Laatste update
8 april 2026

Auteur

Tom Mathijssen

Leestijd
6 min

 

TL;DR – In het kort

Op 1 juli 2026 treedt de Cyberbeveiligingswet (de Nederlandse implementatie van NIS2) in werking, over circa 10 weken. Naast de ~10.000 direct getroffen bedrijven krijgen ~50.000 toeleveranciers er indirect mee te maken via vragenlijsten en contracteisen van hun grootste klanten.

Voor logistiek, warehousing en supply chain leveranciers betekent dat: niet wachten op de wet, maar nu beginnen met weten welke data je deelt, welke koppelingen lopen via je ERP, en wie wijzigingen kan maken in je kernsystemen. Dat is geen pure cyber-investering, het is fundering die je tóch al nodig hebt voor schone supply chain integratie en verantwoorde AI.

Wil je in 3 minuten zien waar je staat? Doe de gratis NIS2 Quick Compliance Check.

Vorige week kreeg ik een vraag van een opdrachtgever die me deed denken “Speelt NIS2 ook bij ons? We zijn niet zo’n vitaal bedrijf, maar onze grootste klant is dat wel.” Het antwoord is: ja, dan speelt het. Misschien zelfs meer dan bij die klant zelf.

Op 15 april 2026 nam de Tweede Kamer de Cyberbeveiligingswet aan (de Nederlandse implementatie van de Europese NIS2-richtlijn). De Eerste Kamer behandelt de wet nu, en de inwerkingtreding is voorzien op 1 juli 2026. Dat is over circa 10 weken. Veel aandacht gaat naar de circa 10.000 bedrijven die er direct onder vallen. Maar er zit een tweede, veel grotere groep onderbelicht: de naar schatting 50.000 toeleveranciers die er indirect mee te maken krijgen. Voor logistiek dienstverleners, warehousing-partijen en supply chain leveranciers is dat geen voetnoot, het is de kern van het verhaal.

In deze blog leg ik uit waarom toeleveranciers in beweging moeten komen, wat hun klanten waarschijnlijk gaan eisen, en hoe je je de komende weken al kan voorbereiden zonder eerst een groot compliance-traject op te tuigen.

De ketenclausule: de stille bom in NIS2

NIS2 verplicht “essentiële” en “belangrijke” entiteiten, denk aan grote retailers, ziekenhuizen, energiebedrijven, voedselproducenten om hun toeleveringsketen te beveiligen. Ze moeten een risicoanalyse doen op hun leveranciers en passende maatregelen opleggen.
In de praktijk komt dat neer op één ding: jouw grote klant gaat je iets vragen.

Concreet kan dat lijken op:

  • Een ingevulde vragenlijst over jouw cybersecurity-maatregelen
  • Bewijs van certificering (ISO 27001, het NIS2 Quality Mark of vergelijkbaar)
  • Inzicht in welke van jullie systemen verbinding maken met die van de klant
  • Een incident response procedure die afgestemd is met de hunne
  • Audit-rechten in het contract

Wie hier niets op heeft, riskeert iets concreets: het verlies van de opdracht. Grote NIS2-plichtige organisaties mogen formeel geen zaken meer doen met leveranciers die hun cybersecurity niet aantoonbaar op orde hebben want dan voldoen ze zelf niet meer aan de wet.

Een paar voorbeelden uit de praktijk:

  • Een warehouse-operator die distribueert voor een landelijke supermarktketen. De supermarkt valt onder NIS2 (voedseldistributie). Het warehouse meestal niet direct, maar wel via de keten.
  • Een 3PL die transport en opslag verzorgt voor een farmaceutische groothandel. De groothandel is essentieel; de 3PL wordt meegevraagd.
  • Een MES- of WMS-leverancier die software draait die fysiek aan een productieproces hangt van een NIS2-plichtige fabrikant.
  • Een data- of integratiepartner (zoals wij) die koppelingen onderhoudt tussen de systemen van een NIS2-organisatie en zijn ketenpartners. (Axians is trouwens ISO 27001-gecertificeerd. Als jij ons als integratiepartner gebruikt, heb je op dat punt al een onderbouwd antwoord klaar voor de vragenlijst van je klant).

In al deze gevallen is de wet zelf niet de stok maar de inkoper van je grote klant is dat. En die inkoper heeft waarschijnlijk een deadline.

Wat de wet straks van NIS2-organisaties vraagt en dus ook van jou

NIS2 schrijft tien zorgplichtmaatregelen voor. Ik ga ze niet allemaal opsommen (daar zijn betere bronnen voor), maar drie ervan zijn relevant omdat je klant ze waarschijnlijk gaat doorvertalen naar contracteisen:

  • Risicoanalyse en informatiebeveiligingsbeleid: Je klant wil weten welke van zijn data bij jou staat, hoe die beveiligd is, en wie er bij kan.
  • Supply chain security: Je klant wil aantoonbare grip op zijn leveranciers en dat ben jij. Verwacht een vragenlijst, mogelijk een audit.
  • Incident handling en meldplicht: Je klant moet incidenten binnen 24 uur melden bij de toezichthouder. Als jij betrokken bent bij dat incident, moet jij in dat tijdsbestek de juiste informatie kunnen aanleveren.

Dat laatste is praktisch het belangrijkst. Je klant heeft 24 uur, niet 24 dagen. Als jouw IT-organisatie of toeleverancier-administratie niet is ingericht om binnen een dag bruikbare informatie op tafel te leggen, ben je een probleem voor je klant ongeacht of jij zelf onder de wet valt.

De fundering die je sowieso al nodig hebt

Hier komt het deel waar je niet voor naar een cybersecurity-consultant hoeft. Een groot deel van wat NIS2 indirect van toeleveranciers vraagt, is geen pure cyber-investering. Het is gewoon: weten wat je hebt, weten waar het heen gaat, weten wie wat doet.

