Ketenverantwoordelijkheid in de praktijk

Ketenverantwoordelijkheid onder de CBW 2026

Ketenverantwoordelijkheid betekent dat je niet alleen je eigen maatregelen op orde hebt, maar ook actief stuurt op risico bij leveranciers en dienstverleners. Je maakt keuzes op basis van kritikaliteit, legt eisen vast, controleert aantoonbaar, en je regelt vooraf wat er gebeurt bij een incident of uitval. Dit is geen extra laag papier. Dit is governance, contracten en bewijsvoering die werkt op maandbasis.

Start met het stappenplan Pak het bewijs erbij Gebruik de templates

Kritikaliteit bepaalt diepgang

Contracten plus controle

Incident afspraken vooraf

Aantoonbaarheid voor toezicht

Snelle interne links

Leveranciers en keten Leveranciersrisico’s en audits plus ketenbeveiliging.

Bewijs en aantoonbaarheid Documentatieplicht als fundament voor toezicht.

Risico en monitoring Risicoanalyse uitvoeren en monitoring om te prioriteren.

Wat toezicht meestal wil zien

Leveranciersregister plus classificatie Wie is kritisch, welke data en toegang, welke afhankelijkheid per proces.

Contracteisen en audit trail Welke eisen gelden, hoe je controleert, en welke acties je afdwingt.

Exit en continuiteit Hoe je doorwerkt bij uitval, plus herstelafspraken en escalatie.

Afbeelding plek voeg zelf toe
Visual idee: drie lagen ketensturing governance contract controle continuiteit

Tip Zet hier een visual met drie blokken: selectie en eisen, monitoring en audits, incident en exit.

Wat ketenverantwoordelijkheid echt betekent

Ketenverantwoordelijkheid is de bestuurlijke en operationele plicht om risico in de toeleveringsketen actief te beheersen. In de NIS2 logica gaat het expliciet om beveiliging in relaties met leveranciers en dienstverleners, en om hoe die relaties jouw risico vergroten of beperken. [oai_citation:0‡Officiële Bekendmakingen](https://www.officielebekendmakingen.nl/stcrt-2025-19086.html)

Waarom dit in de wet zit

Veel incidenten ontstaan niet door je eigen firewall, maar via software, cloud, beheerpartijen, koppelingen en subleveranciers. Daarom benoemt de wet expliciet maatregelen rond supply chain security, inclusief relaties met directe leveranciers en dienstverleners. [oai_citation:1‡Officiële Bekendmakingen](https://www.officielebekendmakingen.nl/stcrt-2025-19086.html)

Het risico is gedeeldJouw continuiteit hangt af van ketenpartijen.
De oplossing is bestuurbaarKritikaliteit, eisen, controle, herstel, exit.

Het verschil met ketenbeveiliging

Ketenbeveiliging gaat over de inhoud van maatregelen en controles bij leveranciers. Ketenverantwoordelijkheid gaat over sturing: wie beslist, welk ritme, welke drempels, en welk bewijs. Als je die sturing niet regelt, blijft leveranciersbeheer een losse lijst zonder impact. Gebruik daarom ook de pagina leveranciers en ketenbeveiliging als verdieping op de inhoud.

Reality check

Als jouw cloud leverancier morgen uitvalt of wordt aangevallen, weet je dan wie beslist, welke communicatie uitgaat, en welke technische routes je hebt.

Juridische kern in gewone taal

De wet verwacht dat je passende en evenredige maatregelen treft, waaronder expliciet maatregelen rond supply chain security en beveiliging in relaties met leveranciers en dienstverleners, inclusief directe leveranciers. [oai_citation:2‡Officiële Bekendmakingen](https://www.officielebekendmakingen.nl/stcrt-2025-19086.html)

De rolverdeling die je nodig hebt

Ketenverantwoordelijkheid faalt bijna altijd door onduidelijk eigenaarschap. Je wil daarom een simpele rolverdeling met vaste momenten. Dit sluit aan bij hoe NCSC leveranciersrisico benadert: je moet het proces inrichten, niet alleen de documenten. [oai_citation:3‡Arba Security](https://arbasecurity.com/blog/supply-chain-security-in-nis-2/)

Vier rollen die altijd moeten bestaan

Business ownerIs eigenaar van het proces en de impact bij uitval.
Supplier ownerBeheert de relatie, contracten, afspraken, escalatie.
Security en riskDefinieert eisen, reviewt bewijs, toetst uitzonderingen.
BestuurStelt risicobereidheid vast en fiatteert uitzonderingen.

