NIS2 & Beveiliging van de toeleveringsketen

Voorbeeld van transport én zorg

Ons dagelijks voedsel dat is bestemd voor de supermarkten of voor bijvoorbeeld de zorg legt vaak een flinke weg af. Vanaf aankomend jaar speelt de NIS2 ook een rol op die weg. Want zowel de transportsector als de zorgsector valt onder de sectoren die moeten gaan voldoen aan de verplichtingen uit de NIS2. Eén van die vele verplichtingen voor vitale sectoren is om de toeleveringsketen te beveiligen. Wat betekent die verplichting concreet?

De volgende onderwerpen moeten aan de orde komen bij het nemen van beveiligingsmaatregelen:

1. Specifieke kwetsbaarheden van elke rechtstreekse leverancier en dienstverlener
2. Kwaliteit van de producten en de cyberbeveiligingspraktijken van hun leveranciers en dienstverleners
3. Veilige ontwikkelingsprocedures van producten en diensten

1. Specifieke kwetsbaarheden van leveranciers en dienstverleners

Om de toeleveringsketen NIS2-proof te maken zal een risicobeoordeling moeten plaatsvinden van de specifieke kwetsbaarheden van de leverancier of dienstverlener. In dit voorbeeld moet de vraag worden beantwoord; wat zijn voor een ziekenhuis de relevante/ specifieke kwetsbaarheden van een transportonderneming en/ of leverancier van voedsel? Tegelijk zal voor de transportonderneming hetzelfde gelden. De transportonderneming zal deze vraag stellen aan de voedselproducent. In de praktijk zal moeten worden bepaald in hoeverre het betreffende bedrijf wordt aangemerkt als een NIS2-bedrijf.

De koppelvlakken tussen de IT-systemen van ketenpartners kunnen kwetsbaar zijn. Een aanval op een component uit de keten kan doorwerken. Tussen verschillende domeinen moeten de meest kwetsbare systemen extra worden beschermd. Zo moet een aanval op een order management systeem van een logistieke partner niet kunnen leiden tot een extra risico voor een systeem dat gevoelige patiënt gegevens bevat in een ziekenhuis.

2. Kwaliteit van producten en diensten

Naast het beoordelen van de specifieke kwetsbaarheden, zal ook aandacht moeten worden besteed aan de kwaliteit van de producten en diensten van leveranciers of dienstverleners. Een manier om daar naar te kijken is bijvoorbeeld de aanwezigheid van certificaten. In dat verband is het interessant om te wijzen op de ontwikkelingen met betrekking tot de ‘Cyber Resilience Act (CRA)’. De CRA is een Europees wetsvoorstel waarin aandacht wordt besteed aan de digitale beveiliging van producten en diensten. In het voorstel wordt op verschillende plaatsen al verwezen naar de NIS2. Kortom, de beoordeling en certificering van producten en diensten zal ook apart aan de orde moeten komen. Het zal daarbij zeker ook zaak zijn om te kijken welke verplichtingen er al zijn, of komen of welke standaarden er op dit moment gelden in een bepaalde industrie.

3. Veilige ontwikkelingsprocedures van producten en diensten

Dit onderwerp hangt nauw samen met de beoordeling van de beveiliging van producten en diensten. Op grond van de NIS2 wordt verlangd dat NIS2-bedrijven bij het nemen van beveiligingsmaatregelen in de toeleveringsketen rekening houden met de digitale beveiliging in de ontwikkeling van producten en diensten. Hiervoor zal uiteraard technische expertise nodig zijn om dit goed te kunnen beoordelen.

Specifieke aandacht is daarbij nodig voor het periodiek bijstellen van zulke beoordelingen. Bij nieuwe bedreigingen horen soms nieuwe maatregelen. Zo leidt bijvoorbeeld de toegenomen dreiging van Ransomware-aanvallen tot de uitrol van nieuwe techniek zoals Ransomware-resistente ‘immutable backup’. Een wendbaar raamwerk zoals Agile en/of DevOps is nodig om dit soort wijzigingen tijdig in te kunnen voeren. Dit periodiek controleren en bijstellen kan een belangrijk onderdeel worden van ketenafspraken.

Samenwerken met klanten en leveranciers

Dit betekent dat NIS2-bedrijven het komende jaar veel met hun klanten en leveranciers in gesprek moeten gaan over hun beveiliging. Maar dat niet alleen, de beveiliging zal ook beoordeeld moeten worden, en er zullen afspraken moeten worden gemaakt over die beoordeling in de toekomst. Anders is het een momentopname waarvan wel haast zeker is dat die niet voldoende zal zijn om compliant te zijn met de verplichtingen van de NIS2.

Toegepast

De transportonderneming, de voedselproducent en het ziekenhuis zullen dus met elkaar in gesprek moeten gaan over hoe hun relatie wordt beheerst door de cyberbeveiligingsverplichtingen van een ieder. En daarmee wachten is niet verstandig. Immers, de contractuele afspraken die de komende maanden worden gemaakt moeten per 17 oktober 2024 ook voldoen aan de verplichtingen van de NIS2, juridisch en technisch, zodat er eigenlijk geen zwakste schakel meer is in de toeleveringsketen.

NIS2 & Beveiliging van de toeleveringsketen: Wat betekent dat nu eigenlijk?

