NIS2-checklist bewijsaanvraag leveranciers (gratis XLSX & PDF)
Published 11 jul 2026
By Orbiq Team

NIS2-checklist bewijsaanvraag leveranciers (gratis XLSX & PDF)

Gratis NIS2-checklist voor bewijsaanvragen bij leveranciers (XLSX, PDF, MD): bewijscategorieën, criticaliteitsniveaus en frequenties gemapt op artikel 21, lid 2, onder d), en artikel 21, lid 3.

NIS2
Toeleveringsketen
Vendor Assurance
Sjablonen
Compliance

Download dit sjabloon

Versie 1.0 · Bijgewerkt 11 jul 2026 · Gratis, geen e-mail vereist · Downloadbestanden in het Engels

NIS2-checklist bewijsaanvraag leveranciers: gratis sjabloon

Een NIS2-checklist voor bewijsaanvragen bij leveranciers is een gestructureerd register van het beveiligingsbewijs dat u opvraagt bij elke directe leverancier en dienstverlener — certificeringen, pentestsamenvattingen, incidentnotificatie-SLA's, openbaarmakingen van onderaannemers en testresultaten voor bedrijfscontinuïteit — gemapt op artikel 21, lid 2, onder d), en artikel 21, lid 3, van Richtlijn (EU) 2022/2555. Elke bewijsrij vermeldt de aanvaardbare bewijstypen en een reviewfrequentie gekoppeld aan het criticaliteitsniveau van de leverancier, zodat uw toezicht op de toeleveringsketen aantoonbaar is op elk moment dat een autoriteit ernaar vraagt.

De meeste teams draaien al een NIS2-leveranciersvragenlijst. Wat NIS2 werkelijk toetst, is of u bewijs kunt overleggen: welke leveranciers kritiek zijn, welke artefacten u per leverancier bewaart, wanneer ze voor het laatst zijn ververst en wat er gebeurt wanneer een leverancier niets meer van zich laat horen. Dit gratis sjabloon — beschikbaar als XLSX, PDF en een machine-leesbaar Markdown-bestand voor AI-agents (de downloadbare bestanden zijn in het Engels) — vertaalt die vragen naar een werkend register. Het is de operationele metgezel van onze gidsen over vendor assurance onder NIS2 en NIS2-beveiliging van de toeleveringsketen, die uitleggen waarom continu toezicht vereist is; deze pagina geeft u het artefact dat het doet.

Belangrijkste punten

  • NIS2-artikel 21, lid 2, onder d), maakt beveiliging van de toeleveringsketen een verplichte risicobeheersmaatregel, die de beveiligingsgerelateerde aspecten dekt van de relaties met elke directe leverancier en dienstverlener — niet het leveranciersbestand als geheel.
  • Artikel 21, lid 3, vertelt u waarnaar u moet kijken: de kwetsbaarheden die specifiek zijn voor elke directe leverancier, de algehele kwaliteit van hun producten en cyberbeveiligingspraktijken — expliciet inclusief procedures voor veilige ontwikkeling — en de resultaten van gecoördineerde risicobeoordelingen onder artikel 22, lid 1.
  • Bewijs verslaat eigen verklaringen. De richtsnoeren van ENISA voor de toeleveringsketen vragen om beoordeling van de kwaliteit van de beveiligingspraktijken van leveranciers, en haar technische implementatierichtsnoeren van juni 2025 noemen leveranciersvetting, contractuele beveiligingsclausules en doorlopende monitoring als kernverwachtingen.
  • Frequentie volgt criticaliteit. De rubriek met drie niveaus van het sjabloon geeft elke bewijscategorie een verversingsfrequentie per niveau, plus gebeurtenistriggers — incident, wijziging van onderaannemer, verlopend certificaat — die de kalender overrulen.
  • De inzet is concreet: essentiële entiteiten riskeren boetes tot 10 miljoen euro of 2% van de wereldwijde jaaromzet, belangrijke entiteiten tot 7 miljoen euro of 1,4%, en toezichthoudende autoriteiten kunnen op elk moment bewijs over de toeleveringsketen opvragen.

Wat er in het sjabloon zit

De XLSX bevat vier werkbladen: een Leveranciersregister, de Bewijschecklist zelf, een Criticaliteitsrubriek en een blad met Instructies. De PDF spiegelt de checklist voor print en reviewvergaderingen; de Markdown-variant bevat de volledige structuur met YAML-metadata, zodat een AI-agent een bewijsaanvraag van begin tot eind kan uitvoeren.

