NIS2
Wat betekent de nieuwe EU-richtlijn voor jouw inkoop- en supplychain management?
"Hoe zorg je ervoor dat je inkoop- en supplychain processen digitaal veilig zijn?" Dat is de vraag die veel organisaties zich moeten stellen nu de Europese Unie een nieuwe richtlijn heeft aangekondigd: de NIS2. Deze richtlijn stelt strenge eisen aan de cyberbeveiliging en de veerkracht van essentiële en belangrijke bedrijven in 18 sectoren. Wat houdt de NIS2 in, voor wie geldt het en welke risico’s moet je vermijden?
NIS2 staat voor Network and Information Security. De NIS2-richtlijn richt zich op digitale (cyber) risico’s voor netwerk- en informatiesystemen, zoals het internet en het betalingsverkeer. De richtlijn is gericht op een versterking van de digitale en economische weerbaarheid van Europese lidstaten. De nieuwe wet kan veel impact hebben op supply chain en inkoopmanagement omdat er sprake is van een zorgplicht voor een digitaal veilige supply chain.
De NIS2 verplicht je om niet alleen je eigen organisatie, maar ook je toeleveringsketen te beveiligen. Je leveranciers moeten dus ook aan de cyberveiligheidseisen voldoen. Hoe meer je van een leverancier afhankelijk bent, hoe hoger het risico.
Door toenemende digitalisering zijn er nieuwe kwetsbaarheden ontstaan die specifiek voortkomen uit de supply chain. Dit zijn de meest voorkomende kwetsbaarheden binnen een supply chain:
- Cyberaanvallen op leveranciers
Leveranciers binnen de supply chain kunnen het doelwit worden van cyberaanvallen met als doel toegang te verkrijgen tot gevoelige data of systemen. Wanneer een leverancier gecompromitteerd raakt, kan dit leiden tot een reeks beveiligingsproblemen in de gehele keten.
- Onveilige externe toegang
Wanneer derde partijen toegang krijgen tot systemen of gegevens binnen de supply chain, kan een gebrekkige beveiliging van externe toegangspunten een bedreiging vormen. Deze onbeveiligde toegang kan worden misbruikt voor kwaadwillende doeleinden.
- Onvoldoende gegevensbeveiliging bij partners
Als partners in de supply chain onvoldoende gegevensbeveiliging implementeren, kunnen gevoelige gegevens worden blootgesteld aan ongeautoriseerde toegang.
- Malware en kwaadaardige software
Malware en andere kwaadaardige software kunnen zich verspreiden via de supply chain. Hierdoor kunnen systemen en gegevens beschadigd raken of gecompromitteerd worden.
- Verstoring van leveringen
Cyberaanvallen kunnen ook gericht zijn op het verstoren van de logistieke processen binnen de supply chain. Dit kan leiden tot vertragingen, verstoorde voorraden en uiteindelijk impact hebben op de operationele efficiëntie.
De Rijksinspectie Digitale Infrastructuur van Nederland heeft een tool gelanceerd waarmee bedrijven kunnen checken of ze onder de NIS2-richtlijn gaan vallen in de toekomst. in de tool beantwoorden bedrijven vragen over hun sector, locatie van het hoofdkantoor en organisatiegrootte. De tool checkt ook bestaande regels voor deze bedrijven. Na invullen zien bedrijven of de richtlijn voor hen geldt. De tool vind je op:
Bekijk hier de tool
- Energie
- Transport
- Financiële marktinfrastructuur
- Gezondheidszorg
- Drinkwater
- Digitale infrastructuur
- Onderzoek
- Afvalwater
- Vervaardiging/manufacturing
- Overheidsdiensten
- Ruimtevaart
- ICT-dienstverleners
- Bankwezen
- Digitale aanbieders
- Post- en koeriersdiensten
- Afvalstoffenbeheer
- Levensmiddelen
- Chemische stoffen
Er zijn nog veel meer belangrijke bedrijven die onder de NIS2 vallen, zoals levensmiddelenbedrijven, productiebedrijven en afvalstoffenbeheerders. Bij een cybersecurity incident moet je dit binnen 24 uur melden bij de toezichthouder. Dit geldt ook voor je toeleveringsketen. Als een leverancier die belangrijke producten of diensten levert uitvalt, kan dit je bedrijfsvoering verstoren. Daarom moeten leveranciers ook incidenten melden in de keten.
E-book Samen digitaal veilig
Template addendum NIS2-richtlijn en Wbni
Het product is toegevoegd