Een klant stuurt ons een NIS2-leveranciersvragenlijst, hoe vul ik die slim in?
Klanten in scope van NIS2 moeten hun keten beheersen. De vragenlijsten lopen van licht (paar pagina's) tot zwaar (volledig assurance-rapport). Eerlijk en consistent invullen weegt zwaarder dan compleet alles met ja antwoorden.
Probeer dit eerst zelf
- 1Lees de hele vragenlijst eerst. Bepaal welke onderwerpen (ISMS, incidentrespons, toegangsbeheer, BCM, leveranciersbeheer) en in welke diepte gevraagd wordt.
- 2Verzamel intern de bewijzen. Beleid, ISMS-scope, recente pen-test, datalek-procedure, contracten met sub-verwerkers, awareness-training. Dit hergebruik je bij elke vragenlijst.
- 3Antwoord eerlijk. Liever Nee plus een roadmap dan Ja zonder bewijs. Klanten vragen er soms apart op door en discrepanties wegen zwaar bij audit.
- 4Hou een centraal NIS2-leveranciersdossier bij. Een beheerde versie van de meestgevraagde antwoorden scheelt elke ronde tijd.
- 5Vraag de klant welke prioriteit zij geven aan welk onderwerp. Soms is uitsluitend incident-meldtermijn de hoeksteen, en mag de rest een groei-pad zijn.
Wanneer ons inschakelen
Komt er een vraag terug die je echt niet kunt beantwoorden zonder een audit, wees daar transparant in en stel een gezamenlijke vervolgactie voor.
Zie ook
- Valt mijn bedrijf onder NIS2 of niet?Twee vragen bepalen het: zit je in een aangewezen sector, en haal je de drempel uit Aanbeveling 2003/361/EG (meer dan 50 fte en meer dan 10M omzet of balans). Daaronder val je alleen indirect, via je klanten. De drempel maakt je belangrijke of essentiele entiteit afhankelijk van sector.
- Wat verandert er met de Cyberbeveiligingswet?De Cyberbeveiligingswet is de NL-implementatie van NIS2 en treedt gefaseerd in werking. Controleer NCSC voor de actuele inwerkingtredingsdatum en lagere regelgeving.
- Ben ik als directeur persoonlijk aansprakelijk onder NIS2?Ja, het bestuur is verantwoordelijk voor goedkeuring en toezicht op de cybermaatregelen. Bij ernstige nalatigheid kan dat persoonlijk worden.
Past het bovenstaande niet?
Beschrijf je situatie hieronder. We sturen jouw input plus de stappen die je al zag naar onze AI en geven gericht vervolg-advies. Als het te risicovol is om zelf te doen, zeggen we dat ook.
Of doe het helemaal niet zelf
Onze Managed IT-klanten zoeken dit soort vragen niet op. Eén aanspreekpunt, vaste prijs per maand, en het is binnen werktijd opgelost.