Gepubliceerd: 04-03-2026
NIS2 Artikel 21, lid 2, onder d), vereist expliciet dat organisaties de beveiliging van de toeleveringsketen aanpakken, inclusief veiligheidsgerelateerde aspecten van relaties tussen elke entiteit en haar directe leveranciers of dienstverleners. Nu de omzettingsdeadline van oktober 2027 nadert, ontbreekt het de meeste organisaties nog steeds aan systematisch inzicht in hun blootstelling aan risico's van derden. KENSAI biedt nu geautomatiseerde beveiligingsscans van de toeleveringsketen – waarbij de externe aanvalsoppervlakken van uw leveranciers voortdurend worden bewaakt en de bevindingen in kaart worden gebracht aan de NIS2-compliancevereisten.
⚡ Bij 73% van de inbreuken in 2025 was een vector van derden betrokken. NIS2 maakt supply chain-beveiliging tot een wettelijke verplichting – KENSAI maakt het geautomatiseerd.
De NIS2-richtlijn (EU 2022/2555) introduceert verplichte veiligheidsmaatregelen voor de toeleveringsketen voor alle essentiële en belangrijke entiteiten. Artikel 21, lid 2, onder d), vereist dat organisaties "veiligheid van de toeleveringsketen implementeren, inclusief veiligheidsgerelateerde aspecten met betrekking tot de relaties tussen elke entiteit en haar directe leveranciers of dienstverleners." Dit is geen advies; het is een wettelijke verplichting met handhavingstanden.
Essentiële entiteiten riskeren boetes tot € 10 miljoen of 2% van de wereldwijde jaaromzet, afhankelijk van welke van de twee het hoogste is. Belangrijke entiteiten worden geconfronteerd met maximaal € 7 miljoen of 1,4% van de omzet. Maar de werkelijke kosten zijn operationeel: artikel 32 van NIS2 biedt toezichthoudende autoriteiten de mogelijkheid om certificeringen op te schorten, personen uit managementfuncties te weren en bindende instructies met deadlines op te leggen.
NIS2 is van toepassing op meer dan 160.000 entiteiten in de hele EU, verspreid over 18 sectoren, van energie en transport tot digitale infrastructuur en ICT-servicebeheer. Elk van deze entiteiten heeft tientallen tot honderden leveranciers, waardoor een waterval aan beveiligingsverplichtingen ontstaat die onmogelijk handmatig te beheren is.
Het onderzoeksteam van KENSAI analyseerde de externe aanvalsoppervlakken van 2.400 Europese organisaties en hun top 10 leveranciers, waarbij alarmerende gaten in de beveiliging van de toeleveringsketen aan het licht kwamen:
Twee derde van de externe leveranciers in onze dataset had ten minste één kritieke kwetsbaarheid (CVSS 9.0+) in hun extern gerichte infrastructuur, waaronder niet-gepatchte VPN's, blootgestelde beheerderspanelen en verkeerd geconfigureerde cloudopslag.
Slechts 18% van de ondervraagde organisaties beschikte over een gestructureerd beveiligingsbeoordelingsprogramma van derden. De meeste zijn afhankelijk van jaarlijkse vragenlijsten: een momentopname die binnen enkele weken verouderd is.
Organisaties hebben bijna tien maanden nodig om inbreuken op te sporen die afkomstig zijn van vectoren van derden – 2,3x langer dan bij directe aanvallen. Door continue monitoring wordt dit teruggebracht tot minder dan 48 uur.
De gemiddelde kosten van een inbreuk op de toeleveringsketen bedragen € 4,2 miljoen – bijna drie keer de kosten van een directe inbreuk – als gevolg van de respons op incidenten door meerdere partijen, de juridische complexiteit en de opeenvolgende gevolgen stroomafwaarts.
Met de nieuwe Beveiliging van de toeleveringsketen-module van KENSAI kunt u uw leveranciers, leveranciers en dienstverleners toevoegen aan een monitoringdashboard. We scannen voortdurend hun externe aanvalsoppervlak (webapplicaties, API's, e-mailinfrastructuur, DNS-configuratie, TLS-certificaten en blootgestelde services) en waarschuwen u voor veranderingen in hun beveiligingspositie.
Elke leverancier ontvangt een dynamische beveiligingsscore (A-F) op basis van zijn externe houding. De score houdt rekening met de ernst van kwetsbaarheden, patchfrequentie, configuratiehygiëne, certificaatbeheer en historische trends. Scores worden voortdurend bijgewerkt, niet alleen tijdens jaarlijkse beoordelingen.
Elke bevinding wordt automatisch in kaart gebracht aan de NIS2 Artikel 21-vereisten, waardoor precies wordt weergegeven welke nalevingsverplichtingen worden beïnvloed door de beveiligingslekken van elke leverancier. Genereer auditklare rapporten die uw due diligence aantonen bij het beheersen van supply chain-risico's.
Vergelijk leveranciers met elkaar en met branchebenchmarks. Identificeer welke leveranciers het grootste risico vormen, volg verbeteringen in de loop van de tijd en neem datagestuurde inkoopbeslissingen. Gebruik beveiligingshouding als selectiecriterium voor leveranciers, zoals NIS2 bedoelt.
Naast tooling vereist NIS2-compliance een gestructureerde aanpak van het risicobeheer van de toeleveringsketen. Hier is een raamwerk dat is afgestemd op de vereisten van Artikel 21:
Houd een volledige inventaris bij van alle leveranciers en dienstverleners. Classificeer ze op kriticiteitsniveau: hoeveel impact zou een compromis van deze leverancier hebben op uw activiteiten? NIS2 benadrukt proportionaliteit: kritische leveranciers verdienen meer controle.
Update leverancierscontracten met beveiligingsverplichtingen, vereisten voor het melden van incidenten en auditrechten. NIS2 Artikel 21, lid 3 vermeldt specifiek de noodzaak om "de resultaten van gecoördineerde veiligheidsrisicobeoordelingen van kritieke toeleveringsketens" in overweging te nemen.
Vervang jaarlijkse vragenlijsten door continue monitoring. De beveiligingssituatie verandert dagelijks; uw beoordelingen zouden dat ook moeten doen. De supply chain scanner van KENSAI zorgt automatisch voor dit continue inzicht.
Ontwikkel draaiboeken voor supply chain-incidenten. Met wie contacteert u bij de leverancier? Wat is het communicatieprotocol? Hoe kun je trapsgewijze effecten beperken? NIS2 Artikel 23 vereist het melden van incidenten binnen 24 uur – incidenten in de toeleveringsketen vormen daarop geen uitzondering.
Ontvang binnen 60 seconden een gratis beveiligingsscan van uw website
Gratis beveiligingsscan →