NIS2

Menu
Menu

FAQ

Veelgestelde vragen voor bedrijven

Wat houdt het NIS2 Quality Mark in en hoe kan het bedrijven helpen?

Het NIS2 Quality Mark is het certificaat om dit te bewijzen dat je veilig werkt.

De NIS2 richtlijn maakt essentiële en belangrijke bedrijven, ook wel NIS2 bedrijven genoemd, verantwoordelijk voor de cyberveiligheid van hun toeleveringsketen. Dit betekent dat zij van hun directe leveranciers, vaak mkb-bedrijven, zullen eisen dat zij kunnen bewijzen digitaal veilig te werken. Mkb-bedrijven moeten dus een aantoonbaar bewijs (certificaat) overleggen van hun beveiligingsmaatregelen.

Artikel 21.2d van de NIS2-richtlijn stelt:
d) de beveiliging van de toeleveringsketen, met inbegrip van beveiligingsgerelateerde aspecten met betrekking tot de relaties tussen elke entiteit en haar rechtstreekse leveranciers of dienstverleners;
De NIS2-richtlijn bepaalt dat essentiële en belangrijke bedrijven – de zogeheten NIS2-bedrijven – verantwoordelijk zijn voor de cyberveiligheid van hun toeleveringsketen bij risico’s. Dit betekent dat zij van hun directe leveranciers kunnen eisen dat zij aantoonbaar digitaal veilig werken.

Het NIS2 Quality Mark certificaat dient als bewijs dat je organisatie digitaal veilig werkt. Het modulair normensysteem kent drie niveaus (QM10, QM20, en QM30), zodat bedrijven de juiste beveiligingsmaatregelen kunnen implementeren die passen bij hun organisatie en het risico.

Veel bedrijven en organisaties leveren direct of indirect aan NIS2-plichtige bedrijven en kunnen daardoor verplicht worden om aantoonbaar veilig te werken. Het NIS2 Quality Mark helpt hen om aan deze eisen te voldoen.

Hieronder een overzicht van leveranciers die onder NIS2 kunnen vallen:

  • ICT & Cybersecurity – IT-dienstverleners, managed service providers (MSP’s), cloudproviders, datacenters, netwerkbedrijven, cybersecuritybedrijven, softwareontwikkelaars, SaaS-leveranciers, hostingproviders, telecombedrijven en IT-auditbedrijven.
  • Industrie, Productie & Infrastructuur – Machinebouwers, industriële automatiseringsbedrijven (OT/ICS), toeleveranciers van productielijnen, leveranciers van industriële componenten, onderdelenleveranciers, 3D-printingbedrijven, energie- en waterbeheerders, slimme technologieën (IoT), fabrieksautomatiseringsspecialisten en technische onderhoudsbedrijven
  • Voedingsindustrie & Supply Chain – Foodproductiebedrijven, leveranciers van voedselverwerkende machines, verpakkingsindustrie, koeltransportbedrijven en magazijnbeheerbedrijven.
  • Transport & Logistiek – Transportbedrijven, logistieke dienstverleners, scheepvaartbedrijven, luchtvaartleveranciers, spoorweglogistiek, containerterminals en supply chain management bedrijven.
  • Consultancy & Diensten – IT-consultants, cybersecurityspecialisten, juridische en compliance-adviseurs, accountants, risk management bureaus en financiële dienstverleners.
  • Marketing & Communicatie – Marketingbureaus, PR-bedrijven, webdesign- en hostingbedrijven, digitale mediabureaus en e-commerceplatforms.
  • Bouw & Architectuur – Architectenbureaus, bouwbedrijven, ingenieursbureaus, vastgoedbeheerbedrijven, leveranciers van bouwmaterialen en installatiebedrijven.
  • Energie & Nutsvoorzieningen – Energieleveranciers, waterbedrijven, onderhoudsbedrijven van kritieke infrastructuur en fabrikanten van energieopslagsystemen.

Bedrijven die digitale, fysieke of operationele afhankelijkheden creëren binnen de supply chain van een NIS2-plichtige organisatie moeten aantoonbaar veilig werken in geval van een risico. Met het NIS2 Quality Mark voldoen zij eenvoudig aan deze verplichting.

Er zijn veel Te Beschermen Belangen voor NIS2 bedrijven. Hier is een lijst.

