_{NIS2 | De toeleveranciersketen}

‍

Middels onze blogs lichten we een belangrijk onderdeel van de NIS2 wetgeving toe met daarbij praktische tips hoe actie te ondernemen. Wilt u weten of u straks onder de NIS2 wetgeving valt?
‍Kijk dan hier voor de NIS2 zelf-evaluatie van de overheid.

_{NIS2 Richtlijn | Wet}‍

‍

Inmiddels weten we dat organisaties die worden geclassificeerd als 'essentiële' of 'belangrijke' entiteiten, afhankelijk van hun omvang en impact op de economie en samenleving onder de komende NIS2-richtlijn zullen vallen. Deze richtlijn, straks wet, heeft tot doel de digitale en economische weerbaarheid van Europese lidstaten en entiteiten daarbinnen, te versterken.

_{Verantwoordelijkheden | Verplichtingen}

‍

• Toezicht: Onder de NIS2-richtlijn valt strenger toezicht op essentiële en belangrijke entiteiten in cruciale sectoren. Dit omvat risicobeheer, meldplicht bij incidenten en nalevingscontroles. Toezichthouders zullen uiteindelijk zowel voorafgaande aan, als achteraf controles uitvoeren, inclusief inspecties en audits, om naleving te waarborgen en cyberveiligheid te versterken. U kunt u hierbij denken aan risicobeheer, melding van incidenten en beveiligingsmaatregelen.

• Zorgplicht: Onder de NIS2-richtlijn houdt de zorgplicht in dat organisaties zelf een risicobeoordeling moeten uitvoeren en passende maatregelen moeten nemen om hun netwerk- en informatiesystemen te beschermen. Dit voor het waarborgen van de continuïteit van diensten en het beschermen van de door de entiteit gebruikte (persoons) informatie tegen cyberdreigingen.

• Meldplicht: Onder de NIS2-richtlijn zijn essentiële en belangrijke entiteiten verplicht om binnen 24 uur na een incident een vroegtijdige waarschuwing te geven aan het Computer Security Incident Response Team (CSIRT) of de bevoegde autoriteit inzakecybersecurityincidenten. Binnen 72 uur moet een gedetailleerd incidentrapport worden verstrekt. Deze meldplicht zal een snelle reactie en mitigatie van cyberdreigingen bevorderen.

_{Supply Chain | Toeleveranciers}

‍

Hoewel vaak onderschat of zelfs buiten scope gelaten is een cruciaal aspect van NIS2 de beveiliging van de toeleveranciersketen. DeepBlue vindt dat dit een standaard security agendapunt zou moeten zijn bij iedere organisatie, want naarmate de uitbesteding van digitale processen en technologische vooruitgang toenemen, neemt het aanvalsvlak voor kwaadwillenden exponentieel toe.

Organisaties moeten aandacht besteden aan de veiligheidsaspecten van hun relatie met leveranciers, dienstverleners en partners. Dit omvat maar is niet beperkt tot het identificeren van kwetsbaarheden en het beoordelen van de kwaliteit van producten en cybersecuritypraktijken van de onderdelen van uw toeleveranciersketen. Een lastig maar belangrijk onderdeel. Hoe pak ik dit aan?

_{Klantvriendelijke Controle van Toeleveranciers}

‍

Allereerst dienen organisaties zich te beseffen dat de onderdelen uit hun toeleveranciersketen niet zelden kleiner in omvang zijn dan zij zelf en deze dus niet over dezelfde middelen en of capaciteit zullen beschikken. Eventuele (security-)trajecten of audits kunnen dan ook meer tijd in beslag nemen dan wellicht gewenst. Het is dan ook van groot belang dat organisaties tijdig beginnen met het inventariseren en beoordelen van hun toeleveranciersketen. Hieronder een aantal zaken waaraan u kunt denken en hoe deze onderdelen te behandelen. Uiteraard is onderstaande beschreven in algemene zin en zal er in sommige gevallen een andere aanpak gewenst zijn.

Transparantie en Communicatie: Transparantie en communicatie zijn essentieel voor een klantvriendelijke controle van toeleveranciers onder NIS2. Dit houdt in dat u openlijk uw beveiligingsverwachtingen met uw leveranciers deelt, duidelijk communiceert over compliance-eisen en gezamenlijke doelen stelt. Door in gesprek te gaan, versterkt u relaties, bevordert u begrip en samenwerking, en zorgt u voor een effectievere beveiliging van de toeleveranciersketen.

Regelmatige Beoordelingen: Bij het implementeren van klantvriendelijke controles voor NIS2 bij toeleveranciers, is het essentieel om heldere, zakelijke communicatie te gebruiken. Leg de noodzaak van compliance uit en benadruk het wederzijds voordeel van verhoogde cyberveiligheid. Zorg voor transparantie over de controleprocedures en bied ondersteuning bij eventuele aanpassingen. Prioriteer samenwerking en begrip, en benader de controle als een partnership om samen te voldoen aan de NIS2-vereisten.

Samenwerking en Ondersteuning: Werk samen met uw leveranciers. Het bevordert transparantie inzake de cyberbeveiligingsnormen. Door ondersteuning te bieden en samen te werken, zoals het delen van ‘best practices’ en eventueel trainingen of bijeenkomsten te organiseren, kunnen organisaties gezamenlijk werken aan het versterken van de beveiligingsketen. Dit zal uiteindelijk leiden tot een verbeterde weerbaarheid tegen cyberdreigingen voor alle betrokken partijen.

Contractuele Verplichtingen: Zorg ervoor dat contracten en eventuele SLA’s (Service Level Agreements) met leveranciers duidelijke beveiligingsclausules, eisen en -verplichtingen bevatten. Dit omvat het specificeren van beveiligingsstandaarden, nalevingseisen en het delen van verantwoordelijkheden. Contracten dienen heldere procedures voor incidentrapportage en audits te bevatten, waarbij zowel naleving als flexibiliteit richting leveranciers centraal staan. U kunt hierbij denken aan het delen van bijvoorbeeld penetratietest resultaten inclusief de mitigerende maatregelen die genomen (zullen) worden.

Responsplanning: Werk samen met leveranciers aan een gecoördineerd responsplan voor eventuele beveiligingsincidenten. Belangrijk hierbij is dat toeleveranciers goed voorbereid zijn op cyberincidenten. Dit betekent dat er een plan klaar moet liggen om snel onregelmatigheden te detecteren, te beoordelen en aan te pakken. Plan met regelmaat en vooraf oefeningen en zorg voor een draaiboek om eventuele incidenten efficiënt te melden bij de juiste autoriteiten.

‍

Samenwerking zal in al deze onderdelen uw keten versterken. Lees ook NIS2, wat betekent dit voor uw organisatie? in ons eerder geschreven artikel.

‍

‍

_Advies

Besef dat de beveiliging van de toeleveranciersketen een cruciaal aspect is van NIS2. Organisaties die onder NIS2 vallen, zijn verantwoordelijk voor de beveiliging van hun toeleveranciersketen. Dit betekent dat ze moeten samenwerken met hun toeleveranciers om de beveiliging van hun informatiesystemen en netwerken te waarborgen.

‍

Voor advies of meer informatie, nodigen we u uit om contact op te nemen via:

Contact: +31 (0)70-800 2025

Of lees meer op: DeepBlue Security & Intelligence

‍