Samen Digitaal Veilig is een initiatief van MKB-Nederland en VNO-NCW

Veilig samenwerken
in de keten

Ben je een essentieel of belangrijk bedrijf?

Organisaties en bedrijven in 18 sectoren met een omzet van >10 miljoen of meer dan 50 medewerkers kunnen zijn aangewezen door de overheid. Zij zijn verplicht om zichzelf zeer goed te beveiligen en cyberincidenten te voorkomen. De blauwe button hieronder gaat naar de overheid site waar je kunt checken of je onder de NIS2 valt.

Directe toeleveranciers (mkb-bedrijven) van NIS2 bedrijven moeten meewerken aan beveiliging van de toeleveringsketen door samenwerking met hun grote klanten.

Weet je niet of je onder de NIS2 valt? Wil je hier hulp bij?
Ketenverplichtingen
Welke verplichtingen brengt de NIS2 met zich mee?

Essentiele en belangrijke bedrijven moeten zelf veel cybersecuritymaatregelen nemen op een hoog niveau. Op het vlak van techniek, organisatie, processen en medewerkers. Dat is veel werk. De overheid wil dat NIS2 bedrijven zichzelf echt heel veilig maken om de kans op cyberincidenten te minimaliseren.

Ook de toeleveringsketen beveiliging, verplicht onder NIS2, gaat veel werk zijn voor NIS2 bedrijven en alle directe leveranciers, vaak mkb-bedrijven. De verplichtingen van die samenwerking vind je op de volgende pagina.

De issues met artikel 21.2D uit de NIS2 richtlijn

De nieuwe wet NIS2* zorgt ervoor dat het landschap van inkoop en supply chain in potentie flink kan veranderen. In de nieuwe NIS2 staat voor essentiële en belangrijke bedrijven de verplichting om de toeleveringsketen te beveiligen. Dat wil zeggen dat bedrijven hun directe toeleveranciers moeten verplichten om cybersecurity maatregelen te gaan nemen. Dat kan leiden tot afhaken van leveranciers als de opgelegde eisen niet in verhouding zijn tot het risico, de kosten en tijdsinvestering.

Het opleggen van verplichte NIS2 cybersecurity maatregelen, die tijd en geld kosten, kan een enorme impact hebben op de relatie tussen klanten en leveranciers. Hier zijn een aantal specifieke aspecten van de impact op de relatie tussen inkoop en leveranciers:

Het implementeren van cybersecurity maatregelen vereist vaak aanzienlijke investeringen in technologie en expertise. Voor mkb-leveranciers of bedrijven met beperkte middelen kan dit een grote financiële last zijn. De rekensom die leveranciers gaan maken kan leiden tot afhaken van de leveranciers of verhogen van de prijs van producten en/of diensten.

Naast de financiële kosten, vereist het opzetten en onderhouden van effectieve cybersecurity systemen tijd en menselijke resources. Dit kan ten koste gaan van andere belangrijke bedrijfsactiviteiten, deze factor zal opnieuw druk leggen op de relatie en worden meegenomen in de overweging wel of niet te leveren, samen te werken en prijsaanpassingen door te voeren.

Cybersecurity is een complex veld dat gespecialiseerde kennis vereist. Niet alle leveranciers beschikken over de nodige expertise, wat hen dwingt om externe consultants of nieuwe medewerkers aan te nemen, wat ook weer extra kosten en inspanningen met zich meebrengt.

Het naleven van cybersecurity afspraken, vooral diegene die kunnen veranderen of die van klant tot klant verschillen, kan druk uitoefenen op leveranciers om voortdurend hun systemen en processen bij te werken. Hetgeen weer leidt tot continue investeringen in tijd en geld.

Het niet voldoen aan deze eisen kan leiden tot verlies van zakelijke kansen, of schade aan de reputatie, wat een extra stressfactor is voor leveranciers.

Klanten kunnen eisen dat leveranciers zich houden aan specifieke, hele zware cybersecurity normen als onderdeel van hun contract. Dit kan leiden tot juridische en financiële complicaties als er een inbreuk op de beveiliging plaatsvindt.

Terwijl klanten cybersecurity maatregelen eisen om hun eigen netwerken en data te beschermen, kunnen leveranciers deze eisen soms zien als een teken van wantrouwen, wat de zakelijke relatie kan schaden.