Het ritme dat werkt

Je maakt ketensturing meetbaar. Niet met een jaarlijkse audit, maar met een vast ritme dat risico, wijzigingen en incidenten opvangt.

MaandelijksStatus kritieke leveranciers, open acties, uitzonderingen.
Per kwartaalHerclassificatie kritikaliteit en review bewijs per top leveranciers.
JaarlijksOefening met ketenscenario plus update exit en continuiteit.

Koppeling met documentatieplicht

Dit ritme levert automatisch bewijs op. Daardoor wordt ketenverantwoordelijkheid een meetbaar proces in plaats van losse pdf bestanden. Leg dit vast volgens documentatieplicht.

Stappenplan ketenverantwoordelijkheid in 10 stappen

Dit is het praktische plan dat je kunt uitvoeren. Het sluit aan op de wettelijke gedachte achter supply chain security maatregelen en leveranciersrelaties. [oai_citation:4‡Officiële Bekendmakingen](https://www.officielebekendmakingen.nl/stcrt-2025-19086.html)

Fase 1 inzicht en prioriteit

1 Maak een leveranciersregisterWelke leverancier levert wat, welke data, welke koppelingen, welke toegang, welke afhankelijkheid.
2 Classificeer kritikaliteitGebruik drie niveaus: kritisch, belangrijk, ondersteunend. Koppel dit aan impact op kernprocessen.
3 Koppel aan je risicoanalyseZet leveranciers expliciet in je risicoanalyse en monitoring aanpak. Start eventueel bij risicoanalyse uitvoeren.

Fase 2 eisen en afspraken

4 Stel minimale eisen vastIncidentmelding, logging afspraken, toegang en identity, patching, subleveranciers, auditrechten, herstelafspraken.
5 Leg het contractueel vastMaak eisen afdwingbaar, inclusief termijn voor oplossen, en escalatie bij non compliance.
6 Regel ketenincident samenwerkingWie meldt wat, aan wie, binnen welke tijd. Koppel dit aan je incidentmelding proces. Zie ook cyberincident melden.

Fase 3 controle en bewijs

7 Kies een controle methode per niveauKritisch: periodieke review, audit of attest plus technische checks. Belangrijk: review vragenlijst plus bewijs. Ondersteunend: basis check.
8 Bewaak toegang en wijzigingenLeg vast wie toegang heeft, wanneer die wordt herzien, en hoe wijzigingen in scope of dienst worden verwerkt.
9 Documenteer aantoonbaarZorg dat elke review een datum, conclusie, risico en actie heeft. Dit is direct bruikbaar voor documentatieplicht.

Fase 4 continuiteit en exit

10 Maak een exit en herstelplanVoor kritieke leveranciers: alternatieven, data export, overdracht, tijdelijke werkprocessen, en herstel tijdslijnen.
Oefen een ketenscenarioMinimaal jaarlijks: uitval of incident bij leverancier plus communicatie en besluitvorming.
Verwerk lessons learnedMaak verbeteracties met eigenaar en deadline, en herhaal het ritme.

Waar dit direct aansluit op jouw andere pagina’s

Gebruik deze pagina als rol en governance pagina. Laat de inhoudelijke verdieping over eisen, audits en leveranciersmaatregelen op leveranciersrisico’s en audits en leveranciers en ketenbeveiliging staan. Zo herhaal je niet alles en bouw je een sterke pillar structuur.

Evidence wat je klaar wil hebben voor ketenverantwoordelijkheid

Dit is de bewijslaag die je in audits en toezicht vragen terugziet. Het sluit aan op het idee dat je niet alleen maatregelen treft, maar ook kunt aantonen dat je supply chain security beheerst in relaties met leveranciers en dienstverleners. [oai_citation:5‡Officiële Bekendmakingen](https://www.officielebekendmakingen.nl/stcrt-2025-19086.html)

Minimaal bewijs per kritieke leverancier

Contract eisen setIncidentmelding, auditrechten, subleveranciers, logging en toegang afspraken.
Review bewijsJaarlijkse review met conclusie, risico en acties, plus opvolging.
Continuiteit en exitHerstelafspraken en route om te wisselen zonder bedrijfsstilstand.
ToegangsoverzichtWelke accounts, welke rechten, hoe vaak herzien, en hoe je uitzet.

