NIS2 & Beveiliging van de toeleveringsketen

Anuschka Diderich vierkant
Anuschka Diderich
Feb 14, 2024 · 10 min lezen
Getty Images 1468379861

De NIS2 heeft als nieuwe Europese cyberveiligheidsrichtlijn bepaald dat vitale sectoren aan diverse verplichtingen moeten gaan voldoen. Die verplichtingen moeten uiterlijk 17 oktober 2024 zijn geïmplementeerd in de wetten van de Europese lidstaten.

Het Nederlandse wetgevingstraject staat nog helemaal aan het begin. Dat betekent dat er nog heel veel moet gebeuren. In dit artikel worden aan de hand van een voorbeeld een paar hele concrete onderwerpen nader toegelicht vanuit zowel juridisch als technisch perspectief.

Voorbeeld van transport én zorg

Ons dagelijks voedsel dat is bestemd voor de supermarkten of voor bijvoorbeeld de zorg legt vaak een flinke weg af. Vanaf aankomend jaar speelt de NIS2 ook een rol op die weg. Want zowel de transportsector als de zorgsector valt onder de sectoren die moeten gaan voldoen aan de verplichtingen uit de NIS2. Eén van die vele verplichtingen voor vitale sectoren is om de toeleveringsketen te beveiligen. Wat betekent die verplichting concreet?

De volgende onderwerpen moeten aan de orde komen bij het nemen van beveiligingsmaatregelen:

  1. Specifieke kwetsbaarheden van elke rechtstreekse leverancier en dienstverlener
  2. Kwaliteit van de producten en de cyberbeveiligingspraktijken van hun leveranciers en dienstverleners
  3. Veilige ontwikkelingsprocedures van producten en diensten
Schema NIS2

1. Specifieke kwetsbaarheden van leveranciers en dienstverleners: Om de toeleveringsketen NIS2-proof te maken zal een risicobeoordeling moeten plaatsvinden van de specifieke kwetsbaarheden van de leverancier of dienstverlener. In dit voorbeeld moet de vraag worden beantwoord; wat zijn voor een ziekenhuis de relevante/ specifieke kwetsbaarheden van een transportonderneming en/ of leverancier van voedsel? Tegelijk zal voor de transportonderneming hetzelfde gelden. De transportonderneming zal deze vraag stellen aan de voedselproducent. In de praktijk zal moeten worden bepaald in hoeverre het betreffende bedrijf wordt aangemerkt als een NIS2-bedrijf.

De koppelvlakken tussen de IT-systemen van ketenpartners kunnen kwetsbaar zijn. Een aanval op een component uit de keten kan doorwerken. Tussen verschillende domeinen moeten de meest kwetsbare systemen extra worden beschermd. Zo moet een aanval op een order management systeem van een logistieke partner niet kunnen leiden tot een extra risico voor een systeem dat gevoelige patiënt gegevens bevat in een ziekenhuis.

2. Kwaliteit van producten en diensten: Naast het beoordelen van de specifieke kwetsbaarheden, zal ook aandacht moeten worden besteed aan de kwaliteit van de producten en diensten van leveranciers of dienstverleners. Een manier om daar naar te kijken is bijvoorbeeld de aanwezigheid van certificaten. In dat verband is het interessant om te wijzen op de ontwikkelingen met betrekking tot de ‘Cyber Resilience Act (CRA)’. De CRA is een Europees wetsvoorstel waarin aandacht wordt besteed aan de digitale beveiliging van producten en diensten. In het voorstel wordt op verschillende plaatsen al verwezen naar de NIS2. Kortom, de beoordeling en certificering van producten en diensten zal ook apart aan de orde moeten komen. Het zal daarbij zeker ook zaak zijn om te kijken welke verplichtingen er al zijn, of komen of welke standaarden er op dit moment gelden in een bepaalde industrie.

3. Veilige ontwikkelingsprocedures van producten en diensten: Dit onderwerp hangt nauw samen met de beoordeling van de beveiliging van producten en diensten. Op grond van de NIS2 wordt verlangd dat NIS2-bedrijven bij het nemen van beveiligingsmaatregelen in de toeleveringsketen rekening houden met de digitale beveiliging in de ontwikkeling van producten en diensten. Hiervoor zal uiteraard technische expertise nodig zijn om dit goed te kunnen beoordelen.

Specifieke aandacht is daarbij nodig voor het periodiek bijstellen van zulke beoordelingen. Bij nieuwe bedreigingen horen soms nieuwe maatregelen. Zo leidt bijvoorbeeld de toegenomen dreiging van Ransomware-aanvallen tot de uitrol van nieuwe techniek zoals Ransomware-resistente ‘immutable backup’. Een wendbaar raamwerk zoals Agile en/of DevOps is nodig om dit soort wijzigingen tijdig in te kunnen voeren. Dit periodiek controleren en bijstellen kan een belangrijk onderdeel worden van ketenafspraken.

Samenwerken met klanten en leveranciers

Dit betekent dat NIS2-bedrijven het komende jaar veel met hun klanten en leveranciers in gesprek moeten gaan over hun beveiliging. Maar dat niet alleen, de beveiliging zal ook beoordeeld moeten worden, en er zullen afspraken moeten worden gemaakt over die beoordeling in de toekomst. Anders is het een momentopname waarvan wel haast zeker is dat die niet voldoende zal zijn om compliant te zijn met de verplichtingen van de NIS2.

Toegepast

De transportonderneming, de voedselproducent en het ziekenhuis zullen dus met elkaar in gesprek moeten gaan over hoe hun relatie wordt beheerst door de cyberbeveiligingsverplichtingen van een ieder. En daarmee wachten is niet verstandig. Immers, de contractuele afspraken die de komende maanden worden gemaakt moeten per 17 oktober 2024 ook voldoen aan de verplichtingen van de NIS2, juridisch en technisch, zodat er eigenlijk geen zwakste schakel meer is in de toeleveringsketen.

Meer informatie

Schuberg17609

Meer weten?

Neem contact op met Anuschka Diderich