Waarom opdrachtgevers steeds vaker om 'security-proof' vragen

Steeds meer mkb'ers worden verrast door strenge beveiligingseisen in aanbestedingen. Grote opdrachtgevers kijken allang niet meer alleen naar prijs of kwaliteit, ook jouw digitale weerbaarheid telt inmiddels net zo zwaar mee. In dit artikel ontdek je waarom die security-eisen steeds prominenter worden, welke concrete vragen je kunt verwachten in een tender, en hoe je als mkb’er zonder certificaat tóch een overtuigend verhaal neerzet. Of je nu al meedoet aan aanbestedingen of daar pas net over nadenkt: dit artikel helpt je voorbereid te zijn.

Security allang geen 'nice-to-have' meer

We zien het al jaren gebeuren: steeds meer mkb-leveranciers worden gevraagd om risico’s actief te managen, incidenten te loggen en herstelprocessen in te richten. Ook als ze 'maar een schakel' in de keten zijn. Die eisen zijn niet alleen technisch van aard, maar raken aan procesmanagement, governance en cultuur. En juist dáármee onderscheiden aanbieders zich bij inkoopselecties.

Steeds vaker signaleren we in de praktijk dat opdrachtgevers expliciete eisen stellen aan informatiebeveiliging. Inkoopcriteria bevatten steeds vaker termen als 'ISMS', 'patchbeleid' of 'DPIA'. Niet alleen in grote aanbestedingen, maar dus ook in reguliere offertetrajecten voor mkb’ers. Die verschuiving is geen hype, maar een duidelijke trend: security is doorgeschoven van IT naar boardroomniveau.

Mkb'ers die nog denken dat informatiebeveiliging vooral een IT-feestje is, komen daarmee bedrogen uit. In aanbestedingen en RFP's wordt het inmiddels als harde voorwaarde opgenomen. Ook in Nederland trekken steeds meer overheden en grote private partijen de lijn door. Dat is ook niet zo vreemd.

Zo stelt het Europees Agentschap voor Cyberbeveiliging in de Threat Landscape 2024, dat aanvallen op toeleveringsketens en IT-dienstverleners tot de meest zorgwekkende dreigingen behoren. Organisaties worden daardoor kritischer in hun leveranciersselectie en stellen eisen op het gebied van incidentdetectie, responsprocessen en aantoonbare veerkracht. Beveiliging is daarmee een strategisch selectiecriterium geworden. Geen vinkje, maar een doorslaggevende factor in de gunning dus!

Zo kijken inkopers in 2025 naar jouw risico-profiel

Onze ervaring is dat inkopers allang niet meer genoegen nemen met een technische oplossing of een losse AVG-paragraaf. Ze nemen beveiliging mee als structureel onderdeel van hun risicobeoordeling: hoe groot is de kans dat deze leverancier uitvalt, data lekt of de continuïteit in gevaar brengt? Ook de kleinere spelers worden hierop beoordeeld.

Waar het voorheen draaide om prijs en levertijd, staat informatiebeveiliging nu in de top 3 van selectiecriteria. Volgens het rapport Future of Procurement van KPMG (2024) beschouwt 77% van de procurement professionals het risico op verstoring van de toeleveringsketen als een kritieke externe uitdaging. Die druk op de ketenstabiliteit zorgt ervoor dat informatiebeveiliging dus steeds vaker doorslaggevend is in inkoopafwegingen.

Ook vanuit overheidswege wordt steeds meer het belang van interoperabiliteit en leveranciersonafhankelijkheid geadviseerd. Bijvoorbeeld in de Handreiking open standaarden bij aanschaf ICT, waarin wordt aangeraden om open standaarden en bekende beveiligingsnormen (zoals ISO 27001) mee te nemen in het bestek. Dit om transparantie te vergroten, risico’s te voorkomen en afhankelijkheid van onveilige of gesloten systemen te voorkomen.

Kortom: ook bij kleinere opdrachten wordt jouw risicoprofiel in toenemende mate meegewogen.

Wat staat er écht in die tenders? 

In verschillende sectoren zien we tenderdocumenten en RFP’s terugkomen met vrijwel identieke beveiligingsvragen. Soms gaat het om certificering, maar vaker nog om bewijs van volwassenheid. Denk aan vragen als:

Veel mkb'ers vrezen een brij aan vaag jargon. Maar in de praktijk zijn de eisen juist opvallend concreet. 

Denk aan:

• "Toon aan dat uw organisatie beschikt over een ISMS conform of gebaseerd op ISO 27001."

• "Beschrijf hoe u kwetsbaarheden patcht binnen 14 dagen na ontdekking."

