NIS2 verschuift de focus van individuele bedrijven naar supply chains en de maatschappij. En dat zou jij ook moeten doen.
Vanaf september 2024 moeten bedrijven die binnen de EU actief zijn voldoen aan nieuwe en strengere regelgeving op het gebied van cyber risicobeheer, toezicht en reactie op cyberincidenten. En Supply Chain managers gaan hier het grote verschil maken. Voor dit eerste artikel in een serie over regelgeving kijken we naar de nieuwe richtlijn voor netwerk- en informatiebeveiliging (NIS2) en welke stappen je kan nemen om een voorsprong op compliance te krijgen.
Als we het hebben over supply chains of risico's vanuit derde partijen, kan je al snel in technische afkortingen en abstracties vervallen. Dus laten we een voorbeeld nemen dat Nederlanders allemaal na aan het hart gaat: kaas.
In 2021 waren bij veel Albert Heijn filialen de kaasschappen een week lang bijna leeg. De aanleiding was een ransomware-aanval bij een van hun logistieke partners, Bakker Logistiek. De aanval maakte het onmogelijk om bestellingen van klanten te ontvangen en hun magazijn te controleren op voorraad en beschikbaarheid van producten. Zeker de helft van hun 500 vrachtwagens konden niet worden geladen en de hele workflow kwam onder druk, waardoor Albert Heijn een van de secundaire slachtoffers van de aanval werd.
De aanvallers maakten waarschijnlijk gebruik van een vulnerability in Microsoft Exchange Server, die slechts een maand eerder door Microsoft bekend was gemaakt. Bedrijven zoals logistieke partners, distributiecentra en grote B2B-leveranciers zijn ideale doelwitten voor ransomware-aanvallen. Het feit dat veel bedrijven van hen afhankelijk zijn, zien cybercriminelen als hefboom en drukmiddel om losgeld te kunnen krijgen.
En succesvolle aanvallen creëren zo ook een keten van slachtoffers, waarvan sommigen zich misschien niet eens bewust zijn van hun onderlinge afhankelijkheid. Het resultaat voor jouw bedrijf kan het plotseling wegvallen van leveringen, lege schappen, boze klanten en een stevig misgelopen omzet zijn.
De NIS2-richtlijn is van toepassing op een breder scala aan bedrijven en organisaties dan zijn voorganger. Het leidende criterium hiervoor is de sector waarin het bedrijf actief is, die is onderverdeeld in twee categorieën: essentieel en belangrijk. Dit omvat respectievelijk de volgende sectoren en industrieën (bron: PwC NL¹):
Essentiële bedrijven krijgen proactief toezicht van de autoriteiten en kunnen worden onderworpen aan verplichte rapportages, audits en peer reviews. In het geval van belangrijke bedrijven wordt dit alleen in werking gesteld als er een specifieke reden is om dit te doen. Dit kan een incident zijn of een rapport van een auditor of andere derde partij waarin wordt geconstateerd dat de compliance niet up-to-date is.
In het geval van Nederland zal de overheid je niet op de hoogte stellen als jouw bedrijf tot een van deze twee categorieën behoort. Jijzelf moet dit beoordelen op basis van de categorieën die door de EU worden verstrekt en hoe groot jouw marktaandeel is in een van deze categorieën. Een groot marktaandeel in een sector die als belangrijk wordt bestempeld, kan ervoor zorgen dat jouw bedrijf essentieel is en voor de regelgeving ook als zodanig wordt beschouwd.
NIS2 legt de nadruk op de zorgplicht van jouw bedrijf en de plicht om te rapporteren. De EU-lidstaten zullen uiteraard elk hun eigen wetgeving opstellen, maar in grote lijnen richt NIS2 zich op 4 belangrijke pijlers van cyber risicobeheer:
1. Onderhoud
Het management wordt geacht op de hoogte te zijn van deze regelgeving en is verantwoordelijk voor het beoordelen en aanpakken van deze risico's. Dit vereist dat een bedrijf zijn digitale netwerk en verbindingen continu bewaakt en actie onderneemt wanneer dat nodig is.
