NIS2-vragenlijst ontvangen als leverancier? Dit betekent het voor je
Steeds meer Nederlandse bedrijven krijgen van een klant een vragenlijst met "NIS2" in de onderwerpregel. Vaak met een deadline, soms met de mededeling dat een lopende opdracht of verlenging erop wacht. Wat is hier aan de hand, en wat moet je ermee?
Waarom je klant je deze lijst stuurt
NIS2 is de Europese richtlijn voor netwerk- en informatiebeveiliging. In Nederland wordt die geïmplementeerd via de Cyberbeveiligingswet, die op 15 augustus 2026 in werking treedt. Organisaties die onder die wet vallen - denk aan zorginstellingen, gemeenten, energie- en drinkwaterbedrijven, transport en digitale dienstverleners - krijgen een zorgplicht die uitdrukkelijk ook de veiligheid van hun leveranciersketen omvat.
Belangrijk om te weten: de wettelijke plicht ligt bij je klant, niet bij jou. Jij hoeft als leverancier meestal zelf niet aan NIS2 te voldoen. Maar je klant moet kunnen aantonen dat hij zijn leveranciers heeft beoordeeld - en dat doet hij met een vragenlijst aan jou. Commercieel komt het daarmee wel degelijk op jouw bord: geen ingevulde lijst betekent in de praktijk vaak geen (verlengde) opdracht.
Wat er in zo'n NIS2-leveranciersvragenlijst staat
De lijsten verschillen per klant, maar de kern is vrijwel altijd hetzelfde:
- Toegangsbeheer - wie kan er bij jullie systemen en data, is er tweefactorauthenticatie, hoe worden rechten ingetrokken bij vertrek?
- Incidenten - hebben jullie een procedure voor beveiligingsincidenten, en melden jullie incidenten die de klant raken?
- Continuïteit - back-ups, hersteltijden, wat gebeurt er als jullie systeem uitvalt?
- Gegevensbescherming - waar staat de data, wie zijn jullie subverwerkers, hoe lang bewaren jullie gegevens?
- Organisatie - is er beleid, worden medewerkers getraind, worden jullie eigen leveranciers ook beoordeeld?
Hoe je goed antwoordt
Drie dingen bepalen of je antwoorden door de beoordeling komen: eerlijkheid (verzin geen maatregelen - klanten vragen bewijs op), onderbouwing (verwijs per antwoord naar beleid, instellingen of contracten) en consistentie (laat één iemand het geheel nalopen). Een maatregel die je nog niet hebt, benoem je als "nog niet, gepland" - dat is een normaal antwoord dat beoordelaars dagelijks zien. Meer aanpak-tips vind je in onze gids beveiligingsvragenlijst invullen.
Weinig tijd? Wij vullen 'm voor je in
Mail ons de vragenlijst en je krijgt een gratis triage terug: de vijf lastigste vragen, één uitgewerkt voorbeeldantwoord en een eerlijke inschatting. Daarna beslis je pas. Volledig invullen kost €295 excl. btw, klaar binnen 2 werkdagen na een complete intake. Jij controleert, blijft eigenaar en dient zelf in bij je klant. Wij certificeren niets en geven geen juridisch advies - we leveren goed onderbouwde antwoorden, en gaps melden we eerlijk.