Toeleveranciers van Cbw-organisaties
Levert jouw bedrijf rechtstreeks aan een organisatie die onder de Cyberbeveiligingswet (Cbw) valt? En heb je impact op diens netwerkinfrastructuur en informatiesystemen? Dan zal de Cbw-organisatie waarschijnlijk afspraken met je willen maken om de ketenveiligheid te vergroten. Want de cyberwet schrijft Cbw-organisaties voor dat zij de risico's beperken in hun keten.
Cbw-organisaties kunnen eisen stellen aan toeleveranciers en dienstverleners
Cbw-organisaties kunnen cybersecuritymaatregelen opleggen aan hun rechtstreekse leveranciers en dienstverleners. Dat kan heel specifiek zijn en gericht op het beheersen van één specifiek cyberrisico, maar het kan ook een brede scope hebben en gericht zijn op een zekere cybervolwassenheid van een toeleverancier. Het is zaak om hier duidelijke afspraken over te maken.
Indirecte impact voor toeleveranciers
De Cyberbeveiligingswet waarmee de NIS2-richtlijn verankerd wordt in wetgeving, heeft indirect ook rechtstreekse impact op toeleveranciers van Cbw-organisaties. Want hoewel de Cbw de toeleveranciers niets voorschrijft, legt het organisaties die onder de wet vallen wél een verplichting op om zorg te dragen voor een veilige keten van digitaal verbonden bedrijven. Dit leidt ertoe dat zij van rechtstreekse leveranciers securitymaatregelen kunnen eisen.
1. Check of je de basis op orde hebt
De 5 basisprincipes van digitale weerbaarheid bieden praktische handvatten voor alle organisaties om hun basisbeveiliging te versterken. Heb je de basis op orde? Check het via de Basisscan Cyberweerbaarheid (zelfscan) of bekijk waar de 5 basisprincipes uit bestaan.
Basisprincipe 1 - Breng je risico's in kaart
Door je afhankelijkheden en belangen in kaart te brengen weet je welke dreigingen relevant zijn, wat je kroonjuwelen of te beschermen belangen zijn, welke risico’s er zijn en hoe je deze kunt adresseren. Wie is verantwoordelijk, wat is de mate van risico-acceptatie en hoe worden risico’s geborgd? Gebruik de handige stappenplannen die bij dit basisprincipe horen.
Basisprincipe 2 - Bevorder veilig gedrag
Veel van de cyberincidenten beginnen en eindigen met de mens. Medewerkers kunnen onbedoeld (maar soms ook bedoeld) grote schade toebrengen aan een organisatie. Veilig gedrag kan worden bevorderd door in te zetten op een veilige cultuur, leren van fouten, degelijke processen en bewustwording rondom veiligheidsrisico’s. Bekijk hoe je veilig gedrag stimuleert.
Basisprincipe 3 - Bescherm je systemen, applicaties en apparaten
Je kunt via systemen, applicaties en apparaten digitaal verbonden zijn met een Cbw-entiteit. Kwetsbaarheden in deze soft- en hardware kunnen een ernstige verstoring veroorzaken in de keten. Check daarom of je beveiligingsupdates installeert, veilige instellingen hebt en dreigingen tijdig kunt detecteren. Bekijk deze handige tips.
Basisprincipe 4 - Beheer toegang tot data en diensten
Geef je mensen alleen toegang tot informatie, systemen en locaties die nodig zijn voor de uitvoering van hun taken. Dwing daarbij af dat men veilig inlogt, met sterke unieke wachtwoorden, tweefactorauthenticatie, een wachtwoordmanager of passkeys. Gebruik een rechtenmatrix en andere hulpmiddelen voor toegangsbeheer.
Basisprincipe 5 - Bereid je voor op incidenten
Elke seconde telt op het moment dat je getroffen bent door een cyberincident. Naast een goede back-up strategie en het oefenen van cyberincidenten, is het ook zaak om een bellijst en een incident responseplan te hebben. Bekijk de templates die je hiervoor kunt gebruiken.
