NIS2-ketenzorgplicht: wat vraagt je grote klant van je?
Gepubliceerd op 12 mei 2026
Misschien valt jouw organisatie zelf niet onder NIS2, maar lever je wel software, hosting, advies of onderdelen aan een ziekenhuis, een netbeheerder, een gemeente of een grote industriële partij. Dan is de kans groot dat je de afgelopen tijd een vragenlijst, een leveranciersassessment of een aangepast contract op je bureau hebt gekregen. Dat is geen toeval. Dat is de ketenzorgplicht van NIS2 die zich door de keten beweegt — tot bij jou.
Wat is NIS2 en de Cyberbeveiligingswet?
NIS2 is de herziene Europese richtlijn voor netwerk- en informatiebeveiliging. Nederland zet die richtlijn om in de Cyberbeveiligingswet. De wet verplicht organisaties in essentiële en belangrijke sectoren — denk aan energie, drinkwater, zorg, digitale infrastructuur, transport en de overheid — om passende technische en organisatorische maatregelen te nemen, incidenten te melden en hun bestuur aansprakelijk te maken voor cyberveiligheid.
Het bereik is groot. Naar schatting worden tienduizenden organisaties direct én indirect geraakt. Direct: de organisaties die zelf onder de wet vallen. Indirect: de vele MKB-leveranciers en ZZP'ers die aan die organisaties leveren. Want een NIS2-plichtige partij mag de risico's in haar toeleveringsketen niet negeren.
Waarom de ketenzorgplicht ook jou raakt
Een van de minder zichtbare, maar verstrekkende onderdelen van NIS2 is de zorgplicht voor de keten. NIS2-organisaties moeten de beveiligingsrisico's van hun leveranciers en dienstverleners beoordelen en daar passende eisen aan stellen. Een aanvaller die niet binnenkomt via de voordeur van het ziekenhuis, komt immers maar al te graag binnen via een leverancier met een lek.
In de praktijk vertaalt dat zich naar concrete vragen aan jou:
- Hoe houd je jouw systemen en domeinen actueel en gepatcht?
- Hoe weet je dat je geen verouderde software of openstaande beheerpanelen aan het internet hebt hangen?
- Hoe toon je aan dat je structureel naar kwetsbaarheden kijkt — en niet alleen één keer per jaar?
- Hoe regel je TLS-certificaten, DNS en toegang tot je omgeving?
Het gaat dus zelden om een formeel NIS2-certificaat. Het gaat erom dat je als leverancier kunt aantonen dat je je digitale basis op orde hebt. Dat heet basishygiëne, en dat is voor het MKB goed haalbaar.
Wat een kleine leverancier praktisch kan doen
Je hoeft geen security-afdeling op te tuigen om een geloofwaardige leverancier te zijn. Begin met het zichtbaar maken van wat er aan de buitenkant van je organisatie te zien is. Een goede eerste stap is begrijpen wat een aanvaller van jouw domein ziet: welke poorten staan open, draait er verouderde software, zijn er vergeten subdomeinen?
Concrete, betaalbare maatregelen die je vandaag al kunt nemen:
- Breng je aanvalsoppervlak in kaart. Je kunt pas beschermen wat je kent.
- Monitor structureel op kwetsbaarheden, niet incidenteel. Het internet verandert dagelijks; een momentopname veroudert snel.
- Patch en herstel wat je vindt, en leg vast wat je hebt gedaan.
- Bewaar bewijs. Rapportages met datum en bevinding zijn precies wat een inkoper of CISO wil zien.
Aantonen, niet beweren
Het verschil tussen "wij doen aan security" en "hier is ons rapport van vorige maand" is enorm. Een grote klant die zijn eigen ketenzorgplicht serieus neemt, wil verdedigbaar bewijs in handen hebben. Periodieke, gedocumenteerde scans van je domein en infrastructuur leveren precies dat.
Belangrijk om eerlijk over te zijn: een scan maakt je niet "NIS2-compliant". NIS2 vraagt meer dan techniek — denk aan governance, risicomanagement, incidentmelding en bestuurlijke verantwoordelijkheid. Maar scannen is wél een noodzakelijke bouwsteen en levert verdedigbare evidence voor vulnerability management en de ketenzorgplicht. We leggen dat onderscheid verder uit in scannen is geen NIS2-compliance.
Hoe Exposentry hierbij past
Exposentry geeft je die evidence-laag zonder dat je zelf een scanner hoeft te beheren. We brengen je domein en infrastructuur in kaart, monitoren op kwetsbaarheden en leveren rapportages die je rechtstreeks aan je opdrachtgever kunt overleggen. Geen ronkende compliance-beloftes — wel nuchtere, onderbouwde bevindingen die laten zien dat je je basis op orde hebt.
Wil je weten welke aanpak bij jouw organisatie past? Bekijk de tarieven en pakketten of begin direct met een eerste scan. Een kleine investering die je gesprek met een grote klant een stuk makkelijker maakt.