Incident samenwerking bewijs

Voor ketenincidenten wil je aantonen dat de route vooraf is geregeld. Denk aan classificatie, beslisbevoegdheid en communicatie. Voor meldroutes kun je ook de overheidsroute raadplegen via DTC en sectorale meldpunten. [oai_citation:6‡Cbw2026](https://cbw2026.nl/)

ContactpuntenPrimair en secundair bij jullie en bij leverancier.
Termijnen en drempelsWanneer moet leverancier melden, en wanneer escaleren jullie.
OefenlogScenario, deelnemers, beslissingen, verbeteracties.

Slim combineren met bestaande CBW pagina’s

Alles wat je hier aan bewijs opbouwt, kun je ook hergebruiken voor je algemene verplichtingen en maatregelen pagina’s. Begin bij belangrijkste verplichtingen en verplichte beveiligingsmaatregelen.

Templates die je direct kunt kopieren en invullen

Dit zijn compacte templates zodat je ketenverantwoordelijkheid direct kunt organiseren. Ze sluiten aan op de eisen rond leveranciersrelaties en supply chain security. [oai_citation:7‡Officiële Bekendmakingen](https://www.officielebekendmakingen.nl/stcrt-2025-19086.html)

Template 1 leveranciersclassificatie

Leveranciersclassificatie

Leverancier:
Dienst:
Business owner:
Supplier owner:

Data en toegang
- Data type:
- Toegang type:
- Koppelingen:
- Admin toegang ja nee:

Impact
- Kernproces geraakt:
- Impact per uur:
- RTO doel:
- RPO doel:

Kritikaliteit
- Niveau: kritisch belangrijk ondersteunend
- Motivatie:

Controle aanpak
- Bewijs gevraagd:
- Frequentie:
- Acties en eigenaar:

Status
Gebruik kopieer om te plakken in je register.

Template 2 contracteisen checklist

Contracteisen keten

Incidentmelding en samenwerking
- Meldtermijn:
- Contactpunten:
- Evidence en logging:
- Ondersteuning onderzoek:

Toegang en identity
- MFA verplicht:
- Least privilege:
- Toegang review frequentie:
- Beheer van admin accounts:

Beveiliging en changes
- Patch en update afspraken:
- Hardening baseline:
- Kwetsbaarheid melding proces:

Audit en assurance
- Auditrecht:
- Rapportages toegestaan:
- Subleveranciers verplichtingen:

Continuiteit en exit
- Hersteltermijnen:
- Data export:
- Overdracht en beëindiging:
- Escalatie en boetes:

Status
Gebruik kopieer om te plakken bij contractreview.

Template 3 kwartaalrapportage voor bestuur

Dit is een simpele management samenvatting. Het helpt om ketenrisico bestuurlijk te sturen, zoals de wet bedoelt met aantoonbaarheid en governance. [oai_citation:8‡Officiële Bekendmakingen](https://www.officielebekendmakingen.nl/stcrt-2025-19086.html)

Ketenrisico kwartaalrapportage

1 Overzicht
- Aantal kritieke leveranciers:
- Aantal open high acties:
- Aantal uitzonderingen op eisen:
- Grootste top 3 ketenrisico's:

2 Status kritieke leveranciers
- Leverancier A status en acties:
- Leverancier B status en acties:
- Leverancier C status en acties:

3 Incidenten en lessons learned
- Incidenten bij leveranciers:
- Impact op onze dienstverlening:
- Verbeteracties en eigenaar:

4 Besluiten gevraagd
- Risico acceptatie of investering:
- Contractverlenging onder voorwaarden:
- Exit traject starten ja nee:

Status
Gebruik kopieer om te plakken in je bestuur update.

Checklist ketenverantwoordelijkheid

Vink aan wat echt staat en werkt. Deze checklist helpt je de governance laag te borgen, terwijl de inhoudelijke leverancierseisen op de ketenpagina’s staan. Voor guidance rond leveranciersrisico en beheersmaatregelen kun je ook NCSC gebruiken als referentie. [oai_citation:9‡Arba Security](https://arbasecurity.com/blog/supply-chain-security-in-nis-2/)

Governance en ritme

Rolverdeling vastBusiness owner, supplier owner, security en risk, bestuur.
KwartaalrapportageTop risico’s, open acties, uitzonderingen, besluiten.
Uitzonderingen procesWie mag afwijken van eisen en hoe lang, met compensatie maatregelen.
Oefening ketenscenarioMinimaal jaarlijks met verbeteracties.

