Toegankelijkheidslinks Ga naar hoofdinhoud

NIS2 & Securing the Supply Chain

Anuschka Diderich
februari 14, 2024 · 10 min lezen Engels

The NIS2, as the new European cybersecurity directive, mandates that vital sectors comply with various obligations. These obligations must be implemented into the laws of European member states by 17 October 2024.

The legislative process in the Netherlands is still in its early stages, indicating that much remains to be done. In this article, we'll delve into a few specific topics using an example, providing insights from both legal and technical perspectives.

Example: Transport and Healthcare

Our daily food supply destined for supermarkets or healthcare facilities often traverses considerable distances. Starting next year, NIS2 regulations will also influence this journey. Both the transport and healthcare sectors fall under the purview of sectors obligated to comply with NIS2 requirements. One of the many obligations for vital sectors is to secure the supply chain. What does this obligation entail?

Several key aspects need to be addressed when implementing security measures:

  1. Specific vulnerabilities of each direct supplier and service provider.
  2. Quality of products and the cybersecurity practices of their suppliers and service providers.
  3. Secure development procedures for products and services.

1. Specific vulnerabilities of suppliers and service providers: To make the supply chain NIS2-compliant, a risk assessment of the specific vulnerabilities of suppliers or service providers must be conducted. For example, in a hospital's case, what are the relevant/specific vulnerabilities of a transport company or food supplier? Similarly, the transport company will pose the same question to the food producer. In practice, it must be determined to what extent the respective company is classified as an NIS2 entity.

Interconnections between the IT systems of chain partners can be vulnerable. An attack on one component of the chain can have ripple effects. Among different domains, the most vulnerable systems must be protected extra diligently. For instance, an attack on a logistics partner's order management system should not pose an additional risk to a system containing sensitive patient data in a hospital.

2. Quality of products and services: In addition to assessing specific vulnerabilities, attention must be given to the quality of products and services from suppliers or service providers. One way to evaluate this is by examining the presence of certifications. It's worth mentioning the developments regarding the 'Cyber Resilience Act (CRA).' The CRA is a European proposal focusing on the digital security of products and services, already referencing NIS2 in various sections. Therefore, the assessment and certification of products and services must also be addressed separately. It's crucial to examine existing or forthcoming obligations or standards within a particular industry.

3. Secure development procedures for products and services: This topic closely relates to evaluating the security of products and services. NIS2 mandates that NIS2 entities consider digital security in the development of products and services when implementing security measures in the supply chain. This requires technical expertise for proper evaluation.

Specific attention is needed for periodically revising such evaluations. New threats may necessitate new measures. For instance, the increased threat of ransomware attacks has led to the deployment of new techniques such as ransomware-resistant 'immutable backup.' An agile and/or DevOps framework is necessary to implement such changes promptly. Periodically reviewing and adjusting these measures can become a crucial part of chain agreements.

Collaboration with customers and suppliers

This implies that NIS2 entities need to engage extensively with their customers and suppliers over their security in the coming year. However, it's not just about discussion; security must be assessed, and agreements on future assessments must be made. Otherwise, it's merely a snapshot, unlikely to be sufficient for NIS2 compliance.

Applied

The transport company, food producer, and hospital must engage in discussions about how their relationship is governed by everyone's cybersecurity obligations. Waiting is unwise because the contractual agreements made in the coming months must also comply with NIS2 obligations, both legally and technically, by October 17, 2024, eliminating any weak links in the supply chain.

More information (in Dutch):

NIS2 & Beveiliging van de toeleveringsketen: Wat betekent dat nu eigenlijk?

De NIS2, de nieuwe Europese richtlijn voor cyberveiligheid, heeft bepaald dat vitale sectoren wat extra werk op hun bordje krijgen. Uiterlijk 17 oktober 2024 moeten ze aan allerlei verplichtingen voldoen. In Nederland zijn we nog in de beginfase van het wetgevingstraject, dus er staat nog heel wat te gebeuren. Laten we aan de hand van een voorbeeld eens kijken naar wat dit nou eigenlijk betekent.

Stel je voor, je dagelijkse portie voedsel op weg naar de supermarkt of het ziekenhuis legt een behoorlijke afstand af. Vanaf volgend jaar gaat de NIS2 ook een rol spelen op die route. Zowel de transportsector als de zorg moeten namelijk voldoen aan de eisen van de NIS2. Eén van die eisen is het beveiligen van de toeleveringsketen. Wat betekent dat nou eigenlijk?