De kern van het sjabloon is de bewijschecklist — in feite een NIS2-checklist met de vereisten voor de toeleveringsketen, rij voor rij. Hier een preview van de daadwerkelijke rijen:

BewijscategorieWat op te vragenAanvaardbare bewijstypenFrequentie (Tier 1 / 2 / 3)NIS2-anker
Certificeringen en onafhankelijke assuranceActueel certificaat of attestering die de dienst dekt die u afneemtISO 27001-certificaat met scope + geldigheid; SOC 2 Type II-rapport (+ bridge letter indien >12 maanden)Jaarlijks + vervalalerts / Jaarlijks / Elke 3 jaarArt. 21, lid 3 — kwaliteit van cyberbeveiligingspraktijken
PenetratietestsMeest recente pentest-managementsamenvattingSamenvatting met scope, methodologie, ernst van bevindingen, remediatiestatus — niet het volledige exploitrapportJaarlijks / Jaarlijks / Eigen attesteringArt. 21, lid 2, onder e), f)
Kwetsbaarheids- en patchbeheerPatching-SLA's en time-to-patch-metricsBeleid kwetsbaarheidsbeheer; metrics voor kritieke CVE's over de laatste 6–12 maandenKwartaalmetrics / Jaarlijks / OnboardingArt. 21, lid 2, onder e)
Veilige ontwikkelingSDLC-beveiligingspraktijken voor softwareleveranciersBeleid veilige ontwikkeling; SAST/DAST-bewijs; SBOM voor kritieke softwareJaarlijks / Jaarlijks / n.v.t.Art. 21, lid 3 — procedures voor veilige ontwikkeling
Incidentnotificatie-SLAContractuele toezegging om u te informeren over incidenten die uw dienst rakenGetekende clausule met notificatietermijn (in uren), genoemde contacten, escalatiepadVerifiëren bij onboarding + jaarlijks / Jaarlijks / ContractreviewArt. 21, lid 2, onder b); voedt uw tijdlijn van art. 23
Openbaarmaking onderaannemersActueel register van onderaannemers/subverwerkers + toezegging tot wijzigingsmeldingRegister met entiteiten, locaties, diensten; bewijs van doorgegeven beveiligingsclausulesPer kwartaal of bij wijziging / Jaarlijks / OnboardingArt. 21, lid 2, onder d)
Bedrijfscontinuïteit en DRBCP/DR die uw dienst dekt, met RTO/RPO en testbewijsPlanuittreksel; meest recente testrapport met datum, scenario, corrigerende maatregelenJaarlijks testbewijs / Jaarlijkse bevestiging / AttesteringArt. 21, lid 2, onder c)
Toegangsbeheer en encryptieIAM- en cryptografiepositie voor systemen die uw gegevens rakenMFA/PAM-beleid; voorbeeld van een toegangsreview; encryptiestandaarden onderweg en in rustJaarlijks / Jaarlijks / AttesteringArt. 21, lid 2, onder i), j)

Elke rij in de XLSX heeft ook workflowvelden — datum aangevraagd, datum ontvangen, status, reviewer — zodat het register meteen als uw audittrail dient.

Zo gebruikt u het: niveaus, frequentie, escalatie

Stap 1 — Deel elke leverancier in. De Criticaliteitsrubriek scoort elke directe leverancier op drie dimensies: dienstafhankelijkheid (zou een storing uw essentiële of belangrijke dienst verstoren?), toegang (productiesystemen, gevoelige gegevens, netwerkconnectiviteit) en vervangbaarheid. Tier 1-leveranciers krijgen de volledige bewijsset; Tier 2 een kernset; Tier 3 een lichte attestering. Zo doet u recht aan de 'kwetsbaarheden die specifiek zijn voor elke directe leverancier' uit artikel 21, lid 3, zonder in papierwerk te verdrinken — evenredigheid is ingebouwd in de norm 'passend en evenredig' van de richtlijn.

Stap 2 — Draai de bewijsfrequentie. Elke checklist-rij vermeldt haar verversingsfrequentie per niveau. De kalenderfrequentie is de ondergrens, niet de bovengrens: gebeurtenistriggers — een leveranciersincident, een nieuwe onderaannemer, een verlopend certificaat, een wijziging in de dienstscope — overrulen het schema en leiden tot een onmiddellijke heraanvraag voor alleen de geraakte categorieën. Dat gebeurtenisgestuurde patroon is precies wat leverancierstoezicht onderscheidt van een momentopname.

Stap 3 — Escaleer bij stilte. Het sjabloon bevat een escalatieworkflow in vier fasen: herinnering na 10 werkdagen, escalatie naar de commerciële eigenaar na 20, formele aanmaning met inroeping van de audit-/bewijsclausule uit het contract na 30, en een gedocumenteerde risicobeslissing — acceptatie, compenserende maatregelen of heroverweging van het contract — na 45. Elke fase wordt gelogd, want een escalatietrail is op zichzelf bewijs dat uw toezicht functioneert. Autoriteiten die toezicht houden op essentiële en belangrijke entiteiten kunnen op elk moment bewijs van artikel 21-maatregelen verlangen, en auditors vragen in toenemende mate om precies dit soort documentatie.

