Handen in zakelijk pak plaatsen officieel certificeringsstempel op documentenmap, vergrootglas ernaast op donker houten bureau

Welke third-party assessments ondersteunt NIS2?

in

De NIS2-richtlijn ondersteunt verschillende third-party assessments om de cybersecurity van leveranciers te beoordelen. Erkende standaarden zijn onder andere ISO 27001-certificering, SOC 2 Type II-rapporten en ISAE 3000/3402-verklaringen. Deze assessments helpen organisaties aan te tonen dat hun toeleveringsketen voldoet aan de vereiste beveiligingsnormen. In dit artikel beantwoorden we de belangrijkste vragen over third-party assessments binnen NIS2.

Wat zijn third-party assessments binnen de NIS2-richtlijn?

Third-party assessments zijn onafhankelijke beoordelingen van de cybersecurity en procesbeheersing van externe leveranciers en dienstverleners. Binnen de NIS2-richtlijn vormen deze assessments een essentieel onderdeel van de verplichte beveiliging van de toeleveringsketen. Organisaties moeten kunnen aantonen dat zij de risico’s van hun leveranciers adequaat beheren.

De NIS2-richtlijn besteedt specifieke aandacht aan leveranciers- en ketenrisico’s, omdat cybercriminelen steeds vaker via de toeleveringsketen binnenkomen. Een zwakke schakel bij een leverancier kan de gehele keten in gevaar brengen. Daarom is supply chain security een kernonderdeel van NIS2-compliance geworden.

Het concept supply chain security omvat alle maatregelen die organisaties nemen om de beveiliging bij het verwerven, ontwikkelen en onderhouden van netwerk- en informatiesystemen te waarborgen. Dit betekent dat je niet alleen naar je eigen beveiliging kijkt, maar ook naar die van je kritieke leveranciers.

Welke erkende certificeringen en frameworks accepteert NIS2 voor leveranciersbeoordelingen?

De NIS2-richtlijn schrijft geen specifieke certificeringen voor, maar erkent wel verschillende internationale standaarden als bewijs van adequate beveiligingsmaatregelen. De meest relevante frameworks voor leveranciersbeoordelingen zijn ISO 27001, SOC 2 Type II, ISAE 3000 en ISAE 3402.

Deze standaarden hebben elk hun eigen toepassingsgebied:

  • ISO 27001: Een certificering voor informatiebeveiliging die aantoont dat een organisatie een managementsysteem voor informatiebeveiliging heeft geïmplementeerd. Voor de overheidssector is deze managementsystematiek verplicht als onderdeel van de BIO2.
  • SOC 2 Type II: Een rapport dat de effectiviteit van beveiligingsmaatregelen over een periode beoordeelt, gericht op beschikbaarheid, integriteit, vertrouwelijkheid en privacy.
  • ISAE 3000: Een verklaring voor assurance-opdrachten over niet-financiële informatie, waaronder cybersecuritymaatregelen.
  • ISAE 3402: Een verklaring specifiek gericht op serviceorganisaties die diensten leveren die relevant zijn voor de interne beheersing van hun klanten.

Deze standaarden dragen bij aan het aantonen van adequate beveiligingsmaatregelen doordat ze onafhankelijk worden getoetst door gecertificeerde auditors. Ze geven zekerheid over de structurele uitvoering van maatregelen.

Hoe beoordeelt NIS2 de cybersecurity van leveranciers in de toeleveringsketen?

De NIS2-richtlijn verplicht organisaties leveranciersrisico’s systematisch te identificeren, beoordelen en beheersen. Dit betekent dat je inzicht moet hebben in welke leveranciers toegang hebben tot je systemen of kritieke diensten leveren, en welke risico’s dit met zich meebrengt.

De praktische aspecten van supply chain risk management onder NIS2 omvatten:

  • Due diligence bij het selecteren van nieuwe leveranciers
  • Contractuele beveiligingseisen die aansluiten bij NIS2-vereisten
  • Periodieke herbeoordeling van bestaande leveranciers
  • Incidentmelding en communicatieafspraken met leveranciers

Organisaties moeten kunnen aantonen hoe de beveiliging van de toeleveringsketen is ingericht. Dit vereist documentatie van je leveranciersbeoordelingen en de genomen maatregelen. Een risicoanalyse vormt hierbij de basis, waarbij je per leverancier bepaalt welk risiconiveau acceptabel is.

