NIS2 en Inkoop: Hoe je Cyberrisico’s beheerst en voldoet aan de nieuwe eisen

De Europese NIS2-richtlijn stelt strengere eisen aan cybersecurity en heeft impact op de inkoopfunctie, zowel in de publieke als private sector. Sinds oktober 2024 moeten organisaties voldoen aan de nieuwe wetgeving. Maar wat betekent dit concreet voor inkopers?

NIS2: Waarom is dit relevant voor inkoop?

De NIS2-richtlijn verplicht organisaties om meer grip te krijgen op cybersecurityrisico’s, voornamelijk in hun toeleveringsketen. Dit betekent onder andere:

• Meer verantwoordelijkheid voor inkopers om leveranciers te beoordelen op digitale veiligheid;
• Risicoanalyses en eisen rondom cybersecurity worden onderdeel van inkoopprocedures;
• Strengere verplichtingen voor het melden van cyberincidenten.

Dit vraagt om een gestructureerde aanpak. Welke leveranciers zijn kritisch? Hoe kun je risico’s inzichtelijk maken? En hoe borg je cybersecurity in het inkoopproces?

Wat kun je als inkoper doen?

Veel inkopers zijn nog zoekende naar hoe ze met deze veranderingen om moeten gaan. Een goede eerste stap is inzicht krijgen in je huidige leveranciers en hun cybersecuritymaatregelen. Denk hierbij aan:

• Het opstellen van een leveranciersregister met relevante risicofactoren;
• Het beoordelen van contracten op cybersecurityclausules;
• Samenwerken met leveranciers om de gezamenlijke weerbaarheid te versterken.

Grip op inkooprisico’s

Een datagedreven aanpak helpt bij het nemen van onderbouwde beslissingen. Door inkoopgegevens te analyseren en risico’s tijdig te signaleren, voorkom je verrassingen en voldoe je aan de nieuwe eisen zonder onnodige administratieve lasten.

Hoe helpt een spendanalyse bij NIS2-compliance?

Een spendanalyse helpt inkopers bij het verkrijgen van inzicht in risico’s binnen de toeleveringsketen. Dit kan op de volgende manieren bijdragen aan NIS2-compliance:

1. Risicovolle leveranciers identificeren Door inzicht te krijgen in de leveranciersstructuur kunnen potentiële cybersecurityrisico’s binnen de keten tijdig worden gesignaleerd. Dit maakt het makkelijker om te beoordelen of een leverancier voldoet aan de NIS2-vereisten.
2. Ongecontroleerde IT-uitgaven opsporen In veel organisaties worden digitale diensten en software buiten de IT-afdeling om aangeschaft. Dit kan leiden tot shadow IT, met mogelijke beveiligingsrisico’s als gevolg. Een grondige spendanalyse helpt om dergelijke uitgaven in kaart te brengen en risico’s te beheersen.
3. Afhankelijkheid van kwetsbare leveranciers verminderen Met een spendanalyse wordt duidelijk of een organisatie te veel afhankelijk is van specifieke leveranciers. Dit inzicht helpt risico’s te spreiden en alternatieve partijen te overwegen die beter aan de NIS2-normen voldoen.
4. Snellere en beter onderbouwde beslissingen nemen Bij (interne) audits is het essentieel om snel over de juiste gegevens te beschikken. Een overzichtelijke, makkelijk repeteerbare analyse van de inkoopdata maakt het eenvoudiger om de benodigde informatie aan te leveren en aan te tonen dat cybersecurityrisico’s worden beheerst.

Hoe kan SpendMonkey helpen?

SpendMonkey biedt een platform waarmee inkopers eenvoudig inzicht krijgen in hun inkoopdata en leveranciers. Dit helpt bij:

• Het identificeren en analyseren van leveranciersrisico’s;
• Leveranciersrisico's toetsen aan een leidraad;
• Het in kaart brengen van cybersecurity-uitgaven en shadow IT;
• Het ondersteunen van datagedreven beslissingen rondom inkoop en compliance.

Met SpendMonkey kunnen organisaties op een efficiënte manier voldoen aan de NIS2-eisen zonder extra administratieve lasten.

Meer weten? We denken graag met je mee

 Plan een demo in

Terug naar overzicht