Laatst gecontroleerd: 8 juli 2026
Kort antwoord
Krijg je als leverancier een klantvraag over SC10 of SC20? Behandel dit dan eerst als een klant- of sectorvraag om aantoonbare cybersecuritymaatregelen, niet automatisch als wettelijke verplichting. Vraag welke norm, route, scope, toetsing en deadline de klant bedoelt. Daarna kun je maatregelen, bewijsstukken en open punten structureren in een Cybersecurity Bewijsmap.
Kort gezegd: SC10/SC20-termen kunnen helpen om klantvragen concreter te maken, maar voorbereiding, self-assessment, toetsing en certificering zijn niet hetzelfde. Claim dus niet dat je “gecertificeerd” of “volledig compliant” bent als dat niet onafhankelijk is vastgesteld.
Let op: dit artikel is praktische duiding voor leveranciers die klantvragen krijgen. InstantSecure voert geen SC10/SC20-certificering of formele toetsing uit.
Waarom vragen klanten naar SC10 of SC20?
Sommige klanten gebruiken SC10, SC20 of vergelijkbare termen om cybersecurity-eisen concreter te maken. Vaak gebeurt dat in de context van:
- NIS2- of Cyberbeveiligingswet-voorbereiding;
- leveranciersbeoordelingen;
- vendor assessments;
- klantportalen;
- aanbestedingen;
- sectorale eisen of ketenafspraken;
- bewijs dat basismaatregelen aantoonbaar zijn ingericht.
De belangrijkste vraag is niet meteen: “moeten we SC10 of SC20 halen?” De eerste vraag is:
Wat bedoelt de klant precies: voorbereiding, bewijs aanleveren, self-assessment, externe toetsing of formele certificering?
Als je dat niet scherp hebt, kun je te zwaar reageren of juist te licht antwoorden.
SC10/SC20 is niet hetzelfde als Cbw-plicht
De Cyberbeveiligingswet is de Nederlandse implementatie van de NIS2-richtlijn. Volgens NCSC gelden verplichtingen zoals registratieplicht, meldplicht en zorgplicht voor organisaties die onder het toepassingsbereik vallen zodra de wet in werking treedt. Voor leveranciers ontstaat daarnaast vaak indirecte druk doordat Cbw-organisaties hun toeleveringsketen moeten beoordelen.
NCSC legt uit dat Cbw-organisaties eisen kunnen stellen aan de digitale veiligheid van rechtstreekse toeleveranciers. Tegelijk schrijft NCSC ook dat een certificaat of normenkader handig kan zijn bij het gesprek, maar dat de Cbw geen specifiek normenkader zoals één verplicht keurmerk voorschrijft.
Daarom is de veilige lijn:
- SC10/SC20 kan door een klant worden genoemd als praktische route of taal;
- dat betekent niet automatisch dat je wettelijk verplicht bent tot die route;
- het betekent wel dat je moet begrijpen welk bewijs of welke toetsing de klant verwacht.
Lees ook: NIS2-vragen van klanten: wat betekent dit voor leveranciers?
De 6 vragen die je eerst moet stellen
Voordat je antwoord geeft op een SC10/SC20-vraag, wil je deze punten helder krijgen.
| Vraag | Waarom belangrijk? | Voorbeeld |
|---|---|---|
| 1. Welk kader bedoelt de klant precies? | Afkortingen worden niet altijd consistent gebruikt | “Kunt u aangeven naar welk normenkader of programma u verwijst?” |
| 2. Gaat het om voorbereiding of toetsing? | Interne voorbereiding is iets anders dan externe beoordeling | “Is een self-assessment voldoende of is externe toetsing vereist?” |
| 3. Welke scope geldt? | Gaat het om hele organisatie, dienst, project of klantomgeving? | “Geldt dit voor alle diensten of alleen voor de opdracht?” |
| 4. Welke deadline geldt? | Directe eis vraagt andere aanpak dan roadmap | “Moet bewijs bij inschrijving worden aangeleverd of bij contractstart?” |
| 5. Welk bewijs wordt verwacht? | Je moet weten wat je veilig kunt delen | “Welke documenten, screenshots of verklaringen verwacht u?” |
| 6. Is er ruimte voor gelijkwaardige onderbouwing? | Soms kan bestaand bewijs voldoende zijn | “Accepteert u een overzicht van maatregelen en bewijsstukken?” |
Bij veel klantvragen is het verstandig om eerst de vraag te laten triëren via securityvragenlijst van klant invullen of vendor assessment hulp.
