De NIS2 richtlijn vormt een cruciale basis voor cybersecurity binnen Europa, voornamelijk voor organisaties die essentiële diensten aanbieden. Met meer dan 10.000 organisaties die onder deze regelgeving vallen, introduceert artikel 21.2d van de NIS2 wetgeving een significante verantwoordelijkheid: de ketenzorgplicht. Dat betekent dat deze organisaties niet alleen hun eigen netwerken moeten beveiligen, maar ook moeten zorgen voor de beveiliging van hun directe leveranciers in de leveringsketen.
De omvang van de uitdaging: 50.000 mkb-bedrijven
De ketenzorgplicht onder de NIS2 raakt een grote groep bedrijven: naast de ruim 10.000 direct betrokken NIS2 organisaties zullen 50.000 tot 70.000 van hun leveranciers betrokken zijn. De grootte en diversiteit van deze leveranciers, vaak mkb-bedrijven, variëren sterk. Een flink aantal NIS2 organisaties geeft aan meer dan 1000 leveranciers te hebben. SDV heeft honderden NIS2 organisaties gevraagd naar de aantallen betrokken leveranciers.
Aantallen leveranciers
| Sectoren | Bandbreedte van aantallen leveranciers |
|---|---|
| Drinkwater | 250 – 500 |
| Transport | 250 – 1000 |
| Bankwezen | 500 – 1500 |
| Infrastructuur financiële markt | 100 – 500 |
| Gezondheidszorg | 500 – 3000 |
| Energie | 100 – 1250 |
| Digitale infrastructuur | 200 – 1750 |
| Beheerders van ICT-diensten | 100 – 750 |
| Afvalwater | 100 – 500 |
| Overheidsdiensten | 250 – 3500 |
| Ruimtevaart | 250 – 2000 |
| Digitale aanbieders | 300 – 900 |
| Post- en koeriersdiensten | 50 – 650 |
| Afvalstoffenbeheer | 150 – 800 |
| Levensmiddelen | 150 – 4000 |
| Chemische stoffen | 100 – 1000 |
| Onderzoek | 50 – 300 |
| Vervaardiging/ manufacturing | 100 – 5000 |
| 18 NIS2 sectoren Het totale aantal NIS2 organisaties en bedrijven ligt tussen de 10.000 en 12.000 | Het aantal bedrijven dat een risico vormt voor NIS2 organisaties ligt tussen de 50.000 en 70.000. |
| Het aantal bedrijven in Nederland met meer dan 5 medewerkers is 197.000 (bron KvK) | |
| Het aantal bedrijven in Nederland met meer dan 10 medewerkers is 108.000 (bron KvK) |
Het overkoepelende doel is dat alle bedrijven een hoger niveau van cybersecurity waarborgen door de hele keten heen.
Cybersecuritymaatregelen afhankelijk van risico
Volgens artikel 21.2d van de richtlijn moeten NIS2 organisaties op basis van een risicoanalyse passende cybersecuritymaatregelen opleggen aan hun directe leveranciers. Dit proces vereist een gedetailleerde beoordeling van de risico’s die specifiek zijn voor elk segment van de keten. Het doel is om kwetsbaarheden te identificeren en te adresseren die zouden kunnen leiden tot inbreuken of verstoringen in de dienstverlening.
Implementatie en uitdagingen
De implementatie van ketenzorgplicht brengt uitdagingen met zich mee, vooral in het beheren van de diversiteit en de reikwijdte van de leveringsketens. Elk bedrijf binnen deze keten zal moeten voldoen aan de gestelde eisen, wat kan variëren van basale cyberhygiëne beveiligingsmaatregelen tot geavanceerde cybersecurityoplossingen, afhankelijk van de aard en de ernst van de geïdentificeerde risico’s.
Factoren die leiden tot verplicht samenwerken
De cruciale factor is het feit dat NIS2 organisaties niet aan de wet voldoen als hun leveranciers niet veilig werken. In de wet staat dat directie/bestuur van de desbetreffende NIS2 organisatie hoofdelijk aansprakelijk is als men niet aan de wet voldoet. Dit is een dwingende factor waardoor NIS2 organisaties de verplichting voor digitale veiligheid moeten opleggen aan hun leveranciers. Deze aansprakelijkheidsfactor zorgt voor verplichting in de keten. Mkb-bedrijven aan de andere kant zullen moeten meewerken omdat ze anders hun grote klanten kwijtraken; grote klanten die veilig werken gaan verplichten en onderdeel maken van de voorwaarden voor samenwerking.
Conclusie
De invoering van de ketenzorgplicht onder NIS2 is een ambitieuze stap naar een meer geïntegreerde en robuuste aanpak van cybersecurity binnen de Europese Unie. Het verzekert dat niet alleen de NIS2 organisaties, maar ook hun leveranciers een actieve rol spelen in het beschermen tegen digitale dreigingen en cybercriminaliteit.
Veel bedrijven gaan ervan uit dat ze hun cybersecurity goed hebben geregeld. Deze wet zorgt ervoor dat ze dat moeten aantonen. In andere woorden; zij moeten aan hun belangrijke klanten bewijzen dat hun cybersecurity goed geregeld is.