• "Lever een voorbeeld van uw standaard-NDA of DPIA."

​​Het zijn stuk voor stuk signalen dat de opdrachtgever zekerheid zoekt: niet of je 'perfect' bent, maar of je bewust met risico's omgaat en daar structuur in aanbrengt. 

Wie dergelijke vragen goed beantwoordt, laat zien dat security is ingebed in processen en dát maakt het verschil.

Zo kom je ook zonder certificaat op de shortlist

In het inkoop- en aanbestedingslandschap letten opdrachtgevers steeds vaker op hoe serieus leveranciers omgaan met informatiebeveiliging, maar ze snappen ook dat vooral mkb’ers niet altijd direct dure of complexe ISO-certificeringen kunnen overleggen. 

Wat daarbij dan belangrijk is, is het “bewijsgedrag”: kun je overtuigend laten zien dat je bezig bent met het borgen van je digitale weerbaarheid en dat je de juiste richting uit beweegt?

Waarom is dat zo?

Steeds meer aanbesteders nemen informatiebeveiliging expliciet op als gunningscriterium, omdat zij vanuit hun eigen compliance-verplichtingen risico’s willen uitsluiten.

De aanjager hiervan zijn onder andere strengere regelgeving vanuit de EU en de Nederlandse overheid (zoals NIS2 en de Algemene verordening gegevensbescherming), maar ook het toegenomen aantal incidenten met cybercrime bij mkb’ers.

Wat verwachten opdrachtgevers dan concreet?

Ze willen bovenal bewijs van volwassenheid en eigenaarschap. Je hoeft niet aan te tonen dat je al ‘op slot’ zit, maar wel dat je structureel werkt aan beveiliging en bewust keuzes maakt. In plaats van te bluffen (“wij zijn veilig!”), telt het dat je transparant bent over waar je staat én waar je naartoe werkt. 

Een aanpak die je vandaag kunt laten zien:

Informatieveiligheidsbeleid:
Met een eigen, beknopt informatiebeveiligingsbeleid maak je duidelijk wie waarvoor verantwoordelijk is, waar de grootste risico’s liggen en wat je basisafspraken zijn. Dit laat zien dat informatiebeveiliging géén blinde vlek is, maar onderdeel van de bedrijfsvoering.

Basismaatregelen toepassen:
Aanbesteders zijn vooral op zoek naar bedrijven die de essentiële beveiligingsmaatregelen beheersen. Denk aan zaken als het instellen van tweefactorauthenticatie, automatische updates voor software, het gebruik van sterke wachtwoordbeleid en het scheiden van netwerken om risico’s te beperken. Dit zijn bewezen effectieve, pragmatische stappen tegen de meeste dreigingen.

Standaardformats voor DPIA’s en NDA’s:
Als je te maken hebt met (persoons)gegevens van klanten, willen opdrachtgevers zien dat je daar bewust mee omgaat, bijvoorbeeld door consequent DPIA’s (Data Protection Impact Assessment) uit te voeren en goede NDA’s (Non Disclosure Agreement) te hanteren. Gewoon werken met bestaande, geaccepteerde sjablonen laat zien dat je methodisch en gestructureerd werkt.

Waarom is dit soms al voldoende?

Grote aanbestedende diensten en IT-auditors beoordelen steeds vaker volgens het principe van “inspanningsverplichting”, oftewel: ben je aantoonbaar bewust en actief bezig? In veel openbare tenders blijkt dat een duidelijke planning, een lijst acties, benoemde verantwoordelijken en bijvoorbeeld scanresultaten of een korte voortgangsrapportage, soms al als 'voldoende' basis gelden. 

Kortom:
Omdat security-eisen eigenlijk inmiddels standaard zijn, maar de weg ernaartoe voor mkb’ers zwaar kan zijn, draait de bewijslast om zichtbare actie en groei. Door je voorbereiding en proces transparant te maken, laat je zien dat je een betrouwbare en professionele partner bent en vergroot je je kansen op de shortlist, óók zonder direct ISO-gecertificeerd te zijn.

Tot slot

De inzichten in dit artikel zijn gebaseerd op wat wij dagelijks tegenkomen in gesprekken met inkopers, klanten en partners. We zien een duidelijke beweging: wie zich zichtbaar voorbereidt op informatiebeveiliging, maakt méér kans op mooie opdrachten.

Opdrachtgevers zoeken partners die hun eigen keten veiliger maken. Wie zich daarop voorbereidt, wint niet alleen tenders,  maar bouwt ook vertrouwen op bij klanten, partners en toezichthouders.