Het meest gebruikte certificaat is het NIS2-QM10 Basic. Het juiste certificaat hangt af van het risico dat jouw bedrijf vormt voor je klant. Hoe groter de impact van jouw producten of diensten op je klant, hoe groter het risico dat je vormt, en hoe hoger de norm die je moet behalen. Voor de meeste mkb-bedrijven is NIS2-QM10 voldoende, maar als een bedrijf toegang heeft tot zeer gevoelige gegevens of moeilijk vervangbare producten levert, kan een hogere norm (zoals QM20 of QM30) vereist zijn.

Het juiste certificeringsniveau hangt af van het risico dat jouw bedrijf vormt voor je klant. Hoe groter de impact van jouw producten of diensten op je klant, hoe groter het risico dat je vormt, en hoe hoger de norm die je moet behalen.

QM10 Basic – Voor mkb-bedrijven met een beperkt risico die leveren aan NIS2-plichtige bedrijven.
QM20 Substantial – Voor bedrijven met verhoogde risico’s door hun rol of toegang tot gevoelige data bijvoorbeeld ICT-bedrijven of bedrijven met OT of fysieke toegang.
QM30 High – Voor cruciale bedrijven in de keten die bij cyberincidenten een groot risico vormen voor verstoringen.

NIS2 draait om het beheersen van verschillende soorten risico’s die impact kunnen hebben op de toeleveringsketen. Risico’s kunnen betrekking hebben op IT, digitale communicatie, fysieke infrastructuur, elektronische data-uitwisseling (EDI), leveringssystemen, en producten met operationele technologie (OT) software. Omdat NIS2 een “all hazards”-benadering hanteert, worden naast IT ook andere risico’s meegenomen. Daarom is het van belang dat bedrijven in de keten aantoonbaar hun cyberveiligheid op orde hebben.

Ook zijn er veel Te Beschermen Belangen voor NIS2 bedrijven. Hier is een lijst.

Als je twijfelt over welk certificeringsniveau (QM10, QM20, of QM30) je moet behalen, is het verstandig om dit te overleggen met je klant. De klant kan een inschatting maken van de risico’s die jouw bedrijf mogelijk vormt. Voor verder advies kun je ook contact opnemen met de supportdesk van NIS2 Quality Mark.

Veelgestelde vragen voor auditoren

Wat zijn de vereisten om auditor te worden voor het NIS2 Quality Mark?

Je hebt ervaring met auditing. Voor QM20- en QM30-niveaus is kennis van ISO 27001 vereist. De audits zijn gericht op drie niveaus: QM10 (Basic), QM20 (Substantial) en QM30 (High). Deze vormen samen een ladder waarmee bedrijven stap voor stap hun cyberveiligheid verbeteren. Affiniteit met het mkb is een belangrijke pré.

De NIS2 QM-audit is een grondige en serieuze audit. Dankzij een beperktere set maatregelen duurt de audit korter dan bij zwaardere normen. Er wordt getoetst of de genomen maatregelen effectief worden toegepast. Het doel is om bedrijven zorgvuldig te auditeren én hen tegelijkertijd te stimuleren in hun groei naar betere cyberveiligheid.

Je volgt een dagdeeltraining waarin je leert werken met onze risicobenadering, procesgericht toetsen en onze rapportagetool. Je oefent met het uitvoeren van stimulerende audits, waarbij toetsen en stimuleren centraal staan.

Als auditor werk je met een diverse groep bedrijven, variërend van kleine mkb-ondernemingen tot grote leveranciers in kritieke sectoren. Dit zijn bijvoorbeeld IT-dienstverleners, productiebedrijven, logistieke partijen, installatiebedrijven, consultancybedrijven en andere toeleveranciers van NIS2-plichtige organisaties.

Omdat hun kennis en ervaring met cyberveiligheid sterk uiteenloopt, stem je je aanpak af op de specifieke context en behoeften van elk bedrijf. Bij kleinere bedrijven ligt de focus vaak op basismaatregelen en bewustwording, terwijl grotere organisaties geavanceerdere securityprocessen en compliance-eisen moeten aantonen. Een effectieve audit houdt rekening met deze verschillen en biedt bedrijven niet alleen een beoordeling, maar ook waardevolle inzichten voor verdere verbetering.

Auditorganisaties die willen deelnemen kunnen het contactformulier invullen.

We nemen dan contact met je op. Je ontvangt daarna meer informatie over de afspraken, werkwijze, training en verdere stappen.

Scroll naar boven