0
0 Word lid

NIS2

Wat betekent de nieuwe EU-richtlijn voor jouw inkoop- en supplychain management?

Hoe zorg je ervoor dat je inkoop- en supplychain processen digitaal veilig zijn? Dat is de vraag die veel organisaties zich moeten stellen nu de Europese Unie een nieuwe richtlijn heeft aangekondigd: de NIS2. Vanaf het derde kwartaal 2025 moeten 10.000 bedrijven in Nederland voldoen aan deze Cyberbeveiligingswet. Deze richtlijn stelt strenge eisen aan de cyberbeveiliging en de veerkracht van essentiële en belangrijke bedrijven in 18 sectoren. Wat houdt de NIS2 in, voor wie geldt het en welke risico’s moet je vermijden?

NIS2 staat voor Network and Information Security. De NIS2-richtlijn richt zich op digitale (cyber) risico’s voor netwerk- en informatiesystemen, zoals het internet en het betalingsverkeer. De richtlijn is gericht op een versterking van de digitale en economische weerbaarheid van Europese lidstaten. De nieuwe wet kan veel impact hebben op supply chain en inkoopmanagement omdat er sprake is van een zorgplicht voor een digitaal veilige supply chain.

Cybersecurity gaat ook buiten de grenzen van je bedrijf. Naar verwachting krijgen naast de 10.000 bedrijven ook 50.000 leveranciers te maken met de nieuwe richtlijn. Voor inkopers ligt daar een belangrijke rol. Elke leverancier kan een risico zijn, van IT- tot schoonmaakdiensten. Samen Digitaal Veilig, een samenwerkingsverband van brancheorganisaties waar Nevi ook aan meedoet, ondersteunt inkopers bij de NIS2.

De NIS2 verplicht je om niet alleen je eigen organisatie, maar ook je toeleveringsketen te beveiligen. Je leveranciers moeten dus ook aan de cyberveiligheidseisen voldoen. Hoe meer je van een leverancier afhankelijk bent, hoe hoger het risico.

De Rijksinspectie Digitale Infrastructuur van Nederland heeft een tool gelanceerd waarmee bedrijven kunnen checken of ze onder de NIS2-richtlijn gaan vallen in de toekomst. De tool checkt ook bestaande regels voor bedrijven. Na het invullen krijg je inzicht of de richtlijn ook voor jouw organisatie geldt.

Bekijk hier de tool
De Rijksinspectie Digitale Infrastructuur van Nederland heeft een tool gelanceerd waarmee bedrijven kunnen checken of ze onder de NIS2-richtlijn gaan vallen in de toekomst. in de tool beantwoorden bedrijven vragen over hun sector, locatie van het hoofdkantoor en organisatiegrootte. De tool checkt ook bestaande regels voor deze bedrijven. Na invullen zien bedrijven of de richtlijn voor hen geldt. De tool vind je op: Bekijk hier de tool
  • Energie
  • Transport
  • Financiële marktinfrastructuur
  • Gezondheidszorg
  • Drinkwater
  • Digitale infrastructuur
  • Onderzoek
  • Afvalwater
  • Vervaardiging/manufacturing
  • Overheidsdiensten
  • Ruimtevaart
  • ICT-dienstverleners
  • Bankwezen
  • Digitale aanbieders
  • Post- en koeriersdiensten
  • Afvalstoffenbeheer
  • Levensmiddelen
  • Chemische stoffen

Er zijn nog veel meer belangrijke bedrijven die onder de NIS2 vallen, zoals levensmiddelenbedrijven, productiebedrijven en afvalstoffenbeheerders. Bij een cybersecurity incident moet je dit binnen 24 uur melden bij de toezichthouder. Dit geldt ook voor je toeleveringsketen. Als een leverancier die belangrijke producten of diensten levert uitvalt, kan dit je bedrijfsvoering verstoren. Daarom moeten leveranciers ook incidenten melden in de keten.
De inwerkingtreding van de NIS2 richtlijn in Q3 tussen 1 juli en 30 september 2025) betekent dat jouw organisatie vanaf dat moment volledig compliant moet zijn. Wat kun jij als inkoper nu al doen om je rol in dit proces effectief op te pakken? Door nu al te beginnen met de nodige stappen, kun je gestructureerd werken naar de deadline. 

