NIS2: Waarom toeleveranciers niet achterover kunnen leunen

In een tijd waarin cyberdreigingen aan de orde van de dag zijn, heeft de Europese Unie de NIS2-richtlijn in het leven geroepen. Het doel van deze richtlijn is om de digitale weerbaarheid van belangrijke en essentiële sectoren te versterken. Maar wat betekent dit voor u als toeleverancier van een NIS2-plichtige organisatie? Ook als u zelf niet direct onder de NIS2-wetgeving valt, kunnen de gevolgen verstrekkend zijn voor uw bedrijf en uw bedrijfsvoering. Het niet naleven van deze vereisten kan gevolgen hebben voor uw relatie met klanten en uw positie in de markt. In deze blog belicht Daniek Regterschot waarom NIS2-compliance óók voor toeleveranciers van groot belang is en hoe u zich hierop kunt voorbereiden.

#cybersecurity

Datum:  03 oktober 2024

Gewijzigd  03 oktober 2024

Geschreven door:  Daniek Regterschot

Leestijd:  +/- 3 minuten

De ketenbenadering van NIS2

NIS2 introduceert een ketenbenadering. Het effect hiervan is dat de werking van de richtlijn verder reikt dan alleen de direct aangewezen organisaties. Hoewel u als toeleverancier wellicht niet rechtstreeks onder de NIS2-richtlijn valt, kan het zo zijn dat uw klanten dat wél doen. 

Dit betekent dat zij van u kunnen eisen dat u voldoet aan bepaalde beveiligingsstandaarden, om ervoor te zorgen dat de gehele keten veilig is. Deze eisen kunnen variëren van het implementeren van specifieke beveiligingsmaatregelen tot het behalen van certificeringen. Het niet kunnen voldoen aan deze eisen kan leiden tot het verliezen van opdrachten of zelfs hele klantrelaties.

Waar moet u rekening mee houden? 

NIS2-plichtige organisaties kunnen onder andere de volgende zaken van u verlangen:

  1. Het uitvoeren van een risico-inventarisatie;
  2. Implementatie van adequate beveiligingsmaatregelen;
  3. Regelmatige security-audits en -assessments;
  4. Ontwikkeling van een incident response plan en een bedrijfscontinuïteitsplan; en
  5. Opleiding en awareness bij uw medewerkers. 

Hoe kunt u zich voorbereiden?

Om aan de verwachtingen van uw NIS2-plichtige klanten te voldoen, is het zaak proactief aan de slag te gaan met uw cyberveiligheid. Begin met het in kaart brengen van uw huidige situatie. Welke beveiligingsmaatregelen heeft u al geïmplementeerd? Waar zitten de zwakke punten?
Vervolgens is het raadzaam om een gedegen cyberveiligheidsbeleid op te stellen. Dit beleid moet niet alleen technische maatregelen omvatten, maar ook procedures voor incidentmanagement en bewustwording onder uw medewerkers.

Contractuele implicaties van NIS2

Wees daarnaast voorbereid op aanpassingen in uw contracten met NIS2-plichtige klanten. Er kunnen clausules worden toegevoegd die betrekking hebben op cyberveiligheid, zoals verplichtingen om beveiligingsincidenten te melden of periodieke audits toe te staan. Het is verstandig om voorafgaand aan het sluiten hiervoor juridisch advies in te winnen om uw belangen te waarborgen.

De kansen van de NIS2

Voldoet u eenmaal aan de door uw NIS2-plichtige klanten gestelde eisen, dan kan dit ook kansen met zich meebrengen. In een steeds meer digitaal wordende economie is het van groot belang dat leveranciers voldoende bewapend zijn tegen cyberrisico’s van binnen- én buitenaf. Door proactief te investeren in cyberveiligheid, positioneert u zich als een betrouwbare partner. Dit kan niet alleen helpen bij het behouden van bestaande klanten, maar ook bij het aantrekken van nieuwe opdrachtgevers die waarde hechten aan een veilige toeleveringsketen.

Conclusie en volgende stappen

De impact van de NIS2-richtlijn reikt veel verder dan enkel de bedrijven die onder de verplichtingen van de richtlijn zelf vallen. Als toeleverancier is het daarom cruciaal om nu al stappen te zetten richting betere cyberveiligheid. 

Mocht u hulp nodig hebben, wij kunnen u helpen bij het opstellen van een cyberveiligheidsbeleid, het voorbereiden op audits en het aanpassen van uw contracten aan de nieuwe realiteit van NIS2.


Blijf scherp

Heeft u hulp nodig bij het begrijpen en naleven van uw cyberbeveiligingsverplichtingen? Neem contact op met een van onze IT-recht specialisten, zij helpen u graag verder.

Contact

Meer over dit onderwerp: