Cybersecurity, ketenverantwoordelijkheid en het risico van niet-Europese leveranciers
De nieuwe Europese NIS2-richtlijn verplicht publieke organisaties vanaf oktober 2024 tot strengere eisen op het gebied van digitale veiligheid. Voor inkoop betekent dat niet alleen een technische uitdaging, maar ook een juridische én strategische.
Want hoe zorg je dat jouw aanbesteding of contract voldoet aan de normen, terwijl je werkt met externe leveranciers, clouddiensten of ketenpartners?
Wat vraagt NIS2 concreet?
Voor inkopers en contractmanagers betekent dit vooral:
- Leveranciers moeten hun digitale weerbaarheid kunnen aantonen;
- Incidenten (zoals datalekken) moeten gemeld worden, óók in de keten;
- Je moet structureel aandacht besteden aan risico’s in IT, communicatie en gegevensverwerking;
Kortom: cybersecurity wordt een contractvoorwaarde, geen bijlage meer.
Het ketenrisico: wat als jouw leverancier in Amerika zit?
Een belangrijk aandachtspunt in het kader van NIS2 is de juridische bescherming van data. Europese wetgeving (GDPR) biedt stevige waarborgen, maar die zijn in veel landen buiten de EU, zoals de VS, niet gelijkwaardig.
Amerikaanse leveranciers kunnen door hun nationale wetgeving (zoals de Cloud Act) verplicht worden om gegevens af te staan aan hun overheid, zónder dat jij of je organisatie dat tegen kunt houden. Zelfs als die gegevens op Europese servers staan.
Dat betekent dat samenwerking met Amerikaanse techbedrijven (zoals Amazon, Google, Microsoft) mogelijk conflicteert met NIS2-doelstellingen, tenzij aanvullende contractuele en technische maatregelen worden getroffen.
Wat kun je als inkoper nu al doen?
- Stel duidelijke eisen aan digitale veiligheid en databeheer
- Vraag expliciet naar opslaglocatie, eigendom en juridische zeggenschap over data
- Werk met DPIA’s en informatieveiligheidstoetsen bij aanbestedingen met IT-componenten
- Betrek je CISO, privacy officer en jurist al in de specificatiefase
- Overweeg Europese alternatieven als de risico’s te groot zijn
Van procedure naar digitale verantwoordelijkheid
NIS2 is geen los dossier voor je ICT-afdeling het raakt direct aan jouw rol als inkoper of contractmanager. Het vraagt om bewustwording, documentatie en keuzes. Niet alleen om compliant te zijn, maar om publieke waarde ook in de digitale wereld te blijven waarborgen.
Wil je hulp bij het opnemen van NIS2-gerelateerde eisen in je aanbesteding of contract? Of een second opinion op een aanbestedingsdossier met cloudcomponenten? Meester Inkoop kijkt graag met je mee.
