NIS2-regels leiden tot onduidelijkheid bij toeleveranciers
Zes op de tien toeleveranciers die bekend zijn met de NIS2-regels denken ten onrechte dat deze regels ook integraal gelden voor toeleveranciers aan NIS2-bedrijven, blijkt uit een flitspeiling in september 2024 is uitgevoerd door het Digital Trust Center. De NIS2-richtlijn is inmiddels opgenomen in de Cyberbeveiligingswet (Cbw) en naar de Tweede Kamer verzonden. Deze wet legt naar schatting 8.000 organisaties in kritieke sectoren een zwaardere zorgplicht op als het gaat om hun digitale veiligheid.
Voor de duizenden bedrijven die leveren aan deze Cbw-organisaties is de doorwerking van de wet nog onduidelijk. Jacco van der Kolk van het Digital Trust Center benadrukt dat de wet geen verplichtingen oplegt aan toeleveranciers van Cbw-organisaties. Toch heeft de wet wel invloed op deze toeleveranciers, omdat het waarschijnlijk is dat Cbw-organisaties hun toeleveranciers extra eisen gaan stellen ter beveiliging van de keten.
Toeleveringsketen veilig houden
De Cbw eist van Cbw-organisaties dat zij erop toezien dat hun toeleveringsketen veilig is. Hierdoor kan de nieuwe cyberwet een indirecte impact hebben op toeleveranciers. Niet alle toeleveranciers zullen deze impact merken. Als er via een rechtstreekse toeleverancier of dienstverlener een risico bestaat voor de netwerk- en informatiesystemen van de Cbw-organisatie, dan moet de Cbw-organisatie maatregelen nemen. Leveranciers van toeleveranciers vallen buiten de reikwijdte van deze wet.
Cbw-organisaties dienen de risico's in de toeleveranciersketen in kaart te brengen om hun netwerk- en informatiesystemen en de fysieke omgeving van die systemen tegen incidenten te beschermen. Bij deze inventarisatie van risico’s verlangt de wetgever een ‘all hazards approach’, wat betekent dat er naar alle gevaren moet worden gekeken die er zijn voor de netwerk- en informatiesystemen, zowel digitaal als fysiek.
De criteria voor toeleveranciers die indirecte impact kunnen ervaren van de Cbw zijn niet expliciet in de wet opgenomen. Als een leveringsrelatie met een Cbw-organisatie echter één van de volgende onderdelen bevat, is de kans aanwezig dat deze in een risico-inventarisatie van de keten voorkomt:
- Diensten of producten die gerelateerd zijn aan netwerk- en informatiesystemen van een Cbw-organisatie
- Een ICT-component van de netwerk- of informatiesystemen van een Cbw-organisatie
- Toegang tot de netwerk- en informatiesystemen van een Cbw-organisatie
Maatregelen opleggen
Als een toeleverancier een risico vormt voor de netwerk- en informatiesystemen van de Cbw-organisatie, kan deze opgelegd worden om maatregelen te nemen. Deze maatregelen moeten passend en evenredig zijn, waarbij de effectiviteit van de maatregel van belang is.
Toeleveranciers staan niet onder toezicht en zijn geen verantwoording verschuldigd aan een toezichthouder. Wel kan de Cbw-organisatie vragen om bewijs dat de maatregelen genomen zijn. Er bestaan geen keurmerken of certificaten waarmee kan worden aangetoond dat een organisatie voldoet aan de Cbw-bepalingen. Het voldoen aan de zorgplicht van de Cbw is een doorlopende activiteit en verantwoordelijkheid.
'Verhoog de cyberweerbaarheid'
Het Digital Trust Center roept toeleveranciers die een risico vormen voor de netwerk- en informatiesystemen van een Cbw-organisatie op om alvast aan de slag te gaan met het verhogen van hun cyberweerbaarheid. Ook Cbw-organisaties kunnen aan de slag met de zorgplichtmaatregelen en het inventariseren van de leveranciers die een ketenrisico opleveren. Het is belangrijk om de dialoog binnen de keten op te zoeken, open te zijn over de security-aanpak, systemen en processen, en afspraken vast te leggen.
Meer over Security
Over Wouter Hoeffnagel
