Blog

NIS2 Artikel 21.2 e:

Beveiliging bij inkoop en ontwikkeling: bouw het slot voordat je intrekt.

Ik denk er vaak zo over: je verhuist niet naar een nieuw huis en hoopt dat iemand later het slot komt plaatsen. Je zorgt dat de deur op slot kan voordat je de bank naar binnen brengt. Toch doen we vaak precies het tegenovergestelde met digitale systemen. We kopen, ontwikkelen of bestellen een dienst en proberen daarna 'veiligheid toe te voegen' als alles al draait.

Daarom is NIS2 artikel 21.2 e een van de belangrijkste onderdelen van de hele regelgeving. Het gaat erom dat veiligheid gedurende de hele levenscyclus aanwezig moet zijn: bij inkoop, ontwikkeling en onderhoud, inclusief kwetsbaarheidsbeheer en gecoördineerde rapportage van kwetsbaarheden (European Union, 2022).

Robert Willborg

Medeoprichter en Chief Security Officer bij OneMore Secure.

Allereerst: wat punt e eigenlijk zegt

Het is makkelijk te denken dat 21.2 e alleen over inkoop gaat. Dat is niet zo. Punt e omvat veiligheid bij aanschaf, ontwikkeling en onderhoud van netwerk- en informatiesystemen. Het omvat ook kwetsbaarheidsbeheer en rapportage. Met andere woorden: hoe je technologie bouwt, koopt en beheert op een manier waarop je er langdurig op kunt vertrouwen (European Union, 2022).

Nederlandse toepassing: van theorie naar toezicht

In Nederland trad de Cybersecuritywet (2025:1506) en de Cybersecurityverordening (2025:1507) in werking op 15 januari 2026. Dit betekent dat NIS2 niet langer een 'EU-idee' is, maar een praktische eis die aantoonbaar moet zijn in werk, besluiten en bewijs (Sveriges riksdag, 2025a; Sveriges riksdag, 2025b; Regeringen, 2026).

De meest voorkomende valkuil: excel, standaardformulieren en eenmalige controle

Ik kom nog steeds aanbestedingen tegen waarbij veiligheid wordt behandeld via lange vragenlijsten die heen en weer worden gemaild. De vragen zijn vaak algemeen, niet gekoppeld aan de daadwerkelijke levering, en de antwoorden worden zelden gecontroleerd na ondertekening. Het is alsof je een bouwbedrijf vraagt of ze 'gewoonlijk' sloten installeren, en daarna nooit controleert of de deur daadwerkelijk op slot kan.

NIS2 wijst een andere richting aan. Veiligheid moet deel uitmaken van de levenscyclus, niet een eenmalige handeling. Dat betekent dat eisen meetbaar moeten zijn en dat opvolging moet plaatsvinden gedurende de contractperiode. Anders krijg je een document dat geruststellend lijkt, maar in werkelijkheid niet klopt.

Wat kwetsbaarheidsbeheer betekent zonder 'security theatre'

Een kwetsbaarheid is simpel gezegd een zwakke plek die misbruikt kan worden. Kwetsbaarheidsbeheer is het proces om deze te vinden, te prioriteren en te verhelpen voordat ze tot incidenten leiden. Het klinkt technisch, maar het is in essentie governance: wie neemt de beslissingen, hoe snel handelen we, en hoe weten we dat het is uitgevoerd.

Voor bepaalde typen organisaties heeft de EU bovendien technische en methodologische eisen vastgelegd via een uitvoeringsverordening. Deze benadrukt dat kwetsbaarheidsbeheer en veilige procedures binnen de levenscyclus systematisch, traceerbaar en up-to-date moeten zijn (European Commission, 2024).

De ongemakkelijke waarheid: de leverancier is een deel van je aanvalsoppervlak

Wanneer je systemen of diensten inkoopt, koop je niet alleen functionaliteit. Je koopt ook een keten van toekomstige updates, support, een lijst van componenten en een bepaalde cultuur. Als de leverancier slechte procedures heeft voor kwetsbaarheden of terughoudend is met antwoorden, is dat een rode vlag. Niet omdat ze 'kwaadaardig' zijn, maar omdat ze onderdeel worden van je blootstelling.

Dit sluit nauw aan bij artikel 21.2 d over de leveranciersketen, maar 21.2 e gaat dieper: het gaat om hoe veilig wat je koopt en bouwt eigenlijk is ontworpen en onderhouden over tijd (European Union, 2022).

Drie realistische en legale aanbevelingen

Ik wil dit graag als een blogpost houden, geen handleiding. Maar ik durf drie zaken te noemen die vaak effect hebben en volledig in lijn zijn met 21.2 e zonder eigen eisen toe te voegen.

· Vraag om bewijs, niet om beloften.

· Stel kwetsbaarheids-SLA's op per risico.

· Oefen updates als routine.

Bewijs vragen betekent dat je concrete artefacten vraagt: hoe ziet het proces eruit, wat wordt gemeten, en wat toont de laatste periode. Kwetsbaarheids-SLA betekent dat je tijdseisen koppelt aan kritischheid, zodat niet alles 'zo snel mogelijk' is. Updates oefenen als routine betekent dat patching en wijzigingen gecontroleerd worden uitgevoerd, met rollback en heldere communicatie. Zo bouw je een slot dat daadwerkelijk op slot kan.

Slotopmerking

Artikel 21.2 e is een wake-up call voor iedereen die veiligheid als een bijzaak wil behandelen. Het zegt: bouw veiligheid in waar het het meeste effect heeft, bij het kiezen, bouwen en beheren van het systeem. Dan wordt risicomanagement geen rem, maar een manier om paniek te voorkomen, kosten op lange termijn te verlagen en vertrouwen te vergroten wanneer iemand vraagt: 'kunnen we hier op vertrouwen?'. Een slot dat dagelijks werkt is geen glamour, het is vrijheid.