Cyberwetgeving voor kritieke infrastructuur bepaalt straks wie je mag inkopen

Samenvatting

Nieuwe wetgeving aan beide kanten van de Atlantische Oceaan maakt sommige leveranciers die je nu gebruikt straks illegaal.

De herziene EU Cybersecurity Act, NIS2, DORA en de Cyber Resilience Act zijn geen aanbevelingen. Ze zijn bindend. Ze benoemen specifieke leverancierscategorieën, stellen uitfaseringstermijnen vast en leggen persoonlijke aansprakelijkheid bij bestuurders die die termijnen missen.

De Amerikaanse National Cyber Strategy gaat dezelfde kant op: adversary technology buiten kritieke infrastructuur, sector voor sector.

Wie zijn supply chain nog niet in kaart heeft, zijn high-risk afhankelijkheden niet kent, of geen exitplan heeft, loopt al achter. Wie nu begint, stuurt een geplande transitie. Wie wacht, doet straks een noodwissel op andermans tijdlijn.

Het venster om zelf de regie te houden staat open. Maar niet voor altijd.

Wat is cyberwetgeving voor kritieke infrastructuur, en waarom is dit relevant?

Cyberwetgeving voor kritieke infrastructuur stelt verplichte beveiligingseisen voor sectoren waar uitval ernstige schade veroorzaakt: energie, telecom, zorg, financiële dienstverlening, transport.

Wat nieuw is, zijn niet de regels. Het zijn de consequenties.

Voor het eerst verschuift EU-recht van vrijblijvende richtlijnen naar afdwingbare verplichtingen, met de herkomst van je supply chain als centraal thema. Het gaat niet meer alleen om hoe je je omgeving beveiligt. Het gaat om bij wie je voor kritieke functies mag inkopen.

Voor CISOs en inkoopverantwoordelijken verandert dit de afweging bij elke leveranciersbeslissing van het afgelopen decennium.

Waarom deze wetgeving er is: de dreiging die het afdwong

In een Threat Talks-aflevering eerder dit jaar zei Bart Groothuis (Europarlementariër en rapporteur van NIS2) het kort maar krachtig:

“Je bent altijd één software-update verwijderd van een ramp.”

— Bart Groothuis, MEP, Threat Talks maart 2026

Het Huawei-debat draaide jarenlang om de vraag of er al verborgen backdoors aanwezig waren. Dat was de verkeerde vraag. Met honderden miljoenen regels code in één router voeg je een toekomstige backdoor gewoon toe via een software-update. Broncodeaudits lossen dat niet op.

China’s National Intelligence Law van 2017 verplicht elk Chinees bedrijf, overal ter wereld, op verzoek met de Chinese staat samen te werken. Dat is een structureel risico, geen technisch. Het bestaat ongeacht hoe het product er vandaag uitziet.

Groothuis noemde een getal dat elke energiesectorleider wakker zou moeten houden: Huawei beheert omvormersinfrastructuur goed voor meer dan 200 gigawatt aangesloten op Europese energienetten. Chinese onderzoeksuniversiteiten publiceerden open-source studies over het veroorzaken van stroomstoringen in Europese elektriciteitsmarkten. De afhankelijkheid is reëel. De gedocumenteerde interesse in het benutten ervan ook.

Aan de Amerikaanse kant maakten Volt Typhoon en Salt Typhoon het risico concreet. Volt Typhoon betrof gepositioneerde toegang in kritieke infrastructuur, klaargesteld voor verstoring in een conflictscenario. Salt Typhoon was langdurige spionage in de kern van Amerikaanse telecommunicatie. Beide kwamen uitgebreid aan bod tijdens een recente Threat Talks aflevering met Caitlin Clarke, voormalig Special Assistant to the President for Cybersecurity and Emerging Technology.

Wat de nieuwe regels daadwerkelijk vereisen

Lokke Moerel (hoogleraar global ICT-recht aan Tilburg University, senior counsel bij Morrison Foerster, lid van de Nederlandse Cyber Security Raad) lichtte tijdens Threat Talks het volledige pakket toe:

“Als je dacht dat NIS2 impact had, of DORA, of de AVG, dan heb je nog niets gezien.”

— Lokke Moerel, Threat Talks april 2026

NIS2 en DORA: je compliance-vloer

NIS2 vervangt NIS1. DORA geldt voor financiële diensten. Beiden breiden de kring van organisaties met verplichte beveiligingseisen verder uit en beiden bevatten supply chain-verplichtingen.

