Per oktober 2024 is de NIS2-richtlijn van kracht in Europa. De Nederlandse Cyberbeveiligingswet die aan deze Europese richtlijn invulling zal geven, treedt naar verwachting in het tweede of derde kwartaal van 2025 in werking. Eén van de aspecten uit de NIS2-richtlijn heeft betrekking op de zorgplicht en de zogeheten ketenverantwoordelijkheid.
Dit roept bij veel organisaties, sectoren en ketens tal van vragen op. Wat is het? Wat is de reikwijdte? In het kort worden organisaties die onder deze wet vallen onder meer verantwoordelijk voor de informatieveiligheid niet alleen van zichzelf, maar ook van hun eigen toeleveringsketen. Voor elke organisatie die valt onder de NIS2 richtlijn volgt hieruit dan ook de verplichting hiervoor een risicoanalyse uit te voeren. Om inzicht te krijgen in wat deze ketenverantwoordelijkheid betekent voor de chemische sector, deed het ministerie van Infrastructuur en Waterstaat (hierna: ministerie van IenW) een beroep op Berenschot.
Zo onderzocht Berenschot de typen ketens binnen de chemische sector, de reikwijdte van de ketenverantwoordelijkheid zoals bedoeld in de NIS2-richtlijn, en de risico’s en gevolgen van (cyber)verstoringen in de chemische ketens. Bovendien stelde Berenschot voor het ministerie handvatten op om bedrijven te ondersteunen bij het inzichtelijk maken van de ketens plus een handreiking voor bedrijven in de chemische sector, zodat deze zelf een ketenanalyse kunnen uitvoeren. De uitkomsten blijken ook relevant voor andere sectoren.
Reikwijdte ketenverantwoordelijkheid
Samen met het ministerie van IenW heeft Berenschot aan de hand van een documentenstudie, interviews met personen uit de sector en best practices een ruwe schets opgesteld en deze vervolgens bij betrokkenen getoetst en aangescherpt. Uit de inventarisatie van Berenschot volgt dat de toeleveringsketens waar de NIS2 over spreekt, onder andere contractors, IT-leveranciers en dienstverleners betreffen. Klanten en af- en aanleveranciers vallen enkel binnen de scope als zij via IT-systemen een risico voor de organisatie vormen.
Het onderzoek van Berenschot heeft ons een aantal hele waardevolle aanknopingspunten gegeven om de implementatie van de NIS2 te versoepelen.
- Stefan Brandt, beleidsmedewerker ministerie van Infrastructuur en Waterschap.
De verantwoordelijkheid voor het beheersen van de risico’s uit de toeleveringsketen ligt bij de organisatie zelf. Kan de entiteit die onder de NIS2 valt het risico dat voortkomt uit de toeleveringsketen niet voldoende beheersen, dan kan zij verplichtingen opleggen aan de toeleverancier. Om hieraan te voldoen, kan de toeleverancier zelf verplichtingen stellen aan de eigen leveranciers. Deze werken door totdat de risico’s voor de entiteit die onder de NIS2 valt voldoende zijn beheerst. De door Berenschot opgestelde handreiking stelt bedrijven uit de chemische sector in staat een ketenanalyse uit te voeren en passende maatregelen te nemen.
Handvatten ter ondersteuning
Ketenanalyses kunnen behoorlijk ingewikkeld en arbeidsintensief zijn, reden waarom het ministerie van IenW bedrijven hierin zo goed mogelijk wil ondersteunen. Daartoe heeft Berenschot vier handvatten aangedragen: 1) een eenduidige definitie van ‘ketens’, 2) bevorderen van samenwerking en standaardisatie binnen de sector, 3) coördineren van gezamenlijke normstelling en aanpak bij toezicht, en 4) inzicht en overzicht in de richtlijnen en normen die van toepassing zijn of ontwikkeld worden.
Met deze handvatten kunnen bedrijven sneller en beter voldoen aan de NIS2-richtlijn, zodat de netwerk- en informatiesystemen van essentiële infrastructuur echt veilig zijn. Genoemde handvatten en handreiking blijken tevens bruikbaar voor andere sectoren en ministeries. Belangrijk is dat bedrijven zo snel mogelijk aan de slag gaan met ketenanalyses en het afdekken van de risico’s. Ondersteuning en duidelijkheid vanuit de betreffende ministeries is daarbij cruciaal.
Meer weten? Een volledig overzicht van alle resultaten is te vinden op de site van het ministerie van IenW.