NIS2 leveranciers: waarom een vragenlijst niet meer genoeg is

Supply Chain richt zich specifiek op de NIS2-thema’s. ISO 27001 is breder. Veel organisaties gebruiken Supply Chain als opstap naar ISO 27001 of als praktische invulling van NIS2 zonder volledig certificeringstraject.

Voor de volledigheid hieronder een opsomming van de aangewezen vitale NIS2 sectoren.

Sectoren bijlage 1:

• Energie
• Transport
• Infrastructuur financiële markt
• Gezondheidszorg
• Drinkwater
• Digitale infrastructuur
• Afvalwater
• Overheidsdiensten
• Ruimtevaart
• Beheerders van ICT Diensten
• Bankwezen

Sectoren bijlage 2:

• Digitale aanbieders
• Post- en koeriersdiensten
• Afvalstoffenbeheer
• Levensmiddelen
• Chemische stoffen
• Onderzoek
• Vervaardiging/manufacturing

Bron: NCTV.nl

De NIS2 geldt straks voor banken, zorginstellingen, vervoerders, fabrieken die voedsel of andere belangrijke huishoudelijke artikelen maken en voor Managed Service Providers (msp’s). In principe vallen kleinere bedrijven niet onder de NIS2 wetgeving. De grens komt, naar verwachting, te liggen op 10 miljoen aan jaarinkomsten of vijftig medewerkers. Dat neemt echter niet weg dat wanneer jouw organisatie niet onder de NIS2 verplichting valt, er wel degelijk risico’s zijn. Ook in dat geval is het verstandig om naar het (niveau van) cybersecurity te kijken. Ook kleinere organisaties lopen risico’s zolang zij geen maatregelen treffen. De uiteindelijke schade zal vele malen groter zijn, dan de investering die je nu doet om de zaken op een acceptabel niveau te krijgen!

De NIS2 Directive is op 16 januari 2023 in werking getreden en zal, naar verwachting, derde kwartaal 2025 van kracht zijn in alle EU-lidstaten. Na publicatie op 16 januari hebben alle lidstaten van de Europese Unie namelijk de tijd gekregen om de nieuwe vereisten vanuit de NIS2 wetgeving om te zetten naar nationale wetgeving, welke in Nederland bekend zal zijn als de Cyberbeveiligingswet. Momenteel is de Nederlands overheid dus bezig om de vertaalslag te maken van NIS2 directive naar Cyberbeveiligingswet, waarbij het uitgangspunt is dat de kern, die bestaat uit meld- en zorgplicht van de richtlijn grotendeels hetzelfde blijft.

Volgens officiële bronnen is de implementatie van de Cyberbeveiligingswet (de Nederlandse omzetting van NIS2) nu voorzien in het tweede kwartaal van 2026. Nederland kon de oorspronkelijke deadline van 17 oktober 2024 niet halen. Dus al lijkt “Q2 2026” ambitieus, het is de huidige planning van de overheid.

Het overzicht hoeft niet alle leveranciers uit de crediteurenlijst te bevatten. NIS2 gaat expliciet over de ketenverantwoordelijkheid: je moet aantoonbaar grip hebben op de leveranciers die relevant zijn voor de continuïteit en informatiebeveiliging van je organisatie. Denk aan cloudproviders, hosting- en datacenterdiensten, softwareleveranciers en andere partijen die direct impact kunnen hebben op de beschikbaarheid, integriteit of vertrouwelijkheid van je processen. Leveranciers die geen directe rol spelen in die continuïteit, zoals catering of schoonmaak, horen daar niet in, tenzij ze toegang hebben tot kritieke systemen of gegevens. De kunst is dus classificeren: kritisch versus niet-kritisch. Dat vormt de basis voor welke eisen je stelt, welke afspraken je maakt en hoe intensief je monitort. In mijn blog ‘NIS2 ketenverantwoordelijkheid: wat verandert er voor leveranciers én hun klanten?’ leg ik dit uitgebreider uit en laat ik zien waarom ISO 27001 alleen niet voldoende is. NIS2 vraagt namelijk niet om eenmalige checks, maar om een continu proces van inzicht, toetsing en aantoonbare verantwoordelijkheid in de hele keten.

De toezichthouder voor NIS2 hangt af van de sector waarin je actief bent. Voor digitale infrastructuur, energie, overheid en aanverwante sectoren is dit de Rijksinspectie Digitale Infrastructuur (RDI). In andere sectoren zijn andere autoriteiten verantwoordelijk, zoals de DNB (financiële sector), ILT (vervoer, drinkwater), NVWA (chemie, voedsel) en IGJ (gezondheidszorg). Deze verdeling is vastgelegd in de nationale implementatie van NIS2 en sluit aan bij bestaande sectorale toezichtkaders. Het volledige overzicht is te vinden in mijn blog “NIS2 meldplicht bij incidenten: wat is een significant incident en hoe richt je je incidentresponse in?”

Voor financiële entiteiten die onder DORA vallen, geldt dat zij niet afzonderlijk aan de NIS2-verplichtingen uit de Cyberbeveiligingswet hoeven te voldoen voor zover deze onderwerpen al door DORA worden gereguleerd.

DORA is in dat geval leidend voor onderwerpen zoals ICT-risicobeheer, incidentmelding en toezicht. In de Nederlandse uitwerking van de NIS2-richtlijn is bepaald dat sectorspecifieke regelgeving voorgaat, waardoor de bepalingen uit de Cyberbeveiligingswet over onder meer de zorgplicht, meldplicht en het toezicht daarop buiten toepassing blijven voor deze entiteiten.

Dit betekent echter niet dat deze organisaties “voldoen aan NIS2”. Juridisch gezien is sprake van een afbakening van toepasselijkheid: de relevante NIS2-verplichtingen gelden niet, omdat DORA daarvoor in de plaats treedt. NIS2 blijft wel een rol spelen op systeemniveau, bijvoorbeeld bij samenwerking en informatie-uitwisseling tussen bevoegde autoriteiten.”