Samen Digitaal Veilig is een initiatief van MKB-Nederland en VNO-NCW

Veilig samenwerken
in de keten

Ketenzorgplicht NIS2 richtlijn raakt ruim 50.000 mkb-bedrijven

ketenzorgplicht NIS2 richtlijn

De NIS2 richtlijn vormt een cruciale basis voor cybersecurity binnen Europa, voornamelijk voor organisaties die essentiële diensten aanbieden. Met meer dan 10.000 organisaties die onder deze regelgeving vallen, introduceert artikel 21.2d van de NIS2 wetgeving een significante verantwoordelijkheid: de ketenzorgplicht. Dat betekent dat deze organisaties niet alleen hun eigen netwerken moeten beveiligen, maar ook moeten zorgen voor de beveiliging van hun directe leveranciers in de leveringsketen als er sprake is van risico’s.

De omvang van de uitdaging: 50.000 mkb-bedrijven

De ketenzorgplicht onder de NIS2 raakt een grote groep bedrijven: naast de ruim 10.000 direct betrokken NIS2 organisaties kunnen 50.000 tot 70.000 van hun leveranciers betrokken zijn. De grootte en diversiteit van deze leveranciers, vaak mkb-bedrijven, variëren sterk. We hebben een lijst gemaakt met soorten bedrijven die mogelijk een risico zijn voor de beschikbaarheid, de vertrouwelijkheid en de integriteit van jouw bedrijfsprocessen, informatie en daarmee jouw hele organisatie. Klik hier voor de lijst.

We hebben een onderzoek gedaan naar aantallen risico leveranciers

Een flink aantal NIS2 organisaties geeft aan meer dan 1000 leveranciers te hebben. SDV heeft honderden NIS2 organisaties gevraagd naar de aantallen betrokken leveranciers.

Aantallen leveranciers

SectorenBandbreedte van aantallen leveranciers
Drinkwater250 – 500
Transport250 – 1000
Bankwezen 500 – 1500
Infrastructuur financiële markt100 – 500
Gezondheidszorg 500 – 3000
Energie 100 – 1250
Digitale infrastructuur200 – 1750
Beheerders van ICT-diensten100 – 750
Afvalwater 100 – 500
Overheidsdiensten250 – 3500
Ruimtevaart 250 – 2000
Digitale aanbieders300 – 900
Post- en koeriersdiensten50 – 650
Afvalstoffenbeheer150 – 800
Levensmiddelen150 – 4000
Chemische stoffen100 – 1000
Onderzoek 50 – 300
Vervaardiging/ manufacturing100 – 5000
18 NIS2 sectoren
Het totale aantal NIS2 organisaties en bedrijven ligt tussen de 10.000 en 12.000
Het aantal bedrijven dat een risico vormt voor NIS2 organisaties ligt tussen de 50.000 en 70.000.
Het aantal bedrijven in Nederland met meer dan 5 medewerkers is 197.000 (bron KvK)
Het aantal bedrijven in Nederland met meer dan 10 medewerkers is 108.000 (bron KvK)

Het overkoepelende doel is dat alle bedrijven een hoger niveau van cybersecurity waarborgen door de hele keten heen.

Cybersecuritymaatregelen afhankelijk van risico

Volgens artikel 21.2d van de richtlijn moeten NIS2 organisaties op basis van een risicoanalyse passende cybersecuritymaatregelen opleggen aan hun directe leveranciers als er sprake is van risico’s. Dit proces vereist een gedetailleerde beoordeling van de risico’s die specifiek zijn voor elk segment van de keten. Het doel is om kwetsbaarheden te identificeren en te adresseren die zouden kunnen leiden tot inbreuken of verstoringen in de dienstverlening. Dit is een enorme hoeveelheid werk en een compleet onderschat onderdeel van de aankomende NIS2. Het is zaak om snel te beginnen.

Implementatie en uitdagingen

De implementatie van ketenzorgplicht brengt uitdagingen met zich mee, vooral in het beheren van de diversiteit en de reikwijdte van de leveringsketens. Elk bedrijf binnen deze keten zal moeten voldoen aan de gestelde eisen, wat kan variëren van basale cyberhygiëne beveiligingsmaatregelen tot geavanceerde cybersecurityoplossingen, afhankelijk van de aard en de ernst van de geïdentificeerde risico’s.

Factoren die leiden tot verplicht samenwerken

Een cruciale factor is het feit dat NIS2-organisaties niet aan de wet voldoen als hun leveranciers niet veilig werken in geval van gedetecteerde risico’s. In de Cyberbeveiligingswet zal sprake zijn van aansprakelijkheid en boetes. Dit is een dwingende factor waardoor NIS2-organisaties de verplichting voor digitale veiligheid kunnen opleggen aan hun leveranciers. Mkb-bedrijven zullen daarom moeten voldoen aan de eisen van hun grote klanten, omdat ze die anders waarschijnlijk kwijtraken.

Conclusie

De invoering van de ketenzorgplicht onder NIS2 is een ambitieuze stap naar een meer geïntegreerde en robuuste aanpak van cybersecurity binnen de Europese Unie. Deze zorgplicht verzekert dat niet alleen NIS2-organisaties, maar ook hun leveranciers een actieve rol spelen in het beschermen tegen digitale dreigingen en cybercriminaliteit. Veel bedrijven gaan ervan uit dat ze hun cybersecurity goed op orde hebben. Maar tegen digitale dreigingen en cybercriminaliteit.

Veel bedrijven gaan ervan uit dat ze hun cybersecurity goed hebben geregeld. Deze wet zorgt ervoor dat ze dat moeten aantonen. In andere woorden; zij moeten aan hun belangrijke klanten bewijzen dat hun cybersecurity goed geregeld is.

Techone ontvangt als eerste bedrijf in Nederland het NIS2 Quality Mark-certificaat
Interview Forvis Mazars: ‘Cybersecurity moet een doorlopend proces zijn, net zoals je wekelijkse financiële status’
ABN AMRO peilt cyberveiligheid in de bouwsector
Bestel hackers online! Serieus gevaarlijk
De Europese Commissie verzoekt 23 lidstaten volledige implementatie van NIS2 richtlijn