2. Risicobeheer
Dit omvat het beperken van risico's en het minimaliseren van de impact in het geval van een incident. Heeft jouw bedrijf een draaiboek in geval van een datalek? Hoe kwetsbaar zijn de leveranciers en partners waarop je vertrouwt? Weet je wie toegang heeft tot welke gegevens en waar deze zijn opgeslagen?
3. Continuïteit van bedrijfsvoering
Hopen op het beste is geen goede strategie. Wat is de te volgen procedure als er zich een incident voordoet binnen jouw bedrijf of supply chain? Zijn er kritieke systemen of machines die operationeel moeten blijven? Wie neemt het voortouw in zo`n situatie en hoe herstellen we onze systemen? Het beantwoorden van deze vragen verlaagt niet alleen het potentiële risico van een incident, maar geeft je meer vertrouwen en veerkracht doordat je de impact ervan kunt beperken.
4. Meldplicht en rapportage
NIS2 vereist dat je, in het geval van een incident, binnen 24 uur een rapport indient bij de betreffende autoriteiten. Het is verstandig om een proces en sjabloon op te zetten voor een correct rapport, zodat je jouw tijd en aandacht kunt bewaren voor het aanpakken van het incident zelf.
De financiële consequenties van nalatigheid of het niet naleven van de regelgeving worden ook uitgebreid. Voor essentiële bedrijven geldt een minimum van 10 miljoen euro of 2% van de totale omzet. Boetes voor belangrijke bedrijven zijn gebaseerd op een minimum van 7 miljoen euro of 1,4% van de totale omzet. Bovendien is er persoonlijke aansprakelijkheid op managementniveau als zij niet aan hun verantwoordelijkheden die voortvloeien uit NIS2 kunnen voldoen.
Als je al deze nieuwe verplichtingen zo op een rijtje zet, is het makkelijk om overweldigd te raken door de hete adem van een deadline in je nek. Maar grondigheid is belangrijker dan punctualiteit. Begin met het samenbrengen van iedereen die hierbij betrokken is om een goed beeld te krijgen van jullie huidige situatie. Ga elk van de vier pijlers langs en laat anderen hun input geven. Hoe bewaken we ons netwerk en onze gegevens nu? Zijn er interne richtlijnen of draaiboeken in geval van een datalek? Welke verschillende systemen en software gebruiken we? En wie kan het beste de leiding nemen op dit gebied?
Onze tools werken alleen als we weten wat we moeten verbeteren. Dus hoe eenvoudig en alledaags het ook mag klinken om deze vragen te beantwoorden, het zijn deze belangrijke uitgangspunten die vaak over het hoofd worden gezien. In ons volgende artikel gaan we dieper in op een aantal tools die wij gebruiken om onze klanten te helpen voldoen aan deze nieuwe regelgeving.
Belangrijke opmerking en disclaimer: dit artikel is gebaseerd op Nederlandse bronnen en kan details bevatten die niet van toepassing zijn op jouw land. Dit artikel is niet bedoeld als bindend juridisch advies.
¹PwC Nederland, Risk & Regulation, "Nieuwe Europese richtlijn NIS2: strengere eisen cybersecurity"
De klassieke manier van een netwerk beveiligen wordt ook wel het ‘eggshell computing’-model genoemd. In dit geval...
In onze vorige artikelen over NIS2 en DORA bespraken we de belangrijkste veranderingen en verplichtingen die de nieuwe...
Waar voorheen het analyseren en kennis nemen van de risico`s voldoende was, zal de Digital Operational Resilience Act...
European law dictates that companies, financial corporations and government agencies are required to secure their sensitive personal...
NIS2 verschuift de focus van individuele bedrijven naar supply chains en de maatschappij. En dat zou jij ook moeten doen....
Personal data is everywhere: on-premises and in the cloud, from file servers and databases to data warehouses and data...
The answer to “how much security is enough?” all depends on the data that the organization possesses. And then what must be...