Volg deze tijdlijn om ervoor te zorgen dat je up-to-date blijft:

  • Q1 2025: Geef je leveranciers te kennendat jullie aan de NIS2 werken en dat zij zichzelf ook al moeten informeren. Breng de risico’s van je leveranciers in kaart. Identificeer welke leveranciers van cruciaal belang zijn en waar de grootste kwetsbaarheden liggen.
  • Q2 2025: Start met concrete stappen. Communiceer met je leveranciers over de vereisten van NIS2. Neem de NIS2 op in de inkoopvoorwaarden (zie het voorbeeld addendum bij de downloads op deze pagina) en werk samen met leveranciers aan verbeteringen.
  • Q3 2025: Zorg dat alle contracten en processen compliant zijn. De NIS2 richtlijn wordt dan van kracht.
De eindverantwoordelijkheid voor NIS2 compliance ligt bij de CEO. Maar ook jij hebt een rol. Het vraagt ook om een gezamenlijke inspanning.  Werk proactief aan het waarborgen van digitale veiligheid in de supply chain. Het is je taak om ervoor te zorgen dat leveranciers zich bewust worden van hun verantwoordelijkheden en je ondersteunt hen bij het implementeren van de juiste maatregelen om aan de NIS2 eisen te voldoen. Dit betekent dat je niet alleen risico’s identificeert, maar ook nauw samenwerkt met andere afdelingen om een veilige samenwerking te realiseren. Op de website Samen Digitaal Veilig staat veel informatie die je hierbij kan ondersteunen, zodat je als bedrijf klaar bent voor 2025. NIS2 is een gedeelde missie waarin jij als inkoper absoluut verschil kan maken.

Ga naar de informatiehub voor NIS2 en ketenzorgplicht, daar vind je onder andere een vragenlijst voor risico inventarisaties, specifieke vragenlijsten afgestemd op het risiconiveau van de leveranciers, NIS2 supportdesk voor vragen en gratis webinars: Open 'Samen Digitaal Veilig'
Ga als inkoop niet zelf inhoudelijke vragen stellen aan de leveranciers maar vraag om een bewijs dat ze NIS2 proof zijn. Er zijn verschillende certificeringen en keurmerken op de markt. Let op dat je niet overvraagt. Voor verschillende type organisaties zijn verschillende niveaus van eisen waar ze aan moeten voldoen. Ga dus niet iedereen langs dezelfde meetlat leggen. 

Ook zijn er binnen verschillende sectoren diverse standaarden die met cybersecurity te maken hebben. Samen Digitaal Veilig heeft ze op een rijtje gezet in deze PDF: Lees hier de verschillende standaarden (PDF)
Het gaat in essentie om het beschermen van organisaties tegen operationele verstoringen. Die kunnen voorkomen via of bij leveranciers. NIS2 werkt met een ‘All Hazards’ principe. Dus alle risico’s, ook fysieke, moeten worden beoordeeld. Concrete voorbeelden zijn:
  1. Productiesystemen en machines: Van lopende banden tot verpakkingsmachines (ingekocht en onderhouden door leveranciers): als deze systemen worden gehackt, kunnen productieprocessen stilvallen, met grote financiële gevolgen.
  2. Facilitaire leveranciers: Schoonmaakdiensten of beveiligingsbedrijven met fysieke toegang spelen rol in de veiligheid van je bedrijf. Onbevoegden mogen geen toegang krijgen tot je pand.
  3. ICT-dienstverleners en software: Leveranciers die je netwerk, firewalls en back-ups beheren, zijn een stevig risico voor je  cyberveiligheid. Een zwakke schakel in je IT-beveiliging kan grote gevolgen hebben. Maar ook je software is natuurlijk een risico.
  4. Logistieke partners: Transporteurs en opslagbedrijven zorgen dat je producten op tijd bij klanten komen. Een cyberaanval op hen kan dit proces verstoren en je vermogen tot leveren sterk verstoren. De verantwoordelijkheid van jullie om bijvoorbeeld producten te leveren gaat verder dan de muren van je bedrijf.
  5. Financiële dienstverleners: Je accountant, boekhouder of payrollprovider beheert gevoelige financiële gegevens. Een hack bij hen kan leiden tot financieel misbruik.
  6. Leveranciers zoals ontwerpers of marketing- en communicatiebureaus: Ontwerpers die meehelpen bij productontwerp, uitvinders, consultants, reclamebureaus, e-mailmarketingbedrijven en communicatiepartners hebben vaak toegang tot klantgegevens of vertrouwelijke product- en bedrijfsinformatie. Deze informatie is vaak heel gevoelig.

