NIS2-SC30 High certificering
NIS2-SC30 High is het hoogste niveau van het NIS2 Supply Chain keurmerk. Het is bedoeld voor organisaties die een cruciale schakel vormen in de keten en direct leveren aan NIS2-plichtige organisaties: bedrijven waarbij een cyberincident niet alleen hun eigen continuïteit raakt, maar ook direct grote gevolgen heeft voor de organisaties die op hen vertrouwen. Met SC30 toon je aan dat jouw cyberweerbaarheid het zwaarste risicoprofiel aankan en dat je op dagelijkse basis actief maatregelen neemt.
Vraag nu een demo aanHieronder leggen we je kort uit wat de NIS2 is en gaan we specifiek in op het SC30-high level. Wil je liever meer weten over de NIS2 Supply Chain zelf, inclusief de drie verschillende niveaus? Kijk dan eerst op onze algemene NIS2 Supply Chain-pagina.
Naar de NIS2 Supply ChainDe NIS2 Supply Chain in het kort
De NIS2-richtlijn is Europese wetgeving die organisaties in kritieke sectoren verplicht tot aantoonbare cybersecuritymaatregelen. Met de komst van de Cyberbeveiligingswet werkt dat door in de hele keten: ook leveranciers van NIS2-plichtige bedrijven worden steeds vaker aangesproken op hun beveiliging.
Daar komt de NIS2 Supply Chain om de hoek: een erkend cybersecuritykeurmerk waarmee leveranciers hun compliance aantoonbaar maken. Het kent drie niveaus, afgestemd op het risicoprofiel van jouw organisatie:
SC10 Basic
voor mkb-bedrijven met een beperkt risicoprofiel die leveren aan NIS2-plichtige organisaties
Naar NIS2-SC10 BasicSC20 Substantial
voor bedrijven met verhoogde risico's, zoals IT-dienstverleners en managed serviceproviders
Naar NIS2-SC20 SubstantialSC30 High
voor cruciale schakels in de keten waarbij een cyberincident grote gevolgen kan hebben voor de continuïteit van NIS2-plichtige organisaties
NIS2-SC30 High: het juiste niveau?
SC30 is het juiste niveau als jouw organisatie een cruciale rol speelt in de toeleveringsketen van NIS2-plichtige bedrijven. Dat houdt in dat een incident bij jou niet alleen jouw eigen bedrijfsvoering raakt, maar directe gevolgen heeft voor de continuïteit van de organisaties die van jou afhankelijk zijn. Check of een van de situaties hieronder op jou van toepassing is.
Je bent een kritieke leverancier van NIS2-plichtige organisaties
Jouw dienstverlening is onmisbaar voor de bedrijfsvoering van jouw klanten. Uitval of een incident bij jou heeft directe gevolgen voor hun continuïteit. SC30 bewijst dat jij die verantwoordelijkheid op het hoogste niveau invult en dat jouw ketenbeveiliging aantoonbaar op orde is.
Je bent zelf NIS2-plichtig en levert diensten aan andere NIS2-organisaties
Organisaties die zelf als essentiële of belangrijke entiteit onder de Cyberbeveiligingswet vallen (denk aan energie, transport, digitale infrastructuur of gezondheidszorg) en daarnaast ook diensten leveren aan andere NIS2-plichtige organisaties, hebben SC30 als minimumniveau voor die leveranciersrol.
Je beheert kritieke systemen of infrastructuur van je klanten
Beheer je netwerkinfrastructuur, cloudplatforms of andere systemen waarvan essentiële dienstverlening direct afhankelijk is? Dan heeft een incident bij jou potentieel maatschappelijke gevolgen. Voor jouw organisatie gelden de zwaarste eisen aan detectie, respons en monitoring. Hieraan kun je voldoen met een NIS2-keurmerk op SC30 level.
Een opdrachtgever vraagt om een SC30-certificaat
De cybersecuritywet speelt een belangrijke rol bij aanbestedingen of contractverlengingen van NIS2-plichtige bedrijven voor hun meest kritieke leveranciers. Voor jouw klant blijf je met een SC30-certificering een vanzelfsprekende keuze als partner.
Je groeit door vanuit SC20 Substantial
Heb je SC20 al behaald en is jouw rol in de keten verder gegroeid of zwaarder geworden? Dan is SC30 de logische vervolgstap. De documentatie en maatregelen die je al hebt opgebouwd vormen een stevige basis.
Twijfel je of SC30 het juiste niveau is voor jouw organisatie?
Bekijk het volledige overzicht met alle drie de niveaus via de NIS2 Supply Chain-pagina.
Naar NIS2 Supply ChainNIS2-SC30 High in de Compliance Tool
Bij de Compliance Afdeling werken we met een tweeledige aanpak: onze Compliance Officers begeleiden je, aan de hand van onze software, door het traject. Zo beantwoorden we op elk moment de juiste vragen en houd jij overzicht én inzicht.
Fase 1 — Nulmeting, scope en gap-analyse
We brengen samen in kaart waar je nu staat: wat is er al geregeld en wat ontbreekt nog ten opzichte van de SC30-vereisten? We doen een nulmeting en uitgebreide gap-analyse. In de Compliance Tool volgen de stappen die nodig zijn voor het behalen van het SC30-keurmerk.
Fase 2 — Implementatie van de vereiste beveiligingsmaatregelen
SC30 stelt de zwaarste eisen. We richten samen geavanceerd risicobeheer, ketenbeveiliging, monitoring, detectie en respons op incidenten in. De Compliance Tool helpt je dit gestructureerd op te zetten, aantoonbaar bij te houden en continu te verbeteren.
Fase 3 — Intern controleren, beoordelen en verbeteren
Als je de taken uit de Compliance Tool hebt opgevolgd, moet je op dit punt voldoen aan de SC30-vereisten. In de tool controleer je makkelijk of alle documentatie compleet en actueel is. Eventuele afwijkingen die uit de interne audit komen los je op vóór de externe toetsing.
Fase 4 — Externe audit en opvolging
Je doorloopt de externe audit, uitgevoerd door een erkende Certificerende Instantie. Alle documentatie staat klaar in de tool, zodat je de audit met vertrouwen ingaat. Na het ontvangen van het NIS2-SC30 High keurmerk kun je ook voor de toekomst de aanpak borgen in de Compliance Tool.
Meer weten over de Compliance Tool en wat er allemaal in zit?
Naar de Compliance ToolVeelgestelde vragen
Alles wat je wilt weten over de NIS2-SC30 High. Wil je meer weten over de NIS2 Supply Chain? Kijk dan op de algemene NIS2 Supply Chain-pagina.
Wat zijn de extra eisen van SC30 ten opzichte van SC20?+−
SC30 bouwt voort op de uitgebreide maatregelen van SC20, maar stelt zwaardere eisen aan ketenbeveiliging, monitoring en detectie. Waar SC20 aantoont dat jouw cybersecurity structureel op niveau is, laat SC30 zien dat maatregelen ook consistent worden uitgevoerd, gemonitord en aantoonbaar effectief zijn in de dagelijkse praktijk. Dat is dus een extra pakket aan maatregelen, met meer impact op de day-to-day processen.
Geldt SC30 ook voor organisaties die zelf onder NIS2 vallen?+−
Ja. Organisaties die zelf als essentiële of belangrijke entiteit registratieplichtig zijn onder de Cyberbeveiligingswet (denk aan bedrijven in energie, transport, digitale infrastructuur, financiën of gezondheidszorg) en daarnaast óók diensten leveren aan andere NIS2-plichtige organisaties, hebben SC30 als minimumniveau voor die leveranciersrol. SC30 is voor hen dus niet alleen een keuze, maar een logische invulling van hun verantwoordelijkheid in de keten.
Moet de externe audit voor SC30 door een speciale instantie worden uitgevoerd?+−
Ja. SC30 mag alleen worden getoetst door een erkende Certificerende Instantie (CI). Niet elke auditpartij is daarvoor bevoegd. Wij begeleiden je bij de voorbereiding op de externe toetsing en zorgen dat je documentatie klaarstaat. De toetsing zelf wordt door een erkende CI uitgevoerd.
Hoe verhoudt SC30 zich tot ISO 27001?+−
ISO 27001 is de brede, internationale norm voor informatiebeveiliging. SC30 richt zich specifiek op de NIS2-vereisten voor de hoogste risicoklasse in de toeleveringsketen. De twee zijn complementair: SC30 bewijst jouw positie als kritieke schakel in de keten, ISO 27001 bewijst de breedte van jouw beveiligingsaanpak. Heb je al een ISO 27001-certificering? Dan is de stap naar SC30 aanzienlijk kleiner.
Hoe lang duurt het SC30-traject?+−
Dat hangt sterk af van je huidige volwassenheid en of je al SC20 hebt behaald. Heb je SC20 al? Dan bouw je voort op bestaande documentatie en maatregelen en gaat het een stuk sneller. We bespreken dit altijd in een eerste gesprek, zodat je een realistisch beeld hebt van de planning.
Begeleiden jullie het hele traject?+−
Ja. Onze Compliance Officers begeleiden je van de nulmeting tot het keurmerk. We helpen je bij de gap-analyse, de implementatie van de SC30-maatregelen, de interne audit en de voorbereiding op de externe toetsing door een erkende Certificerende Instantie.
Klaar voor de NIS2-SC30 High?
SC30 High is hét bewijs dat jouw organisatie ook de zwaarste cybersecurityeisen aankan. Wil je weten wat er in jouw organisatie voor nodig is en hoe onze Compliance Tool je daarbij helpt? Ga tijdens een demo in gesprek met een van onze Compliance Officers of bel ons voor een afspraak.