Wat is het verschil tussen SOC 2 en ISAE 3402 voor NIS2-compliance?

SOC 2 en ISAE 3402 zijn beide assurance-rapportages die de beheersing van processen bij serviceorganisaties beoordelen, maar ze verschillen in oorsprong en toepassing. SOC 2 is een Amerikaanse standaard, ontwikkeld door het AICPA, terwijl ISAE 3402 een internationale standaard is die in Europa gangbaar is.

Voor Nederlandse organisaties is ISAE 3402 vaak de meest logische keuze. De verklaring wordt afgegeven door Europese auditors en sluit aan bij de verwachtingen van Nederlandse toezichthouders en klanten. SOC 2 is vooral relevant wanneer je Amerikaanse klanten bedient of wanneer je leveranciers Amerikaanse dienstverleners zijn.

Belangrijke verschillen in de context van NIS2:

  • Geografische relevantie: ISAE 3402 is de Europese standaard, SOC 2 de Amerikaanse.
  • Focus: SOC 2 richt zich specifiek op de Trust Services Criteria, ISAE 3402 op procesbeheersing in bredere zin.
  • Acceptatie: Beide worden door NIS2 erkend, maar ISAE 3402 past beter in de Europese compliancecontext.

De investering in een ISAE 3402-verklaring hangt af van de omvang van jouw organisatie, het type dienstverlening en de gekozen scope. Voor kleinere bedrijven starten de kosten vaak rond de € 15.000–€ 20.000, terwijl middelgrote organisaties meestal rekenen op € 20.000–€ 40.000. Type II-rapportage kost meer dan Type I, omdat de auditor uitgebreidere tests moet uitvoeren over een langere periode.

Welke stappen moet je nemen om third-party risico’s NIS2-compliant te beheren?

Een effectief third-party riskmanagementprogramma voor NIS2 begint met het inventariseren van al je leveranciers die toegang hebben tot systemen of data, of die kritieke diensten leveren. Vervolgens classificeer je deze leveranciers op basis van risico.

Praktisch stappenplan voor NIS2-compliant leveranciersbeheer:

  1. Inventarisatie: Breng alle leveranciers in kaart die relevant zijn voor je IT-middelen en dienstverlening.
  2. Risicoclassificatie: Bepaal per leverancier het risiconiveau (hoog, midden, laag) op basis van toegang en kritikaliteit.
  3. Assessmentaanpak: Definieer welke beoordelingsmethode je per risicocategorie hanteert.
  4. Documentatie: Leg je beoordelingen, bevindingen en genomen maatregelen vast.
  5. Continue monitoring: Richt periodieke herbeoordeling in en monitor relevante ontwikkelingen.

De governanceaspecten zijn eveneens belangrijk. Zorg dat er een duidelijke verantwoordelijke is voor leveranciersbeheer en dat er een rapportagelijn naar het management bestaat. Het bestuur moet periodiek worden geïnformeerd over de status van third-party risico’s, aangezien het onder NIS2 eindverantwoordelijk is voor compliance.

Hoe helpt Hoek en Blok IT bij third-party assessments voor NIS2?

Hoek en Blok IT ondersteunt organisaties bij het opzetten en uitvoeren van third-party assessments die voldoen aan de NIS2-vereisten. Met NOREA-gecertificeerde EDP-auditors en jarenlange ervaring in IT-audits biedt het bureau een pragmatische aanpak voor leveranciersbeoordelingen.

Concrete diensten voor NIS2 third-party assessments:

  • Uitvoeren van ISAE 3000- en ISAE 3402-verklaringen voor serviceorganisaties
  • Leveranciersbeoordelingen en supply chain security-assessments
  • Opzetten van een third-party riskmanagementframework
  • Ondersteuning bij due diligence en contractuele beveiligingseisen
  • IT Security Officer-as-a-Service voor continue begeleiding

De aanpak is gebaseerd op best practices, doelgericht en betaalbaar. Maatregelen worden zoveel mogelijk in de eerste lijn belegd, zonder onnodige administratieve last. Wil je weten hoe jouw organisatie third-party risico’s NIS2-compliant kan beheren? Neem contact op voor een vrijblijvend adviesgesprek.