Wie onder deze wetgeving valt, moet kunnen aantonen dat directe leveranciers aan de gestelde beveiligingsnormen voldoen. Dat is nu afdwingbaar, geen advies.

Wie levert aan NIS2- of DORA-plichtige organisaties, kan documentatieaanvragen verwachten. Het lappendeken van verschillende klanteisen (nu al omslachtig) wordt straks vervangen door één EU-breed certificeringsschema via ENISA. Eén certificering, geldig voor alle EU-klantrelaties.

De Cyber Resilience Act: ook je producten moeten voldoen

De CRA stelt cybersecurityeisen aan producten en diensten met digitale elementen. Fabrikanten en importeurs moeten aan vastgestelde normen voldoen voordat ze iets op de EU-markt brengen en die normen gedurende de volledige levenscyclus handhaven.

De herziene Cybersecurity Act: de wet die inkoop echt verandert

Dit is de wetgeving die feitelijke leverancierswijzigingen afdwingt. Ze koppelt voor het eerst technische certificering los van geopolitieke risicobeoordeling, iets wat geen enkel voorgaand kader deed.

Voor kritieke sectoren (te beginnen met telecom, daarna energie, zorg, cloud en satellieten) wordt vastgesteld welke ICT-componenten kritiek zijn. Leveranciers uit landen die als high-risk worden beoordeeld, kunnen van die componenten worden uitgesloten. De afweging rond adversary technology staat nu gewoon in de wet.

De 5G-toolbox was vrijblijvend advies. Dit niet. Telecomaanbieders krijgen 36 maanden na inwerkingtreding om niet-conforme componenten buiten de deur te zetten. Zero Trust compliance wordt een voorwaarde om in deze sectoren te mogen opereren, geen onderscheidend kenmerk meer.

ON2IT helpt organisaties al jaren bij het implementeren van Zero Trust-architecturen die zijn ontworpen voor precies dit soort regelgeving. Wie nu investeert in Zero Trust, bouwt een fundament waar de wetgever straks op rekent. Wie wacht, loopt een inhaalslag.

De VS: zelfde richting, ander mechanisme

De Amerikaanse National Cyber Strategy benoemt cyber expliciet als instrument van nationale macht. Pijler vier wil adversary technology uit alle 16 aangewezen sectoren van kritieke infrastructuur hebben.

Het rip-and-replace-programma voor Huawei en ZTE in Amerikaanse telecomnetwerken is het referentievoorbeeld. Na jaren nog steeds niet klaar. De strategie maakt duidelijk dat deze aanpak zich verder uitbreidt.

Caitlin Clarke (voormalig Special Assistant to the President for Cybersecurity and Emerging Technology) was in een recente Threat Talks aflevering duidelijk over de stand van de definitie:

“‘Adversary technology’ heeft nog geen bindende gereguleerde definitie. De entity lists van de FCC en het Department of Commerce zijn het vertrekpunt. Executive orders volgen.”

— Caitlin Clarke, Threat Talks RSA 2026

Pijler twee binnen de nieuwe strategie wordt vaak als deregulering gelezen. Clarke legde het preciezer uit: het gaat om gereguleerde harmonisatie, minder dubbele compliance-lasten bij verschillende agencies, niet minder beveiligingsverplichting. Pijler drie noemt Zero Trust-architectuur en post-kwantumcryptografie expliciet als investeringsprioriteiten, precies de twee die ook de EU-kaders vereisen.

Datasouvereiniteit: de dimensie die de meeste inkoopkaders overslaan

Cyberwetgeving en datasouvereiniteit overlappen, maar zijn niet hetzelfde. Moerel onderscheidt vier vormen die in inkoopbeslissingen elk apart moeten worden meegewogen:

• Waar data wordt gehost
• Of systemen kunnen blijven werken als grensoverschrijdende afhankelijkheden wegvallen
• Of buitenlandse overheden via hun eigen wetgeving toegang tot data kunnen opeisen
• Of collectieve afhankelijkheid van buitenlandse infrastructuur een hele sector verlamt zodra die toestemming intrekt

De vierde dimensie krijgt de minste aandacht. De Nederlandse overheid pakt dit aan via publieke inkoop: KPN werkt met het Ministerie van Defensie aan soevereine cloudinfrastructuur; Nederlandse banken werken samen aan een overstap naar soevereine systemen. Dat zijn proactieve beslissingen, genomen voordat de wet het oplegt.

