ICT-inkoop en EU-regelgeving: waar moet je als inkoper op letten?

Bij het inkopen van ICT-diensten en -producten moet je steeds vaker rekening houden met nieuwe Europese wetgeving. Niet alleen de prijs en functionaliteit zijn van belang, maar ook de cyberveiligheid, weerbaarheid, en regelgeving rond datadeling. Hieronder vind je de belangrijkste EU-regels met hun impact op ICT-inkoop, plus praktische aandachtspunten.

1. NIS2 / Cyberbeveiligingswet

• Wat betekent dit voor inkoop?
  De NIS2-richtlijn (in Nederland geïmplementeerd via de Cyberbeveiligingswet) legt een ketenzorgplicht op. Inkopers moeten nagaan of leveranciers (ook niet-ICT-leveranciers) cyber­risico’s in de keten adequaat adresseren. Nevi+2Nevi+2
• Praktisch hulpmiddel: Samen Digitaal Veilig biedt ondersteuning voor inkopers. Samen Digitaal Veilig
• Modelcontractvoorwaarden: Er is een inkoop-addendum voor NIS2-leveranciers opgesteld waarmee je cyberverplichtingen contractueel vastlegt. VNPF
• Leveranciersrisico in kaart brengen: NCSC heeft een factsheet “Hoe breng ik mijn rechtstreekse leveranciers in kaart?” met stapsgewijze aanpak. ncsc.nl
• Implementatietijdlijn: De Cyberbeveiligingswet wordt waarschijnlijk in het 3e kwartaal van 2025 van kracht. boostsmartindustry.nl
• Extra leesmateriaal: Wat NIS2 significa voor toeleveringsketens volgens MCT-Center. mct-center.nl

---

2. DORA (Digital Operational Resilience Act)

• Wat & wie: DORA is van toepassing op de financiële sector en regelt ICT-risicobeheer, incidentrapportage en contractering van ICT-dienstverleners. Rijksoverheid
• Impact op inkoop: Financiële instellingen moeten een risicokaart maken van ICT-leveranciers, inclusief cloud- of andere externe diensten, en in contracten specificeren hoe weerbaarheid wordt getest en bewaakt. CFO+1
• Hulpbron: NOREA heeft een Taskforce DORA met templates zoals framework, incident classification tool en exit-plan. norea.nl
• Strategie: Volgens PwC is DORA een kans om ICT-inkoop niet alleen vanuit kosten, maar juist vanuit veerkracht en risicomanagement te benaderen. PwC

---

3. Cyber Resilience Act (CRA)

• Wat betekent het: De CRA (ook wel Verordening cyberweerbaarheid) stelt verplichtingen voor beveiligingsniveau van digitale producten (hardware + software). Rijksinspectie Digitale Infrastructuur
• Impact op inkopers van ICT-producten:
  • Producten moeten voldoen aan “security by design” vanaf 11 december 2027. business.gov.nl+1
  • Fabrikanten, importeurs en distributeurs moeten beveiligingsupdates verzorgen en kwetsbaarheden melden. Rijksinspectie Digitale Infrastructuur
  • Als inkoper moet je controleren of leveranciers van digitale producten CE-markering conform CRA voeren. business.gov.nl
• Gids: De Rijksinspectie Digitale Infrastructuur (RDI) heeft een Nederlandse “Gids Cyber Resilience Act” met alle verplichtingen. Rijksinspectie Digitale Infrastructuur

---

4. AI Act (Artificial Intelligence Act)

• Relevantie voor ICT-inkoop:
  Wanneer je AI-systemen of -diensten inkoopt, moet je rekening houden met AI Act-eisen. Bijvoorbeeld risicoclassificatie van AI-modellen: hoog-risico AI vereist extra governance, documentatie en transparantie.
• Nederlands beleidskader: De Nederlandse Kamer heeft een fiche gemaakt over AI-regelgeving, waarin ook wordt gesproken over de rol van mkb en testomgevingen (“regulatory sandboxes”). Eerste Kamer

---

5. Data Act / Dataverordening

• Wat betekent het: De Data Act regelt toegang tot data (bijv. door eindgebruikers) en datadeling tussen bedrijven. Dit heeft implicaties voor welke data je mag vragen van ICT-leveranciers, en hoe je afspraken maakt over datagebruik in contracten.
• Inkoopimpact: Bij aanbesteding kun je in je eisen opnemen dat leveranciers data openstaan voor hergebruik, of dat datadeling wordt toegestaan onder bepaalde voorwaarden. (Voor dit thema zijn specifieke Nederlandse inkoopgidsen nog in ontwikkeling.)

---

6. Digital Services Act (DSA)

• Relevantie voor ICT-inkoop:
  • Als je digitale diensten inkoopt (bijv. platformdiensten, cloud, marktplaatsen), kunnen DSA-verplichtingen van invloed zijn.
  • Je inkoopbeleid kan moeten vastleggen dat leveranciers verantwoordelijk zijn voor het tegengaan van illegale content, moderatie-beleid of meldingsmechanismen.
• Toezicht in Nederland: De Autoriteit Persoonsgegevens (AP) informeert over DSA-toezicht in Nederland. AFM
• Overheidsstandpunt: De Rijksoverheid heeft al aandacht voor DSA-verplichtingen voor platforms.

---

7. Terrorist Content Online Regulation (TCOR)

• Wat & waarom relevant: De TCOR verplicht platforms om terroristische content snel te verwijderen en samen te werken met autoriteiten. Voor inkoop van ICT-diensten betekent dit dat platformaanbieders (of leveranciers van content-modulering) in contracten kunnen worden verplicht om maatregelen te nemen tegen terroristische content.
• Inkoopadvies: Bij selectie van aanbieders van platform- of contentdiensten kun je eisen opnemen over compliance met TCOR (moderatiemiddelen, rapportage, contentbeleid).

---

Praktische tips voor ICT-inkopers

1. Maak cybersecuritycriteria onderdeel van je RfP
   Voeg bij aanbestedingen eisen toe die aansluiten op NIS2, CRA en DORA: risicoanalyse, patchbeleid, rapportage of incidentrespons.
2. Gebruik modelcontracten
   – Voor NIS2: gebruik het model addendum van Samen Digitaal Veilig. VNPF
   – Voor ICT-dienstverleners onder DORA: werk met exit-plannen, testclausules en rapportageverplichtingen (NOREA). norea.nl
3. Voer je leveranciers-due diligence uit
   Gebruik de NCSC-factsheet om je leveranciersketen in kaart te brengen en prioriteer welke leveranciers kritisch zijn voor je digitale weerbaarheid. ncsc.nl
4. Stel governance en budget in samenhang in
   Organiseer binnen je organisatie overleg tussen inkoop, ICT, risk & compliance om regelgevingsrisico’s te integreren in je inkoopstrategie (zoals DORA vereist). CFO
5. Blijf op de hoogte van deadlines
   Let op de inwerkingtredingsdata (zoals voor CRA en NIS2) en plan je inkooptrajecten zó dat je leveranciersselectie en contractonderhandelingen rekening houdt met toekomstige vereisten.