Drie voorbeelden waar de overlap met datakwaliteit en supply chain integratie pijnlijk groot is:

  1. Je weet niet welke data je met welke klant deelt. Veel toeleveranciers hebben gegroeide koppelingen: een EDI-bestand hier, een SFTP-feed daar, een paar API’s, soms nog handmatige Excel-uitwisseling. Geen overzicht. Niet alleen NIS2-onvriendelijk; ook gewoon slecht voor je eigen operatie.
  2. Je masterdata is niet helder genoeg om de juiste vragen te beantwoorden. “Welke van onze artikelen leveren we aan klant X?” “Welke leveranciers zitten in de keten van product Y?” Als je daar geen kort, onderbouwd antwoord op kan geven, kun je ook geen risicoanalyse aan je klant overhandigen.
  3. Je hebt geen audit trail op wijzigingen in je kernsystemen. Wie heeft welk veld in jouw ERP wanneer aangepast? Voor NIS2 én voor AI-toepassingen die in je bronsystemen werken, is dit fundamenteel. Zonder audit trail weet je niet wat er is gebeurd, kun je geen incident reconstrueren, en kun je geen AI verantwoord meedraaien.

Het ongemakkelijke punt: deze drie zaken hadden allang op orde moeten zijn voor je eigen bedrijfsvoering, voor je betrouwbaarheid als ketenpartner, en straks ook voor de AI die je in je supply chain wilt inzetten. NIS2 zorgt alleen dat het nu een deadline krijgt.

Wat we nu zien gebeuren bij klanten

In gesprekken met klanten zien we drie typische reacties op NIS2:

  • Reactie 1: afwachten. “Wij vallen er niet onder, dus we kijken wat onze klanten doen.” Risico: je hoort het op het moment dat je klant je een vragenlijst stuurt met deadline van twee weken. Te laat om gestructureerd op te bouwen.
  • Reactie 2: alles tegelijk willen. Een NIS2 Quality Mark traject starten, ISO 27001 ambiëren, intern beleid herschrijven. Vaak veel te zwaar voor de werkelijke risico’s, en zonder verbinding met de operationele realiteit.
  • Reactie 3: in lagen werken. Eerst zorgen dat je weet wat je hebt (datalandschap, koppelingen, masterdata). Dan governance toevoegen (wie mag wat, hoe wordt het gelogd). Dan pas certificering of een Quality Mark als je klant er aantoonbaar om vraagt.

Wij adviseren consequent die derde route. Niet omdat de eerste twee fout zijn, maar omdat de derde de enige is die je investering ook bedrijfsmatig laat renderen, los van NIS2.

Drie praktische stappen die je deze maand kan zetten

Drie acties die geen consultant vereisen en die je onafhankelijk van je NIS2-status helpen:

  1. Inventariseer welke data je met welke ketenpartner uitwisselt. Niet de techniek maar welke informatie, welke kant op, hoe vaak. Een spreadsheet is genoeg om te beginnen.
  2. Identificeer je drie grootste klanten en check hun status. De Rijksinspectie Digitale Infrastructuur biedt een tool waarmee je per organisatie kunt checken of NIS2 van toepassing is. Als één van je top-3 klanten erin valt, is de kans groot dat je op termijn iets gevraagd wordt.
  3. Kijk wie in jouw organisatie wijzigingen kan maken in je ERP, WMS of TMS. Niet wie het zóu mogen, maar wie het feitelijk kan. Het verschil is meestal groter dan verwacht.

Met deze drie stappen ben je niet NIS2-compliant. Maar je hebt wel de informatie waarmee een gesprek met je klant of met een specialist daadwerkelijk vooruit kan.

Hoe wij toeleveranciers helpen

We werken regelmatig met bedrijven die in deze positie zitten: niet zelf direct NIS2-plichtig, maar wel afhankelijk van klanten die het wél zijn. Onze aanpak begint nooit bij een audit. Hij begint bij inzichtelijk maken wat er feitelijk gebeurt in je datalandschap.
Drie diensten die in dat eerste traject vaak terugkomen:

De NIS2 Quick Compliance Check. In drie minuten een eerste beeld van waar je staat: kosteloos, anoniem, zonder verplichtingen. Geen auditrapport, wel een bruikbare nulmeting waarmee je de eerste interne discussie kunt voeren. → Direct naar de check.

Kwetsbaarheden in kaart brengen. Met onze experts brengen we in kaart waar in je integraties, koppelingen en toegangsrechten de grootste risico’s zitten. Zelf doen we geen formele audit; daarvoor werken we samen met gespecialiseerde partners. Wel maken we de vooronderzoeken die elke audit lichter maken.

Integratie en logging op orde. Hier zit onze kerncompetentie: het bouwen van een datalaag waarin koppelingen centraal beheerd worden, datastromen gelogd worden en wijzigingen herleidbaar zijn. Dat is niet alleen NIS2-readiness, dat is ook de fundering die je nodig hebt voor schone supply chain integratie en verantwoorde AI in je bronsystemen.

Tot slot

NIS2 is in de praktijk geen wet die je in één weekend implementeert. Maar het is ook geen wet waar je nog op kunt wachten, de inwerkingtreding op 1 juli 2026 is over circa 10 weken, en de vragen van je klanten komen waarschijnlijk eerder. Voor toeleveranciers in supply chain en logistiek geldt vooral: begin niet bij het keurmerk. Begin bij wat je sowieso al wilde weten over je eigen datalandschap. Meer weten over NIS2 bekijk onze pagina.

Wil je in drie minuten zien waar je staat? Doe de gratis NIS2 Quick Compliance Check.