Hoe beantwoord je een NIS2-leveranciersvragenlijst? Een praktische gids voor het MKB
Gepubliceerd op 12 juni 2026
Inleiding
Het begint meestal met een e-mail van de inkoopafdeling van je grootste klant. Onderwerp: "Vendor Security Assessment" of "Uitvraag informatiebeveiliging leveranciers". In de bijlage: een vragenlijst van twintig tot soms tweehonderd vragen over jouw cyberbeveiliging, met het vriendelijke maar dringende verzoek die binnen vier weken ingevuld te retourneren.
Die vragenlijst is geen wantrouwen en geen formaliteit. Je klant valt onder NIS2 en is wettelijk verplicht de risico's in zijn toeleveringsketen te beoordelen — de ketenzorgplicht die wij eerder beschreven. Jouw antwoorden bepalen mede of je klant zijn eigen compliance kan aantonen. En dus, heel praktisch: of jij die klant houdt. Twijfel je wat NIS2 nu écht van je eist — en wat juist een mythe is? Lees dan eerst wat is écht verplicht onder de NIS2-ketenzorgplicht.
Deze gids behandelt de vier vragen die in vrijwel iedere leveranciersvragenlijst terugkomen, en — belangrijker — hoe je een antwoord geeft dat een corporate auditor accepteert.
Waarom jouw grote klanten deze vragen (moeten) stellen
NIS2 verplicht essentiële en belangrijke entiteiten om de beveiligingsrisico's van hun directe leveranciers te beoordelen en daar passende eisen aan te stellen. De redenering is simpel: een aanvaller die niet door de voordeur van het ziekenhuis of de netbeheerder komt, probeert het via een leverancier. De toezichthouder kijkt daarom niet alleen naar de organisatie zelf, maar ook naar hoe zij haar keten beheerst. Wat die zorgplicht precies inhoudt, lees je op NIS2-ketenzorgplicht.
Voor jou als leverancier betekent dat twee dingen. Ten eerste: de vragenlijst gaat niet meer weg — verwacht hem jaarlijks, en bij nieuwe contracten standaard. Ten tweede: je antwoorden worden onderdeel van het compliance-dossier van je klant. Een vaag antwoord ("wij nemen beveiliging serieus") is voor de auditor van je klant onbruikbaar en valt vroeg of laat door de mand. Een concreet, onderbouwd antwoord maakt jou juist een leverancier waarmee inkoop graag verlengt.
De 4 meest voorkomende vragen in een Vendor Security Assessment
1. Hoe is uw patchmanagement en kwetsbaarhedenbeheer geregeld?
Wat ze echt vragen: weet u welke systemen u aan het internet heeft hangen, hoe snel dicht u bekende kwetsbaarheden, en kunt u dat aantonen?
Zwak antwoord: "Updates worden regelmatig geïnstalleerd."
Sterk antwoord: beschrijf je proces in drie zinnen en voeg bewijs toe. Bijvoorbeeld: "Onze externe systemen worden maandelijks gescand op kwetsbaarheden. Kritieke bevindingen herstellen we binnen 14 dagen, overige binnen 30 dagen. Bijgevoegd: de scanrapportage van afgelopen maand met herstelstatus." Een gedateerde rapportage van een onafhankelijke scan zegt meer dan een pagina proza. Begin met te begrijpen wat een aanvaller van jouw domein ziet — dat is exact dezelfde buitenkant die de auditor van je klant beoordeelt.
2. Maakt u gebruik van Multi-Factor Authentication (MFA) op alle systemen?
Wat ze echt vragen: kan een gestolen of gelekt wachtwoord van een van uw medewerkers leiden tot toegang tot systemen — en daarmee mogelijk tot onze gegevens?
Sterk antwoord: wees specifiek over waar MFA wél en niet aanstaat. "MFA is verplicht op e-mail, VPN, ons administratiesysteem en alle beheerinterfaces. Voor [systeem X] is MFA nog niet beschikbaar; dit systeem is alleen bereikbaar vanaf kantoor-IP's." Eerlijkheid over een uitzondering, mét compenserende maatregel, komt geloofwaardiger over dan een blanco "ja, overal" — auditors prikken daar doorheen.
