De Cyberbeveiligingswet en toeleveranciers
Lever je producten of diensten aan een organisatie die onder de Cyberbeveiligingswet (NIS2) valt? Check of de wet indirecte impact op jou als toeleverancier heeft.
Voor bedrijven en organisaties die in zogenoemde kritieke sectoren (zoals luchtvaart, drinkwatervoorziening en internetdiensten) opereren, geldt een zwaardere zorgplicht als het gaat om de cyberveiligheid. Dit komt omdat zij onder de Cyberbeveiligingswet (Cbw) vallen die voortkomt uit de Europese NIS2-richtlijn. Deze wet verlangt van de organisaties die onder deze wet vallen, dat zij er op toezien dat hun toeleveringsketen veilig is. Dit betekent dat deze zogenoemde Cbw-organisaties eisen kunnen stellen aan de digitale veiligheid van hun toeleveranciers.
Heeft deze wet impact op jou als toeleverancier? Wat kan er van jou gevraagd worden qua cybersecurity? Lees meer over de strekking en reikwijdte van dit onderdeel van de Cbw om te zien wat de zorgplicht van Cbw-organisaties voor impact op jouw cyberbeveiliging kan hebben.
Indirecte impact op toeleveranciers
De zorgplichtbepalingen van de Cyberbeveiligingswet (Cbw) hebben indirecte impact op rechtstreekse toeleveranciers en dienstverleners van organisaties die rechtstreeks onder de Cbw-wet vallen. Als toeleverancier van een Cbw-organisatie val je niet onder het Cbw-toezicht. De indirecte impact zit in het feit dat je als rechtstreekse toeleverancier door een Cbw-organisatie benaderd kan worden met het verzoek om je beveiliging te verhogen om zo de keten veiliger te maken.
Welke maatregelen verlangd mogen worden, hangt af van de risico’s die de Cbw-organisatie inventariseert. Het is daarom belangrijk om in gesprek te gaan hierover.
Wat staat er in de wet?
Beveiliging van de toeleveringsketen
Art. 21 lid 1 van het wetsvoorstel van de Cbw stelt dat iedere Cbw-organisatie 'passende en evenredige technische, operationele en organisatorische maatregelen (neemt) om de risico's voor de beveiliging van de netwerk en informatiesystemen te beheersen'.
Art. 21 lid 3 stelt dat de maatregelen uit lid 1 'zijn gebaseerd op een benadering die alle gevaren omvat en tot doel heeft netwerk- en informatiesystemen en de fysieke omgeving van die systemen tegen incidenten te beschermen.'
Art. 21 lid 3 sub d bepaalt dat er voor Cbw-organisaties ook die maatregelen onder vallen die 'ter beveiliging van de toeleveringsketen, met inbegrip van beveiliging gerelateerde aspecten met betrekken tot de relaties tussen de organisatie en haar rechtstreekse toeleveranciers of dienstverleners' zijn.
Kortom, organisaties die onder de Cbw vallen moeten dus via een 'all hazards approach' hun netwerk en informatiesystemen beschermen en dat kan zich ook uitstrekken naar de keten van rechtstreekse toeleveranciers of dienstverleners. Als er via een rechtstreekse toeleverancier een risico is voor de netwerk- en informatiesystemen van de Cbw-organisatie, dan moet de Cbw-organisatie hier maatregelen op (laten) nemen.
'Ter bescherming van netwerk en informatiesystemen en de fysieke omgeving ervan'
Cbw-organisaties dienen de risico's in de toeleveranciersketen in kaart te brengen met als doel om het netwerk- en informatiesystemen en de fysieke omgeving van die systemen tegen incidenten te beschermen. Wanneer een Cbw-organisatie een risicoanalyse uitvoert, zullen verschillende soorten risico’s naar voren komen.
Het gaat dus niet alleen om de digitale beveiliging, maar ook de fysieke beveiliging van de locatie waar de te beschermen systemen staan. Want als kwaadwillenden zich fysiek toegang kunnen verschaffen tot de te beschermen systemen, dan is er alsnog een groot beveiligingslek wat ontwrichtende gevolgen kan hebben.
Een op risico gebaseerde aanpak - all hazards approach
Via een risicoanalyse dien je dus ook te inventariseren welke rechtstreekse toeleveranciers of dienstverleners een digitaal of fysiek risico kunnen opleveren voor de te beschermen netwerk- en informatiesystemen. De wettekst bepaalt dat 'de maatregelen gebaseerd moeten zijn op een benadering die alle gevaren omvat' bij de te beschermen systemen. Dus ook een brand in een serverruimte is een risico waar passende maatregelen op nodig zijn.
'Passende en evenredige technische, operationele en organisatorische maatregelen'
Van Cbw-organisaties wordt geëist dat zij passende en evenredige technische, operationele en organisatorische maatregelen nemen voor de beveiliging van de netwerk- en informatiesystemen. Ook als het gaat om ketenrisico's. Bij het bepalen van 'passendheid' moet een Cbw-organisatie rekening houden met:
- de specifieke kwetsbaarheden van elke rechtstreekse toeleverancier en dienstverlener en
- met de algemene kwaliteit van de producten en de cyberbeveiligingspraktijken van hun toeleverancier en dienstverleners, met inbegrip van hun veilige ontwikkelingsprocedures.
Ook hier is van belang dat de maatregelen voort moeten komen uit een op risico gebaseerde aanpak.
