BK IT Solutions behaald NIS2 Supply Chain 30 certificaat

Bas Kraan 27-03-2026

NIS2. We hebben het er al lang over en de invoering is meerdere keren uitgesteld, maar met de Cyberbeveiligingswet komt de Nederlandse implementatie nu écht dichterbij. Steeds meer organisaties krijgen ermee te maken, soms direct omdat zij NIS2 plichtig zijn, maar vaak ook indirect via klanten.

Een belangrijk en vaak onderschat onderdeel van NIS2 is ketenverantwoordelijkheid. Het gaat daarbij niet alleen om het beveiligen van je eigen IT-omgeving, maar ook om de vraag hoe veilig je leveranciers en dienstverleners zijn.

Wat betekent ketenverantwoordelijkheid binnen NIS2?

Organisaties die onder NIS2 vallen, moeten aantoonbaar grip hebben op de risico’s binnen hun digitale keten. Met andere woorden: ze moeten weten welke partijen toegang hebben tot hun systemen of data en of die partijen hun beveiliging op orde hebben.

Dat betekent niet dat je als organisatie verantwoordelijk bent voor álles wat een leverancier doet. Wel moet je kunnen aantonen dat je risico’s beoordeelt, eisen stelt en passende afspraken maakt. Denk aan beveiligingseisen, auditrechten, incidentafspraken en periodieke controles.

In de praktijk vertaalt dit zich steeds vaker naar vragen richting leveranciers: Welke maatregelen hebben jullie genomen? Hoe is security georganiseerd? Kunnen jullie aantonen dat dit onafhankelijk is getoetst?

Waarom basismaatregelen het verschil maken

Wat in de praktijk vaak wordt onderschat, is hoeveel impact basis cybersecuritymaatregelen hebben. Uit analyses van eerdere cyberincidenten blijkt dat het overgrote deel van de succesvolle aanvallen te herleiden is naar het ontbreken van zulke basismaatregelen. Denk aan geen multi‑factor authenticatie, uitgestelde updates, te brede rechten of onvoldoende inzicht in wat er gebeurt binnen de IT‑omgeving.

In veel gevallen had meer dan 90% van deze incidenten voorkomen of in ieder geval sterk beperkt kunnen worden door het implementeren van deze basismaatregelen. Geen complexe security-oplossingen, maar gewoon de fundamentals goed op orde.

Het NIS2 Supply Chain SC10 certificaat, ook wel QM10 genoemd, sluit hier precies op aan. Met dit certificaat laat je onafhankelijk auditen of deze essentiële beveiligingsmaatregelen zijn ingericht, toegepast en geborgd. Voor veel organisaties is dit een praktisch en haalbaar startpunt om aantoonbaar aan security te werken richting klanten.

Ook niet NIS2‑plichtige organisaties krijgen hiermee te maken

Wat we in de praktijk zien, is dat NIS2‑bedrijven deze verantwoordelijkheid doorschuiven richting hun leveranciers. En terecht. Daardoor krijgen ook organisaties die zelf niet onder NIS2 vallen, toch te maken met afgeleide eisen.

Voor veel mkb‑organisaties is dat even schakelen. Niet omdat ze niets doen aan security, maar omdat aantoonbaarheid vaak ontbreekt. En juist dát wordt steeds belangrijker.

NIS2 Supply Chain certificering als praktisch hulpmiddel

Een manier om deze aantoonbaarheid te regelen, is via de NIS2 Supply Chain certificering. Deze certificering sluit aan op de eisen rondom ketenverantwoordelijkheid en is opgebouwd uit drie niveaus: SC10, SC20 en SC30. Het gekozen niveau sluit aan bij het risico en de impact die jouw organisatie heeft binnen de keten.

Met deze certificering laat je onafhankelijk toetsen dat je beveiligingsmaatregelen passend zijn ingericht en geborgd. Geen marketingverhaal, maar een objectieve beoordeling.

Onze eigen auditervaring

Twee weken geleden hebben wij zelf onze NIS2 Supply Chain audit doorlopen. Als IT‑dienstverlener met klanten in NIS2‑kritische sectoren vonden wij het logisch om te gaan voor het hoogste niveau. Collega Joey heeft intern het volledige traject voorbereid. Van documentatie tot inrichting en afstemming. Hij helpt ook dagelijks onze klanten bij hun reis richting certificering en weet precies waar organisaties tegenaan lopen.

Het resultaat: naast ISO27001 en NEN7510 zijn wij nu ook NIS2 SC30 gecertificeerd.

Waarom nu starten loont

Hoewel de Cyberbeveiligingswet nog niet officieel van kracht is, zien we nu al dat klanten vragen gaan stellen. Niet volgend jaar, maar vandaag. Organisaties willen weten waar ze staan en met wie ze zaken doen.

Door nu alvast stappen te zetten, voorkom je tijdsdruk later. Je creëert rust, duidelijkheid en vertrouwen richting klanten. En je voorkomt dat cybersecurity straks een showstopper wordt bij contractverlengingen of nieuwe samenwerkingen.

Daarnaast is een NIS2 Supply Chain certificaat ook commercieel interessant. Je laat hiermee aan klanten zien dat je cybersecurity en bedrijfscontinuïteit serieus neemt en dat dit onafhankelijk is getoetst. Dat geeft vertrouwen en onderscheidt je in de keten.

Wij helpen organisaties vooruit

Bij BK IT Solutions helpen we organisaties om grip te krijgen op NIS2, ketenverantwoordelijkheid en aantoonbare security. Praktisch, begrijpelijk en afgestemd op jouw situatie. Geen papieren tijger, maar maatregelen die écht werken.

Benieuwd wat dit voor jouw organisatie betekent? We denken graag met je mee.

Gerelateerde diensten

Contact opnemen

Copilot Cowork: van slimme assistent naar collega die echt werk uitvoert

Microsoft verrijkt je Copilot‑abonnement binnenkort met Copilot Cowork. Waar Copilot nu vooral een slimme assistent is, gaat Cowork een stap verder en neemt het daadwerkelijk taken van je over. In dit blog vertellen we je wat Copilot Cowork is en wat dit betekent voor jouw organisatie.

Lees meer

Copilot Workshop voor klanten op kosten van BK IT Solutions

Microsoft Copilot werkt pas echt goed als je weet hoe je het slim inzet. Daarom organiseren we voor klanten met een Microsoft Copilot licentie praktische Copilot workshops. In dit blog lees je meer over deze training en wat het jou brengt.

Lees meer