De Compliance Afdeling

NIS2-SC20 Substantial certificering

NIS2-SC20 Substantial is het gevorderde niveau van het NIS2 Supply Chain keurmerk. Het is bedoeld voor organisaties met een verhoogd risicoprofiel die leveren aan NIS2-plichtige bedrijven: denk aan IT-dienstverleners, managed serviceproviders en bedrijven met toegang tot gevoelige systemen of data van hun klanten. Met een certificering toon je aan dat je voldoet aan wat de NIS2-richtlijn verwacht van jou als leverancier op dit gebied.

Vraag nu een demo aan

Hieronder leggen we je kort uit wat de NIS2 is en gaan we specifiek in op het SC20-level. Wil je liever meer weten over de NIS2 Supply Chain zelf, inclusief de drie verschillende niveaus? Kijk dan eerst op onze algemene NIS2 Supply Chain-pagina.

Naar de NIS2 Supply Chain

De NIS2 Supply Chain in het kort

De NIS2-richtlijn is Europese wetgeving die organisaties in kritieke sectoren verplicht tot aantoonbare cybersecuritymaatregelen. Met de komst van de Cyberbeveiligingswet werkt dat door in de hele keten: ook leveranciers van NIS2-plichtige bedrijven worden steeds vaker aangesproken op hun beveiliging.

Daar komt de NIS2 Supply Chain om de hoek: een erkend cybersecuritykeurmerk waarmee leveranciers hun compliance aantoonbaar maken. Het kent drie niveaus, afgestemd op het risicoprofiel van jouw organisatie:

  • SC10 Basic

    voor mkb-bedrijven met een beperkt risicoprofiel die leveren aan NIS2-plichtige organisaties

    Naar NIS2-SC10 Basic

  • SC20 Substantial

    voor bedrijven met verhoogde risico's, zoals IT-dienstverleners en managed serviceproviders

  • SC30 High

    voor cruciale schakels in de keten waarbij een cyberincident grote gevolgen kan hebben voor de continuïteit van NIS2-plichtige organisaties

    Naar NIS2-SC30 High

NIS2-SC20 Substantial: het juiste niveau?

SC20 is het juiste niveau als jouw organisatie levert aan NIS2-plichtige organisaties en daarbij een verhoogd risicoprofiel heeft. Dat betekent: je hebt toegang tot gevoelige systemen of data, of jouw continuïteit is belangrijk voor de organisaties die op jou vertrouwen. Check of een van de situaties hieronder op jou van toepassing is.

  • Je bent IT-dienstverlener of managed serviceprovider

    Je hebt toegang tot de systemen, netwerken of data van jouw klanten. Of je nu infrastructuur beheert, complexe IT-omgevingen runt of gevoelige informatie verwerkt: jouw rol in de keten vraagt om meer dan de basismaatregelen van SC10. SC20 dekt die extra risico's af.

  • Je wilt aansprakelijkheid van bestuurders borgen

    Onder NIS2 zijn bestuurders van essentiële en belangrijke entiteiten persoonlijk aanspreekbaar bij incidenten. Als leverancier van zulke organisaties is het in jouw belang om aantoonbaar grip te hebben op cybersecurity. SC20 helpt je dat te bewijzen.

  • Een opdrachtgever vraagt om aantoonbare compliance

    Met SC20 voldoe je aan de verwachtingen van NIS2-plichtige opdrachtgevers. Het is een erkend alternatief voor organisaties die een volledig ISO 27001-traject niet nodig hebben of te zwaar vinden.

  • Je groeit door vanuit SC10 Basic

    Heb je SC10 al behaald en groeit je organisatie of verandert je risicoprofiel? Dan is SC20 de logische vervolgstap. Met een groot deel van de documentatie en maatregelen bouw je voort op wat je al hebt.

  • Je beweegt richting ISO 27001

    SC20 is een stevige tussenstap op weg naar ISO 27001. De structuur en documentatie die je opbouwt vormen een solide basis voor onder andere het ISMS.

Ligt jouw risicoprofiel hoger of ben je een cruciale schakel in de keten?

Bekijk dan de SC30 High.

Naar NIS2-SC30 High

NIS2-SC20 Substantial in de Compliance Tool

Bij de Compliance Afdeling werken we met een tweeledige aanpak: onze Compliance Officers begeleiden je, aan de hand van onze software, door het traject. Zo beantwoorden we op elk moment de juiste vragen en houd jij overzicht én inzicht.

