De Europese richtlijn NIS2, die in Nederland naar verwachting begin 2025 van kracht wordt, bevat belangrijke wijzigingen op het gebied van de cybersecurity en informatiebeveiliging van bedrijven en organisaties. In het proces richting NIS2-compliance is de rol van leveranciers in de keten een belangrijk aspect. Want je kunt als organisatie zelf wel compliant zijn, maar een beveiligingslek bij één leverancier kan jouw dienstverlening of productieproces ernstige schade toebrengen. Daarom moeten organisaties de risico’s binnen hun (voortbrengings)keten in kaart brengen en passende maatregelen contractueel vastleggen.

De relatie met leveranciers speelt een belangrijke rol bij de implementatie van NIS2-wetgeving in bedrijven en organisaties. Door dit extra risico moeten alle partijen in een keten van digitale dienstverlening voldoen aan de vereisten van NIS2. En dus moet je als organisatie proactief samenwerken met leveranciers om bedreigingen te identificeren en beheersen door het treffen van passende maatregelen. Passende maatregelen zijn onder meer het delen van informatie en ervaringen, implementeren van robuuste beveiligingsmaatregelen, gezamenlijke tests, en regelmatige audits en evaluaties uitvoeren.

Aandachtspunten bij het beoordelen van leveranciers

Om beveiligingsrisico’s van leveranciers te voorkomen, zorg je voor een gestructureerde aanpak bij het identificeren en mitigeren van deze risico’s. Enkele aandachtspunten:

1. Identificeer kritieke leveranciers: bepaal welke leveranciers cruciaal zijn in de digitale dienstverlening en infrastructuur van je organisatie.
2. Beoordeel leveranciers: stel vast of die (kritieke) leveranciers moeten voldoen aan NIS2 en in hoeverre zij dit al hebben georganiseerd.
3. Evalueer beveiligingsrisico’s: maak een grondige beoordeling van beveiligingsmaatregelen en risico’s van elke leverancier.
4. Contractuele bepalingen: stel duidelijke en robuuste contractuele bepalingen op die de beveiligingsverplichtingen van leveranciers vastleggen, inclusief naleving van NIS2 en meldingsvereisten voor beveiligingsincidenten.
5. Monitor en beheer risico’s: implementeer een systeem dat de beveiligingsprestaties van leveranciers kan monitoren en risico’s proactief beheert, waaronder:
   • Regelmatig evalueren van naleving van beveiligingsmaatregelen
   • Uitvoeren van audits
   • Vaststellen van escalatieprocedures
   • Crisisbeheersing
6. Samenwerking en communicatie: werk samen met leveranciers om informatie te delen over beveiligingsdreigingen, incidenten en best practices. Zorg voor open communicatie zodat je snel kunt reageren op beveiligingsincidenten.

Third Party Risk Management

Het is belangrijk om bovenstaande processen voor het beoordelen van leveranciers regelmatig te evalueren. Dit wordt ook wel Third Party Risk Management (TPRM) genoemd. Zorg er dus voor dat deze processen, en indien nodig ook je TPRM-aanpak, worden aangepast op basis van lessen uit incidenten en veranderende beveiligingsrisico’s.

NIS2-dienstverlening van Pragmaat

Pragmaat adviseert bedrijven en organisaties op het gebied van compliance, riskmanagement en business continuity en ondersteunt hen bij het implementeren van NIS2. De complexe relatie met leveranciers is een belangrijk onderdeel van de implementatie van NIS2. Pragmaat helpt organisaties ook concreet bij het toepassen van NIS2 in hun eigen beleid, controls en processen zodat ze aantoonbaar NIS2-compliant zijn. Dit kan met de inzet van experts op interim-basis of met trainingen of workshops op maat.