Juridische grondslag

De checklist is verankerd in Richtlijn (EU) 2022/2555 (NIS2), in werking sinds 16 januari 2023 met een omzettingsdeadline van 17 oktober 2024. Artikel 21, lid 2, onder d), noemt 'de beveiliging van de toeleveringsketen, met inbegrip van beveiligingsgerelateerde aspecten met betrekking tot de relaties tussen elke entiteit en haar rechtstreekse leveranciers of dienstverleners' onder de minimale risicobeheersmaatregelen. Artikel 21, lid 3, vereist dat entiteiten rekening houden met de kwetsbaarheden die specifiek zijn voor elke directe leverancier en dienstverlener, de algehele kwaliteit van hun producten en cyberbeveiligingspraktijken — inclusief hun procedures voor veilige ontwikkeling — en de resultaten van gecoördineerde beveiligingsrisicobeoordelingen van kritieke toeleveringsketens onder artikel 22, lid 1.

De rij incidentnotificatie-SLA sluit aan op artikel 23, dat u verplicht binnen 24 uur na kennisname van een significant incident een vroegtijdige waarschuwing in te dienen, binnen 72 uur een incidentmelding en binnen één maand een eindrapport. Die termijnen haalt u niet als een leveranciersincident u te laat bereikt — daarom is de notificatieclausule van de leverancier een bewijsitem, geen nice-to-have. Onze gids over de artikelen 21 en 23 samen behandelt deze afhankelijkheid in de diepte.

Voor entiteiten in digitale infrastructuur en ICT-diensten specificeert Uitvoeringsverordening (EU) 2024/2690 van de Commissie van 17 oktober 2024 de technische en methodologische vereisten, en detailleren ENISA's Technical Implementation Guidance (juni 2025) leveranciersvetting, contractuele clausules en doorlopende monitoring als implementatieverwachtingen. ENISA's eerdere Good Practices for Supply Chain Cybersecurity (juni 2023) beveelt aan een gedocumenteerde leverancierslijst bij te houden, risicocriteria per leverancierstype te definiëren en periodiek te beoordelen of leveranciers aan de beveiligingseisen kunnen voldoen — het register en de rubriek van het sjabloon implementeren die praktijken rechtstreeks. De omzetting verloopt nog ongelijkmatig — de Commissie escaleerde inbreukprocedures in mei 2025 tot met redenen omklede adviezen tegen 19 lidstaten, en medio 2026 hebben de meeste maar niet alle lidstaten nationale wetgeving van kracht (het Duitse NIS2UmsuCG trad bijvoorbeeld op 6 december 2025 in werking). Uw verplichtingen binden zodra de wet van uw lidstaat van toepassing is — maar de klanten van uw leveranciers vragen er nu al naar. Zie het NIS2-richtlijnoverzicht voor het volledige omzettingsbeeld.

Buiten de EU: VK en Noorwegen

Dezelfde checklist-logica strekt zich uit over de hele Europese kaart. Het VK vervangt zijn NIS-regelgeving uit 2018 via de Cyber Security and Resilience Bill, op 12 november 2025 ingediend bij het parlement en medio 2026 in behandeling bij het House of Lords, met Royal Assent verwacht eind 2026. De wet brengt managed service providers, in aanmerking komende datacenters en door de toezichthouder aangewezen 'kritieke leveranciers' rechtstreeks binnen de reikwijdte, met een eerste incidentmelding binnen 24 uur en een volledige melding binnen 72 uur — Britse leveranciers moeten dus bewijsaanvragen van precies deze vorm verwachten. Noorwegen past de oorspronkelijke NIS-richtlijn toe via de digitalsikkerhetsloven, van kracht sinds 1 oktober 2025 en onder toezicht van de NSM (die ook het nationale CSIRT beheert), terwijl NIS2 op opname in de EER-overeenkomst wacht. Bestrijkt uw leveranciersbestand de EU, het VK en de EER, dan verslaat één bewijsregister met jurisdictiebewuste aantekeningen — zoals dit sjabloon biedt — drie parallelle spreadsheets.

Van checklist naar continue assurance

Een spreadsheet bewijst dat u een proces hebt; ze kan geen leveranciers achternazitten, antwoorden herscoren of u waarschuwen wanneer een certificaat verloopt. Wanneer het register handmatig onderhoud ontgroeit, draait het vendor-assuranceplatform van Orbiq dezelfde indeling in niveaus, bewijsverzameling en escalatieworkflow continu — met AI-geëvalueerde antwoorden en een audittrail die als bijproduct van het werk ontstaat.


