NIS2 Supply Chain Beveiliging: Checklist Leveranciers

NIS2 supply chain beveiliging is geen optie meer, maar een wettelijke verplichting die iedere organisatie in een kritieke sector direct raakt. De NIS2-richtlijn, die in Nederland via de Cyberbeveiligingswet wordt geïmplementeerd, verplicht organisaties om niet alleen hun eigen beveiliging op orde te hebben, maar ook die van hun leveranciers. Wie dat nalaat, riskeert boetes tot tientallen miljoenen euro's én reputatieschade die moeilijk te herstellen is.

Waarom NIS2 supply chain beveiliging zo urgent is

Aanvallen via de toeleveringsketen zijn in Nederland sterk gestegen. Uit onderzoek van het Nationaal Cyber Security Centrum blijkt dat een significant deel van de succesvolle cyberaanvallen op Nederlandse organisaties verloopt via een leverancier of derde partij. De aanval op softwareleverancier Nebu in 2023, waarbij klantgegevens van onder meer de NS en Transavia uitlekten, laat zien hoe verstrekkend de gevolgen kunnen zijn.

Onder NIS2 bent u als essentiële of belangrijke entiteit verantwoordelijk voor de beveiligingsrisico's die uw leveranciers met zich meebrengen. Non-compliance treft dus niet alleen uzelf: ook uw afnemers kunnen gevolgen ondervinden als u schakel bent in hun keten. Ketenbeveiliging NIS2 Nederland is daarmee een gedeelde verantwoordelijkheid die de gehele sector raakt. Een ervaren IT-auditor kan u helpen bij het in kaart brengen van deze ketenrisico's.

NIS2 leverancierseisen: wat de wet verplicht

De NIS2-richtlijn stelt concrete NIS2 leverancierseisen over hoe u uw toeleveringsketen beheert. Essentiële entiteiten, zoals aanbieders van digitale infrastructuur, energiebedrijven en zorginstellingen, vallen onder het strengste regime. Belangrijke entiteiten, zoals veel productiebedrijven en postdiensten, hebben iets meer ruimte, maar ook voor hen gelden minimumvereisten voor supply chain risico NIS2.

De wet verplicht u minimaal het volgende te regelen ten aanzien van leveranciers:

• •Risicoanalyse per leverancier op basis van de kritiekheid van de geleverde dienst of het product
• •Contractuele afspraken over beveiligingsmaatregelen, incidentmelding en auditrecht
• •Periodieke beoordeling van de beveiligingspositie van uw leveranciers
• •Documentatie van uw leveranciersbeheersproces als bewijs richting toezichthouders
• •Maatregelen bij geconstateerde tekortkomingen, inclusief escalatieprocedures

Praktische checklist: uw leveranciers NIS2-compliant maken

Een gestructureerde aanpak voorkomt dat u door de omvang van de opgave het overzicht verliest. Gebruik onderstaande checklist als startpunt bij de beoordeling van elke leverancier die toegang heeft tot uw systemen, data of kritieke processen. Pas de diepgang aan op basis van het risiconiveau van de leverancier.

• •Classificeer de leverancier: bepaal of de leverancier kritiek, belangrijk of laag-risico is op basis van de aard van de dienstverlening en de toegang tot uw omgeving
• •Vraag bewijsstukken op: denk aan een geldig ISO 27001-certificaat, SOC 2 Type II-rapport, ISAE 3402-verklaring of een door de leverancier ondertekende eigen verklaring conform NIS2-eisen
• •Beoordeel het incidentbeheerproces: heeft de leverancier aantoonbaar een procedure voor detectie, respons en melding van beveiligingsincidenten?
• •Controleer subverwerkers: vraag na welke partijen de leverancier zelf inschakelt en of die aan vergelijkbare eisen voldoen
• •Toets technische maatregelen: versleuteling van data in transit en at rest, toegangsbeheer, patchmanagement en back-upprocedures
• •Plan herbeoordelingen in: voer minimaal jaarlijks een herbeoordeling uit, of direct na een significant incident of wijziging in de dienstverlening
• •Leg bevindingen vast: documenteer de uitkomst van elke beoordeling in uw leveranciersregister voor aantoonbaarheid richting de toezichthouder

NIS2 contractuele verplichtingen: wat moet er in het contract

NIS2 contractuele verplichtingen vormen de juridische ruggengraat van uw supply chain beveiliging. Zonder de juiste clausules heeft u geen afdwingbare basis om leveranciers aan te spreken bij een incident of tekortkoming. Laat bestaande contracten screenen en neem bij nieuwe contracten de volgende bepalingen standaard op. Overweeg een NIS2-audit om vast te stellen of uw huidige contracten aan de vereisten voldoen.

• •Meldplicht bij incidenten: de leverancier is verplicht u binnen 24 uur te informeren bij een beveiligingsincident dat uw organisatie kan raken
• •Auditrecht: u heeft het recht om zelf of via een derde partij de beveiligingsmaatregelen van de leverancier te laten toetsen
• •Minimale beveiligingseisen: beschrijf concreet welke technische en organisatorische maatregelen de leverancier minimaal moet handhaven
• •SLA-eisen rondom beschikbaarheid en responstijden bij verstoringen die de continuïteit van uw dienstverlening raken
• •Aansprakelijkheidsbepalingen: leg vast wie aansprakelijk is bij schade als gevolg van een beveiligingsincident aan de kant van de leverancier
• •Exit-strategie bij non-compliance: definieer onder welke voorwaarden u de overeenkomst kunt beëindigen en hoe de overdracht van data en systemen verloopt

Houd er rekening mee dat de toezichthouder, naar verwachting de Rijksinspectie Digitale Infrastructuur, uw contracten kan opvragen als onderdeel van een onderzoek. Zorg dat de bewoordingen aansluiten op de terminologie van de Cyberbeveiligingswet en dat u kunt aantonen dat contractuele afspraken ook daadwerkelijk worden nageleefd.

Supply chain risico NIS2: zo borgt u continue compliance

Eenmalig uw leveranciers screenen is onvoldoende. Supply chain risico NIS2 vereist een doorlopend beheerproces dat u integreert in uw bestaande informatiebeveiliging. Begin met het opzetten van een leveranciersregister waarin u per leverancier de risicoklasse, de status van certificering, de contractuele afspraken en de datum van de laatste beoordeling bijhoudt.

Koppel het leveranciersregister aan uw Information Security Management System of interne auditcyclus. Op die manier komen herbeoordelingen automatisch terug op de agenda en wordt ketenbeveiliging geen losstaand project, maar een structureel onderdeel van uw risicobeheersing. Wijs een eigenaar aan voor het leveranciersbeheersproces, bij voorkeur iemand met zowel juridische als technische kennis.

Overweeg ten slotte om leveranciers te stimuleren een NIS2 supply chain certificering te behalen, zoals een ISO 27001-certificaat met een specifieke verklaring over NIS2-conformiteit. Dit vermindert uw eigen auditlast en biedt aantoonbaar bewijs richting toezichthouders en uw eigen klanten. In sectoren zoals financiële dienstverlening en zorg wordt dit al steeds vaker als contracteis gesteld.

Heeft u hulp nodig bij het uitvoeren van een leveranciersaudit of het beoordelen van uw NIS2-compliancepositie? Via IT-Audit Directory vindt u gekwalificeerde IT-auditors en adviseurs met aantoonbare ervaring in NIS2, ketenbeveiliging en leveranciersbeheer, zodat u snel de juiste specialist aan tafel krijgt.