nis2 supply chain security

Een pragmatische aanpak voor de beveiliging van de toeleveringsketen onder NIS2 – Deel 2

Artikel Cyber Security & Privacy

In ons vorige deel bespraken we hoe risicobeheersing en naleving van regelgeving de nieuwe pijlers zijn geworden in Supply Chain Management (SCM). In dit tweede deel duiken we dieper in op een specifiek aspect dat steeds belangrijker wordt: de beveiliging van de toeleveringsketen in het licht van de NIS2-richtlijn. Deze Europese richtlijn, die in Nederland wordt geïmplementeerd via de Cyberbeveiligingswet, heeft als doel de cyberbeveiliging van netwerken en informatiesystemen van essentiële dienstverleners te versterken. Maar hoe kun je deze eisen praktisch toepassen? In dit deel bespreken we een pragmatische aanpak om je supply chain te beveiligen en tegelijkertijd compliant te blijven.

Risicomanagement als kern van NIS2

De NIS2-richtlijn vereist dat bedrijven die essentieel zijn voor de economie en samenleving, zoals energiebedrijven, transportsectoren en financiële instellingen, hun cyberbeveiliging op orde hebben. Wij zien risicomanagement als de kern van deze richtlijn, omdat het bedrijven verplicht om potentiële bedreigingen te identificeren, te beoordelen en indien nodig te mitigeren. Dit geldt ook voor de beheersing van supply chain risico’s. Een pragmatische aanpak begint bij het risicogericht werken: alle derde partijen in kaart brengen en deze classificeren op basis van hun belang en risico. Deze classificering vormt de basis voor het verdere due diligence-proces: hoe hoger het risico van de derde partij, des te uitgebreider het due diligence-onderzoek en hoe meer beveiligingsmaatregelen worden vereist.

Het is van cruciaal belang dat er binnen de organisatie iemand wordt aangewezen die de eindverantwoordelijkheid draagt voor het gehele proces van supply chain-beveiliging.

Gebruik van best practices

Maar hoe bepaal je in welke classificatie een derde partij thuishoort? Welke vragen stel je tijdens een due diligence-onderzoek? En hoe beoordeel je vervolgens de antwoorden? Dit zijn cruciale stappen in het beheersen van ketenrisico’s, waarvoor goed doordachte content nodig is. Een pragmatische aanpak vereist het gebruik van best practices, zoals risicoclassificaties en due diligence-vragenlijsten die zijn gebaseerd op internationale standaarden zoals ISO 27001 of het NIST Cybersecurity Framework. Deze best practices vormen een solide basis voor het beoordelen van derde partijen, wat de consistentie en betrouwbaarheid van risicobeoordelingen aanzienlijk verbetert.

Binnen Eraneos gaan we een stap verder. We optimaliseren deze standaardvragenlijsten door ze te verrijken met onze praktijkervaringen en inzichten, opgedaan tijdens talloze projecten in verschillende sectoren. Hierdoor bieden we content die niet alleen voldoet aan internationale standaarden, maar ook praktisch toepasbaar is en afgestemd op de specifieke behoeften van jouw organisatie. Dit maakt het risicobeheer niet alleen efficiënter, maar ook effectiever.

Eigenaarschap als sleutel tot succes

Een ander essentieel element van een pragmatische aanpak is het duidelijk toewijzen van eigenaarschap binnen de organisatie, inclusief heldere rollen en verantwoordelijkheden. Het is van cruciaal belang dat er binnen de organisatie iemand wordt aangewezen die de eindverantwoordelijkheid draagt voor het gehele proces van supply chain-beveiliging. Dit eigenaarschap is geen administratieve formaliteit, maar een fundamentele randvoorwaarde voor succes.

Het beveiligen van de supply chain vereist nauwe samenwerking tussen verschillende afdelingen zoals risk management, procurement, IT en legal. Om deze samenwerking effectief te laten verlopen, is het belangrijk dat er een sterke leider boven de processen staat—een zwaargewicht die de autoriteit en het inzicht heeft om alle betrokkenen op één lijn te krijgen. Deze persoon zorgt ervoor dat alle neuzen dezelfde kant op staan en dat de verschillende afdelingen naadloos samenwerken. Daarnaast is het van belang dat elke betrokken partij precies weet wat hun rol en verantwoordelijkheid is binnen het bredere proces. Duidelijkheid over taken en verwachtingen voorkomt misverstanden en zorgt ervoor dat iedereen optimaal bijdraagt aan het beveiligen van de supply chain.

