De Europese NIS2-richtlijn (Network and Information Security 2) stelt strengere eisen aan digitale weerbaarheid van organisaties in vitale en essentiële sectoren. Maar ook toeleveranciers krijgen hiermee te maken. In dit artikel leest u wat de impact is van NIS2 op leveranciers en wat u nu al kunt doen om voorbereid te zijn.
Wat is NIS2?
NIS2 is de opvolger van de oorspronkelijke NIS-richtlijn uit 2016. Het doel is het verhogen van de cybersecurity binnen de EU. Waar NIS1 zich richtte op een beperkt aantal vitale sectoren, breidt NIS2 de scope aanzienlijk uit. Onder de richtlijn vallen straks meer organisaties, strengere eisen én expliciete verplichtingen voor toeleveranciers.
Nederland werkt aan een wet die NIS2 omzet naar nationale regelgeving. De verwachting is dat deze wet in 2025 van kracht wordt.
Wanneer bent u als leverancier betrokken?
Organisaties die onder NIS2 vallen (zoals zorginstellingen, drinkwaterbedrijven, digitale dienstverleners, overheden en financiële partijen) moeten kunnen aantonen dat hun hele keten weerbaar is. Dat betekent dat ook leveranciers die digitale diensten, IT-systemen of security-oplossingen leveren, onder de loep worden genomen.
Zodra u een directe of indirecte rol speelt in de levering van kritieke diensten of digitale infrastructuur, wordt ook van u verwacht dat u voldoet aan bepaalde normen op het gebied van informatiebeveiliging.
Wat zijn de verplichtingen?
Hoewel leveranciers niet altijd rechtstreeks onder NIS2 vallen, kunnen zij wel verplicht worden om:
- aantoonbaar maatregelen te nemen op het gebied van informatiebeveiliging;
- risicoanalyses uit te voeren;
- incidenten tijdig te melden aan hun opdrachtgever;
- te voldoen aan (afgeleide) eisen op basis van ISO 27001, NEN 7510 of andere normen;
- mee te werken aan audits of ketentoetsen;
- hun beveiligingsniveau regelmatig te evalueren en bij te stellen.
In contracten zullen steeds vaker bepalingen worden opgenomen die deze verplichtingen formaliseren.
Wat moet u als leverancier nu doen?
- Breng uw klanten in kaart:
Werkt u voor organisaties in essentiële of vitale sectoren? Dan is de kans groot dat NIS2 indirect op u van toepassing is.
- Evalueer uw eigen informatiebeveiliging:
Heeft u beleid, procedures en technische maatregelen op orde? En kunt u dit aantoonbaar maken?
- Overweeg certificatie:
Een onafhankelijke audit op basis van bijvoorbeeld ISO 27001 of het CCV-certificatieschema kan helpen om uw betrouwbaarheid richting opdrachtgevers aan te tonen.
- Wees voorbereid op contractuele eisen:
Verwacht strengere afspraken over beveiliging, meldplichten en auditrechten. Zorg dat uw organisatie hierop ingericht is.
- Volg de ontwikkelingen:
De nationale implementatie van NIS2 is nog in ontwikkeling. Houd de wetgeving en branchespecifieke uitwerkingen in de gaten.
Hoe kan DigiTrust ondersteunen?
DigiTrust voert onafhankelijke audits uit op het gebied van informatiebeveiliging en privacy. Wij zijn niet betrokken bij implementatie of advies, waardoor onze toetsing objectief en betrouwbaar is. Zo helpt u uw opdrachtgevers om te voldoen aan de verplichtingen uit NIS2, zonder dat u zelf voor verrassingen komt te staan.
Wilt u weten welke certificatieschema’s of toetsingskaders relevant zijn voor uw organisatie? Neem dan contact met ons op voor meer informatie.