De RDI voert inspecties uit op leveranciersketenmanagement
De Rijksinspectie Digitale Infrastructuur (RDI) voert dit jaar inspecties uit naar het leveranciersketenmanagement. De inspecties richten zich op de manier waarop organisaties de digitale weerbaarheid in hun toeleveringsketens organiseren. Een thema dat, door onze afhankelijkheid van digitale ketens, de toenemende uitbesteding en geopolitieke dreigingen, steeds urgenter wordt.
Denk bijvoorbeeld aan een netwerkoperator die antennes of routers afneemt. Als de leverancier hiervan onvoldoende beveiligingsmaatregelen treft, kan dit risico’s opleveren voor de integriteit en vertrouwelijkheid van het netwerk van de operator.
We raden bedrijven dan ook aan om zelf te beoordelen hoe adequaat de leveranciersketenbeheer is ingericht. Een goede voorbereiding is niet alleen noodzakelijk om aan de wet te voldoen, maar vooral om weerbaarder te zijn in een steeds complexer digitaal landschap.
Waarom leveranciersketens?
Onze economie en maatschappij zijn in toenemende mate afhankelijk van digitale ketens waarin organisaties, leveranciers en andere partners met elkaar verweven zijn. Die onderlinge afhankelijkheid biedt economische voordelen en ruimte voor innovatie, maar maakt ook kwetsbaar. Eén verstoring bij een leverancier, of diens onderaannemer, kan leiden tot grootschalige uitval van diensten, maatschappelijke ontwrichting of economische schade.
Daarom is het cruciaal dat organisaties zicht hebben op hun digitale afhankelijkheden en risico’s actief beheersen, zowel binnen de eigen organisatie als in de gehele keten.
Ook zonder inspectie: ga zelf aan de slag
Met deze inspecties wil de RDI de naleving van de wettelijke zorgplicht bevorderen en inzicht krijgen in de huidige stand van zaken. Ook organisaties die (vooralsnog) niet worden geïnspecteerd, doen er verstandig aan om hun leveranciersketenmanagement kritisch te beoordelen.
De Cyberbeveiligingswet, als implementatie van de Europese NIS2-richtlijn, zal straks ook extra aandacht geven aan ketenbeheer. Denk aan het stellen van duidelijke beveiligingseisen aan leveranciers, het maken van afspraken over verantwoordelijkheden, afspraken bij beëindiging van overeenkomsten en het structureel monitoren van risico’s.
Wat kunt u verwachten?
De RDI toetst tijdens deze inspecties op bestaande wetgeving, zoals de Wet beveiliging netwerk- en informatiesystemen (Wbni), eIDAS-verordening (vertrouwensdiensten en elektronische identiteiten) en de Telecommunicatiewet. We kijken onder andere naar het gebruik van clouddiensten in kritieke infrastructuren en het leveranciersbeheer rond essentiële netwerkdiensten. Denk aan onderwerpen als:
- Heeft de organisatie inzicht in haar leveranciers en hun onderaannemers?
- Zijn er contractuele afspraken over cybersecurity en verantwoordelijkheden?
- Is de monitoring goed ingericht?
Zie de bijlage voor inzicht in het normenkader voor de inspecties op basis van de Wbni.
Wat leveren de inspecties op?
Naast het stimuleren van noodzakelijke verbeteringen tijdens inspecties, deelt de RDI in de eerste helft van 2026 de belangrijkste bevindingen met de gehele sector, inclusief aandachtspunten en best practices. Hiermee willen we ook organisaties bereiken die niet direct zijn geïnspecteerd, zodat de hele keten sterker en weerbaarder wordt.
Kortom: wacht niet af
Beoordeel vandaag nog hoe adequaat uw organisatie het leveranciersketenbeheer heeft ingericht. Een goede voorbereiding is niet alleen noodzakelijk om aan de wet te voldoen, maar vooral om weerbaarder te zijn in een steeds complexer digitaal landschap.