Skip to content

Youtube Logo PNGs for Free DownloadBekijk de video versie van deze blog

NIS2-organisaties spelen een cruciale rol in de toeleveringsketen door hun verantwoordelijkheden. Bestuurders en directieleden van een organisatie kunnen aansprakelijk worden gesteld voor hun rol als NIS2-organisatie. Deze verantwoordelijkheid gaat verder dan formele aansprakelijkheid; het houdt in dat als je je niet als een goed huisvader gedraagt en de zaken niet op orde hebt, je boetes kunt krijgen.

Geschreven door: Jacco Wildeman

Bekijk hier ons webinar over NIS2

Meer dan formele aansprakelijkheid

Hoewel boetes niet het doel van de wet zijn en toezichthouders het eerste jaar waarschijnlijk niet zullen handhaven, is het essentieel om direct aan de slag te gaan. Het is belangrijk om een plan op te stellen en een vorm van ambitie te tonen.

Plan met toeleveranciers

In dit plan moeten ook de leveranciers worden meegenomen. Zie in de afbeelding hieronder hoe dat eruitziet in de toeleveringsketen. Bovenaan staan de essentiële en belangrijke organisaties, die allemaal gebruikmaken van toeleveranciers. Dit kan een fysiek product, een deelproduct of een dienst zijn. Daaronder kunnen ook weer toeleveranciers van toeleveranciers zitten. Deze keten kun je zo ver naar beneden trekken als nodig is.

Lees verder onder de afbeelding.

NIS2 Zorgplicht in de toeleveringsketen

Disruptie voorkomen

Belangrijk is dat de NIS2-wetgeving geen disruptie veroorzaakt in de toeleveringsketen. De wet moet niet afschrikken, maar juist slim en makkelijk toegepast worden. Kleine bedrijven moeten niet met hoge normen geconfronteerd worden, waaraan ze niet kunnen voldoen en grote bedrijven willen deze kleine bedrijven niet kwijt. Als je disruptie wilt vermijden, adviseren wij de onderstaande 5 stappen te doorlopen.

5 stappen om je toeleveringsketen inzichtelijk te krijgen

  1. Risico-inventarisatie van leveranciers: Maak een risico-inventarisatie van al je leveranciers, eventueel samen met je cybersecurity specialist. Stel dat je 500 leveranciers hebt, dan moet je ze allemaal beoordelen om de risico’s te bepalen.
  2. Bepaal het risiconiveau: Hierbij maak je onderscheid tussen verschillende soorten leveranciers. Het belangrijkste zijn de leveranciers waarvan de uitval binnen 24 uur je dienstverlening of productie stillegt. Vervolgens zijn er de leveranciers waarvan de uitval na drie dagen tot problemen leidt. Ten slotte zijn er de leveranciers die niet als kritisch worden beschouwd.
  3. Cybersecurity normering opleggen: Leg een passende cybersecurity normering op aan je leveranciers. Met de invoering van NIS2 is het verplicht om een cybersecurity normering op te leggen aan leveranciers binnen de essentiële en belangrijke sectoren. Deze richtlijn stelt hogere beveiligingseisen en strengere rapportageverplichtingen vast om de cyberweerbaarheid van de keten te waarborgen.
  4. Normering vastleggen in inkoopvoorwaarden: Pas je inkoopvoorwaarden aan om de aansprakelijkheid door te schuiven naar de toeleverancier. Hiervoor kun je templates gebruiken van Samen Digitaal Veilig/Ekco.
  5. Bewijs van audit: Zorg voor een auditbewijs van de leverancier dat zij voldoen aan de richtlijnen. Betrek de juiste afdelingen zoals inkoop, IT en legal bij dit project voor een succesvolle uitvoering.

Meer informatie

Wil je meer weten over het inzichtelijk maken van je toeleveringsketen of hierover van gedachten wisselen? Neem dan contact met ons op.


Webinar

Deze blog is afkomstig uit het webinar NIS2 wat het betekent en hoe je actie onderneemtKlik hier om de opname te bekijken of naar de slides en het Q&A document te gaan.

pic

Heb je een vraag?
Onze specialisten staan voor je klaar