stap 2 — Classificeer op risico
Laag, middel, hoog — o.a. beheerrechten, persoonsgegevens, productie, netwerk.
Stap 3 — Leg security contractueel vast
Logging, incidentmeldplicht, toegang, encryptie, auditrechten.
Stap 4 — Periodieke evaluatie
Vragenlijsten, certificeringen, assessments — geen eenmalige exercitie.
Stap 5 — Monitor kritieke ketens
Beschikbaarheid, incidentprocedures, continuïteit, fallback.
Stap 6 — Bestuurlijke rapportage
Bestuurders inzicht in kritieke leveranciers, risico’s en afhankelijkheden.
Relatie met ISO 27001 en DORA
ISO 27001 bevat leverancierscontrols; DORA stelt aanvullende eisen aan ICT-leveranciers in de financiële sector.
Veelgemaakte fouten
Alle leveranciers gelijk behandelen, geen risicoclassificatie, geen contracteisen, geen periodieke controle, geen bestuurlijke rapportage.
Doorlooptijd basisstructuur
Vaak 4 tot 12 weken, afhankelijk van aantal leveranciers en complexiteit.
Third-party risk management checklist
- Inventarisatie
- Risicoclassificatie
- Contractuele eisen
- Periodieke evaluaties
- Monitoring kritieke leveranciers
- Bestuurlijke rapportage