Voorbereiding, toetsing en certificering uit elkaar houden
Een veelgemaakte fout is dat leveranciers deze begrippen door elkaar gebruiken.
| Begrip | Wat betekent het praktisch? | Wat moet je niet claimen? |
|---|---|---|
| Voorbereiding | Je brengt maatregelen, bewijs en open punten in kaart | Niet zeggen dat je getoetst bent |
| Self-assessment | Je beoordeelt jezelf aan de hand van vragen of criteria | Niet doen alsof dit onafhankelijke assurance is |
| Klantbeoordeling | Je klant beoordeelt jouw antwoorden en bewijs | Niet claimen dat dit algemene certificering is |
| Externe toetsing | Een onafhankelijke partij beoordeelt de inrichting | Niet zelf “goedgekeurd” zeggen zonder rapport of verklaring |
| Certificering | Formele route met specifieke scope en voorwaarden | Niet claimen als er geen geldig certificaat is |
InstantSecure helpt vooral bij voorbereiding: klantvraag begrijpen, maatregelen koppelen aan bewijs en een roadmap maken. Formele toetsing of certificering hoort bij een onafhankelijke partij.
Welke maatregelen komen vaak terug?
De exacte eisen hangen af van het kader en de klantvraag. Toch zie je bij SC10/SC20-achtige vragen vaak bekende thema’s terug:
| Thema | Mogelijke klantvraag | Mogelijk bewijs |
|---|---|---|
| MFA | Is multi-factor authenticatie verplicht voor beheerders en gebruikers? | Geanonimiseerd MFA-overzicht of Conditional Access-samenvatting |
| Back-ups | Worden back-ups gemaakt en getest? | Backupbeleid, restore-testdatum, herstelprocedure |
| Incidentproces | Is duidelijk hoe incidenten worden gemeld en opgevolgd? | Incidentprocedure, meldpad, rolverdeling |
| Toegangsbeheer | Worden rechten toegekend, gewijzigd en ingetrokken? | Rollenmatrix, JML-proces, reviewdatum |
| Logging | Is er zicht op verdachte activiteiten? | Loggingbeschrijving, alertproces, bewaartermijn |
| Patchmanagement | Worden systemen tijdig bijgewerkt? | Patchproces, scan- of updateoverzicht |
| Leveranciers | Worden subleveranciers beoordeeld? | Leveranciersregister, DPA-proces, reviewafspraken |
| Beleid | Zijn securityafspraken vastgelegd? | Informatiebeveiligingsbeleid, awarenessafspraken |
Als je dit soort bewijs vaker aan klanten moet tonen, is een Cybersecurity Bewijsmap voor leveranciers logischer dan steeds losse documenten zoeken.
Wat als je nog niet alles hebt ingericht?
Dan is het meestal beter om eerlijk te antwoorden dan te doen alsof alles klaar is. Veel klanten waarderen een concreet antwoord met bewijs en roadmap meer dan een harde claim zonder onderbouwing.
Voorbeeld:
“Een deel van de maatregelen is ingericht. MFA is actief voor beheerders en Microsoft 365. Voor back-ups is beleid aanwezig, maar de restore-test wordt nog formeel vastgelegd. De open punten zijn opgenomen in een verbeterroadmap met eigenaar en planning.”
