Veel organisaties starten de implementatie van NIS2 als een IT- of cybersecurityproject, maar in de praktijk ligt de kern steeds vaker bij inkoop en leveranciersmanagement. De Europese richtlijn verplicht bedrijven om risico's in de hele keten te identificeren, te beoordelen en contractueel te beheersen. Dit betekent keuzes maken over leveranciers, contractvoorwaarden, acceptabele risico's en toezicht.
© Sasinparaksa | Dreamstime
Inkoopafdelingen moeten aantonen dat leveranciers voldoende beveiligd zijn, zonder dat de continuïteit van samenwerking in gevaar komt. Leveranciers krijgen daardoor vaak uiteenlopende vragenlijsten, audits en contracteisen van verschillende klanten. Het ontbreken van standaardisatie leidt tot vertraging, hogere kosten en weerstand. Europese onderzoeken tonen aan dat supply-chain-security een van de lastigste onderdelen van NIS2 is, vooral door interpretatieverschillen, gebrek aan uniforme richtlijnen en beperkte praktische ondersteuning.
Een risicogebaseerde aanpak is cruciaal. Leveranciers betrokken bij kritieke processen krijgen strengere eisen, terwijl leveranciers met beperkte impact lichter worden beoordeeld. Uniforme zware eisen voor alle leveranciers zorgen vaak voor hogere kosten en haperingen in de keten. Het indelen van leveranciers in risicocategorieën (hoog, middel, laag) en werken met standaardcontracten maakt processen eenvoudiger en aantoonbaar. Normen zoals NIS2 Supply Chain (NIS2 SC) ondersteunen bij snelle risicoanalyse en passende beveiligingsniveaus per leverancier.
NEVI en Samen Digitaal Veilig organiseren een webinar over NIS2 en het inkoopdossier. Onderwerpen zijn onder meer het beoordelen van leveranciersrisico's, juridisch vastleggen van cybersecurity-eisen en het toepassen van standaardisatie om processen beheersbaar te houden.
Meer informatie:
ABN AMRO
www.abnamro.nl
