Datagedreven besluitvorming: NIS-2-proof contractmanagement
De Cyberbeveiligingswet komt eraan en gaat naar verwachting per 1 juli 2026 in werking. Voor zorgaanbieders en organisaties in de publieke sector is dat geen reden tot paniek, maar wel een goed moment om iets te doen wat al langer op de agenda staat: je leveranciers écht op orde krijgen.
Door Stephan Simons, directeur bij GRIP Facility
Want organisaties die hun contractmanagement goed inrichten, hebben de supply chain en governance van NIS-2 al grotendeels op orde. Dat is geen toeval. NIS-2 vraagt precies wat goede contractmanagement-discipline al jaren vraagt: per leverancier weten wat er is afgesproken, wat er wordt nageleefd en welke acties openstaan.
Wat datagedreven besluitvorming écht betekent
In contractmanagement gaat het niet om de dashboards vol grafieken die niemand leest. Het gaat om de vraag: wat weet je op dit moment, per leverancier, over wat er is afgesproken en of dat wordt nagekomen? Dat gat zit niet in de intentie, maar in de structuur. En structuur is iets wat je kunt bouwen.
Datagedreven besluitvorming begint dus met één overzicht per leverancier: afspraken, KPI's, acties, audits en certificaten. Niet als compliance project ernaast, maar als onderdeel van hoe je dagelijks werkt.
Drie stappen om vandaag mee te beginnen
Je hoeft NIS-2 niet in één keer op te lossen. Wat werkt, is een stap-voor-stap aanpak die aansluit op je bestaande contractcyclus. Begin met inventariseren. Welke leveranciers hebben fysieke of digitale toegang tot kritieke systemen of zones? Denk niet alleen aan IT-leveranciers, maar ook aan beveiliging, onderhoud en schoonmaak in gevoelige omgevingen. Die partijen worden in de meeste NIS-2-discussies over het hoofd gezien, maar hebben vaak net zo veel toegang als je softwareleveranciers.
Controleer daarna per contract of beveiligingseisen, KPI's, auditrecht en incidentrapportage expliciet zijn vastgelegd én actueel zijn. Wie dat op orde heeft, kan bij een audit direct laten zien wat er is afgesproken en wat er wordt nageleefd.
Stel ten slotte een ritme in: vaste momenten voor leveranciersoverleg, certificaatverloop en actie-opvolging. Niet als project, maar als vast onderdeel van je contractcyclus.
De verbinding met NIS-2
Wie zijn contractmanagement op deze manier inricht, heeft het leveranciers- en governance-deel van NIS-2 al grotendeels gedekt. Geen aparte compliance-administratie, geen dubbele invoer. Eén plek waar je per leverancier kunt aantonen wat er is afgesproken en wat er wordt nageleefd. In het GRIP-platform bouwen we hier momenteel een NIS-2-specifieke doorsnede op: in één overzicht zien welke contracten onder NIS-2 vallen en wat de status per leverancier is.
