Als je binnen je organisatie werkt met leveranciers, bijvoorbeeld op IT- of datagebied, zul je het wel herkennen. De vraag bij wie de eindverantwoordelijkheid ligt wat betreft cybersecurity. Wie is waar verantwoordelijk voor? Een essentiële vraag in een wereld waarin cybercrime een continue dreiging vormt. De NIS2-richtlijn, waar je eerder in onze gids al over kon lezen, doet een duit in het zakje als het om de vraag gaat bij wie de verantwoordelijkheid ligt voor security. Wat betekent NIS2 voor klant-leveranciersrelaties? Jelmer Schreuder, public policy manager cybersecurity bij NLdigital, vertelde erover op ons NIS2-event.

Je bent als organisatie zelf verantwoordelijk voor de security-maatregelen die je hebt genomen, ongeacht met wie je hiervoor samenwerkt.

De kern van NIS2

Dat het belangrijk is om op securitygebied duidelijke afspraken te maken met de leverancier(s) waarmee je samenwerkt, staat buiten kijf. De NIS2-richtlijn verandert hier niets aan. Datzelfde geldt voor de plicht van leveranciers om je als afnemer te informeren over securityrisico’s. Wat de NIS2-richtlijn wél explicieter maakt, is dat je als organisatie zelf verantwoordelijk bent voor de securitymaatregelen die je hebt genomen, ongeacht met wie je hiervoor samenwerkt.

Onder NIS2 is cybersecurity niet meer alleen de verantwoordelijkheid van IT of een CISO. Cybersecurity wordt een bestuurlijke verplichting. Daarmee slaat NIS2 een brug tussen IT en de boardroom en maakt securitymaatregelen een organisatiebreed onderwerp. Hier vallen dus ook de partners onder waarmee je samenwerkt. Onder NIS2 is het niet meer voldoende om security alleen binnen je eigen organisatie goed te regelen. De richtlijn geeft zowel afnemers als leveranciers ketenverantwoordelijkheid. Dit houdt in dat je ook met de leverancier(s) waarmee je samenwerkt om tafel moet om goede afspraken te maken rondom security.

Vier keuzes voor continuïteit

Hoe kom je tot goede afspraken? Dat valt en staat met de risico’s die aan jouw organisatie gelinkt zijn. In de kern is NIS2 in het leven geroepen om te waarborgen dat als je slachtoffer wordt van een cyberaanval, jouw organisatie blijft functioneren. Of je deze continuïteit hebt, wordt beoordeeld aan de hand van een risicoanalyse. Dat is de basis voor je securitymaatregelen en afspraken met leveranciers. Wat wil je beschermen? Wat heeft waarde voor jouw organisatie? Waar ben je verantwoordelijk voor? Dat moet je in kaart brengen, want daar koppel je vervolgens risico’s aan. Zijn klantgegevens voor jouw organisatie bijvoorbeeld cruciaal? Dan is diefstal een belangrijk risico.

Voor ieder risico dat je vaststelt, moet je bepalen wat je ermee gaat doen. In theorie heb je hiervoor vier keuzes:

1.  Activiteiten staken als je met onacceptabele risico’s te maken hebt.
2. Risico’s accepteren als ze klein genoeg zijn.
3. Risico’s wegnemen door zelf maatregelen te nemen.
4. Risico’s wegnemen door maatregelen over te dragen aan leveranciers.

Alle vier de keuzes zijn valide, mits je ze weloverwogen maakt én goed documenteert. Want wat niet is vastgelegd, bestaat onder de NIS2-richtlijn eigenlijk niet.

Van risico’s naar afspraken

Een risicoanalyse geeft je handvatten om het gesprek met leveranciers aan te gaan. Vanuit de eerdergenoemde ketenverantwoordelijkheid, moet je voor NIS2 namelijk vaststellen wie je belangrijkste leveranciers zijn en wat de dienstverlening die je afneemt precies inhoudt. De risico’s die je voor jouw organisatie hebt vastgesteld, zijn hier van invloed op. Denk aan dataopslag.

Stel je voor dat je risicoanalyse aantoont dat je een fundamenteel probleem hebt als je een dag aan data kwijtraakt. Dat heeft gevolgen voor de hoeveelheid back-ups die je moet draaien, wat je misschien aan een leverancier overlaat. Wanneer en hoe vaak draaien zij back-ups? Dit moet je in kaart brengen én vastleggen, bijvoorbeeld in Service Level Agreements. Dan kun je hierover rapporteren voor NIS2, maar nog belangrijker; dit specifieke risico afdekken.

Dit geldt ook voor de andere kant van de relatie met leveranciers. De zorgplicht die zij onder NIS2 hebben om jou te informeren over securityrisico’s, dwingt je als afnemer om securityaanbevelingen op te volgen. Denk aan het gebruik van multifactorauthenticatie, het uitschakelen van oude en onveilige systemen en het geregeld updaten van systemen. Maak je hier een andere keuze in? Dan ben je zelf verantwoordelijk voor de risico’s en eventuele gevolgen.

Hulp inschakelen

Met de NIS2-richtlijn wordt jouw eigen verantwoordelijkheid rondom cyberbeveiliging nog duidelijker. Het is niet (meer) genoeg om erop te vertrouwen dat jouw dienstverlener het voor je regelt. Kennisgebrek vanwege samenwerking met partners is geen argument meer onder NIS2. Jouw eigen securitybeleid blijft essentieel.

Natuurlijk kun je wel bouwen op en samenwerken met partners als het om cybersecurity gaat. NIS2 vraagt niet van je dat je alles zelf uitvoert. Wat het wel vraagt? Dat je jouw eigen risico’s in kaart brengt, vastlegt en vanuit die risico’s met leveranciers om tafel gaat om dienstverlening hierop af te stemmen. Daar kunnen wij je bij ondersteunen. Van een NIS2-assessment of gezamenlijk uitzoeken welke maatregelen je nog moet nemen, tot een stappenplan voor of volledige begeleiding naar NIS2-compliance; we helpen je er graag bij.

Door Dominique Frison, Sales Consultant Security bij Ictivity