ISO-Certificeringen
ISO 9001
ISO 14001
ISO 27001
NIS2 SC10 Basic
CO2 prestatieladder
VCA
VisionManager Software
Trainingen
Opleiding Interne Auditor ISO 9001
Opleiding Interne Auditor ISO 27001
Directiebeoordeling cursus
Blogs
Contact
ISO-Certificeringen
ISO 9001
ISO 14001
ISO 27001
NIS2 SC10 Basic
CO2 prestatieladder
VCA
VisionManager Software
Trainingen
Opleiding Interne Auditor ISO 9001
Opleiding Interne Auditor ISO 27001
Directiebeoordeling cursus
Blogs
Contact
In dit artikel
Inhoudsopgave
Artikelen in deze categorie
Verklaring van toepasselijkheid ISO 27001
Wat is de NEN
Risicomanagement op operationeel niveau
Risicomanagement op strategisch niveau
NIS2 Quickscan: zijn jullie ook NIS2 plichtig?
Wat is de NIS2 SC10 Basic?
Alles wat je moet weten over NIS2
ISO 27001 Risico-inventarisatie / Risicobeoordelingsproces
[...]
Home
ISO Kennisbank
Risicobeheersing & Compliance
NIS2-checklist van een klant ontvangen? Dit moet je als leverancier doen
NIS2-checklist van een klant ontvangen? Dit moet je als leverancier doen

NIS2-checklist van een klant ontvangen? Dit moet je als leverancier doen

J. van der Rijst
17 maart 2026
Risicobeheersing & Compliance

Ik spreek regelmatig organisaties die ineens van een klant een vragenlijst of checklist krijgen over informatiebeveiliging. Soms staat er NIS2 boven. Soms gaat het over leveranciersbeoordeling. En soms is de vraag gewoon: kunnen jullie laten zien hoe jullie informatiebeveiliging hebben geregeld?

Op dat moment ontstaat er vaak stress.

Niet altijd omdat er niets is geregeld. Maar wel omdat veel organisaties merken dat ze van alles hebben gedaan, zonder dat het als één logisch geheel is vastgelegd. Er zijn back-ups. Er is antivirus. Medewerkers werken met accounts. Er zijn misschien al afspraken gemaakt. Maar zodra een klant bewijs, structuur en aantoonbaarheid vraagt, wordt het ineens een ander verhaal.

En precies daar begint het echte probleem.

Een klant stuurt een NIS2-checklist. Wat betekent dat?

Meestal betekent het niet dat jouw klant verwacht dat jij de hele NIS2-richtlijn woord voor woord kent.

Wat die klant meestal wil weten is veel praktischer:

  • Hebben jullie risico’s in beeld?
  • Hebben jullie passende maatregelen genomen?
  • Is duidelijk wie waarvoor verantwoordelijk is?
  • Registreren jullie incidenten?
  • Wordt dit periodiek gecontroleerd en verbeterd?
  • Kunnen jullie aantonen dat dit niet alleen bedacht is, maar ook echt is ingericht?

    Dat laatste is belangrijk.

Een grote klant wil meestal niet alleen een geruststellend verhaal of een ingevulde vragenlijst terug. Die wil kunnen vertrouwen op iets dat aantoonbaar is. Iets dat verder gaat dan: “ja, dat doen wij ongeveer zo”.

Meer daarover lees je ook op onze pagina over NIS2 voor leveranciers.

Waarom veel leveranciers hier onrust van krijgen

Wat ik vaak zie, is dat organisaties zo’n checklist binnenkrijgen en direct in de actiestand schieten.

De IT-partij wordt gebeld. Iemand van de directie zoekt oude documenten terug. Er wordt gekeken of er ergens nog een procedure ligt. En ondertussen is de vraag: wie gaat dit invullen, en is het wel goed genoeg?

Dat is heel begrijpelijk. Maar het is ook precies de reden waarom het zo vaak onnodig veel tijd kost.

Want als je op dat moment nog moet gaan uitzoeken wat je hebt geregeld, wie waarvoor verantwoordelijk is, hoe incidenten worden opgevolgd en hoe je dat moet onderbouwen, dan loop je eigenlijk al achter de feiten aan.

Waarom een ingevulde vragenlijst meestal niet genoeg is

Dit is een belangrijk punt.