Door toenemende digitalisering zijn er nieuwe kwetsbaarheden ontstaan die specifiek voortkomen uit de supply chain. Dit zijn de meest voorkomende kwetsbaarheden binnen een supply chain: 

  • Cyberaanvallen op leveranciers
     Leveranciers binnen de supply chain kunnen het doelwit worden van cyberaanvallen met als doel toegang te verkrijgen tot gevoelige data of systemen. Wanneer een leverancier gecompromitteerd raakt, kan dit leiden tot een reeks beveiligingsproblemen in de gehele keten.
     
  • Onveilige externe toegang
    Wanneer derde partijen toegang krijgen tot systemen of gegevens binnen de supply chain, kan een gebrekkige beveiliging van externe toegangspunten een bedreiging vormen. Deze onbeveiligde toegang kan worden misbruikt voor kwaadwillende doeleinden.
     
  • Onvoldoende gegevensbeveiliging bij partners
    Als partners in de supply chain onvoldoende gegevensbeveiliging implementeren, kunnen gevoelige gegevens worden blootgesteld aan ongeautoriseerde toegang.
     
  • Malware en kwaadaardige software
    Malware en andere kwaadaardige software kunnen zich verspreiden via de supply chain. Hierdoor kunnen systemen en gegevens beschadigd raken of gecompromitteerd worden.
     
  • Verstoring van leveringen
    Cyberaanvallen kunnen ook gericht zijn op het verstoren van de logistieke processen binnen de supply chain. Dit kan leiden tot vertragingen, verstoorde voorraden en uiteindelijk impact hebben op de operationele efficiëntie.
Je kunt ook een analyse doen vanuit het beschermen van de belangen van de organisatie. Wil je daar meer over weten? Via Samen Digitaal Veilig lees je hier meer over: NIS2 en het beschermen van belangen

 

E-book Samen digitaal veilig

Template addendum NIS2-richtlijn en Wbni

Bekijk ook

NIS2: Nieuwe wet voor cybersecurity

NIS2: Nieuwe wet voor cybersecurity

​​​​​​​De nieuwe wet voor cybersecurity: NIS2. Samen met IVBB organiseert Nevi een aantal webinars om duidelijkheid te verschaffen hoe je aan de NIS2 kan voldoen.

Meer informatie
Digitalisering

Digitalisering

Digitalisering is een ontwikkeling die het inkoopvak op meerdere vlakken raakt. Nevi wijst je de weg.

Meer informatie
Het product is toegevoegd
Naar je productoverzicht Verder winkelen

Deze website gebruikt cookies

Wij gebruiken noodzakelijke en analytische cookies om de site beter te laten functioneren en te optimaliseren. Om relevante advertenties op andere sites te tonen, gebruiken wij advertentie cookies waarvoor wij graag jouw toestemming vragen. Lees meer over ons privacy statement en onze cookie verklaring.

Cookie instellingen

De website van Nevi maakt gebruik van functionele en analytics cookies. Stel hieronder je voorkeur in. Wil je meer weten? Lees dan onze privacy statement en onze cookie verklaring voor meer informatie.