"Zes op de tien toeleveranciers die bekend zijn met de NIS2-regels, denken dat de NIS2-regels integraal ook gelden voor toeleveranciers aan NIS2-bedrijven." Deze verkeerde aanname bleek uit de flitspeiling
Beleving NIS2-regelgeving bij Toeleveranciers die het Digital Trust Center in september 2024 liet uitvoeren.
Inmiddels is de NIS2-richtlijn in de Cyberbeveiligingswet (Cbw) opgenomen en naar de
Tweede Kamer verzonden. De Cbw legt naar schatting 8.000 organisaties in zogenoemde kritieke sectoren een zwaardere zorgplicht op als het gaat om hun digitale veiligheid.Er is al veel duidelijkheid verstrekt over de
maatregelen die organisaties die onder deze wet vallen, moeten nemen. Voor de duizenden bedrijven die leveren aan deze Cbw-organisaties is - zo blijkt uit de flitspeiling – de doorwerking van de Cbw nog onduidelijk.
“De wet legt toeleveranciers van deze Cbw-organisaties geen verplichtingen op. Toch heeft de wet wel invloed op de toeleveranciers, omdat het waarschijnlijk is dat Cbw-organisaties hun toeleveranciers extra eisen gaan stellen ter beveiliging van de keten”, aldus Jacco van der Kolk van het Digital Trust Center.
Beveiliging van de toeleveringsketen
DeCbw eist van Cbw-organisaties dat zij erop toezien dat hun toeleveringsketen veilig is (art. 21 lid 3 sub d). Cbw-organisaties kunnen van hun hieronder nader te definiëren toeleveranciers eisen dat er maatregelen worden genomen die voortkomen uit een op risico gebaseerde aanpak. Hierdoor kan deze nieuwe cyberwet dus een indirecte impact hebben op toeleveranciers.
Niet alle toeleveranciers gaan impact merken
Als er via een
rechtstreeksetoeleverancier of dienstverlener een risico bestaat voor
de netwerk- en informatiesystemenvan de Cbw-organisatie, dan moet de Cbw-organisatie maatregelen (laten) nemen. Leveranciers van toeleveranciers vallen dus buiten de reikwijdte van deze wet.
Risicoanalyse bepaalt welke toeleveranciers een risico opleveren
Cbw-organisaties dienen de risico's in de toeleveranciersketen in kaart te brengen met als doel om het netwerk- en informatiesystemen en de fysieke omgeving van die systemen tegen incidenten te beschermen. Bij deze inventarisatie van risico’s verlangt de wetgever een ‘all hazards approach’. Dit betekent dat er naar alle gevaren moet worden gekeken die er zijn voor de netwerk- in informatiesystemen. Het gaat dus niet alleen om de digitale beveiliging, maar ook de fysieke beveiliging van de locatie waar de te beschermen systemen staan.
Welke toeleveranciers kunnen indirecte impact ervaren van de Cbw?
De criteria zijn niet expliciet in de wet opgenomen, maar als jouw leveringsrelatie met een Cbw-organisatie één van de volgende onderdelen bevat, dan is de kans aanwezig dat je in een risico-inventarisatie van de keten voorkomt.
- Je levert diensten of producten die gerelateerd zijn aan netwerk- en informatiesystemen van een Cbw-organisatie;
- Je levert een ICT-component van de netwerk- of informatiesystemen van een Cbw-organisatie;
- Je hebt toegang tot de netwerk- en informatiesystemen van een Cbw-organisatie.
Als je één van bovenstaande ketenrelaties hebt tot een Cbw-organisatie, dan kan deze van jou als rechtstreekse toeleverancier verlangen om mitigerende maatregelen te nemen om de bestaande risico's te beheersen.
‘Passende en evenredige maatregelen’
Als een toeleverancier een risico vormt voor de netwerk- en informatiesystemen van de Cbw-organisatie, dan kan de toeleverancier opgelegd worden om maatregelen te nemen. Dit kunnen technische, operationele of organisatorische maatregelen zijn. Niet elke maatregel kan verlangd worden van een toeleverancier. De wet schrijft voor dat Cbw-organisaties ‘passende en evenredige’ maatregelen nemen. De effectiviteit van de maatregel is dus van belang; de juiste maatregel op de juiste plek.
Toeleveranciers staan niet onder toezicht
Of de maatregelen passend en evenredig zijn, is iets wat een toezichthouder kan bepalen als de Cbw-organisatie op de ketenbeveiligingszorgplicht gecontroleerd wordt. Toeleveranciers staan zelf niet onder toezicht en zijn geen verantwoording verschuldigd aan een toezichthouder. Wel kan de Cbw-organisatie vragen om bewijs dat de maatregelen genomen zijn zodat dit op verzoek getoond kan worden aan de toezichthouder.
Keurmerk of certificaat is geen vereiste voor toeleveranciers
Er bestaan geen keurmerken of certificaten waarmee je kunt aantonen dat je als organisatie voldoet aan de Cbw-bepalingen. Welke maatregelen genomen moeten worden is immers geheel afhankelijk van de bedrijfsspecifieke risicoanalyse. Bovendien is het voldoen aan de zorgplicht van de Cbw geen momentopname, maar een doorlopende activiteit en verantwoordelijkheid. Dit geldt ook voor de inspanningen die toeleveranciers voor ketenveiligheid doen.
Sommige toeleveranciers tonen graag hun digitale weerbaarheidsniveau via een cybersecurity certificaat of keurmerk. Dat is vrijwillig, er is geen wettelijke bepaling die een toeleverancier hiertoe dwingt.
Oproep: bereid je vast voor op de Cbw
Toeleveranciers die via hun leveringsrelatie een risico vormen voor de netwerk- en informatiesystemen van een Cbw-organisatie, kunnen alvast aan de slag met het verhogen van hun cyberweerbaarheid. De
5 basisprincipes van digitale weerbaarheid bieden een handige handvatten om te inventariseren waar je verdediging nog beter kan. Wie de basis op orde heeft kan
verdiepende maatregelen treffen.
Ook Cbw-organisaties kunnen aan de slag met de
10 zorgplichtmaatregelen. En natuurlijk met het
inventariseren van de leveranciers die een ketenrisico opleveren.
Zoek de dialoog binnen de keten op
Naast het treffen van voorbereidende maatregelen roept het Digital Trust Center ketenpartners op om actief de dialoog op te zoeken. Wees open over je security-aanpak, systemen en processen en focus op de essentiële cyberrisico’s voor de keten. Leg afspraken vast en
bereid je indien mogelijk samen voor op incidenten.
Heb je vragen of twijfel je over de reikwijdte van de wet? Raadpleeg de ervaringsdeskundigen in de
online DTC Community.