Samen Digitaal Veilig is een initiatief van MKB-Nederland en VNO-NCW

Veilig samenwerken
in de keten

Ketenzorgplicht NIS2 richtlijn raakt ruim 50.000 mkb-bedrijven

ketenzorgplicht NIS2 richtlijn

De NIS2 richtlijn vormt een cruciale basis voor cybersecurity binnen Europa, voornamelijk voor organisaties die essentiële diensten aanbieden. Met meer dan 10.000 organisaties die onder deze regelgeving vallen, introduceert artikel 21.2d van de NIS2 wetgeving een significante verantwoordelijkheid: de ketenzorgplicht. Dat betekent dat deze organisaties niet alleen hun eigen netwerken moeten beveiligen, maar ook moeten zorgen voor de beveiliging van hun directe leveranciers in de leveringsketen.

De omvang van de uitdaging: 50.000 mkb-bedrijven

De ketenzorgplicht onder de NIS2 raakt een grote groep bedrijven: naast de ruim 10.000 direct betrokken NIS2 organisaties zullen 50.000 tot 70.000 van hun leveranciers betrokken zijn. De grootte en diversiteit van deze leveranciers, vaak mkb-bedrijven, variëren sterk. Een flink aantal NIS2 organisaties geeft aan meer dan 1000 leveranciers te hebben. SDV heeft honderden NIS2 organisaties gevraagd naar de aantallen betrokken leveranciers.

Aantallen leveranciers

SectorenBandbreedte van aantallen leveranciers
Drinkwater250 – 500
Transport250 – 1000
Bankwezen 500 – 1500
Infrastructuur financiële markt100 – 500
Gezondheidszorg 500 – 3000
Energie 100 – 1250
Digitale infrastructuur200 – 1750
Beheerders van ICT-diensten100 – 750
Afvalwater 100 – 500
Overheidsdiensten250 – 3500
Ruimtevaart 250 – 2000
Digitale aanbieders300 – 900
Post- en koeriersdiensten50 – 650
Afvalstoffenbeheer150 – 800
Levensmiddelen150 – 4000
Chemische stoffen100 – 1000
Onderzoek 50 – 300
Vervaardiging/ manufacturing100 – 5000
18 NIS2 sectoren
Het totale aantal NIS2 organisaties en bedrijven ligt tussen de 10.000 en 12.000
Het aantal bedrijven dat een risico vormt voor NIS2 organisaties ligt tussen de 50.000 en 70.000.
Het aantal bedrijven in Nederland met meer dan 5 medewerkers is 197.000 (bron KvK)
Het aantal bedrijven in Nederland met meer dan 10 medewerkers is 108.000 (bron KvK)

Het overkoepelende doel is dat alle bedrijven een hoger niveau van cybersecurity waarborgen door de hele keten heen.

Cybersecuritymaatregelen afhankelijk van risico

Volgens artikel 21.2d van de richtlijn moeten NIS2 organisaties op basis van een risicoanalyse passende cybersecuritymaatregelen opleggen aan hun directe leveranciers. Dit proces vereist een gedetailleerde beoordeling van de risico’s die specifiek zijn voor elk segment van de keten. Het doel is om kwetsbaarheden te identificeren en te adresseren die zouden kunnen leiden tot inbreuken of verstoringen in de dienstverlening.

Implementatie en uitdagingen

De implementatie van ketenzorgplicht brengt uitdagingen met zich mee, vooral in het beheren van de diversiteit en de reikwijdte van de leveringsketens. Elk bedrijf binnen deze keten zal moeten voldoen aan de gestelde eisen, wat kan variëren van basale cyberhygiëne beveiligingsmaatregelen tot geavanceerde cybersecurityoplossingen, afhankelijk van de aard en de ernst van de geïdentificeerde risico’s.

Factoren die leiden tot verplicht samenwerken

De cruciale factor is het feit dat NIS2 organisaties niet aan de wet voldoen als hun leveranciers niet veilig werken. In de wet staat dat directie/bestuur van de desbetreffende NIS2 organisatie hoofdelijk aansprakelijk is als men niet aan de wet voldoet. Dit is een dwingende factor waardoor NIS2 organisaties de verplichting voor digitale veiligheid moeten opleggen aan hun leveranciers. Deze aansprakelijkheidsfactor zorgt voor verplichting in de keten. Mkb-bedrijven aan de andere kant zullen moeten meewerken omdat ze anders hun grote klanten kwijtraken; grote klanten die veilig werken gaan verplichten en onderdeel maken van de voorwaarden voor samenwerking.

Conclusie

De invoering van de ketenzorgplicht onder NIS2 is een ambitieuze stap naar een meer geïntegreerde en robuuste aanpak van cybersecurity binnen de Europese Unie. Het verzekert dat niet alleen de NIS2 organisaties, maar ook hun leveranciers een actieve rol spelen in het beschermen tegen digitale dreigingen en cybercriminaliteit.

Veel bedrijven gaan ervan uit dat ze hun cybersecurity goed hebben geregeld. Deze wet zorgt ervoor dat ze dat moeten aantonen. In andere woorden; zij moeten aan hun belangrijke klanten bewijzen dat hun cybersecurity goed geregeld is.

Lodi Hensen van Eye Security: ‘cybercriminelen vinden steeds nieuwe manieren’
Internetconsultatie Cyberbeveiligingswet gestart: bedrijven en mkb’ers mogen meedenken over de inhoud van de wet
Jan Martijn Broekhof van Guardian360 ‘NIS2 biedt kansen!’
Dreigingslandschap voor organisaties en mkb-bedrijven verandert razendsnel
CCV en Cyra gaan samenwerken