Veel leveranciers denken in eerste instantie dat het vooral gaat om het invullen van de checklist. Alsof het probleem is opgelost zodra alle hokjes zijn ingevuld en alle vragen zijn beantwoord.

Maar zo werkt het in de praktijk vaak niet.

Een serieuze opdrachtgever wil meestal meer dan antwoorden alleen. Die wil bijvoorbeeld ook weten:

  • waar die antwoorden op gebaseerd zijn;
  • of er beleid, registraties en processen achter zitten;
  • of maatregelen echt zijn ingericht;
  • of verantwoordelijkheden aantoonbaar zijn belegd;
  • en of er een onafhankelijke onderbouwing is voor wat jij beweert.

Met andere woorden: een vragenlijst is vaak alleen de eerste laag. Daaronder zit de echte vraag:


kun je bewijzen dat jouw informatiebeveiliging aantoonbaar en structureel op orde is?


En daar gaat het bij veel leveranciers mis. Niet omdat ze niets doen, maar omdat ze niet voldoende kunnen laten zien dat het geheel klopt.

Wat klanten meestal echt willen zien

Een klantchecklist lijkt vaak heel uitgebreid, maar in de kern draait het meestal om een paar vaste onderwerpen.

Een opdrachtgever wil weten of jij als leverancier jouw informatiebeveiliging beheerst. Niet op papier alleen, maar in de praktijk. En liefst op een manier die je ook kunt aantonen.

Daarbij gaat het vaak om:

  • risico’s die in beeld zijn gebracht;
  • maatregelen die bewust en passend zijn gekozen;
  • verantwoordelijkheden die zijn vastgelegd;
  • registraties van incidenten, acties en verbeteringen;
  • periodieke controle op de werking van de aanpak;
  • en bewijs dat dit niet los zand is, maar een samenhangend systeem.

Dat sluit ook precies aan op wat wij op onze pagina over NIS2 SC10 Basic beschrijven: het gaat niet om losse documenten, maar om samenhang én aantoonbaarheid.

Wat je als leverancier wél moet doen

De betere vraag is dus niet:

Hoe vullen we deze checklist zo snel mogelijk in?

De betere vraag is:

Hoe zorgen we dat we aantoonbaar kunnen laten zien dat onze informatiebeveiliging goed is ingericht?

Dat vraagt om meer dan alleen antwoorden formuleren. Je moet intern overzicht hebben over:

  • welke risico’s voor jouw organisatie relevant zijn;
  • welke maatregelen je al hebt genomen;
  • welke afspraken en registraties er zijn;
  • wie verantwoordelijk is voor welke onderdelen;
  • hoe je incidenten vastlegt;
  • hoe je controleert of maatregelen nog werken;
  • en hoe je verbeteringen structureel doorvoert.

Maar zelfs dan ben je er nog niet helemaal.

Want ook als je intern best veel op orde hebt, wil een grote klant vaak nog steeds iets extra’s: onafhankelijke aantoonbaarheid.

En dat is precies waarom zoveel leveranciers uiteindelijk niet genoeg hebben aan alleen interne documenten of een ingevulde vragenlijst.

Waarom veel organisaties al meer geregeld hebben dan ze denken

Dat is ook iets wat ik vaak tegen klanten zeg: je staat meestal niet op nul.

Veel organisaties hebben al best wat geregeld. Denk aan:

  • automatische back-ups;
  • endpointbeveiliging of antivirus;
  • persoonlijke gebruikersaccounts;
  • wachtwoordbeleid;
  • rechtenstructuren;
  • cloudleveranciers met eigen beveiligingsmaatregelen;
  • praktische werkafspraken binnen het team.

Alleen: tussen iets geregeld hebben en het aantoonbaar geregeld hebben zit een groot verschil.

En precies dat verschil wordt zichtbaar zodra een klant doorvraagt.

Dan blijkt dat losse maatregelen nog geen samenhangend systeem zijn. En dat een interne uitleg nog geen objectief bewijs is voor een opdrachtgever die zekerheid wil.

Waarom NIS2 SC10 voor leveranciers zo logisch is

Voor veel leveranciers is dat het moment waarop NIS2 SC10 echt logisch wordt.

Niet alleen omdat je daarmee samenhang aanbrengt.
Maar juist omdat je daarmee ook aantoonbaarheid toevoegt.

Dat is in de praktijk ontzettend belangrijk.

