De NIS2-checklist: 10 vragen die uw klant u gaat stellen

NIS2-plichtige organisaties zijn verplicht om de cybersecurity van hun leveranciers te beoordelen. Dat betekent: vragenlijsten, audits en contractuele eisen. Als leverancier kunt u beter voorbereid zijn dan verrast worden. Dit zijn de 10 vragen die eraan komen — en wat u als antwoord moet kunnen geven.

Waarom dit urgent is: organisaties die al bezig zijn met NIS2-compliance sturen nu al leveranciersvragenlijsten uit. U kunt morgen een e-mail krijgen.

Heeft u een formeel informatiebeveiligingsbeleid?

Uw klant wil weten of u een gedocumenteerd beleid heeft dat goedgekeurd is door het management. Een ISO 27001-certificering beantwoordt deze vraag direct.

Tip: zelfs zonder certificering kunt u een beleidsdocument opstellen.

Hoe beheert u toegang tot systemen en klantdata?

Denk aan: role-based access, MFA, periodieke review van accounts, offboarding-procedures bij vertrek van medewerkers.

Tip: documenteer uw toegangsbeleid en toon aan dat u MFA gebruikt.

Heeft u een incident response procedure?

NIS2 vereist melding binnen 24 uur. Uw klant wil weten: als er iets misgaat bij u, hoe snel weet hij dat? Wat is uw communicatieprotocol?

Tip: stel een eenvoudig incident response plan op met escalatieprocedure en meldtermijnen.

Hoe beveiligt u remote access?

Als u op afstand toegang heeft tot systemen van uw klant (VPN, RDP, remote support), wil hij weten hoe u die verbindingen beveiligt en monitort.

Tip: gebruik altijd MFA, logging en tijdgebonden toegang voor remote sessies.

Voert u vulnerability management uit?

Scant u regelmatig op kwetsbaarheden? Hoe snel patcht u kritieke beveiligingslekken? Heeft u een patchmanagementproces?

Tip: een maandelijkse vulnerability scan en een patchbeleid met SLA's volstaat voor de meeste situaties.

Hoe ziet uw back-up en herstelstrategie eruit?

Maakt u regelmatig back-ups? Zijn ze offline of immutable? Wordt het herstellen periodiek getest?

Tip: test uw restore-procedure minimaal jaarlijks en documenteer de resultaten.

Traint u uw medewerkers in security awareness?

Phishing is de meest gebruikte aanvalsvector. Uw klant wil weten of uw medewerkers getraind zijn om verdachte e-mails te herkennen.

Tip: een jaarlijkse awareness-training met phishing-simulatie is de standaard.

Screent u medewerkers en onderaannemers?

Vooral relevant als uw medewerkers toegang hebben tot gevoelige omgevingen of data van uw klant. Heeft u een VOG-beleid? Hoe beheert u onderaannemers?

Tip: leg uw screening-eisen vast in uw HR-beleid en leverancierscontracten.

Bent u bereid om auditrechten te verlenen?

NIS2 verplicht organisaties om hun leveranciers te kunnen auditen. Bent u bereid om mee te werken aan periodieke audits of assessments?

Tip: neem audit-clausules op in uw standaardcontracten — het stelt klanten gerust.

Heeft u een proces voor continue verbetering van uw beveiliging?

Cybersecurity is geen eenmalig project. Klanten willen weten of u structureel werkt aan verbetering: periodieke reviews, lessons learned na incidenten en bijsturing op basis van nieuwe dreigingen.

Tip: documenteer uw verbetercyclus (Plan-Do-Check-Act) en laat zien dat u leert van incidenten en audits — dat onderscheidt u van concurrenten.

Kunt u deze vragen beantwoorden?

Als u bij drie of meer vragen moet antwoorden met "nee" of "weet ik niet", is het tijd om actie te ondernemen. Niet omdat de wet u dat oplegt, maar omdat uw klanten het gaan eisen. En de concurrent die het wél op orde heeft, staat klaar om uw plek in te nemen.

Hulp nodig bij uw voorbereiding?

Resotech helpt leveranciers met een pragmatische NIS2-readiness aanpak: van quick scan tot volledige ISO 27001-begeleiding. U hoeft niet alles in één keer — maar u moet wel beginnen.

Neem contact op