Gevaar voor de supply chain

De nieuwe wet NIS2* zorgt ervoor dat het landschap van inkoop en supply chain in potentie flink kan veranderen. In de nieuwe wet NIS2 staat voor essentiële en belangrijke bedrijven de verplichting om de toeleveringsketen te beveiligen. Dat wil zeggen dat bedrijven hun directe toeleveranciers moeten verplichten om cybersecuritymaatregelen te gaan nemen. Dat kan leiden tot afhaken van leveranciers als de opgelegde eisen niet in verhouding zijn tot het risico, de kosten en tijdsinvestering.

Het opleggen van verplichte NIS2 cybersecuritymaatregelen vanwege de NIS2 wetgeving kosten tijd en geld. Dit kan een enorme impact hebben op de relatie tussen klanten en leveranciers. Hier zijn een aantal specifieke aspecten van de impact op de relatie tussen inkoop en leveranciers:

1. Financiële belasting voor leveranciers

Het implementeren van cybersecuritymaatregelen vereist vaak aanzienlijke investeringen in technologie en expertise. Voor mkb-leveranciers of bedrijven met beperkte middelen kan dit een grote financiële last zijn. De rekensom die leveranciers gaan maken kan leiden tot afhaken van de leveranciers of verhogen van de prijs van producten en of diensten.

Naast de financiële kosten, vereist het opzetten en onderhouden van effectieve cybersecuritysystemen tijd en menselijke resources. Dit kan ten koste gaan van andere belangrijke bedrijfsactiviteiten. Deze factor zal opnieuw druk leggen op de relatie en worden meegenomen in de overweging wel of niet te leveren, samen te werken en prijsaanpassingen door te voeren.

Cybersecurity is een complex veld dat gespecialiseerde kennis vereist. Niet alle leveranciers beschikken over de nodige expertise. Dit dwingt hen om externe consultants of nieuwe medewerkers aan te nemen, wat ook weer extra kosten en inspanningen met zich meebrengt.

Het naleven van cybersecurityafspraken, vooral diegene die kunnen veranderen of die van klant tot klant verschillen, kan druk uitoefenen op leveranciers om voortdurend hun systemen en processen bij te werken. Hetgeen weer leidt tot continue investeringen in tijd en geld.

Het niet voldoen aan deze eisen kan leiden tot verlies van zakelijke kansen of schade aan de reputatie, wat een extra stressfactor is voor leveranciers.

Klanten kunnen eisen dat leveranciers zich houden aan specifieke, hele zware cybersecuritynormen als onderdeel van hun contract. Dit kan leiden tot juridische en financiële complicaties als er een inbreuk op de beveiliging plaatsvindt.

Terwijl klanten cybersecuritymaatregelen eisen om hun eigen netwerken en data te beschermen, kunnen leveranciers deze eisen soms zien als een teken van wantrouwen, wat de zakelijke relatie kan schaden.

Te strikte cybersecurity eisen kunnen sommige leveranciers van de markt uitsluiten, wat leidt tot minder concurrentie en mogelijk hogere prijzen.

Hoewel op korte termijn belastend, kunnen – als leveranciers, vaak mkb-bedrijven – erin slagen aan deze eisen voldoen. Normale, logische en haalbare cybersecuritynormen en afspraken leiden tot sterkere en veiligere zakelijke relaties, als leveranciers, vaak mkb-bedrijven, erin slagen aan deze eisen te voldoen.

Positief is dan weer wel dat mkb-bedrijven die deze eisen voor het nemen van cybersecuritymaatregelen doorvoeren niet alleen hun relatie met huidige klanten verstevigen maar hen ook competitiever maken.

Operationele efficiëntie door het werken met een norm

De juiste afspraken maken met de juiste normering

Het is belangrijk voor essentiële en belangrijke bedrijven (lees; grote NIS2 bedrijven) en hun leveranciers om rekening te houden met de mogelijke impact van deze NIS2 eisen en daarom passende, niet te zware en hoge normen op te leggen. Het is juist beter om, waar mogelijk, juist ondersteuning of flexibiliteit te bieden om leveranciers te helpen bij het navigeren door deze uitdagingen. Een samenwerkingsbenadering kan zowel de veiligheid verhogen als een gezonde, langdurige zakelijke relatie ondersteunen.

Om een oplossing te bieden op meerdere veiligheidsniveaus is het essentieel om gebruik te gaan maken van normale breed gedragen normen. In geval van hoge risico’s kan dat een ISO-cybersecuritynorm zijn. Maar veel vaker zal men gebruik moeten maken van een norm die beter past bij mkb-bedrijven en dat is de NIS2 Quality Mark norm.

De NIS2 Quality Mark norm is gemaakt om op elk risiconiveau met elk type leveranciers de juiste norm af te spreken. Door het NIS2 Quality Mark op te nemen in de inkoopvoorwaarden wordt het risico op afbreuk van de supply chain in ieder geval geminimaliseerd. Terwijl jouw bedrijf dan wel aan de wet voldoet. Dus het NIS2 Quality Mark is een prima oplossing voor de toeleveringsketen beveiliging van de NIS2.

* De NIS2 wet bestaat niet want dit heet officieel de Europese NIS2 Richtlijn. En in de loop van 2024 wordt de NIS2 ingebouwd in de Nederlandse Wbni Wet beveiliging netwerk- en Informatiesystemen (Wbni). Dat is dus de Nederlandse wet. Omdat iedereen het heeft over de NIS2, gebruiken we die terminologie om spraakverwarring te vermijden. De Wbni is nog niet erg bekend in Nederland.

Verkort:
Een mkb-bedrijf dat levert aan 4 grotere (NIS2) bedrijven:
Gevolgen voor de leveranciers
  1. Beslissen of ik nog wel wil leveren
  2. Nieuwe klanten zoeken
  3. Veel investeringen vernietigen
  4. Prijsverhoging moeten doorvoeren
  5. Een gevoel van “Waarom moet dit allemaal?”
  1. Afhaken van leveranciers
  2. Nieuwe leveranciers zoeken
  3. Belangrijke maatwerk leveranciers kwijtraken is gevaarlijk
  4. Prijsverhogingen
  5. Verslechterde relatie