https://ploum.nl/uploads/Artikelen_en_Track_Records_en_expertise/Cyber/Privacystatement.jpg

NIS2 & Beveiliging van de toeleveringsketen: Wat betekent dat nu eigenlijk?

08 feb '24

Auteur(s): Jouko Barensen en Hugo van Aardenne

De NIS2, de nieuwe Europese richtlijn voor cyberveiligheid, heeft bepaald dat vitale sectoren wat extra werk op hun bordje krijgen. Uiterlijk 17 oktober 2024 moeten ze aan allerlei verplichtingen voldoen. In Nederland zijn we nog in de beginfase van het wetgevingstraject, dus er staat nog heel wat te gebeuren. Laten we aan de hand van een voorbeeld eens kijken naar wat dit nou eigenlijk betekent.

Stel je voor, je dagelijkse portie voedsel op weg naar de supermarkt of het ziekenhuis legt een behoorlijke afstand af. Vanaf volgend jaar gaat de NIS2 ook een rol spelen op die route. Zowel de transportsector als de zorg moeten namelijk voldoen aan de eisen van de NIS2. Eén van die eisen is het beveiligen van de toeleveringsketen. Wat betekent dat nou eigenlijk?

Er zijn een paar concrete dingen waar je aan moet denken als je aan de slag gaat met beveiligingsmaatregelen:

  1. Specifieke zwakke plekken van elke directe leverancier en dienstverlener.
  2. Kwaliteit van de producten en de cyberbeveiligingsgewoonten van hun leveranciers en dienstverleners.
  3. Veilige procedures voor de ontwikkeling van producten en diensten.

1. Specifieke zwakke plekken van leveranciers en dienstverleners

Om de toeleveringsketen NIS2-proof te maken, moet je de zwakke plekken van je leverancier of dienstverlener inschatten. Wat zijn bijvoorbeeld de specifieke risico's voor een ziekenhuis als het gaat om een transportbedrijf of voedselleverancier? En andersom. Je wilt voorkomen dat een aanval op een deel van de keten gevolgen heeft voor andere gebieden. Dus, bescherm de meest kwetsbare systemen extra goed.

De koppelvlakken tussen de IT-systemen van ketenpartners kunnen kwetsbaar zijn. Een aanval op een component uit de keten kan doorwerken. Tussen verschillende domeinen moeten de meest kwetsbare systemen extra worden beschermd. Zo moet een aanval op een order management systeem van een logistieke partner niet kunnen leiden tot een extra risico voor een systeem dat gevoelige patiënt gegevens bevat in een ziekenhuis.

2. Kwaliteit van producten en diensten

Naast het beoordelen van de specifieke kwetsbaarheden, zal ook aandacht moeten worden besteed aan de kwaliteit van de producten en diensten van leveranciers of dienstverleners. Een manier om daar naar te kijken is bijvoorbeeld de aanwezigheid van certificaten. In dat verband is het interessant om te wijzen op de ontwikkelingen met betrekking tot de ‘Cyber Resilience Act (CRA)’. De CRA is een Europees wetsvoorstel waarin aandacht wordt besteed aan de digitale beveiliging van producten en diensten. In het voorstel wordt op verschillende plaatsen al verwezen naar de NIS2. Kortom, de beoordeling en certificering van producten en diensten zal ook apart aan de orde moeten komen. Het zal daarbij zeker ook zaak zijn om te kijken welke verplichtingen er al zijn, of komen of welke standaarden er op dit moment gelden in een bepaalde industrie. 

3. Veilige ontwikkelingsprocedures van producten en diensten

Dit onderwerp hangt nauw samen met de beoordeling van de beveiliging van producten en diensten. Op grond van de NIS2 wordt verlangd dat NIS2-bedrijven bij het nemen van beveiligingsmaatregelen in de toeleveringsketen rekening houden met de digitale beveiliging in de ontwikkeling van producten en diensten. Hiervoor zal uiteraard technische expertise nodig zijn om dit goed te kunnen beoordelen. Specifieke aandacht is daarbij nodig voor het periodiek bijstellen van zulke beoordelingen. Bij nieuwe bedreigingen horen soms nieuwe maatregelen. Zo leidt bijvoorbeeld de toegenomen dreiging van Ransomware-aanvallen tot de uitrol van nieuwe techniek zoals Ransomware-resistente ‘immutable backup’. Een wendbaar raamwerk zoals Agile en/of DevOps is nodig om dit soort wijzigingen tijdig in te kunnen voeren. Dit periodiek controleren en bijstellen kan een belangrijk onderdeel worden van ketenafspraken.