  • Fase 1 — Nulmeting, scope en gap-analyse

    We brengen samen in kaart waar je nu staat: wat is er al geregeld en wat ontbreekt nog? We doen een nulmeting en gap-analyse ten opzichte van de SC20-vereisten. In de Compliance Tool volgen de stappen die nodig zijn voor het behalen van het SC20-keurmerk.

  • Fase 2 — Implementatie van de vereiste beveiligingsmaatregelen

    SC20 vraagt meer dan basismaatregelen. We richten samen uitgebreid risicobeheer, leveranciersmanagement, business continuity en monitoring in. De Compliance Tool helpt je dit gestructureerd op te zetten en op een gestroomlijnde manier in te vullen en bij te houden.

  • Fase 3 — Intern controleren, beoordelen en verbeteren

    Als je de taken uit de Compliance Tool hebt opgevolgd, moet je op dit punt voldoen aan de SC20-vereisten. In de tool controleer je makkelijk of alle documentatie compleet en actueel is. Eventuele afwijkingen die uit de interne audit komen los je op vóór de externe toetsing.

  • Fase 4 — Externe audit en opvolging

    Je doorloopt de externe audit. Alle documentatie staat klaar in de tool, zodat je de audit met vertrouwen ingaat. Na het ontvangen van het NIS2-SC20 Substantial keurmerk kun je ook voor de toekomst de aanpak borgen in de Compliance Tool.

Meer weten over de Compliance Tool en wat er allemaal in zit?

Naar de Compliance Tool

Veelgestelde vragen

Alles wat je wilt weten over de NIS2-SC20 Substantial. Wil je meer weten over de NIS2 Supply Chain? Kijk dan op de algemene NIS2 Supply Chain-pagina.

Wat zijn de extra eisen van SC20 ten opzichte van SC10?+

SC20 bouwt voort op de basismaatregelen van SC10, maar voegt daar extra maatregelen aan toe: uitgebreid risicobeheer, leveranciersmanagement, business continuity planning en monitoring. Met SC10 dek je de basis af, terwijl je met SC20 laat zien dat jouw organisatie cybersecurity structureel heeft ingebed en aantoonbaar beheert.

Geldt SC20 alleen voor organisaties die leveren aan NIS2-plichtige bedrijven?+

Ja. Het NIS2 Supply Chain keurmerk is in alle niveaus bedoeld voor organisaties die direct leveren aan NIS2-plichtige organisaties. SC20 is daarbinnen het niveau voor organisaties met een verhoogd risicoprofiel, wat betekent dat zij niet alleen leveren, maar ook nauwe verwevenheid hebben met de gevoelige data of systemen van hun klanten.

Wat zijn de boetes bij NIS2 non-compliance?+

In de wet wordt onderscheid gemaakt: ‘essentiële NIS2-plichtige entiteiten’ kunnen boetes krijgen tot 10 miljoen euro of 2% van de wereldwijde jaaromzet. Voor ‘belangrijke entiteiten’ geldt een maximum van 7 miljoen euro of 1,4% van de jaaromzet. Naast boetes kunnen bestuurders persoonlijk aansprakelijk worden gesteld. Als leverancier van zulke organisaties is het ook in jouw belang om aantoonbaar compliant te zijn en risico's te beperken.

Hoe verhoudt SC20 zich tot ISO 27001?+

ISO 27001 is een uitgebreidere internationale norm met 93 Annex A controls en een volledig ISMS. SC20 is specifieker gericht op de NIS2-vereisten en toegankelijker voor organisaties die nog niet klaar zijn voor een volledig ISO 27001-traject. SC20 vormt wel een stevige basis: de documentatie en processen zijn grotendeels herbruikbaar als je later door wil groeien naar ISO 27001.

Hoe lang duurt het SC20-traject?+

Gemiddeld drie tot zes maanden, afhankelijk van hoe ver je nu staat en of je al SC10 hebt behaald. Heb je SC10 al? Dan kun je voortbouwen op bestaande documentatie en gaat het sneller. We bespreken dit altijd in een eerste gesprek, zodat je een realistisch beeld hebt.

Begeleiden jullie het hele traject?+

Ja. Onze Compliance Officers begeleiden je van de nulmeting tot het keurmerk. We helpen je bij de gap-analyse, de implementatie van de SC20-maatregelen, de interne audit en de voorbereiding op de externe toetsing.

Klaar voor de NIS2-SC20 Substantial?

Met de SC20 Substantial heb je je cybersecurity aantoonbaar op orde voor jouw NIS2-plichtige klanten. Wil je weten wat er in jouw organisatie voor nodig is en hoe onze Compliance Tool je daarbij helpt? Ga tijdens een demo in gesprek met een van onze Compliance Officers of bel ons voor een afspraak.

Plan een demo