De NIS2, de nieuwe Europese richtlijn voor cyberveiligheid, heeft bepaald dat vitale sectoren wat extra werk op hun bordje krijgen. Uiterlijk 17 oktober 2024 moeten ze aan allerlei verplichtingen voldoen. In Nederland zijn we nog in de beginfase van het wetgevingstraject, dus er staat nog heel wat te gebeuren. Laten we aan de hand van een voorbeeld eens kijken naar wat dit nou eigenlijk betekent.

Stel je voor, je dagelijkse portie voedsel op weg naar de supermarkt of het ziekenhuis legt een behoorlijke afstand af. Vanaf volgend jaar gaat de NIS2 ook een rol spelen op die route. Zowel de transportsector als de zorg moeten namelijk voldoen aan de eisen van de NIS2. Eén van die eisen is het beveiligen van de toeleveringsketen. Wat betekent dat nou eigenlijk?

Er zijn een paar concrete dingen waar je aan moet denken als je aan de slag gaat met beveiligingsmaatregelen:

1. Specifieke zwakke plekken van elke directe leverancier en dienstverlener.
2. Kwaliteit van de producten en de cyberbeveiligingsgewoonten van hun leveranciers en dienstverleners.
3. Veilige procedures voor de ontwikkeling van producten en diensten.

Specifieke zwakke plekken van leveranciers en dienstverleners:
Om de toeleveringsketen NIS2-proof te maken, moet je de zwakke plekken van je leverancier of dienstverlener inschatten. Wat zijn bijvoorbeeld de specifieke risico's voor een ziekenhuis als het gaat om een transportbedrijf of voedselleverancier? En andersom. Je wilt voorkomen dat een aanval op een deel van de keten gevolgen heeft voor andere gebieden. Dus, bescherm de meest kwetsbare systemen extra goed.

De koppelvlakken tussen de IT-systemen van ketenpartners kunnen kwetsbaar zijn. Een aanval op een component uit de keten kan doorwerken. Tussen verschillende domeinen moeten de meest kwetsbare systemen extra worden beschermd. Zo moet een aanval op een order management systeem van een logistieke partner niet kunnen leiden tot een extra risico voor een systeem dat gevoelige patiënt gegevens bevat in een ziekenhuis.

Kwaliteit van producten en diensten:
Naast het beoordelen van de specifieke kwetsbaarheden, zal ook aandacht moeten worden besteed aan de kwaliteit van de producten en diensten van leveranciers of dienstverleners. Een manier om daar naar te kijken is bijvoorbeeld de aanwezigheid van certificaten. In dat verband is het interessant om te wijzen op de ontwikkelingen met betrekking tot de ‘Cyber Resilience Act (CRA)’. De CRA is een Europees wetsvoorstel waarin aandacht wordt besteed aan de digitale beveiliging van producten en diensten. In het voorstel wordt op verschillende plaatsen al verwezen naar de NIS2. Kortom, de beoordeling en certificering van producten en diensten zal ook apart aan de orde moeten komen. Het zal daarbij zeker ook zaak zijn om te kijken welke verplichtingen er al zijn, of komen of welke standaarden er op dit moment gelden in een bepaalde industrie.

Veilige ontwikkelingsprocedures van producten en diensten
Dit onderwerp hangt nauw samen met de beoordeling van de beveiliging van producten en diensten. Op grond van de NIS2 wordt verlangd dat NIS2-bedrijven bij het nemen van beveiligingsmaatregelen in de toeleveringsketen rekening houden met de digitale beveiliging in de ontwikkeling van producten en diensten. Hiervoor zal uiteraard technische expertise nodig zijn om dit goed te kunnen beoordelen. Specifieke aandacht is daarbij nodig voor het periodiek bijstellen van zulke beoordelingen. Bij nieuwe bedreigingen horen soms nieuwe maatregelen. Zo leidt bijvoorbeeld de toegenomen dreiging van Ransomware-aanvallen tot de uitrol van nieuwe techniek zoals Ransomware-resistente ‘immutable backup’. Een wendbaar raamwerk zoals Agile en/of DevOps is nodig om dit soort wijzigingen tijdig in te kunnen voeren. Dit periodiek controleren en bijstellen kan een belangrijk onderdeel worden van ketenafspraken.

Dit betekent dat NIS2-bedrijven het komende jaar veel met hun klanten en leveranciers in gesprek moeten gaan over hun beveiliging. Maar dat niet alleen, de beveiliging zal ook beoordeeld moeten worden, en er zullen afspraken moeten worden gemaakt over die beoordeling in de toekomst. Anders is het een momentopname waarvan wel haast zeker is dat die niet voldoende zal zijn om compliant te zijn met de verplichtingen van de NIS2.

Toegepast De transportonderneming, de voedselproducent en het ziekenhuis zullen dus met elkaar in gesprek moeten gaan over hoe hun relatie wordt beheerst door de cyberbeveiligingsverplichtingen van een ieder. En daarmee wachten is niet verstandig. Immers, de contractuele afspraken die de komende maanden worden gemaakt moeten per 17 oktober 2024 ook voldoen aan de verplichtingen van de NIS2, juridisch en technisch, zodat er eigenlijk geen zwakste schakel meer is in de toeleveringsketen.

Meer informatie

• NIS2: Nieuwe regels tegen cyberaanvallen
• Europese Cyber Resilience Act creëert meer producentenverantwoordelijkheid en dreigt met hoge boetes
• Ransomware in control - de meest relevante controls voor organisaties
• 3 cybersecurity trends and their impact on transport & logistics