Register en controle

Leveranciersregister compleetDienst, data, toegang, koppelingen, eigenaar, kritikaliteit.
Contracteisen vastIncident, audit, subleveranciers, toegang, herstel, exit.
Controle methode per niveauDiepgang passend bij risico en impact.
Actielijst en opvolgingElk issue heeft eigenaar, deadline en status.

Slimme vervolgstap

Als je deze checklist rond hebt, ga je door naar de inhoudelijke verdieping op leveranciersrisico’s en audits. Daar kun je de technische en contractuele eisen per situatie uitwerken zonder deze pagina te laten ontsporen. Link hierheen vanaf leveranciersrisico’s en audits als rol pagina.

Veelgestelde vragen

Dit zijn de vragen die in gesprekken met bestuur, leveranciers en auditors vaak terugkomen.

Moet ik elke leverancier even diep beoordelen

Nee. Je werkt met kritikaliteit en impact. Voor kritieke leveranciers wil je diepere afspraken en periodieke controle. Voor ondersteunende leveranciers volstaat vaak een lichtere aanpak. Dit is juist de kern van passend en evenredig.

Wat is het minimale dat ik contractueel moet vastleggen

Leg minimaal vast: incidentmelding en samenwerking, toegang en identity, basis beveiliging en change afspraken, audit en assurance, en continuiteit plus exit. Dit sluit aan op het idee dat supply chain security onderdeel is van je maatregelenpakket. [oai_citation:10‡Officiële Bekendmakingen](https://www.officielebekendmakingen.nl/stcrt-2025-19086.html)

Hoe toon ik ketenverantwoordelijkheid aan zonder enorme documentatie

Zorg dat je proces sporen achterlaat: register, classificatie, contracteisen, reviews met conclusies, acties met opvolging, en een ritme van rapportage. Dat is aantoonbaarheid. Bouw het volgens documentatieplicht.

Bronnen en officiële referenties

Voor keten en leveranciersmaatregelen kun je omlaag naar bronnen. Daar staan de belangrijkste overheids en NCSC referenties die ketensturing en leveranciersrisico onderbouwen. [oai_citation:11‡Officiële Bekendmakingen](https://www.officielebekendmakingen.nl/stcrt-2025-19086.html)

Bronnen die je kunt gebruiken in beleid en audits

Hieronder staan bronnen van overheid en nationale instanties die ketenverantwoordelijkheid en supply chain security onderbouwen, inclusief de verwijzing naar maatregelen rond relaties met leveranciers en dienstverleners. [oai_citation:12‡Officiële Bekendmakingen](https://www.officielebekendmakingen.nl/stcrt-2025-19086.html)

Wet en verplichtingen

Supply chain security maatregelenIn de wetgevingsdocumenten wordt expliciet verwezen naar supply chain security en beveiliging in relaties met leveranciers en dienstverleners, inclusief directe leveranciers. [oai_citation:13‡Officiële Bekendmakingen](https://www.officielebekendmakingen.nl/stcrt-2025-19086.html)

Praktische guidance

NCSC over leveranciersrisicoNCSC beschrijft hoe je third party risk en leveranciersrisico structureel beheerst. [oai_citation:14‡Arba Security](https://arbasecurity.com/blog/supply-chain-security-in-nis-2/)
NCSC over keten en supply chainNCSC behandelt supply chain als onderdeel van een bredere beveiligingsaanpak. [oai_citation:15‡wetgevingskalender.overheid.nl](https://wetgevingskalender.overheid.nl/Regeling/WGK014627/Download/9248e519-467c-4323-873a-2dcdd47d3948_1.pdf)
DTC incident informatieVoor meldroutes en voorbereiding kun je de incident informatie en stappen raadplegen. [oai_citation:16‡NCSC](https://www.ncsc.nl/toeleveringsketen/ketenbeveiliging-good-practices)

Interne routing tip: link vanaf leveranciersrisico’s en audits naar deze pagina voor rol en governance, en link vanaf deze pagina terug naar leveranciers en ketenbeveiliging voor de inhoudelijke eisen. Zo blijft alles volwaardig, zonder herhaling.