Bronnen en verwijzingen

  1. Richtlijn (EU) 2022/2555 (NIS2) — volledige tekst — artikelen 21, lid 2, onder d), 21, lid 3, 22, 23 en 34.
  2. Uitvoeringsverordening (EU) 2024/2690 van de Commissie — technische en methodologische vereisten voor entiteiten in digitale infrastructuur.
  3. ENISA — Technical Implementation Guidance on Cybersecurity Risk Management Measures — juni 2025, versie 1.0.
  4. ENISA — Good Practices for Supply Chain Cybersecurity — juni 2023.
  5. Europese Commissie — beleidspagina NIS2-richtlijn — omzettingsstatus en inbreukacties.
  6. UK Government — Cyber Security and Resilience Bill collection — wetsdocumenten en factsheets.
  7. NSM — Norwegian National Cyber Security Centre — het Noorse nationale CSIRT en de toezichtscontext.

Verder lezen

Download dit sjabloon

Versie 1.0 · Bijgewerkt 11 jul 2026 · Gratis, geen e-mail vereist · Downloadbestanden in het Engels

Veelgestelde vragen

Wat is een NIS2-checklist voor bewijsaanvragen bij leveranciers?

Een NIS2-checklist voor bewijsaanvragen bij leveranciers is een gestructureerd register van het beveiligingsbewijs dat een essentiële of belangrijke entiteit opvraagt bij elke directe leverancier en dienstverlener — certificeringen, pentestsamenvattingen, incidentnotificatie-SLA's, openbaarmakingen van onderaannemers en BCP/DR-testresultaten — gemapt op NIS2-artikel 21, lid 2, onder d), en artikel 21, lid 3, met een reviewfrequentie gekoppeld aan het criticaliteitsniveau van elke leverancier.

Welk bewijs moet ik onder NIS2 bij leveranciers opvragen?

Kerncategorieën zijn: een geldig ISO 27001-certificaat met scopeverklaring (of een SOC 2 Type II-rapport met bridge letter), de meest recente pentest-managementsamenvatting met remediatiestatus, SLA's voor kwetsbaarheidsbeheer en patching, bewijs van veilige ontwikkeling (artikel 21, lid 3, noemt procedures voor veilige ontwikkeling expliciet), een contractuele incidentnotificatie-SLA afgestemd op de tijdlijn van artikel 23, een actueel register van onderaannemers/subverwerkers en BCP/DR-plannen met het meest recente testrapport.

Hoe vaak moeten leveranciers onder NIS2 opnieuw bewijs aanleveren?

NIS2 stelt geen vast interval — maatregelen moeten passend en evenredig zijn. In de praktijk herbeoordelen volwassen programma's Tier 1-leveranciers (kritiek) jaarlijks met kwartaalmonitoring van certificaten en metrics, Tier 2-leveranciers jaarlijks, en Tier 3-leveranciers bij onboarding en elke drie jaar of bij contractverlenging — plus gebeurtenisgestuurde heraanvragen voor alle niveaus na incidenten, wijzigingen van onderaannemers of het verlopen van certificaten.

Vereist NIS2 bewijs van elke leverancier?

Artikel 21, lid 2, onder d), richt zich op de beveiligingsgerelateerde aspecten van de relaties met de directe leveranciers en dienstverleners van elke entiteit, en artikel 21, lid 3, vereist dat rekening wordt gehouden met de kwetsbaarheden die specifiek zijn voor elke directe leverancier. Evenredigheid geldt: met een criticaliteitsrubriek vraagt u de volledige bewijsset op bij leveranciers die essentiële diensten ondersteunen en een lichte attestering bij leveranciers met laag risico.

Is een leveranciersvragenlijst hetzelfde als een bewijsaanvraag?

Nee. Een vragenlijst verzamelt eigen verklaringen; een bewijsaanvraag verzamelt verifieerbare artefacten — certificaten, auditrapporten, testsamenvattingen, contractclausules. De richtsnoeren van ENISA voor de toeleveringsketen benadrukken het beoordelen van de kwaliteit van de beveiligingspraktijken van een leverancier, niet alleen het bestaan van documentatie, dus antwoorden op vragenlijsten moeten voor alles wat wezenlijk is met bewijs worden onderbouwd.

Is deze checklist ook toepasbaar op Britse en Noorse leveranciers?

Ja, met aanpassingen. De Britse Cyber Security and Resilience Bill (medio 2026 in behandeling bij het House of Lords) brengt managed service providers, datacenters en aangewezen kritieke leveranciers onder een regime in NIS-stijl, en de Noorse digitalsikkerhetsloven (van kracht sinds 1 oktober 2025) implementeert NIS1 terwijl NIS2 op opname in de EER-overeenkomst wacht — dezelfde bewijscategorieën werken dus voor leveranciers in de hele EU, het VK en de EER.

NIS2-checklist bewijsaanvraag leveranciers (gratis XLSX &...