Er zijn een paar concrete dingen waar je aan moet denken als je aan de slag gaat met beveiligingsmaatregelen:

  1. Specifieke zwakke plekken van elke directe leverancier en dienstverlener.
  2. Kwaliteit van de producten en de cyberbeveiligingsgewoonten van hun leveranciers en dienstverleners.
  3. Veilige procedures voor de ontwikkeling van producten en diensten.

1. Specifieke zwakke plekken van leveranciers en dienstverleners: Om de toeleveringsketen NIS2-proof te maken, moet je de zwakke plekken van je leverancier of dienstverlener inschatten. Wat zijn bijvoorbeeld de specifieke risico's voor een ziekenhuis als het gaat om een transportbedrijf of voedselleverancier? En andersom. Je wilt voorkomen dat een aanval op een deel van de keten gevolgen heeft voor andere gebieden. Dus, bescherm de meest kwetsbare systemen extra goed.

De koppelvlakken tussen de IT-systemen van ketenpartners kunnen kwetsbaar zijn. Een aanval op een component uit de keten kan doorwerken. Tussen verschillende domeinen moeten de meest kwetsbare systemen extra worden beschermd. Zo moet een aanval op een order management systeem van een logistieke partner niet kunnen leiden tot een extra risico voor een systeem dat gevoelige patiënt gegevens bevat in een ziekenhuis.

2. Kwaliteit van producten en diensten: Naast het beoordelen van de specifieke kwetsbaarheden, zal ook aandacht moeten worden besteed aan de kwaliteit van de producten en diensten van leveranciers of dienstverleners. Een manier om daar naar te kijken is bijvoorbeeld de aanwezigheid van certificaten. In dat verband is het interessant om te wijzen op de ontwikkelingen met betrekking tot de ‘Cyber Resilience Act (CRA)’. De CRA is een Europees wetsvoorstel waarin aandacht wordt besteed aan de digitale beveiliging van producten en diensten. In het voorstel wordt op verschillende plaatsen al verwezen naar de NIS2. Kortom, de beoordeling en certificering van producten en diensten zal ook apart aan de orde moeten komen. Het zal daarbij zeker ook zaak zijn om te kijken welke verplichtingen er al zijn, of komen of welke standaarden er op dit moment gelden in een bepaalde industrie.

3. Veilige ontwikkelingsprocedures van producten en diensten: Dit onderwerp hangt nauw samen met de beoordeling van de beveiliging van producten en diensten. Op grond van de NIS2 wordt verlangd dat NIS2-bedrijven bij het nemen van beveiligingsmaatregelen in de toeleveringsketen rekening houden met de digitale beveiliging in de ontwikkeling van producten en diensten. Hiervoor zal uiteraard technische expertise nodig zijn om dit goed te kunnen beoordelen. Specifieke aandacht is daarbij nodig voor het periodiek bijstellen van zulke beoordelingen. Bij nieuwe bedreigingen horen soms nieuwe maatregelen. Zo leidt bijvoorbeeld de toegenomen dreiging van Ransomware-aanvallen tot de uitrol van nieuwe techniek zoals Ransomware-resistente ‘immutable backup’. Een wendbaar raamwerk zoals Agile en/of DevOps is nodig om dit soort wijzigingen tijdig in te kunnen voeren. Dit periodiek controleren en bijstellen kan een belangrijk onderdeel worden van ketenafspraken.

Dit betekent dat NIS2-bedrijven het komende jaar veel met hun klanten en leveranciers in gesprek moeten gaan over hun beveiliging. Maar dat niet alleen, de beveiliging zal ook beoordeeld moeten worden, en er zullen afspraken moeten worden gemaakt over die beoordeling in de toekomst. Anders is het een momentopname waarvan wel haast zeker is dat die niet voldoende zal zijn om compliant te zijn met de verplichtingen van de NIS2.

Toegepast De transportonderneming, de voedselproducent en het ziekenhuis zullen dus met elkaar in gesprek moeten gaan over hoe hun relatie wordt beheerst door de cyberbeveiligingsverplichtingen van een ieder. En daarmee wachten is niet verstandig. Immers, de contractuele afspraken die de komende maanden worden gemaakt moeten per 17 oktober 2024 ook voldoen aan de verplichtingen van de NIS2, juridisch en technisch, zodat er eigenlijk geen zwakste schakel meer is in de toeleveringsketen.

Voor wie meer wil weten:
  • NIS2: Nieuwe regels tegen cyberaanvallen
  • Europese Cyber Resilience Act creëert meer producentenverantwoordelijkheid en dreigt met hoge boetes
  • Ransomware in control - de meest relevante controls voor organisaties
  • 3 cybersecurity trends and their impact on transport & logistics