Spring naar content

Onderzoek: Maakindustrie moet nog meer aan de slag voor Cyberbeveiligingswet

Organisaties uit de Nederlandse maakindustrie bereiden zich voor op de aankomende Cyberbeveiligingswet (Cbw). Uit de resultaten van de NIS2-Quickscan van de Rijksinspectie Digitale Infrastructuur (RDI) blijkt dat een deel van de bedrijven al stappen hebben gezet op het gebied van cybersecurity, maar ook dat er op een aantal onderdelen nog werk aan de winkel is.

Onder de sector vervaardiging vallen onder meer organisaties die zich bezighouden met de productie van informaticaproducten, elektronische en optische producten, elektrische apparatuur, machines, werktuigen, motorvoertuigen en andere transportmiddelen. Zodra de Cyberbeveiligingswet van kracht wordt, moeten ook deze organisaties voldoen aan de wettelijke eisen rondom digitale weerbaarheid.

Bedrijven krijgen inzicht in hun voorbereiding

Verschillende organisaties uit de maakindustrie vulden de NIS2-Quickscan van de RDI in. Met deze zelfevaluatie konden zij beoordelen in hoeverre hun huidige maatregelen aansluiten op de eisen van de Cyberbeveiligingswet.

De verzamelde resultaten geven een interessant beeld van de stand van zaken binnen de sector. Veel organisaties hebben al aandacht voor cybersecurity, maar zien tegelijkertijd dat aanvullende maatregelen nodig zijn om volledig aan de nieuwe verplichtingen te voldoen.

Leveranciersrisico’s blijven een belangrijk aandachtspunt

Het onderwerp waarop organisaties zichzelf het laagst beoordelen, is het beheersen van risico’s in de toeleveringsketen. Dat blijft een uitdaging.

Dat is niet verrassend. De maakindustrie is sterk afhankelijk van leveranciers, producenten, softwareleveranciers, onderhoudspartijen en logistieke partners. Een cyberincident bij één van deze partijen kan directe gevolgen hebben voor productieprocessen, leveringen of dienstverlening. Tegelijk is het gevoelsmatig lastig om druk te zetten op leveranciers waar men al jaren mee samenwerkt. Toch is dat geen vrije keuze aan gezien de NIS2 dit verplicht en 40% van de helaas succesvolle aanvallen via leveranciers komen.

De Cyberbeveiligingswet verlangt daarom dat organisaties niet alleen hun eigen beveiliging op orde hebben, maar ook risico’s binnen hun keten identificeren en beheersen. Dat vereist een gestructureerde beoordeling van ketenrisico’s en duidelijke contractuele afspraken over cybersecurity.

Meldingsprocedures verdienen verdere uitwerking

Een tweede aandachtspunt betreft het melden van significante incidenten.

Onder de Cyberbeveiligingswet gelden strikte eisen voor het melden van ernstige cyberincidenten. Organisaties moeten daarom vooraf duidelijke procedures hebben vastgelegd voor het herkennen, beoordelen en melden van incidenten.

Uit de resultaten blijkt dat veel bedrijven deze processen nog verder moeten ontwikkelen. Heldere verantwoordelijkheden, escalatieprocedures en documentatie zijn daarbij essentieel.

Cybersecurity wordt een bestuursonderwerp

Ook op het gebied van governance zien organisaties ruimte voor verbetering.

De Cyberbeveiligingswet legt nadrukkelijk verantwoordelijkheden neer bij directe/bestuurders. Zij moeten toezicht houden op de cyberbeveiliging van de organisatie en voldoende kennis hebben om risico’s en maatregelen te kunnen beoordelen.

Veel deelnemers aan de quickscan geven aan dat training en bewustwording op directie/bestuursniveau nog verdere aandacht vragen. Daarmee wordt cybersecurity steeds meer een strategisch onderwerp dat thuishoort in de bestuurskamer.

Sterke basis aanwezig

Tegelijkertijd laten de resultaten zien dat veel organisaties al beschikken over een stevige basis op het gebied van cyberbeveiliging. Bedrijven investeren steeds vaker in risicobeheer, technische beveiligingsmaatregelen en het vergroten van de digitale weerbaarheid van hun organisatie.

Dat biedt een goed uitgangspunt voor de verdere voorbereidingen op de Cyberbeveiligingswet.

Voorbereiden op de volgende stap

De resultaten van de ingevulde Quickscans laten zien dat de maakindustrie zich bewust is van de komende verplichtingen. Vooral het beheersen van leveranciersrisico’s, het inrichten van incidentmeldingen en het versterken van bestuurlijke betrokkenheid staan de komende periode hoog op de agenda.

Voor veel organisaties speelt daarbij meer dan alleen wetgeving. Ook klanten en ketenpartners stellen steeds vaker eisen aan aantoonbare cyberbeveiliging. Daarmee wordt digitale weerbaarheid niet alleen een compliance-vraagstuk, maar ook een belangrijk onderdeel van zakendoen binnen moderne toeleveringsketens.

Organisaties die nu beginnen met het in kaart brengen van hun leveranciers, het beoordelen van ketenrisico’s en het aantoonbaar vastleggen van beveiligingsmaatregelen, zijn beter voorbereid op zowel de Cyberbeveiligingswet als de toenemende vragen vanuit klanten en opdrachtgevers.

Honderden bedrijven in de maakindustrie gebruiken SDV als platform voor hun NIS2 werkzaamheden omdat je daarmee binnen enkele maanden alles kunt regelen.

Bron: Rijksinspectie Digitale Infrastructuur (RDI)

Gerelateerde artikelen

Van Rooijen versterkt digitale weerbaarheid met NIS2 SC 20-certificering

De 4 grootste cyberrisico’s die HR kan helpen voorkomen

Win meer offertes en aanbestedingen met NIS2-certificering

Nog weinig bedrijven voldoen aan de registratieplicht cyberbeveiligingswet (NIS2)

Grote belangstelling voor infosessies over cyberverzekering en NIS2 Supply Chain-certificering
Interesse in dit onderwerp?

We houden je op de hoogte!

Terug naar overzicht