De Europese wet NIS2, de opvolger van de eerdere Network and Information Systems-richtlijn (NIS), dwingt organisaties om de cyberweerbaarheid van toeleveranciers en klanten kritisch onder de loep te nemen. Dat betekent dat ook kleinere bedrijven, die meestal niet direct onder de wet vallen, kritische vragen uit de keten krijgen. Dit besef is echter nog niet volledig doorgedrongen. Dat meldt ABN Amro.
Foto: Dreamstime.
De nieuwe wet die vanaf oktober 2024 van kracht wordt, schrijft onder meer voor dat bedrijven ook de cyberrisico's in beeld moeten hebben vanuit hun eigen toeleveringsketen, en dat afspraken rond cyberveiligheid contractueel moeten worden vastgelegd met deze ketenpartners. Dit is volgens CEO Maarten Roerink van cybersecuritydienstverlener MMOX geen overbodige luxe. "Als onze klanten gehackt worden, gaat dat heel vaak via-via. Soms zijn ze zelf het doelwit, en soms worden kwetsbaarheden in hun netwerken gebruikt om door te dringen tot de netwerken en data van partners. De aloude vraag 'wat valt er nu bij mijn bedrijf te halen?' is dan ook niet meer relevant."
Uit een enquĂȘte van ABN Amro en onderzoeksbureau MWM2 onder 895 organisaties blijkt dat bijna driekwart (72 procent) van de respondenten uit het grootbedrijf zijn eigen klanten, leveranciers en partners hierover al "zeer regelmatig" of "regelmatig" bevraagt. Van hen zegt 66 procent dat zijzelf van hun ketenpartners ook dergelijke vragen krijgen. Bij de respondenten uit het midden- en kleinbedrijf (mkb) liggen deze percentages lager, met respectievelijk 52 en 37 procent. Ook de mate waarin concrete afspraken worden gemaakt met ketenpartners, verschilt per bedrijfsgrootte. Van de respondenten uit het grootbedrijf doet 75 procent dit, tegenover 56 procent van het mkb.
Klanten gaan eisen stellen
Toch is de brede ketenverantwoordelijkheid een realiteit waar ook kleinere bedrijven serieus rekening mee moeten houden. Zo legde een grote supermarktketen bij al zijn Nederlandse toeleveranciers alvast het dringende verzoek neer om hun beleid op het vlak van cyberveiligheid toe te lichten, vertelt Daan Hoogendijk, programmadirecteur van Samen Digitaal Veilig. "De boodschap luidde: ofwel jullie laten een certificaat zien, ofwel we zetten de samenwerking stop. Het gros van deze foodbedrijven heeft helaas nog te weinig focus op cybersecurity." Het is volgens Hoogendijk exemplarisch voor de houding van het gros van de mkb-bedrijven. Ze zijn veelal afwachtend, en andere prioriteiten zitten serieuze stappen in de weg.
NIS2 omvat een set aan regels die primair gericht is op bedrijven waarvan een verstoring brede maatschappelijke impact kan hebben. Grofweg betreft het grote en middelgrote bedrijven die minimaal 50 werknemers of een jaaromzet en balanstotaal van meer dan 10 miljoen euro hebben, en die actief zijn in een sector van maatschappelijk belang. In totaal gaat het om 10.432 Nederlandse bedrijven die aan de nieuwe regels moeten voldoen, verspreid over zeventien sectoren zoals energievoorziening, digitale infrastructuur en overheid. De bedrijven 'in scope' worden dus geacht om kritisch naar de cyberveiligheid van hun al leveranciers te kijken, ook kleine.
Bron: ABN Amro
Schrijf je in voor onze dagelijkse nieuwsbrief om al het laatste nieuws direct per e-mail te ontvangen!
Inschrijven Ik ben al ingeschreven