NIS2 staat voor Network and Information Security. De NIS2-richtlijn richt zich op digitale (cyber) risico’s voor netwerk- en informatiesystemen, zoals het internet en het betalingsverkeer.
De richtlijn is gericht op een versterking van de digitale en economische weerbaarheid van Europese lidstaten. De nieuwe wet kan veel impact hebben op supply chain en inkoopmanagement omdat er sprake is van een zorgplicht voor een digitaal veilige supply chain.
De NIS2-richtlijn is een belangrijke stap om de cyberbeveiliging en de veerkracht van essentiële en belangrijke organisaties in Europa te verbeteren. Als je in een van de 18 sectoren werkt die onder de NIS2 vallen, moet je je voorbereiden op de nieuwe verplichtingen en de mogelijke risico's. Je moet je eigen organisatie en je toeleveringsketen veilig maken en eventuele incidenten melden.
De NIS2 verplicht je om niet alleen je eigen organisatie, maar ook je toeleveringsketen te beveiligen. Je leveranciers moeten dus ook aan de cyberveiligheidseisen voldoen. Hoe meer je van een leverancier afhankelijk bent, hoe hoger het risico.
Door toenemende digitalisering zijn er nieuwe kwetsbaarheden ontstaan die specifiek voortkomen uit de supply chain. Dit zijn de meest voorkomende kwetsbaarheden binnen een supply chain:
Cyberaanvallen op leveranciers
Leveranciers binnen de supply chain kunnen het doelwit worden van cyberaanvallen met als doel toegang te verkrijgen tot gevoelige data of systemen. Wanneer een leverancier gecompromitteerd raakt, kan dit leiden tot een reeks beveiligingsproblemen in de gehele keten.
Onveilige externe toegang
Wanneer derde partijen toegang krijgen tot systemen of gegevens binnen de supply chain, kan een gebrekkige beveiliging van externe toegangspunten een bedreiging vormen. Deze onbeveiligde toegang kan worden misbruikt voor kwaadwillende doeleinden.
Onvoldoende gegevensbeveiliging bij partners
Als partners in de supply chain onvoldoende gegevensbeveiliging implementeren, kunnen gevoelige gegevens worden blootgesteld aan ongeautoriseerde toegang.
Malware en kwaadaardige software
Malware en andere kwaadaardige software kunnen zich verspreiden via de supply chain. Hierdoor kunnen systemen en gegevens beschadigd raken of gecompromitteerd worden.
Verstoring van leveringen
Cyberaanvallen kunnen ook gericht zijn op het verstoren van de logistieke processen binnen de supply chain. Dit kan leiden tot vertragingen, verstoorde voorraden en uiteindelijk impact hebben op de operationele efficiëntie.
De Rijksinspectie Digitale Infrastructuur van Nederland heeft een tool gelanceerd waarmee bedrijven kunnen checken of ze onder de NIS2-richtlijn gaan vallen in de toekomst. in de tool beantwoorden bedrijven vragen over hun sector, locatie van het hoofdkantoor en organisatiegrootte. De tool checkt ook bestaande regels voor deze bedrijven. Na invullen zien bedrijven of de richtlijn voor hen geldt. De tool vind je op:
Bekijk hier de tool
Energie
Transport
Financiële marktinfrastructuur
Gezondheidszorg
Drinkwater
Digitale infrastructuur
Onderzoek
Afvalwater
Vervaardiging/manufacturing
Overheidsdiensten
Ruimtevaart
ICT-dienstverleners
Bankwezen
Digitale aanbieders
Post- en koeriersdiensten
Afvalstoffenbeheer
Levensmiddelen
Chemische stoffen
Er zijn nog veel meer belangrijke bedrijven die onder de NIS2 vallen, zoals levensmiddelenbedrijven, productiebedrijven en afvalstoffenbeheerders. Bij een cybersecurity incident moet je dit binnen 24 uur melden bij de toezichthouder. Dit geldt ook voor je toeleveringsketen. Als een leverancier die belangrijke producten of diensten levert uitvalt, kan dit je bedrijfsvoering verstoren. Daarom moeten leveranciers ook incidenten melden in de keten.