Vanaf 1 juli 2026, met de inwerkingtreding van NIS2 en de Cyberbeveiligingswet, bepaal je zelf de positie van jouw organisatie binnen de bedrijfsketen. Of je kunt leveren aan klanten en kunt inkopen bij leveranciers, hangt af van één oordeel: word je gezien als secure supplier of als non‑compliant risico?
Voor directies zien we daarbij vijf belangrijke uitdagingen, die we hieronder beschrijven.
Klanten en opdrachtgevers vragen steeds nadrukkelijker om aantoonbare weerbaarheid. Wie geen helder antwoord geeft, valt af. In sectoren met hoge continuïteitseisen gebeurt dit al. Met de inwerkingtreding van de Cbw wordt dit sector breed de norm.
Wat dit voor jou betekent:
Een voorbeeld uit de praktijk
Een middelgrote technische toeleverancier levert al jaren onderdelen aan een grote industriële partij in de energiesector. De toeleverancier valt zelf niet onder de Cyberbeveiligingswet. Er is geen wettelijke verplichting om te voldoen. Toch ontvangt de directie in het voorjaar een brief van de inkooporganisatie van hun grootste klant: binnen zes maanden wordt een aantoonbaar niveau van informatiebeveiliging gevraagd, inclusief risicoanalyse op de keten, incidentresponsprocedure en bestuurlijke verankering. Voldoen is een voorwaarde om te blijven leveren.
De klant zelf valt wél onder de Cbw en is verplicht om zijn ketenrisico’s te beheersen. Een leverancier die geen inzicht kan geven in zijn eigen weerbaarheid, vormt een risico dat de klant niet langer kan accepteren. De toeleverancier staat daarmee voor een bestuurlijke keuze: investeren in governance, maatregelen en aantoonbaarheid, of een contract verliezen dat goed is voor ruim dertig procent van de jaaromzet.
Dit mechanisme wordt in de komende twee jaar standaard. NIS2 werkt door in elke keten waarin elke schakel verplicht is om haar risico’s te beheersen. Of jouw organisatie formeel onder de Cbw valt, is daarbij minder relevant dan de vraag of jouw klanten dat zijn.
De Cyberbeveiligingswet legt de verantwoordelijkheid expliciet bij de bestuurders. De verantwoordelijkheid kan niet worden gedelegeerd naar IT of naar een externe partij. Bestuurders moeten kunnen uitleggen welke risico’s zij accepteren, welke maatregelen zijn genomen en hoe de organisatie toezicht houdt op haar keten.
Dit raakt drie zaken tegelijk:
Dat vraagt om een bestuurlijke cyclus waarin techniek, risico en strategie elkaar raken. Die cyclus ontstaat zelden vanzelf.
Bijna elke organisatie heeft beleid op orde. Er ligt een informatiebeveiligingsbeleid, er zijn afspraken met leveranciers en er staan maatregelen op papier. Het probleem ontstaat op het moment dat een toezichthouder of klant vraagt om bewijs. Dan blijkt wat beleid belooft, vaak iets anders dan wat de processen en systemen daadwerkelijk doen.
Dit gat is geen theoretisch probleem. Het is het onderdeel waar organisaties in de praktijk op vastlopen:
Voor een bestuurder is dit het riskantste gebied. Beleid alleen verdedigt geen boete en geen contractverlies. Wat telt, is of techniek het beleid feitelijk waarmaakt, en of je dat op elk moment kunt laten zien.
Het directe vertrekpunt is dus de vraag waar beleid, processen en techniek uit elkaar lopen. Daar zit je grootste kwetsbaarheid, en daar zit ook het snelste resultaat. Zodra dat gat gedicht is, werken governance, IT en aantoonbaarheid in dezelfde richting, in plaats van als drie losse werelden met elk hun eigen rapportage.
De grootste verandering die de Cyberbeveiligingswet brengt, is de verschuiving naar aantoonbaarheid. Waar NIS1 dit al introduceerde, maakt NIS2 dit expliciet bestuurlijk en toetsbaar. Goede intenties tellen niet meer. Besluiten, afwegingen, rollen en maatregelen moeten vastliggen en reproduceerbaar zijn. Dat raakt leveranciersmanagement, risicomanagement en strategische besluitvorming tegelijk.
Organisaties die dit volwassen inrichten, ervaren overzicht. Zij weten waar ze staan en kunnen dat uitleggen aan klanten, toezichthouders en commissarissen. Dat is bestuurlijke rust in een omgeving die alleen maar complexer wordt.
Vanuit DTX zagen wij deze ontwikkelingen al langer aankomen. Wij zijn voorbereid en hebben samen met Bluebird & Hawk een oplossing ontwikkeld die bestuurlijke kaders en IT samenbrengt in één werkbaar geheel. De doelstelling is eenvoudig: jou als bestuurder overzicht geven over welke beleidsregels gelden en welke technische maatregelen daarbij passen.
De oplossing gaat een stap verder dan inzicht. Je IT-omgeving in de cloud kan automatisch worden bijgesteld richting de best passende configuraties en een gevalideerde gouden standaard; beschikbaar als infrastructure as code en inrichtingsdocumenten. Daarmee worden beleid, processen en techniek continu met elkaar in lijn gehouden, en blijft aantoonbaarheid een doorlopend resultaat van je bedrijfsvoering.
Neem contact op met DTX voor een vrijblijvend verkennend gesprek. We kijken samen waar jouw organisatie staat en welke stappen het meeste rendement opleveren richting 1 juli 2026.
Neem voor meer informatie contact op met een van onze NIS2 eXperts.
Het laatste tech news, klantcases en events direct in je inbox.
Versterk je data-strategie met Fabric Data Agents en ‘Talk To Power BI’!
DTX legt het fundament met automation, CI/CD en duidelijke fasen.
Erik van der Leek neemt je mee in de recap van 2025 in 5 delen.
NIS2: strengere EU-cyberregels vanaf mid-2025. Hoe staat het nu met de richtlijn?
DTX uitgeroepen door Rapid7 als EMEA Vulnerability Management Partner van 2024!
Ontdek hoe je 1Password kan aansluiten aan InsightIDR met de kracht van Insightconnect.
Door groeiende tech‑afhankelijkheid werkt de EU aan een Europees cybersecuritybeleid.
Phishing neemt toe; door kennis herken je signalen en voorkom je schade.
Patchmanagement houdt software veilig met efficiënt beheer en automatisering.
Universal Event Format: makkelijk extra logbronnen koppelen aan InsightIDR.