Moerel benoemt het tegenovergestelde patroon:

“Elke beslissing op zichzelf is volledig gerechtvaardigd. Maar als iedereen dat doet, lijdt het land als geheel.”

— Lokke Moerel, Threat Talks april 2026

Wat je nu moet doen

De kaders zijn nog niet volledig van kracht. De richting staat vast. Vroeg bewegen kost aanzienlijk minder dan achter de feiten aan lopen.

Tijdens de RSA 2026 vroegen we Clarke wat ze CISOs vertelt die wachten op de definitieve regelgevingstekst. Haar antwoord:

“Als de vereisten worden gepubliceerd, zitten de organisaties die hun supply chain niet in kaart hebben gebracht in een lastige positie. Je kunt geen exitstrategie bouwen voor een afhankelijkheid die je nog niet hebt gevonden.”

— Caitlin Clarke, Threat Talks RSA 2026

• Breng je supply chain goed in kaart. Geen leverancierslijst. Een componentgerichte mapping: welke technologieën ondersteunen welke kritieke functies, waar komen ze vandaan, hoe ziet de herkomst eruit op de derde en vierde laag. Shell companies en open-source afhankelijkheidsketens tellen mee.
• Zet inkoop en security samen aan tafel. Een component dat 40% goedkoper is van een high-risk leverancier ziet er heel anders uit als je de gedwongen vervangingskosten meerekent. De CISO en CFO nemen die beslissing samen, vóór de aankoop, niet na de deadline.
• Bouw exitstrategieën voordat je ze nodig hebt. Documenteer voor elke kritieke afhankelijkheid die onder de nieuwe kaders kan vallen een vervangingspad. Test alternatieven. Reken uit wat een overstap operationeel kost. Gedwongen vervanging is nu een business continuity-scenario.
• Certificeer vroeg. Wie levert aan NIS2- of DORA-plichtige partijen: volg de ontwikkeling van het ENISA supply chain-certificeringsschema en zorg dat je er vroeg bij bent. Wie als eerste gecertificeerd is, voert makkelijkere klantgesprekken. Wie wacht, beheert compliance onder druk.
• Lees de bijlage voor jouw sector. Het EU-cybersecuritypakket is openbaar. De telecomvijlage benoemt al welke componenten als kritiek gelden. Energie, zorg en cloud volgen. Die bijlage bepaalt de omvang van je exposure.

Kernpunten

Richtlijnen worden harde wetgeving. De 5G-toolbox was vrijwillig. De herziene Cybersecurity Act niet. Telecom heeft 36 maanden. Andere sectoren volgen.

Supply chain-herkomst is een compliance-vereiste. Operators van kritieke infrastructuur moeten kunnen aantonen waar hun kritieke ICT-componenten vandaan komen, tot en met de leveranciers van hun leveranciers.

EU- en VS-kaders lopen naar hetzelfde eindpunt. Beide willen adversary technology uit kritieke infrastructuur hebben. De mechanismen verschillen. Het eindpunt is hetzelfde.

Zero Trust staat expliciet in de wet. Investering in Zero Trust-architectuur en post-kwantumcryptografie is regulatoire richting in beide kaders, niet optioneel.

Vroeg handelen kost minder. Een goed gemapt supply chain, gedocumenteerde exitpaden en vroege certificering zijn goedkoper dan een noodwissel vlak voor de deadline.

FAQ

De strategie staat vast. De implementatie is aan jou.

De wetgevingskaders die in Brussel en Washington vorm krijgen, worden niet heronderhandeld. Elke organisatie heeft nu een keuze: voorsorteren, of reageren als het niet meer anders kan.

Reageren is duur. Een kritieke afhankelijkheid van een high-risk leverancier ontdekken ná de deadline betekent een noodwissel, op een markt waar betrouwbare alternatieven schaars zijn. Het Huawei-vervangingsprogramma in Amerikaanse telecomnetwerken loopt al jaren. Het is nog niet klaar.

Zero Trust geeft het architecturale fundament, het architectuurmodel waar ON2IT zijn praktijk op heeft gebouwd voor organisaties in de sectoren die nu centraal staan in deze wetgeving. Supply chain-mapping geeft de visibility. Regulatoire bewustwording geeft de tijdlijn. Samen bepalen ze of je een transitie beheert of erdoor wordt verrast.