Grote bedrijven en organisaties moeten hun belangrijkste belangen (TBB’s) goed beschermen. Met de komst van de NIS2-wet wordt dit nog belangrijker. Deze wet heeft invloed op meer dan 10.000 organisaties en, via de toeleveringsketen, zelfs op meer dan 50.000 bedrijven.
De kern van NIS2 is dat NIS2 organisaties verplicht zijn om alle risico’s in kaart te brengen en te beheersen om zo hun belangen te beschermen. Deze risico’s vallen in drie hoofdcategorieën:
- Techniek
- Medewerkers
- De toeleveringsketen
Hoewel bedrijven techniek en medewerkers grotendeels zelf onder controle hebben, ligt de grootste uitdaging in de toeleveringsketen. Bedrijven moeten kunnen aantonen dat hun leveranciers geen risico vormen en veilig werken. Dit bewijs kan geleverd worden via een ISO27001-certificering, een NIS2 Quality Mark-certificaat, of een branche-specifieke certificering zoals NEN7510.
Waarom is dit belangrijk?
Omdat directieleden en het bestuur persoonlijk aansprakelijk gesteld kunnen worden als de wet niet wordt nageleefd.
Wat zijn te beschermen belangen?
Een te beschermen belang is alles wat belangrijk is voor een organisatie om goed te kunnen functioneren. Denk bijvoorbeeld aan de doelen die een organisatie wil bereiken, de processen die nodig zijn om deze doelen te realiseren, en de systemen die deze processen ondersteunen.
Het NSCS heeft daar een mooie lijst van gemaakt.
Financiële belangen
- Integriteit van financiële gegevens
- Beschikbaarheid van budgetten en prognoses
- Vertrouwelijkheid van salarisadministratie
- Vertrouwelijkheid van bankgegevens en transacties
Juridische belangen
- Vertrouwelijkheid van contracten en overeenkomsten
- Integriteit van compliance-documentatie
- Vertrouwelijkheid van juridische correspondentie
- Vertrouwelijkheid van intellectuele eigendomsrechten
Veiligheidsbelangen
- Integriteit van beveiligingsprocedures en -protocollen
- Integriteit van toegangscontrole-informatie
- Beschikbaarheid van Incidentresponsplannen
- Beschikbaarheid van fysieke beveiliging van locaties
Operationele belangen
- Beschikbaarheid van productieprocessen en -systemen
- Vertrouwelijkheid van logistieke gegevens
- Beschikbaarheid van supply chain-informatie
- Integriteit van onderhoudsdocumentatie
Van de site: www.ncsc.nl
Overige TBB’s zijn:
Reputatiebelangen
- Vertrouwelijkheid van marketingstrategieën
- Integriteit van persberichten en communicatieplannen
- Vertrouwelijkheid van klanttevredenheidsrapporten
- Beschikbaarheid van social media accounts en inhoud
Personeelsbelangen
- Vertrouwelijkheid van personeelsdossiers
- Integriteit van medische gegevens
- Beschikbaarheid van trainings- en ontwikkelingsplannen
- Vertrouwelijkheid van correspondentie met werknemers
Strategische belangen
- Vertrouwelijkheid van bedrijfsstrategieën en -plannen
- Vertrouwelijkheid van fusie- en overnameplannen
- Integriteit van marktanalyses en concurrentie-informatie
- Beschikbaarheid van innovatie- en ontwikkelingsprojecten
Klantbelangen
- Vertrouwelijkheid van klantgegevens
- Integriteit van verkooprapporten
- Vertrouwelijkheid van klantcommunicatie en correspondentie
- Beschikbaarheid van loyaliteitsprogramma’s en klantprofielen
Innovatiebelangen
- Beschikbaarheid van onderzoeks- en ontwikkelingsprojecten
- Vertrouwelijkheid van prototypen en blauwdrukken
- Integriteit van octrooien en handelsmerken
- Beschikbaarheid van innovatielabs en testomgevingen
Omgevingsbelangen
- Integriteit van milieu- en duurzaamheidsrapporten
- Integriteit van compliance met milieuwetgeving
- Beschikbaarheid van afvalverwerkingsprocedures
Leveranciers- en partnerbelangen
- Vertrouwelijkheid van leverancierscontracten en SLA’s
- Vertrouwelijkheid van partner- en alliantieovereenkomsten
- Integriteit van gezamenlijke projectdocumentatie
- Vertrouwelijkheid van communicatie met leveranciers en partners
Product gerelateerde belangen
- Vertrouwelijkheid van productontwerpen en specificaties
- Vertrouwelijkheid van productieplannen en -documentatie
- Integriteit van kwaliteitscontrole- en testgegevens
- Vertrouwelijkheid van distributie- en verkoopstrategieën
Gegevensbeschermingsbelangen
- Integriteit van privacy compliance
- Beschikbaarheid van registraties en -rapportages
Deze lijst is gepubliceerd op de site van www.ncsc.nl