Wat betekent NIS2 voor jou als toeleverancier?

De status van jouw cyberveiligheid wordt vanaf nu nog belangrijker wanneer een bedrijf jou als potentiële toeleverancier beoordeelt. Waarom? Met de nieuwe wetgeving wordt een NIS2-bedrijf niet alleen verantwoordelijk gehouden voor zijn eigen cyberveiligheid, maar voor de cyberveiligheid binnen zijn hele leveranciersketen. En dat ben jij.

Waar is jouw klant bang voor?

NIS2-bedrijven zijn alert in hun risicoanalyse op de volgende gevaren:

• Dat een toeleverancier niet meer zou kunnen leveren als gevolg van een cyberaanval.
• Dat een cybercrimineel via een toeleverancier of (IT-) dienstverlener toegang zou kunnen krijgen tot het netwerk.
• Dat producten en/of diensten van een toeleverancier kwetsbaarheden zou kunnen bevatten.

Wat verwacht een klant, het NIS2-bedrijf, van jou?

Jouw klant moet weten of jij jouw digitale veiligheid op orde hebt. Hij zal daarom vragen hoe je het geregeld hebt en of je dat aan kunt tonen. Ben je in controle en kun je de gewenste informatie aanleveren dan ben jij een betrouwbare en veilige partner en is er vanuit de cyberbeveiligingswet geen reden om geen gebruik te maken van jouw producten en diensten. Maar ben je dit niet, dan is de kans groot dat jouw klant kiest voor de concurrent!

Wat gaat een NIS2-bedrijf aan jou vragen? 

Een NIS2-bedrijf heeft een aantal eisen en verwachtingen waaraan je moet voldoen. Vragen die je van potentiële klanten kunt verwachten zijn:

• Heb je een door de directie goedgekeurd informatiebeveiligingsbeleid en is het gepubliceerd? Kun je dit toesturen?
• Is er een bedrijfscontinuïteitsplan waarin de continuïteit gewaarborgd wordt en beschreven is hoe er gecommuniceerd wordt tijdens een kritisch incident?
• Worden de risico's regelmatig op een eenduidige manier in kaart gebracht en beheerd?
• Is er een opleidingsprogramma over cyberveiligheid en bewustzijn voor medewerkers en management?
• Is het toegangsbeheer tot zowel fysieke als digitale informatie en bedrijfsmiddelen eenduidige vastgelegd, beperkt tot geautoriseerde medewerkers en wordt dit gemonitord?
• Zijn er maatregelen getroffen om ongeoorloofde toegang tot data te beschermen, zoals multi-factor authenticatie en encryptie?
• Zijn er voldoende maatregelen getroffen om computersystemen te beschermen tegen malware zoals antivirus- en antimalwaresoftware, e-mailfilters, firewalls en netwerksegmentatie?
• Zijn er procedures voor het ontdekken en beheren van kwetsbaarheden en incidenten en het doorvoeren van wijzigingen?
• Is er een uitgewerkt back-upbeleid inclusief monitoring en restore-testen?
• Zijn er procedures om software up-to-date te houden en wordt dit gecontroleerd?
• Zijn er duidelijke afspraken, zoals SLA's, met IT-dienstverleners gemaakt?

Laat zien dat je in controle bent. Zorg dat je antwoord hebt op bovenstaande vragen.

Wil je een onafhankelijk assessment met een compleet rapport zodat je de vragen van potentiële klanten direct en duidelijk kan beantwoorden? Vraag dan naar ons IT Security Assessment.