NIS2 raakt vooral inkoop, niet alleen IT
Veel organisaties starten de voorbereiding op NIS2 als een IT- of securityproject. Maar in de praktijk verschuift de focus al snel naar inkoop en leveranciersmanagement. De richtlijn verplicht organisaties om risico’s in de keten te identificeren. Daarna moeten ze beoordeeld en contractueel beheerst worden. Dat vraagt om keuzes over leveranciers, contractvoorwaarden, acceptabele risico’s en toezicht.
NIS2 wordt een onderwerp voor directie, risk en inkoop
Inkoopafdelingen moeten aantonen dat leveranciers passend beveiligd zijn. De continuïteit van samenwerking mag niet in gevaar komen. Tegelijk ervaren leveranciers dat zij vanuit verschillende klanten uiteenlopende vragenlijsten, audits en contracteisen ontvangen. Het ontbreken van standaardisatie leidt tot vertraging, hogere kosten en weerstand in de keten. Europese onderzoeken bevestigen dit beeld. Supply-chain-security wordt gezien als één van de moeilijkste onderdelen van NIS2. Vooral door onduidelijkheid over interpretatie, gebrek aan uniforme werkwijzen en beperkte praktische begeleiding.
Passende eisen vormen de sleutel tot uitvoerbaarheid
De NIS2-richtlijn schrijft geen uniforme norm voor alle leveranciers voor. Organisaties moeten risico’s beoordelen en passende maatregelen toepassen. De eisen moeten passen bij de impact van de leverancier op de organisatie. Leveranciers betrokken bij kritische processen vragen strengere maatregelen dan leveranciers met lage impact. Een risicogebaseerde aanpak voorkomt kosten, vermindert frictie en houdt leveranciersbeheer schaalbaar. Uniforme zware eisen voor alle leveranciers leiden vaak tot problemen. Leveranciers haken af en kosten lopen op. Een risicogebaseerde aanpak sluit beter aan bij de bedoeling van de richtlijn. Ook past deze beter bij professioneel inkoopbeleid.
Oplossing ligt in standaarden
Splits leveranciers in drie risicocategorieën (hoog, middel, laag). Werk daarnaast met standaardcontracten. Zo wordt het proces eenvoudiger en aantoonbaar. Dit is vereiste onder NIS2. Een norm zoals NIS2 Supply Chain (NIS2 SC) wordt hierbij vaak gebruikt. Het geeft je een snelle risicoanalyse en een passend zekerheidsniveau per leverancier. Dit maakt een vaste werkwijze mogelijk zonder elke leverancier opnieuw te beoordelen.
Webinar: NIS2 en het inkoopdossier
NEVI (Nederlandse Vereniging voor Inkoopmanagement) en Samen Digitaal Veilig organiseren een webinar. Onderwerp is de inrichting van het inkoopdossier onder NIS2.
Tijdens dit webinar wordt ingegaan op:
- waarom supply-chain-security één van de meest complexe onderdelen van NIS2 is
- hoe leveranciersrisico’s gestructureerd kunnen worden beoordeeld
- hoe cybersecurity-eisen juridisch worden vastgelegd in inkoopvoorwaarden
- hoe standaardisatie en NIS2 Supply Chain (NIS2 SC) helpen om het proces beheersbaar te maken
Meld je gratis aan voor het webinar: NIS2 en je leveranciers: voorkom overvraging
Dit artikel is tot stand gekomen in samenwerking met Samen Digitaal Veilig.
Zelf cybermaatregelen treffen of fraude melden?
Ongeveer 1 op de 5 ondernemers krijgt te maken met cybercriminaliteit. Zo’n cyberincident kan grote gevolgen hebben voor de bedrijfsvoering, klanten, leveranciers of reputatie. Het treffen van passende maatregelen is daarom van belang voor elke onderneming.
- Heb jij een MKB-bedrijf en wil je je cyberrisico's verlagen? Bekijk dan Cyber Fundament, speciaal voor MKB-ondernemers.
- Leer meer over de 4-in-1-cyberoplossing Cyber Veilig & Zeker speciaal voor grootzakelijk en verlaag jouw cyberrisico's.
- Wil je ook veilig ondernemen? Bekijk slimme tools, handige artikelen en cyberwebinars.
- Meld fraude bij ons, ook bij twijfel, waarna onze helpdesk je direct verder helpt.