3. Wat is uw procedure bij een datalek of ransomware-aanval?
Wat ze echt vragen: als u geraakt wordt, hoe snel weten wíj dat dan? NIS2-organisaties hebben zelf strakke meldtermijnen (24 en 72 uur) en kunnen die alleen halen als hun leveranciers snel melden.
Sterk antwoord: noem je interne responsplan, maar vooral de afspraak richting de klant: "Bij een incident dat uw gegevens of dienstverlening kan raken, informeren wij uw aangewezen contactpersoon binnen 24 uur via [kanaal]. Ons incidentresponsplan is op verzoek in te zien; we oefenen het jaarlijks." Als je nog geen responsplan hebt: het Digital Trust Center van het ministerie van EZ biedt gratis sjablonen die voor het MKB goed bruikbaar zijn.
4. Hoe controleert u de veiligheid van uw eigen (sub)leveranciers?
Wat ze echt vragen: de keten stopt niet bij u. Uw hostingpartij, uw softwareleveranciers en uw IT-beheerder zijn voor onze risicoanalyse net zo relevant.
Sterk antwoord: maak een simpele lijst van je kritieke leveranciers (hosting, e-mail, boekhoudsoftware, IT-beheer) en beschrijf per leverancier hoe je de veiligheid borgt: certificeringen (ISO 27001, SOC 2), verwerkersovereenkomsten, of je eigen periodieke controle. Je hoeft geen audits uit te voeren bij Microsoft — verwijzen naar hun certificeringen is precies wat de auditor verwacht.
Hoe geef je een antwoord dat de corporate auditor accepteert?
Drie principes maken het verschil tussen een vragenlijst die rondzingt tussen afdelingen en een vragenlijst die in één keer wordt geaccepteerd:
| Principe | Wat het betekent | Voorbeeld |
|---|---|---|
| Beweer niets dat je niet kunt tonen | Ieder "ja" moet een document, rapport of instelling achter zich hebben. | Scanrapport, MFA-beleid, responsplan, leverancierslijst. |
| Wees eerlijk over wat (nog) niet op orde is | Een gepland verbeterpunt met datum is acceptabel; een ontmaskerde overclaim niet. | "MFA op systeem X volgt in Q3; tot die tijd geldt IP-beperking." |
| Lever gedateerd, herhaalbaar bewijs | Een momentopname veroudert; de auditor wil zien dat je het structureel doet. | Maandelijkse scanrapportages in plaats van één pentest uit 2024. |
Het patroon achter alle vier de vragen is steeds hetzelfde: aantonen, niet beweren. En precies daarom loont het om de bewijslast niet per vragenlijst bij elkaar te zoeken, maar structureel op te bouwen. Wie maandelijks een gedateerde, onafhankelijke rapportage van zijn externe aanvalsoppervlak ontvangt, beantwoordt vraag 1 voortaan met één bijlage — en heeft voor vraag 2 en 4 meteen het bewijs dat beheerinterfaces niet open aan het internet hangen.
Conclusie
Een NIS2-leveranciersvragenlijst is geen examen waarvoor je kunt zakken, maar een kans om je te onderscheiden. De meeste van je concurrenten antwoorden met algemeenheden; de leverancier die concrete processen beschrijft en gedateerd bewijs meelevert, valt positief op bij precies de mensen die over contractverlenging beslissen.
Exposentry levert dat bewijs als dienst: maandelijkse, onafhankelijke scanrapportages van je domein en infrastructuur die je rechtstreeks als bijlage bij de vragenlijst voegt. Geen compliance-stempel — wel verdedigbare evidence van je basishygiëne, gebouwd op OpenKAT. Bekijk de pakketten en tarieven of start vandaag met een eerste scan, zodat je het rapport al hebt liggen vóór de volgende vragenlijst binnenkomt.
Krijg jij als grote organisatie juist vragenlijsten van leveranciers terug die je wilt verifiëren? Bekijk dan leveranciersmonitoring.
Geschreven door Edward Hasekamp, oprichter van Exposentry en core-maintainer van het open-source OpenKAT-project. Zie het project op GitHub en het profiel op github.com/hasecon. Exposentry levert NL-soevereine, forensisch onderbouwde vulnerability monitoring op basis van OpenKAT. Meer artikelen in de Kennisbank.