Blog

NIS2 artikel 21.2 d:

De leveringsketen is een koelketen, geen inkooplijst.

Ik zie de leveringsketen graag als een koelketen. Het is niet spannend. Je merkt het nauwelijks. Maar als die keten wordt verbroken, maakt het niet uit hoe mooi het vlees in de winkel leek. Een korte onderbreking op het verkeerde moment brengt het hele proces in gevaar.

Daarom is artikel 21.2 d van NIS2 een van de meest praktische, maar ook ongemakkelijke onderdelen van de regelgeving. Het komt er in feite op neer: je kunt je veiligheid niet alleen bij de inkoop regelen en hopen op het beste. Je moet gedurende de hele contractperiode kunnen aantonen dat je controle hebt.

Robert Willborg

Co-founder en Chief Security Officer bij OneMore Secure.

Allereerst: het juiste punt, de juiste terminologie

In oudere teksten zie ik vaak twee veelvoorkomende fouten. Ten eerste wordt er verwezen naar het verkeerde punt. De leveringsketen valt onder artikel 21.2 d, niet 21.2 c. Punt c gaat over continuïteit.

Ten tweede wordt vaak de terminologie van NIS1 gebruikt. NIS2 spreekt over essentiële en belangrijke entiteiten, niet over operators van maatschappelijke diensten in dezelfde juridische betekenis. Dat lijkt misschien pietluttig, maar het maakt een verschil bij toezichthouders (Europese Unie, 2022).

Wat artikel 21.2 d daadwerkelijk vereist

Artikel 21.1 schept het kader. Maatregelen moeten passend en proportioneel zijn en de impact van incidenten beperken. Artikel 21.2 benoemt de te dekken gebieden. Punt d gaat over beveiliging in de leveringsketen en de relatie met leveranciers en dienstverleners.

Belangrijk is dat NIS2 niet voorschrijft dat je een specifieke dienst of tool moet afnemen. Het vereist dat je het risico in de keten beheert en rekening houdt met kwetsbaarheden van elke directe leverancier en de algehele kwaliteit van hun cybersecurity, inclusief veilige ontwikkelingsprocessen (Europese Unie, 2022).

Waarom dit onderwerp zo besproken wordt

De reden is simpel: aanvallen verlopen vaak via ketens. ENISA analyseerde supply chain-incidenten van 2020 tot midden 2021 en constateerde dat aanvallers in 66 procent van de gevallen zich richtten op de code van de leverancier om de eindklant te bereiken (ENISA, 2021).

In Zweden toonde MSB in haar rapport over digitale leveringsketens aan dat tweederde van de incidenten die door NIS-leveranciers werden gemeld tussen 2020 en juni 2021, hun oorsprong hadden in de leveringsketen (MSB, 2021).

Toepassing in Zweden: het is geen theorie meer

In Zweden trad op 15 januari 2026 de Cybersecuritywet (2025:1506) en de Cybersecurityverordening (2025:1507) in werking. Dit maakt de leveringsketen tot een toezichtszaak, niet alleen een inkoopkwestie (Zweedse Rijksdag, 2025a; Zweedse Rijksdag, 2025b; Regering, 2026).

Wat er in de praktijk vaak misgaat

De meest voorkomende fout is dat men een controle uitvoert tijdens de inkoop en daarna de keten loslaat. Dat is vergelijkbaar met het meten van de temperatuur in de koelruimte bij levering en vervolgens de thermometer uitzetten.

De tweede veelvoorkomende fout is het verwarren van eisen en bewijs. Er worden mooie eisen in contracten opgenomen, maar er is geen procedure om deze op te volgen. Geen telemetrie, geen loginzage, geen audit, geen test van noodstops. Daardoor is er geen controle, maar slechts hoop.

Wat 'controle' betekent zonder bureaucratie

Sommigen zeggen dan: 'dit wordt oneindig'. Dat hoeft niet zo te zijn. De sleutel is om een paar zaken te kiezen die echt risico's verminderen en deze consequent toe te passen.

Ik zie controle in de leveringsketen als drie bouwstenen.

· Ken de keten en de kritikaliteit.

· Stel meetbare eisen.

· Volg altijd operationeel op.

Ken de keten betekent dat je weet welke leveranciers kritisch zijn voor welke diensten, welke toegangswegen er zijn, en wat er gebeurt als ze wegvallen.

Meetbare eisen betekent dat je poëtische formuleringen vermijdt en schrijft wat controleerbaar is. Bijvoorbeeld multi-factor authenticatie voor administratieve toegang, patch-tijden per kritikaliteit, logging en incidentmelding binnen afgesproken termijnen.

Operationele opvolging betekent dat je daadwerkelijk om bewijs vraagt. Niet dagelijks en niet voor iedereen, maar met een frequentie die past bij de kritikaliteit. Zo voorkom je theater rondom soevereiniteit en compliance.

Een punt waar ik duidelijk in wil zijn: kleine organisaties

NIS2 geldt niet voor iedereen. Micro- en kleine ondernemingen zijn vaak uitgezonderd, maar kunnen onder de regelgeving vallen als ze bijzonder kritisch zijn. Of je nu wel of niet valt onder de regels, je wordt vaak indirect geraakt omdat grote klanten ketencontrole zullen eisen.

Belangrijk is om 'klein' niet te verwarren met 'risicovrij'. Een kleine leverancier kan een grote kwetsbaarheid zijn als die op de juiste plek in de keten zit.

Afsluitend

Artikel 21.2 d is naar mijn mening een van de meest bedrijfskundige onderdelen van NIS2. Het dwingt een volwassen gesprek over afhankelijkheden en verantwoordelijkheden af. En het doet iets nuttigs: het verschuift veiligheid van eenmalige controle naar doorlopende controle.

De koelketen is een goede lakmustest. Als je alleen bij inkoop controleert, heb je eigenlijk geen controle. Je hebt slechts een gevoel. En gevoelens zijn fijn, maar slechte incidentplannen.

Referenties

ENISA. (2021). ENISA Threat Landscape for Supply Chain Attacks. European Union Agency for Cybersecurity.

Europese Unie. (2022). Richtlijn (EU) 2022/2555 (NIS2). Publicatieblad van de Europese Unie, L 333.

MSB. (2021). Dreigingen voor digitale leveringsketens – 50 aanbevelingen voor verbeterde cybersecurity. Zweedse Autoriteit voor Maatschappelijke Bescherming en Paraatheid.

Regering. (2026). Cybersecurity: de nieuwe cybersecuritywet en -verordening traden in werking op 15 januari 2026.

Zweedse Rijksdag. (2025a). Cybersecuritywet (2025:1506). Zweedse wetgeving.

Zweedse Rijksdag. (2025b). Cybersecurityverordening (2025:1507). Zweedse wetgeving.