NIS2 en supply chain risico's — het begint niet bij de wet, maar bij je processen

Gepubliceerd op 1 maart 2026 om 22:33

Veel MKB-ondernemers krijgen tegenwoordig een mail van een grote klant of een brief van hun accountant: "Je moet NIS2 compliant zijn." De reactie is vaak hetzelfde — waar begin ik?

Het antwoord is eenvoudiger dan je denkt. En het begint niet bij de wet.

Ken je je eigen processen?

De eerste vraag die ik stel aan elke organisatie is: weet je wat er binnen je bedrijf voor processen zijn? Niet wat je doet — dat weet iedereen. Maar hoe het gestructureerd is, wie waarvoor verantwoordelijk is en hoe informatie door je organisatie stroomt.

De meeste MKB-ers struikelen hier al. De kennis zit in de hoofden van mensen, niet op papier. En kennis die alleen in hoofden zit kun je niet auditen, niet overdragen en niet beveiligen.

Zijn ze gedocumenteerd?

De tweede vraag is of die processen ook beschreven zijn. Want weten wat je doet is iets anders dan het kunnen aantonen. NIS2 vraagt aantoonbaarheid — niet alleen dat je het geregeld hebt, maar dat je kunt bewijzen dat je het geregeld hebt.

Gedocumenteerde processen zijn de basis van alles. Zonder die basis heeft een risicoanalyse geen fundament.

Zijn ze actueel?

De derde vraag is misschien de meest onderschatte. Een proces dat twee jaar geleden gedocumenteerd is en sindsdien niet meer aangeraakt — dat is geen levend document, dat is een snapshot van het verleden.

Processen veranderen. Mensen komen en gaan, systemen worden vervangen, leveranciers wisselen. Als de documentatie niet meebeweegt met de realiteit is ze waardeloos voor een risicoanalyse.

Waar zitten je externe afhankelijkheden?

Pas als de eerste drie vragen met ja beantwoord worden kom je bij de kern van NIS2 artikel 21 — de supply chain. De processen met de meeste externe invloeden en afhankelijkheden zijn je grootste risico.

Leveranciers met toegang tot je systemen. Software van externe partijen. Cloudoplossingen. Partners die data uitwisselen. Dat zijn de kwetsbare punten waar NIS2 zich op richt.

Wat betekent dit voor jou als MKB-ondernemer?

Voordat je investeert in dure certificeringen of uitgebreide audits, beantwoord eerst deze vier vragen eerlijk:

  1. Weet ik welke processen er binnen mijn organisatie zijn?
  2. Zijn deze processen gedocumenteerd?
  3. Is die documentatie actueel?
  4. Weet ik welke processen afhankelijk zijn van externe partijen?

Als je één van deze vragen met nee beantwoordt, weet je waar je moet beginnen. Niet bij NIS2 — maar bij je eigen fundament.

Reactie plaatsen

Reacties

Er zijn geen reacties geplaatst.