Dit betekent dat NIS2-bedrijven het komende jaar veel met hun klanten en leveranciers in gesprek moeten gaan over hun beveiliging. Maar dat niet alleen, de beveiliging zal ook beoordeeld moeten worden, en er zullen afspraken moeten worden gemaakt over die beoordeling in de toekomst. Anders is het een momentopname waarvan wel haast zeker is dat die niet voldoende zal zijn om compliant te zijn met de verplichtingen van de NIS2.

De transportonderneming, de voedselproducent en het ziekenhuis zullen dus met elkaar in gesprek moeten gaan over hoe hun relatie wordt beheerst door de cyberbeveiligingsverplichtingen van een ieder. En daarmee wachten is niet verstandig. Immers, de contractuele afspraken die de komende maanden worden gemaakt moeten per 17 oktober 2024 ook voldoen aan de verplichtingen van de NIS2, juridisch en technisch, zodat er eigenlijk geen zwakste schakel meer is in de toeleveringsketen.

Voor wie meer wil weten:

Ploum en Schuberg Philis organiseren een ‘round table’ event over dit onderwerp op 5 maart 2024. Als u zich wilt opgeven voor dit event of meer informatie wenst te ontvangen dan kan dat via j.barensen@ploum.nl of h.vanaardenne@ploum.nl.

Contact

Advocaat

Jouko Barensen

Expertises:  Strafrecht, Bestuursrecht, Afvalstoffenrecht, Milieurecht , Cybersecurity , Transport en Logistiek, BRZO, Handhaving en sancties,

Advocaat

Hugo van Aardenne

Expertises:  Strafrecht, Bestuursrecht, Cybersecurity , Handhaving en sancties, Internationale Sancties en Exportcontrole , Interne onderzoeken,

Deel dit artikel

Blijf op de hoogte

Klik op het plusje en schrijf je in voor updates over dit onderwerp.

Expertise(s)

Onderwerp(en)

Met uw inschrijving blijft u op de hoogte van de laatste juridische ontwikkelingen op dit gebied. Vul hieronder uw gegevens in om per e-mail op te hoogte te blijven.

Persoonlijke gegevens

 

Bedrijfsgegevens

Meer informatie over hoe we uw persoons­gegevens gebruiken, kunt u lezen in onze privacyverklaring. U kunt uw voorkeuren altijd wijzigen via de link ‘Profiel wijzigen' of u afmelden via de link ‘Afmelden'. Deze links vindt u onderaan ieder bericht dat u van Ploum ontvangt.

* Verplicht in te vullen velden.

Geïnteresseerd in

Persoonlijke gegevens

 

Bedrijfsgegevens

Meer informatie over hoe we uw persoons­gegevens gebruiken, kunt u lezen in onze privacyverklaring. U kunt uw voorkeuren altijd wijzigen via de link ‘Profiel wijzigen' of u afmelden via de link ‘Afmelden'. Deze links vindt u onderaan ieder bericht dat u van Ploum ontvangt.

* Verplicht in te vullen velden.

Geïnteresseerd in

Account aanmaken

Haal alles uit Ploum.nl. Binnen een minuut geregeld.

Ik heb al een account

Voordelen Mijn Ploum

  • Volgen wat u interessant vindt
  • Krijg aanbevelingen op basis van uw interesses

*Verplicht in te vullen velden.

Ik heb al een account

Voordelen Mijn Ploum

Volgen wat u interessant vindt

Krijg aanbevelingen op basis van uw interesses

{phrase:advantage_3}

{phrase:advantage_4}


Waarom vragen we uw naam?

We vragen u om uw voor- en achternaam zodat wij die kunnen gebruiken als u zich bijvoorbeeld inschrijft op een Ploum Kennisevent.

Wachtwoord

Er wordt automatisch een wachtwoord voor u aangemaakt. Zodra uw account is aangemaakt ontvangt u dit wachtwoord in een welkomstmail. U kunt er direct mee inloggen. Dit wachtwoord kunt u indien gewenst ook zelf aanpassen via de wachtwoord vergeten functie.