Bedrijven krijgen steeds meer te maken met digitale dreigingen. Samen Digitaal Veilig (SDV) bundelt de krachten met overheid, brancheorganisaties en belangrijke spelers in de markt om bedrijven te helpen zich te wapenen tegen cyberrisico’s. Een belangrijk richtpunt hierbij is de aankomende Europese wetgeving NIS2.
Onderzoek naar NIS2-compliance
De nieuwe Europese wet, die nog moet worden vastgelegd in de Nederlandse wet, heeft belangrijke consequenties voor bedrijven. Op dit moment is Samen Digitaal Veilig bezig met een intensief onderzoek. Zo wordt een analyse gemaakt van de behoeften en vereisten van bedrijven als het gaat om NIS2-compliance.
De voorlopige wetteksten zijn nog niet beschikbaar. Daardoor is het lastig om te bepalen waaraan bedrijven straks exact moeten voldoen. Om daar goed inzicht in te krijgen voert SDV gesprekken met verschillende partijen, zowel binnen de overheid als in de marktsector. De verwachting is dat de wet ingaat op 18 oktober 2024. Dat lijkt nog ver weg, maar er is veel voorbereidingstijd nodig.
Ketenzorgplicht
De ketenzorgplicht speelt een grote rol in de nieuwe wet. Daarbij is het essentieel dat bedrijven niet alleen hun eigen digitale beveiliging op orde hebben, maar ook de veiligheid van hun gehele keten kunnen waarborgen.
Die ketenzorgplicht houdt in dat bedrijven verantwoordelijkheid dragen voor de digitale veiligheid binnen hun gehele toeleveringsketen. Zij moeten dus niet alleen zorgen voor de bescherming van hun eigen systemen en gegevens, maar ook samenwerken met hun leveranciers, partners en andere betrokken partijen.
Voor kleine bedrijven kan deze ketenzorgplicht best lastig zijn. Dat komt omdat zij vaak beperkte middelen en expertise hebben. Daarom moeten zij zich bewust zijn van hun eigen rol in de keten en afspraken maken met hun leveranciers en partners. Maar ook met hun klanten, zeker als die zich in belangrijke en essentiële sectoren bevinden. Ze moet dan kunnen aantonen dat ze zich aan bepaalde veiligheidsvoorschriften houden, anders mogen ze die klant niet meer bedienen, de zgn. ‘license to play’.
Voor grote bedrijven brengt de ketenzorgplicht vaak complexiteit met zich mee vanwege de omvang en diversiteit van hun toeleveringsketen. Het vereist een gestructureerde aanpak waarbij risicobeoordelingen worden uitgevoerd, samenwerking wordt gefaciliteerd en heldere richtlijnen worden geïmplementeerd. Zo kan een bedrijf beveiligingsclausules opnemen in de contracten met leveranciers. Of regelmatig audits uitvoeren bij toeleveranciers.
De impact van de ketenzorgplicht op bedrijven is groot. Er moet een hoop gebeuren en er is nog veel onduidelijk. Maar de wet is helder: een veilige digitale keten is essentieel voor de bescherming tegen hackers. Een enkele zwakke schakel in de keten kan de algehele digitale veiligheid van een bedrijf of sector in gevaar brengen.
Praktische oplossingen
De NIS2-richtlijn kent veel componenten. SDV zoekt daarbij vooral naar praktische oplossingen m.b.t. de zorgplicht en ketenverantwoordelijkheid. Dit zal variëren van het bieden van tools via het platform tot bijvoorbeeld training en bewustwordingscampagnes. Daarnaast zal SDV fungeren als wegwijzer naar relevante partijen rondom NIS2.
Wij houden je graag op de hoogte! Laat je e-mailadres hier achter, dan informeren wij je bij belangrijke ontwikkelingen.