De introductie van de NIS2-wetgeving in 2023 zorgde destijds voor wat opschudding, want de eisen rondom digitale veiligheid werden hiermee strenger, met boetes en toezicht als stok achter de deur. Inmiddels is de implementatie hiervan geen toekomstmuziek meer, want in het tweede kwartaal van 2026 gaat de NIS2-wetgeving officieel van kracht. Wat opvalt: de wet raakt niet alleen grote vitale bedrijven, maar ook hun toeleveranciers en IT-partners. Hoe zorg je dat jouw organisatie niet alleen voldoet aan deze eisen, maar ook aan haar ketenverantwoordelijkheid?
Ketenverantwoordelijkheid: een blinde vlek?
Een opvallend element van NIS2 is de ketenverantwoordelijkheid. Organisaties kunnen straks niet meer volstaan met eigen beveiliging, maar moeten ook kritisch kijken naar hun partners. Een lek bij een externe IT-partij of hostingprovider kan namelijk alsnog leiden tot een datalek of systeemuitval, waarvoor de hoofdaannemer verantwoordelijk wordt gehouden.
Toch blijkt uit recente onderzoeken dat veel bedrijven nog geen duidelijk beeld hebben van hun positie in de keten. Laat staan dat ze weten welke concrete verplichtingen er op hen afkomen.
Quality Marks bieden structuur
Om die onduidelijkheid weg te nemen, zijn er initiatieven zoals de NIS2 Quality Marks [QM10, QM20, QM30]. Deze labels koppelen sectoren en risicoprofielen aan praktische eisen op het gebied van cybersecurity en compliance. Zo kunnen organisaties gericht aan de slag, en weten klanten en partners dat er aantoonbaar wordt voldaan aan de richtlijn.
Wat kun je nu doen?
Breng in kaart of jouw organisatie [of je klanten] onder NIS2 valt.
Controleer je eigen beveiligingsmaatregelen én die van je leveranciers.
Kijk welke ondersteuning je nodig hebt voor structurele compliance.
Doe de check!
Om bedrijven te helpen hun positie te bepalen, hebben we een korte check ontwikkeld. Daarmee ontdek je welk NIS2 Quality Mark op jouw organisatie van toepassing is.