Te strikte cybersecurity eisen kunnen sommige leveranciers van de markt uitsluiten, wat leidt tot minder concurrentie en mogelijk hogere prijzen.

Hoewel op korte termijn belastend, kunnen normale, logische en haalbare cybersecurity normen en afspraken leiden tot sterkere en veiligere zakelijke relaties, als leveranciers, vaak mkb-bedrijven, erin slagen aan deze eisen te voldoen.

Positief is dan weer wel dat mkb-bedrijven die deze eisen voor het nemen van cybersecurity maatregelen doorvoeren niet alleen hun relatie met huidige klanten verstevigen, maar hen ook competitiever maken.

* De NIS2 wet bestaat niet want die heet officieel de Europese NIS2 Richtlijn. En in de loop van 2024 wordt de NIS2 ingebouwd in de Nederlandse Wbni. Dat is dus de Nederlandse wet. Omdat iedereen het heeft over de NIS2 gebruiken we die terminologie om spraakverwarring te vermijden. De nieuwe Wbni inhoud is nog niet erg bekend gemaakt maar zal, naar verwachting, in lijn liggen met de NIS2 richtlijn.

Maak de juiste afspraken

Het is belangrijk voor essentiële en belangrijke bedrijven (lees; grote NIS2 bedrijven) en hun leveranciers om rekening te houden met de mogelijke impact van deze NIS2 eisen en daarom passende, niet te zware en hoge normen op te leggen. Het is juist beter om, waar mogelijk, juist ondersteuning of flexibiliteit te bieden om leveranciers te helpen bij het navigeren door deze uitdagingen. Een samenwerkingsbenadering kan zowel de veiligheid verhogen als een gezonde, langdurige zakelijke relatie ondersteunen.

Om een oplossing te bieden op meerdere veiligheidsniveau’s is het essentieel om gebruik te gaan maken van normale breed gedragen normen. In geval van hoge risico’s kan dat een ISO-cybersecuritynorm zijn. Maar veel vaker zal men gebruik moeten maken van een norm die beter past bij mkb-bedrijven en dat is de NIS2 Quality Mark norm.

De NIS2 Quality Mark norm is gemaakt om op elk risiconiveau met elk type leveranciers de juiste norm af te spreken. Door het NIS2 Quality Mark op te nemen in de inkoopvoorwaarden wordt het risico op afbreuk van de supply chain in ieder geval geminimaliseerd. Terwijl jouw bedrijf dan wel aan de wet voldoet. Dus het NIS2 Quality Mark is een prima oplossing voor de toeleveringsketen beveiliging van de NIS2.

Wat verstaan we onder essentieel en belangrijk?

Essentële bedrijven

Essentiële bedrijven zijn vitaal voor Nederland. Als die niet meer functioneren vanwege een cyberaanval kunnen heel veel mensen er last van hebben. Dat wil niemand.

Stel je voor dat er geen water meer uit de kraan komt. Of dat de elektriciteit niet meer werkt. En dat dagenlang. De nieuwe wet die in oktober 2024 van kracht wordt verplicht essentiële bedrijven om een flink aantal cybersecurity maatregelen te nemen.

Belangrijke bedrijven

Belangrijke bedrijven zijn net als essentiële bedrijven belangrijk en ook daar kunnen cyberincidenten potentieel grote gevolgen hebben voor de samenleving. Ook dit moet voorkomen worden.

Stel je voor dat transportbedrijven plat liggen. Of dat machines niet meer kunnen worden gerepareerd. Dan heeft dat grote gevolgen en kan potentieel leiden tot een stevige disruptie van de economie. Dat kan niet. De nieuwe wet zorgt ervoor dat er een aantal cybersecurity maatregelen komen die belangrijke bedrijven moeten nemen.

Als essentieel of belangrijk bedrijf moet je allereerst cybersecurity maatregelen nemen om jezelf te beschermen. Maar er komt iets bij: je moet er ook voor zorgen dat je toeleveringsketen veilig is. Dat betekent dat je als bedrijf wat onder deze wet valt ook een verantwoordelijkheid hebt ten opzichte van de bedrijven die aan jou leveren. De wet verplicht je om met hen samen te werken om zo de leveringsketen te beveiligen.

Welke verplichtingen brengt de NIS2 met zich mee?