Want een grote klant wil vaak niet voor iedere leverancier opnieuw alle losse documenten, uitleg en onderbouwingen beoordelen. Zo’n klant wil snel kunnen zien dat jij jouw informatiebeveiliging serieus en aantoonbaar hebt geregeld.

En daar heeft een NIS2 SC10-certificaat grote waarde.

Dan zeg je namelijk niet alleen:

  • wij hebben risico’s bekeken,
  • wij hebben maatregelen genomen,
  • wij registreren incidenten,
  • wij hebben verantwoordelijkheden vastgelegd.

Dan kun je ook zeggen:

dit is aantoonbaar ingericht en onafhankelijk beoordeeld.

Dat maakt een enorm verschil.

Niet alleen voor de samenhang binnen je eigen organisatie, maar ook richting klanten. Want daarmee beantwoord je in één keer de kern van veel vragen uit zo’n checklist. Niet op basis van losse antwoorden, maar met een aantoonbare standaard waarop je kunt terugvallen.

Daarom zie ik NIS2 SC10 voor veel MKB-leveranciers niet alleen als een handige structuur, maar als een manier om sterker, professioneler en overtuigender richting klanten te staan.

Dat is ook precies waarom veel organisaties kiezen voor een praktische aanpak zoals NIS2 SC10 Basic. Niet om alleen een lijst af te werken, maar om aantoonbaar te maken dat informatiebeveiliging structureel is ingericht.

Wacht niet tot de volgende checklist binnenkomt

Wat ik klanten altijd meegeef, is dit:

Wacht niet tot de volgende klantvraag op tafel ligt.

Want op het moment dat die vraag er eenmaal is, heb je meestal te weinig tijd om nog rustig structuur en aantoonbaarheid op te bouwen. Dan moet alles tegelijk. Begrijpen wat er gevraagd wordt. Informatie ophalen. Intern afstemmen. Antwoorden formuleren. Bewijs verzamelen. En zorgen dat het ook nog overtuigend overkomt.

Dat kan. Maar het geeft bijna altijd onnodig veel druk.

Wie eerder begint met structuur én aantoonbaarheid, merkt dat die druk verdwijnt. Dan wordt een klantvraag geen stressmoment meer, maar iets waarop je voorbereid bent.

Conclusie

Krijg je van een klant een NIS2-checklist of vragenlijst over informatiebeveiliging? Zie dat dan niet alleen als een document dat je even moet invullen.

Zie het als een signaal.

Blijkbaar verwacht jouw klant dat je niet alleen vertelt hoe je informatiebeveiliging hebt geregeld, maar dat je dit ook aantoonbaar kunt onderbouwen.

En daar zit precies de reden waarom losse antwoorden vaak niet genoeg zijn.


Je kunt een vragenlijst netjes invullen, maar als daar geen samenhang, bewijs en onafhankelijke aantoonbaarheid achter zitten, blijft de echte twijfel bestaan.


Juist daarom is NIS2 SC10 voor veel leveranciers zo’n logische stap. Niet alleen omdat het structuur brengt, maar omdat je daarmee ook een aantoonbaar certificaat hebt dat in één keer veel van de onderliggende vragen uit zo’n checklist opvangt.

Samenvatting

  • Een NIS2-checklist van een klant is meestal pas het begin van de beoordeling.
  • Grote klanten willen vaak meer dan alleen ingevulde antwoorden: ze willen bewijs en aantoonbaarheid.
  • Losse maatregelen en losse documenten zijn daarvoor meestal niet genoeg.
  • Veel organisaties hebben al meer geregeld dan ze denken, maar nog niet voldoende samenhangend en aantoonbaar.
  • NIS2 SC10 is voor veel MKB-leveranciers juist sterk omdat het zowel structuur als aantoonbaarheid biedt.
  • Met een aantoonbaar certificaat sta je veel sterker richting klanten en hoef je niet iedere keer opnieuw alles los uit te leggen.

Voorkom dat je iedere klantvraag opnieuw moet bewijzen

Wil je niet iedere klantvraag over informatiebeveiliging opnieuw moeten beantwoorden én onderbouwen? Bekijk dan hoe je met NIS2 SC10 een aantoonbare structuur opzet waarmee je veel van deze vragen in één keer sterker afvangt. Bekijk NIS2 SC10.

Reactie plaatsen
Edit article Dashboard Settings Website Design Article cached on Wed. 29 Apr 23:56
Renew cache