Europa zet stevig in op nieuwe wetten om de digitale veiligheid te versterken, zoals NIS2, DORA en de Cyber Resilience Act. Hoewel deze wetten op het eerste gezicht vooral gericht lijken op grote bedrijven en kritieke infrastructuren, raken ze in werkelijkheid ook subleveranciers en bedrijven in de supply chain. In deze blog bespreken we de aankomende regelgeving en waarom ook jouw bedrijf, als subleverancier, zich moet voorbereiden.
De opkomst van strenge Europese cybersecurityregels
De laatste jaren heeft de Europese Unie een flink aantal wetten doorgevoerd die de digitale weerbaarheid van organisaties moeten vergroten. Enkele voorbeelden van recente en aankomende wetten:
NIS2 (Netwerk- en Informatiebeveiliging Richtlijn): Richt zich op essentiële diensten, maar ook toeleveranciers van deze diensten moeten voldoen aan strengere beveiligingseisen.
DORA (Digital Operational Resilience Act): Gericht op de financiële sector, maar het reikt verder naar leveranciers van ICT-diensten die financiële instellingen ondersteunen.
Cyber Resilience Act: Legt veiligheidseisen op aan digitale producten, wat vooral belangrijk is voor hardware- en softwareleveranciers.
Naast deze wetgeving staan er nog een groot aantal nieuwe wetten in de startblokken die verder zullen gaan met het afdwingen van strenge beveiligingseisen voor alle bedrijven binnen de EU. Het is dus niet langer een optie om af te wachten. Als je niet actief aan de slag gaat met compliance, loop je het risico om belangrijke klanten te verliezen, zeker omdat bedrijven steeds vaker eisen dat hun hele toeleveringsketen voldoet aan deze nieuwe normen. De tijd om actie te ondernemen is nu.
Wat betekent dit voor subleveranciers?
Hoewel de nieuwe regels specifiek zijn gericht op grotere organisaties, leggen ze ook een grote verantwoordelijkheid op bedrijven in de toeleveringsketen. Dit zijn enkele manieren waarop subleveranciers worden geraakt:
Contractuele verplichtingen: Grote bedrijven zijn wettelijk verplicht om ervoor te zorgen dat hun leveranciers voldoen aan de vereisten uit bijvoorbeeld DORA en NIS2. Dit betekent dat jouw bedrijf ook moet voldoen aan cybersecuritynormen om deel te blijven uitmaken van de keten.
Incidentrapportage en audits: Subleveranciers moeten adequaat reageren op beveiligingsincidenten en kunnen te maken krijgen met strengere eisen rondom monitoring en rapportages. Uit de recent ontvangen bijlage blijkt dat leveranciers verplicht zijn om incidenten binnen 24 uur te melden aan de klant en passende corrigerende maatregelen te nemen.
Transparantie: Er wordt steeds vaker van leveranciers geëist dat ze volledige medewerking verlenen bij audits en inspecties. Jouw klant moet kunnen verifiëren dat je voldoet aan de wetgeving, zoals aangegeven in de Good Industry Practice en strikte monitoring van je onderaannemers.
Concrete verplichtingen voor subleveranciers volgens NIS2
De
NIS2-richtlijn stelt specifieke verplichtingen voor subleveranciers (derden) die werken met organisaties binnen de kritieke infrastructuur. Hier zijn enkele concrete verplichtingen voor subleveranciers volgens de NIS2-richtlijn:
Incidentrapportage: Subleveranciers moeten cybersecurity-incidenten die invloed kunnen hebben op de dienstverlening aan kritieke infrastructuren onmiddellijk rapporteren aan de hoofdleverancier, zodat die dit kan doorgeven aan de bevoegde autoriteiten.
Beveiligingsmaatregelen: Ze zijn verplicht passende technische en organisatorische maatregelen te implementeren, zoals encryptie, toegangscontrole en netwerksegmentatie,
security monitoring en
medewerker én management security awareness om de veiligheid van hun systemen en diensten te waarborgen.
Contractuele verplichtingen: De relatie tussen hoofdleveranciers en subleveranciers moet contractueel vastgelegd zijn, inclusief specifieke eisen omtrent cybersecurity, risico's en incidentbehandeling. Dit zorgt voor duidelijke verantwoordelijkheden.
Naleving en audits: Subleveranciers moeten voldoen aan de NIS2-normen en zijn onderhevig aan audits en controles om te verzekeren dat zij deze naleving kunnen aantonen.
Deze verplichtingen zorgen ervoor dat subleveranciers bijdragen aan de algehele cyberveiligheid van kritieke infrastructuren. Deze verplichtingen zijn bedoeld om de cybersecurity binnen de gehele keten te versterken, zodat zwakke schakels, waaronder subleveranciers, geen risico vormen voor kritieke infrastructuren.
Concrete verplichtingen voor subleveranciers volgens DORA
DORA is erop gericht om de operationele veerkracht van de financiële sector te versterken, en de verantwoordelijkheid van subleveranciers speelt hierbij een cruciale rol, aangezien zij een belangrijk onderdeel van de keten zijn.
