De NIS2 richtlijn vormt een cruciale basis voor cybersecurity binnen Europa, voornamelijk voor organisaties die essentiële diensten aanbieden. Met meer dan 10.000 organisaties die onder deze regelgeving vallen, introduceert artikel 21.2d van de NIS2 wetgeving een significante verantwoordelijkheid: de ketenzorgplicht. Dat betekent dat deze organisaties niet alleen hun eigen netwerken moeten beveiligen, maar ook moeten zorgen voor de beveiliging van hun directe leveranciers in de leveringsketen als er sprake is van risico’s.
De omvang van de uitdaging: 50.000 mkb-bedrijven
De ketenzorgplicht onder de NIS2 raakt een grote groep bedrijven: naast de ruim 10.000 direct betrokken NIS2 organisaties kunnen 50.000 tot 70.000 van hun leveranciers betrokken zijn. De grootte en diversiteit van deze leveranciers, vaak mkb-bedrijven, variëren sterk. We hebben een lijst gemaakt met soorten bedrijven die mogelijk een risico zijn voor de beschikbaarheid, de vertrouwelijkheid en de integriteit van jouw bedrijfsprocessen, informatie en daarmee jouw hele organisatie. Klik hier voor de lijst.
We hebben een onderzoek gedaan naar aantallen risico leveranciers
Een flink aantal NIS2 organisaties geeft aan meer dan 1000 leveranciers te hebben. SDV heeft honderden NIS2 organisaties gevraagd naar de aantallen betrokken leveranciers.
Aantallen leveranciers
Sectoren | Bandbreedte van aantallen leveranciers |
---|---|
Drinkwater | 250 – 500 |
Transport | 250 – 1000 |
Bankwezen | 500 – 1500 |
Infrastructuur financiële markt | 100 – 500 |
Gezondheidszorg | 500 – 3000 |
Energie | 100 – 1250 |
Digitale infrastructuur | 200 – 1750 |
Beheerders van ICT-diensten | 100 – 750 |
Afvalwater | 100 – 500 |
Overheidsdiensten | 250 – 3500 |
Ruimtevaart | 250 – 2000 |
Digitale aanbieders | 300 – 900 |
Post- en koeriersdiensten | 50 – 650 |
Afvalstoffenbeheer | 150 – 800 |
Levensmiddelen | 150 – 4000 |
Chemische stoffen | 100 – 1000 |
Onderzoek | 50 – 300 |
Vervaardiging/ manufacturing | 100 – 5000 |
18 NIS2 sectoren Het totale aantal NIS2 organisaties en bedrijven ligt tussen de 10.000 en 12.000 | Het aantal bedrijven dat een risico vormt voor NIS2 organisaties ligt tussen de 50.000 en 70.000. |
Het aantal bedrijven in Nederland met meer dan 5 medewerkers is 197.000 (bron KvK) | |
Het aantal bedrijven in Nederland met meer dan 10 medewerkers is 108.000 (bron KvK) |
Het overkoepelende doel is dat alle bedrijven een hoger niveau van cybersecurity waarborgen door de hele keten heen.
Cybersecuritymaatregelen afhankelijk van risico
Volgens artikel 21.2d van de richtlijn moeten NIS2 organisaties op basis van een risicoanalyse passende cybersecuritymaatregelen opleggen aan hun directe leveranciers als er sprake is van risico’s. Dit proces vereist een gedetailleerde beoordeling van de risico’s die specifiek zijn voor elk segment van de keten. Het doel is om kwetsbaarheden te identificeren en te adresseren die zouden kunnen leiden tot inbreuken of verstoringen in de dienstverlening. Dit is een enorme hoeveelheid werk en een compleet onderschat onderdeel van de aankomende NIS2. Het is zaak om snel te beginnen.
Implementatie en uitdagingen
De implementatie van ketenzorgplicht brengt uitdagingen met zich mee, vooral in het beheren van de diversiteit en de reikwijdte van de leveringsketens. Elk bedrijf binnen deze keten zal moeten voldoen aan de gestelde eisen, wat kan variëren van basale cyberhygiëne beveiligingsmaatregelen tot geavanceerde cybersecurityoplossingen, afhankelijk van de aard en de ernst van de geïdentificeerde risico’s.
Factoren die leiden tot verplicht samenwerken
Een cruciale factor is het feit dat NIS2-organisaties niet aan de wet voldoen als hun leveranciers niet veilig werken in geval van gedetecteerde risico’s. In de Cyberbeveiligingswet zal sprake zijn van aansprakelijkheid en boetes. Dit is een dwingende factor waardoor NIS2-organisaties de verplichting voor digitale veiligheid kunnen opleggen aan hun leveranciers. Mkb-bedrijven zullen daarom moeten voldoen aan de eisen van hun grote klanten, omdat ze die anders waarschijnlijk kwijtraken.
Conclusie
De invoering van de ketenzorgplicht onder NIS2 is een ambitieuze stap naar een meer geïntegreerde en robuuste aanpak van cybersecurity binnen de Europese Unie. Deze zorgplicht verzekert dat niet alleen NIS2-organisaties, maar ook hun leveranciers een actieve rol spelen in het beschermen tegen digitale dreigingen en cybercriminaliteit. Veel bedrijven gaan ervan uit dat ze hun cybersecurity goed op orde hebben. Maar tegen digitale dreigingen en cybercriminaliteit.
Veel bedrijven gaan ervan uit dat ze hun cybersecurity goed hebben geregeld. Deze wet zorgt ervoor dat ze dat moeten aantonen. In andere woorden; zij moeten aan hun belangrijke klanten bewijzen dat hun cybersecurity goed geregeld is.