Verdiepende maatregelen bij de 5 basisprincipes? Volg deze link:
2. Stem af met de Cbw-organisatie
Als rechtstreekse toeleverancier van een Cbw-organisatie ben je een belangrijke schakel in de keten. Naast het op orde brengen van je basisbeveiliging, kan de Cbw-organisatie van jouw bedrijf verlangen om specifieke maatregelen te treffen om de veiligheid te vergroten. Mogelijk zal dit in meerdere gesprekken aan de orde komen. Je kunt je op deze gesprekken voorbereiden. Gebruik de volgende inzichten hierbij als inspiratie.
- Zoek de dialoog op
Als cybersecurity nog geen onderwerp van gesprek is geweest, zoek dan actief de dialoog hierover op. Werk samen aan vertrouwen. Wees open over jullie aanpak om systemen en gegevens te beschermen en vraag ook naar de aanpak van de ander. Agendeer dat je duidelijke afspraken wilt maken en jouw aandeel wilt hebben in de veilige keten. - Begrijp de verwachtingen van de Cbw-organisatie
Bedenk vooraf welke zorgen en risico's onderwerp zullen zijn van het gesprek. Welke plek neemt jouw bedrijf in in de keten? Welke verwachtingen mag de Cbw-organisatie hebben als het gaat om de beveiliging van jullie leveringsrelatie? - Focus op essentiële cyberrisico's
Breng de risico’s in kaart die van invloed zijn op de digitale systemen van de Cbw-organisatie. Welke systemen en data zijn het belangrijkst voor hen? Welke invloed kun jij als toeleverancier hierop hebben? Wat kun je doen om de risico's te verkleinen? - Leg afspraken vast
Uit de gesprekken met de Cbw-organisatie kunnen additionele afspraken komen. Bijvoorbeeld over beveiligingsmaatregelen, audits, incidentmeldingen, of security-updates. Leg deze (extra) afspraken vast in een document of voeg het toe aan een bestaand contract of Service Level Agreement (SLA). - Bereid je samen voor op (cyber)incidenten
Bespreek samen hoe je omgaat met beveiligingsincidenten. Maak duidelijke afspraken over wie wanneer op de hoogte wordt gesteld en welke stappen jullie zetten om de schade te beperken. Oefen dit een keer om zeker te weten dat je adequaat reageert bij een incident.
Hulpmiddelen voor ketenbeveiliging
Hoe pak je ketenbeveiliging in de praktijk aan?
Hoe pak je ketenbeveiliging in de praktijk aan? Dit vroegen we een 6-tal CISO's en ISO's van organisaties uit aan het DTC verbonden ISAC's. Met hun ervaringen en tips stelden we 'Good Practices' voor Ketenbeveiliging' samen. Te gebruiken als inspiratiebron voor organisaties die onder het NIS2- of DORA-regime vallen én daarbuiten.
Heldere afspraken maken tussen bedrijven en hun IT-dienstverleners? Als hulpmiddel ontwikkelden we met IT-brancheorganisaties een interactieve 'praatplaat IT-dienstverlener'. Dit document helpt je om scherpte aan te brengen in de verantwoordelijkheden en wederzijdse verwachtingen.
Voor bedrijven met een overzichtelijke keten van toeleveranciers is er een 'Handvat voor keteninventarisatie'. Met deze interactieve PDF breng je je belangrijkste leveranciers in kaart en bepaal je de gevolgen van een leveringsstop.
Raadpleeg ervaringsdeskundigen in de online DTC Community
Heb je vragen over de Cyberbeveiligingswet en de impact daarvan op jouw bedrijf? Wend je tot andere ondernemers en securityprofessionals in de speciale NIS2-overlegruimte binnen de DTC Community. In dit online platform wisselt ondernemend Nederland kennis en informatie uit over alles wat met cybersecurity te maken heeft. Interesse? Vraag een account aan.