Lees ook: mag je gedeeltelijk antwoorden op een securityvraag van een klant?
Wat moet je niet claimen?
Bij SC10/SC20-vragen moet je extra oppassen met taal. Vermijd:
- “Wij zijn SC10/SC20-gecertificeerd” zonder formele toetsing of certificaat;
- “Wij voldoen volledig” zonder duidelijke scope;
- “Wij zijn NIS2-compliant” als dit niet formeel is vastgesteld;
- “Alles is op orde” zonder bewijs;
- “Auditproof”;
- “Geen risico’s”;
- “Gegarandeerd geaccepteerd door de klant”.
Gebruik liever:
- “Wij hebben de relevante maatregelen in kaart gebracht.”
- “Voor deze scope kunnen wij bewijs aanleveren.”
- “Open punten zijn opgenomen in een roadmap.”
- “Formele toetsing of certificering is niet door InstantSecure uitgevoerd.”
Wanneer is externe toetsing nodig?
Externe toetsing of certificering kan nodig zijn als:
- de klant expliciet vraagt om een geldig certificaat of toetsingsverklaring;
- een aanbesteding dit als harde eis noemt;
- het contract een specifieke norm, scope en beoordelaar voorschrijft;
- je organisatie richting formele certificering wil;
- onafhankelijke assurance vereist is.
Als de klant vooral vraagt om uitleg en bewijsstukken, kan voorbereiding met maatregelen, bewijs en roadmap voldoende zijn als eerste stap. Als een harde externe toetsing verplicht is, moet je die route niet proberen te vervangen met interne documentatie.
Komt SC10/SC20 voor in een aanbesteding? Lees dan ook: security-eisen in een aanbesteding beoordelen.
Praktische aanpak voor leveranciers
Een goede voorbereiding bestaat uit vijf stappen:
- Vraag verduidelijking over kader, scope, toetsing en deadline.
- Map de klantvraag naar concrete thema’s zoals MFA, back-ups, incidenten en toegangsbeheer.
- Verzamel bewijsstukken die veilig gedeeld kunnen worden.
- Formuleer open punten eerlijk met een concrete roadmap.
- Bepaal of externe toetsing nodig is of dat klantbewijs voorlopig voldoende is.
Deze aanpak past bij de bredere InstantSecure-lijn: klantvraag → eis → maatregel → bewijs → roadmap.
Checklist SC10/SC20-klantvraag
Gebruik deze checklist vóórdat je antwoordt:
- Weet je naar welk kader of programma de klant verwijst?
- Is duidelijk of het om voorbereiding, self-assessment, toetsing of certificering gaat?
- Is de scope van de klantvraag bekend?
- Is de deadline duidelijk?
- Weet je welke bewijsstukken verwacht worden?
- Zijn certificaatclaims vermeden als er geen certificaat is?
- Zijn open punten gekoppeld aan een roadmap?
- Is duidelijk of een onafhankelijke toetsingspartij nodig is?
Bronnen en actuele informatie
- NCSC — Cyberbeveiligingswet (NIS2): https://www.ncsc.nl/cyberbeveiligingswet-nis2
- NCSC — De Cyberbeveiligingswet en toeleveranciers: https://www.ncsc.nl/cyberbeveiligingswet-nis2/de-cyberbeveiligingswet-en-toeleveranciers
- Digital Trust Center — Basisprincipes van digitale weerbaarheid: https://www.digitaltrustcenter.nl/de-5-basisprincipes-van-veilig-digitaal-ondernemen
Hulp nodig?
Noemt je klant SC10, SC20, NIS2 of Cbw en weet je niet of het om voorbereiding, bewijs of formele toetsing gaat? Laat de klantvraag beoordelen. We helpen de vraag vertalen naar eis, maatregel, bewijs en roadmap. Voor formele toetsing of certificering is een onafhankelijke toetsingspartij nodig.



