NIS2 binnen een productieketen: zo werkt het

Cyberbeveiliging speelt binnen een productieketen een grote rol. Alle organisaties in de keten hebben te maken met cyberrisico’s en zijn hierbij ook van elkaar afhankelijk. Wanneer een bedrijf de cyberbeveiliging niet op orde heeft en daardoor getroffen wordt door een cyberaanval, dan heeft dat ook invloed op de andere organisaties in de keten.

Binnen de NIS2-richtlijn is ketenverantwoordelijkheid dan ook een belangrijk onderdeel. De NIS2-richtlijn verplicht organisaties om cyberbeveiliging in de keten te beheersen. Organisaties moeten in de volledige keten die hun producten en diensten afleggen, de risico’s kennen, beoordelen en beheersen.

Is jouw organisatie afhankelijk van andere bedrijven binnen de productieketen? Kan een cyberaanval in de keten zorgen voor een verstoring van jouw bedrijfsproces? Denk aan leverancier partij die gehackt wordt en daardoor een bepaalde dienst tijdelijk niet kan leveren. Of de ontwikkeling van een kritieke kwetsbaarheid ontdekt en belangrijk software pakket in het primaire bedrijfsproces. Net als cyberrisico’s in de interne organisatie, moeten organisaties de risico’s in de keten herkennen, beoordelen en beheersen.

Vijf punten van ketenverantwoordelijkheid binnen NIS2

De NIS2-richtlijn moet ervoor zorgen dat organisaties zorgvuldig omgaan met cyberrisico’s in hun gehele toeleveringsketen. De belangrijkste elementen van ketenverantwoordelijkheid onder NIS2 zijn:

1. Risicobeoordeling en -beheer: het ontdekken en beheren van risico’s binnen de toeleveringsketen.
2. Leveranciersbeheer: het evalueren en monitoren van de veiligheid van leveranciers en dienstverleners.
3. Contractuele verplichtingen: het opnemen van specifieke beveiligingseisen in contracten met leveranciers.
4. Incidentrapportage: het juist kunnen rapporteren van incidenten in de toeleveringsketen.
5. Samenwerking en communicatie: cyberveiligheid verbeteren door effectieve communicatie en samenwerking met leveranciers.

Dit kun je als organisatie doen om NIS2-proof te worden

• Is jouw organisatie NIS2-plichtig? Dan moeten de verplichtingen in Q3 van 2025 geïmplementeerd zijn. Om het onderwerp ketenverantwoordelijkheid te implementeren kun je de volgende acties nemen:
  • Maak de afhankelijkheden en verantwoordelijkheden in de keten inzichtelijk. Zo maak je duidelijk waar afspraken nodig zijn en welke partijen een kritieke rol spelen voor de continuïteit van het primaire bedrijfsproces.
  • Leer cyberrisico’s in de keten te herkennen en te beoordelen en bepaal een beleid voor het behandelen van risico’s die de organisatie niet kan accepteren. Effectief risico management begint bij een goed inzicht van de kritieke informatiestromen, middelen, kwetsbaarheden, dreigingen en afhankelijkheden in de keten.
  • Bepaal de minimale eisen voor ketenpartners: Stel vast welke veiligheidsmaatregelen je eist van je ketenpartners. Zorg dat deze eisen terugkomen in je inkoopproces en periodiek worden geëvalueerd. Hoe pak je dit het beste aan en waar liggen de zwaartepunten? Waar zijn gemeenschappelijke verantwoordelijkheden, maar ontbreken concrete afspraken?
  • Maak afspraken over het melden van significante incidenten in de keten: Een beveiligingsincident of datalek in de keten kan ook andere spelers beïnvloeden. NIS2 stelt strikte eisen aan het melden van (grote) incidenten. Zorg dat je deze tijdig meldt bij de Rijksinspectie Digitale Infrastructuur (RDI). Zorg dat je medewerkers weten hoe dit proces werkt. En welke rol is er voor leveranciers in de keten? Kennen zij deze rol en is deze duidelijk genoeg?
  • Richt je niet enkel op IT of software leveranciers, maar kijk ook naar andere kritieke leveranciers van producten die essentieel zijn voor de uitvoering van jullie primaire bedrijfsproces. Zo kan de leverancier van een plastic spuit van groot belang zijn voor het primaire bedrijfsproces. Een cyberaanval bij deze leverancier kan dus impact hebben op de continuïteit van de primaire dienstverlening, ondanks het feit dat er geen IT relatie is tussen jouw organisatie en deze leverancier. Denk dus na over afhankelijkheden en cyberrisico’s in de breedste zin van het woord.

Mijn organisatie is niet NIS2-plichtig – geldt de ketenverantwoordelijkheid ook voor mij?

Zelfs als jouw organisatie geen NIS2-registratieplicht heeft, kunnen de wettelijke verplichtingen toch relevant zijn. Een organisatie verder in de toeleveringsketen kan wel NIS-plichtig zijn en de eisen doorvertalen naar jouw organisatie. Er zijn veel toeleveranciers van NIS2-entiteiten, dus veel organisaties hebben indirect te maken met NIS2.

Werkt jouw organisatie al conform de best-practices op het gebied van informatiebeveiliging, zoals ISO 27001 of NEN 7510? Maak dit dan aantoonbaar met een certificering. Je kunt deze eis ook doorvertalen in de keten, door van jouw leveranciers en partners te eisen dat zij ook volgens deze normen en standaarden werken. Wil jij aan de slag met het toepassen en aantoonbaar maken van deze best-practices? Kader kan je hierbij adviseren en ondersteunen.

De ISO 27001 en NEN 7510 omvatten vrijwel alle eisen uit de NIS2. Een implementatie van deze frameworks met expliciet aandacht voor de aanvullende wettelijke eisen uit de NIS2 kunnen jouw organisatie helpen te voldoen aan de NIS2.

Meer weten over NIS2: neem contact op of download het whitepaper

Wil je meer weten over de NIS2-richtlijn? De adviseurs van Kader kunnen je op verschillende manieren verder helpen. Download ons whitepaper voor meer informatie of neem contact op met een van onze experts.