De effectiviteit van de maatregel is dus van belang. Het gaat erom dat de juiste maatregel op de juiste plek wordt ingezet. Zo kan bijvoorbeeld een verzoek om een serverruimte waar kritieke systemen staan te beveiligen met een toegangspas, passend zijn. Je moet immers de fysieke toegang beperken tot bevoegden. Eenzelfde of een soortgelijke fysieke beveiligingsmaatregel opleggen aan een dienstverlener die prijsinformatie via een digitale verbinding levert, zal niet passend zijn. Daar zal het beveiligen van de digitale toegang wenselijk zijn. De door de Cbw-organisatie verlangde maatregelen moeten met de rechtstreekse leverancier of dienstverlener duidelijk gemaakt worden.
Welke toeleveranciers raakt dit?
Niet elke toeleverancier levert producten of diensten die een risico vormen voor de keten van een Cbw-organisatie. Zo zal een leverancier van koffiebonen waarschijnlijk geen risico voor de netwerk en informatiesystemen van een Cbw-organisatie vormen. Maar de leverancier of de beheerder van het netwerk of kantoorautomatisering wel. De criteria zijn niet expliciet in de wet opgenomen, maar als jouw leveringsrelatie met een Cbw-organisatie één van de volgende onderdelen bevat, dan is de kans aanwezig dat je in een risico-inventarisatie van de keten voorkomt.
- Je levert diensten of producten die gerelateerd zijn aan netwerk- en informatiesystemen van een Cbw-organisatie
- Je levert een ICT-component van de netwerk- of informatiesystemen van een Cbw-organisatie
- Je hebt toegang tot de netwerk- en informatiesystemen van een Cbw-organisatie
Als je één van bovenstaande ketenrelaties hebt tot een Cbw-organisatie, dan kan deze van jou als rechtstreekse toeleverancier verlangen om mitigerende maatregelen te nemen om de bestaande risico's te beheersen.
Afspraken maken
Het maken en vastleggen van afspraken is een belangrijke stap voor Cbw-organisaties en de toeleveranciers. Een gesprek is hier vaak een goede start voor. Een goede voorbereiding op dit gesprek zorgt voor een beter proces. Je kunt dit voorbereiden door inzichtelijk te maken welke maatregelen je al genomen hebt op de raakvlakken die je hebt.
Mogelijk heb je je afspraken over het onderhoud en de beveiliging gedocumenteerd in een zogenoemde Service Level Agreement (SLA) of Dossier Afspraken en Procedures (DAP). Dit is een type overeenkomst waarin afspraken staan tussen de aanbieder en afnemer van een dienst of product. Denk hierbij bijvoorbeeld aan de beschrijving van de dienst, de duur van de overeenkomst, informatie over eigendom, de risico's en beveiliging.
Graag bieden we je een checklist aan voor het opstellen van een SLA met je IT-leverancier. Zie het als handvatten voor het maken van goede afspraken over het opzetten en beveiligen van je IT-omgeving.
Tip Bij het maken van een overeenkomst is het belangrijk dat begrippen meetbaar en eenduidig zijn, zodat de overeenkomst niet gebaseerd is op interpretatie. Gebruik het Cybersecurity woordenboek van Cyberveilig Nederland voor heldere begrippen en definities van lastige (IT-)terminologie.
Certificaat kan handig zijn, maar biedt geen garanties
Voor veel toeleveranciers van netwerk- en IT-diensten zal de aanwezigheid in risico-inventarisaties van opdrachtgevers geen verrassing zijn. Hoogstwaarschijnlijk heb je al meerdere beveiligingsmaatregelen doorgevoerd vanuit een preventief motief of met het oogmerk om een concurrentievoordeel te bemachtigen.
Sommige toeleveranciers kiezen ervoor om een certificaat te verkrijgen waarmee ze aangeven specifieke beveiligingsprotocollen en -procedures te hanteren. Het inventariserende gesprek over de al genomen maatregelen wordt er gemakkelijker door omdat je snel kunt laten zien welke standaarden je hanteert in je processen. Let op: een toezichthouder zal geen toezicht houden op toeleveranciers en dus ook geen boetes opleggen voor het niet hebben van een certificaat of keurmerk.
Alhoewel het hebben van een certificaat of eigen normenkader handig kan zijn bij het gesprek tussen Cbw-organisaties en hun toeleveranciers, biedt het geen garantie dat het geïnventariseerde ketenrisico ook daadwerkelijk hiermee afgedekt is. Voor elke toeleverancier kan 'passende maatregelen' tot andere maatregelen leiden. Het beveiligen van de keten leidt daarom vaak tot een maatwerkpakket van eisen per toeleverancier. Als je levert aan meerdere Cbw-organisaties kan dit betekenen dat je verschillende lijsten met maatregelen ontvangt waar je vervolgens op moet reageren. In zo'n situatie kan het handig zijn om je aan te sluiten bij een normenkader zoals ISO27001 of CYRA. Maar de Cbw schrijft dit niet voor. Ga zo snel mogelijk het gesprek aan met de Cbw-organisatie om te vernemen waar de ketenrisico's zitten en bespreek welke maatregelen passend en effectief gaan zijn om de keten veiliger te maken.
Aan de slag
Mocht je vooruitlopend op het gesprek met de Cbw-organisatie waaraan je levert alvast voorbereidingen willen treffen, start dan alvast met een check op de cyberweerbaarheid van je organisatie. Waar sta je?
We onderscheiden hierbij 2 niveaus die afgeleid zijn van de 5 basisprincipes van digitale weerbaarheid;
Doorloop beide niveaus, ook als je al flink wat cybermaatregelen doorgevoerd hebt. Wie weet heb je toch een basismaatregel over het hoofd gezien wat een kwetsbare situatie oplevert.