Implementatie van een uniform framework

Een uniform en consistent framework is essentieel om ervoor te zorgen dat alle betrokken partijen op dezelfde lijn zitten wat betreft beveiliging. Dit framework moet niet alleen richtlijnen bevatten voor de selectie van leveranciers, maar ook voor het onderhandelen van contracten en het beheren van de dienstverlening. Door bijvoorbeeld een standaard beveiligingsclausule op te nemen in alle leverancierscontracten, waarin expliciet wordt geëist dat leveranciers voldoen aan de NIS2-vereisten en regelmatig worden onderworpen aan audits, creëer je een duidelijke en afdwingbare standaard voor al je partners. Dit zorgt niet alleen voor uniformiteit, maar ook voor zekerheid dat de toeleveringsketen voldoet aan de hoogste beveiligingsnormen. Bovendien kunnen deze richtlijnen helpen bij het stroomlijnen van interne processen, waardoor de communicatie en samenwerking tussen afdelingen zoals procurement, legal en risk management wordt verbeterd.

Slimme tools inzetten

Het beveiligen van de supply chain kan een complexe en tijdrovende taak zijn. Hier kunnen slimme tools een onmisbare rol spelen. Veel organisaties vertrouwen nog steeds op handmatige processen, zoals het bijhouden van due diligence-resultaten in Excel en het uitwisselen van vragenlijsten en opvolgacties via e-mail. Deze aanpak verhoogt niet alleen de kans op fouten, maar maakt het ook lastig om een overzichtelijk en actueel beeld van de risico’s en opvolging te behouden.

Door gebruik te maken van gebruiksvriendelijke tools zoals bijvoorbeeld 3rdRisk, kunnen organisaties op een efficiënte en gestructureerde manier hun ketenrisico’s in kaart brengen en beheren. Het voordeel van tools zoals 3rdRisk is dat ze niet alleen helpen bij het inzichtelijk maken van alle derde partijen, maar ook bij de classificering ervan en het grotendeels automatiseren van het due diligence-proces. Daarnaast biedt 3rdRisk de mogelijkheid om derde partijen continu te monitoren met behulp van verschillende databronnen, waardoor je altijd in controle bent en de werkdruk aanzienlijk vermindert. Deze technologieën maken het mogelijk om sneller te reageren op potentiële dreigingen en om je supply chain dynamisch en robuust te houden.

Conclusie

Het beveiligen van de supply chain volgens de NIS2-richtlijn kan een uitdaging lijken, maar met een pragmatische aanpak wordt het een beheersbare taak. De sleutel tot succes ligt in het hanteren van een risicogebaseerde benadering, ondersteund door een uniform en consistent framework. Daarnaast is het essentieel om eigenaarschap duidelijk te definiëren, rollen en verantwoordelijkheden helder te beleggen, en gebruik te maken van technologie om tijdrovende taken te automatiseren. Door deze elementen samen te brengen, kun je niet alleen voldoen aan de NIS2-eisen, maar ook een robuuste en veerkrachtige supply chain opbouwen.


Dit drieluik is geschreven in samenwerking met Jelle Groenendaal (jelle@3rdrisk.com) van 3rdRisk.

Blijf op de hoogte voor deel drie van deze serie, waarin we de beveiliging van de toeleveringsketen als onderdeel van DORA bespreken en een pragmatische aanpak bieden voor het beheren van risico’s in de supply chain. Als u meer wilt weten over hoe u uw weerbaarheid met NIS2 kunt vergroten en welke stappen uw organisatie moet nemen om aan de nieuwe wetgeving te voldoen, bekijk dan hier ons aanpak.

Rico Plomp
Rico Plomp
Senior Manager – Cyber Security

16 sep 2024
Knowledge hub overzicht

Blijf up-to-date!

Ontvang onze beste inzichten geschreven door onze experts.