Op basis van de recente DORA-wijziging in een contract kunnen we enkele concrete verplichtingen schetsen die subleveranciers zoals jij gaan raken:
Beveiligingsincidenten: Een leverancier moet in staat zijn om direct te reageren op beveiligingsincidenten, zoals onrechtmatige toegang of verlies van klantdata, en deze binnen 24 uur melden.
Beveiligingsmaatregelen: Ze zijn verplicht passende technische en organisatorische maatregelen te implementeren, zoals
periodiek pentesten,
security monitoring, het inzetten van
vulnerability scans en
web application scans om de veiligheid van hun systemen en diensten te waarborgen.
Data recovery en disaster recovery plannen: Subleveranciers moeten beschikken over gedocumenteerde
noodplannen en
disaster recovery-procedures die minstens jaarlijks worden getest.
Ondersteuning bij audits en monitoring: Subleveranciers zijn verplicht om volledige medewerking te verlenen aan audits door klanten en toezichthouders, inclusief het verstrekken van relevante documentatie en toegang tot systemen.
Concrete verplichtingen voor subleveranciers volgens de Cyber Resilience Act (CRA)
De Cyber Resilience Act (CRA) stelt strenge verplichtingen aan subleveranciers die betrokken zijn bij de ontwikkeling en levering van digitale producten en diensten. Hier zijn enkele concrete verplichtingen voor subleveranciers volgens de Cyber Resilience Act (CRA):
Veiligheidsupdates en patches: Subleveranciers zijn verplicht om regelmatig beveiligingsupdates en patches te leveren voor hun producten om kwetsbaarheden te verhelpen, gedurende de volledige levenscyclus van het product.
Risicobeoordeling: Ze moeten een grondige risicobeoordeling uitvoeren voor de producten die ze leveren, waarbij mogelijke kwetsbaarheden worden geïdentificeerd en geminimaliseerd vóór de levering.
Incidentrapportage: Subleveranciers moeten beveiligingsincidenten die hun producten raken snel rapporteren aan hun klanten en indien nodig aan de relevante autoriteiten, zodat tijdig actie ondernomen kan worden.
Productdocumentatie: Ze moeten gedetailleerde technische documentatie aanleveren die de genomen beveiligingsmaatregelen beschrijft. Dit is essentieel voor transparantie en naleving van CRA-regels.
Deze verplichtingen zijn gericht op het versterken van de veiligheid en transparantie in de digitale productketen. De CRA heeft als doel om de cyberweerbaarheid van de gehele keten te versterken door ervoor te zorgen dat alle subleveranciers, net als de hoofdaannemers, voldoen aan strikte beveiligingseisen en risicobeheerpraktijken.
Wat kun je nu doen om voorbereid te zijn?
Hier zijn enkele praktische stappen die je kunt nemen om compliant te worden en te blijven:
- Implementatie van standaarden: Zorg ervoor dat je voldoet aan de belangrijkste internationale normen zoals ISO 27001, die vaak als basis worden gebruikt in de regelgeving.
- Risico Analyse nul-meting: In welke fase van cybersecurity volwassenheid bevind uw organisatie? Welke maatregelen worden wel of niet toegepast toegespitst op men, proces, techniek, fysiek, juridisch en beheer?
- Data- en beveiligingsbeheer: Zorg voor een solide datamanagement- en incidentresponseplan om snel te kunnen reageren op beveiligingsincidenten en dataherstel te garanderen.
- Samenwerking met klanten: Maak duidelijke afspraken met klanten over de verwachtingen met betrekking tot cybersecurity. Dit kan contractueel worden vastgelegd in service level agreements en exitplannen
De nieuwe Europese cybersecuritywetten zoals NIS2, DORA en de Cyber Resilience Act hebben een bredere impact dan je misschien denkt. Subleveranciers en bedrijven in de toeleveringsketen worden ook verantwoordelijk gesteld voor compliance. Door nu stappen te nemen en proactief samen te werken met je klanten, kun je voldoen aan de regelgeving en je positie in de keten versterken.
Wil je meer weten over wat de nieuwe Europese wetten voor jouw bedrijf betekenen? Neem
contact met ons op voor een adviesgesprek over hoe je je cybersecuritybeleid kunt versterken en voldoen aan de laatste regelgeving.
Over Networking4all
Networking4all is een deskundige en servicegerichte leverancier van SSL/TLS certificaten & cybersecurity oplossingen. Wij bieden een uniek holistisch aanbod op het gebied van cybersecurity diensten met als doel ontzorgen. Onze diensten zijn gericht op de informatiebeveiliging pijlers; mens, proces, techniek en monitoring.
Networking4all richt zich op een proactieve benadering van cybersecurity om bedrijven beter bestand te maken tegen cyberaanvallen. Wij leveren onze producten en diensten aan grote en kleine klanten uit diverse sectoren zoals detailhandel, zakelijke dienstverlening, ICT, industrie, gezondheidszorg, onderwijs en overheid.
Certificeringen en Keurmerken
Networking4all is in het bezit van diverse certificeringen en keurmerken.
Tel: +31 (0) 20 788 1030
Mail:
info@networking4all.com
Web:
https://www.networking4all.com