NIS2 Quality Mark

Volgens de NIS2-richtlijn dienen essentiële en belangrijke entiteiten hun risico’s in de toeleveringsketen te beveiligen van hun rechtstreekse leveranciers of dienstverleners. Die directe leveranciers, vaak mkb-bedrijven, moeten dan kunnen bewijzen digitaal veilig te werken.

Het NIS2 Quality Mark is daarvoor ontwikkeld. Bedrijven krijgen deze certificering nadat ze een audit hebben gehad.

Met een modulair normensysteem dat drie niveaus kent (QM10, QM20 en QM30), kunnen bedrijven het juiste niveau van beveiligingsmaatregelen implementeren, afgestemd op het risico.

NIS2-QM10

Basic

Download van de NIS2-QM10 (Korte versie)

Gratis

Download van de NIS2-QM10 (Volledige versie)

Gratis

NIS2-QM20

Substantial

Download van de NIS2-QM20 (Korte versie)

Gratis

Download van de NIS2-QM20 (Volledige versie)

Gratis

NIS2-QM30

High

Download van de NIS2-QM30 (Korte versie)

Gratis

Download van de NIS2-QM30 (Volledige versie)

Gratis

Prijs voor gebruik van de norm door NIS2 bedrijven en mkb-bedrijven: € 0,-. Lever je GRC software of ben je een auditorganisatie en wil je commerciële activiteiten ontplooien met gebruik van het NIS2 Quality Mark neem dan contact op.

Welke bedrijven zijn leveranciers onder NIS2?

Het zijn de essentiële en belangrijke NIS2-entiteiten zelf die bepalen welke directe leveranciers een risico zijn.

Hieronder een overzicht van voorbeelden van leveranciers die mogelijk onder NIS2 kunnen vallen:

Bedrijven in ICT en netwerken: IT-dienstverleners, managed service providers (MSP’s), cloudproviders, datacenters, netwerkbedrijven, cybersecuritybedrijven, softwareontwikkelaars, SaaS-leveranciers, hostingproviders, telecombedrijven en IT-auditbedrijven.
Bedrijven die producten maken waar operationele techniek (OT) in zit: Industrie, productie & infrastructuur – Machinebouwers, industriële automatiseringsbedrijven (OT/ICS), toeleveranciers van productielijnen, leveranciers van industriële componenten, onderdelenleveranciers, 3D-printingbedrijven, energie- en waterbeheerders, slimme technologieën (IoT), fabrieksautomatisering specialisten en technische onderhoudsbedrijven.
Bedrijven die fysiek op locatie komen bij grote bedrijven: Leveranciers van voedselverwerkende machines, verpakkingsindustrie, koeltransportbedrijven en magazijnbeheerbedrijven die een risico zijn in de keten. Ook spoorweglogistiek, containerterminals en supply chain management bedrijven kunnen een risico zijn.
Bedrijven die via EDI gekoppeld zijn aan NIS2 entiteiten: Grondstoffenleveranciers, halffabricaat leveranciers, chemische stoffen, transportbedrijven, logistieke dienstverleners, scheepvaartbedrijven en luchtvaartleveranciers.
Alle bedrijven die digitale, fysieke of operationele afhankelijkheden creëren binnen de supply chain van een NIS2-plichtige essentiële of belangrijke entiteit moeten aantoonbaar veilig werken in geval van een risico.

Met het NIS2 Quality Mark voldoen zij eenvoudig aan deze verplichting.
Wil je weten meer weten over de NIS2 of wil je weten of je wel of niet te maken zult krijgen met de NIS2 volg dan een webinar op Samen Digitaal Veilig.

Hoe zit het met risico’s en welk NIS2 QM certificaat moet ik halen?

Als jouw bedrijf levert aan grote organisaties die op hun beurt weer aan NIS2 bedrijven leveren, of als je direct aan NIS2 bedrijven levert, dan is NIS2-QM10 de certificeringsnorm die je nodig hebt om aan te tonen dat je aan de vereiste veiligheidsstandaarden voldoet. Dit is de standaardnorm voor de meeste bedrijven die in de toeleveringsketen actief zijn.

NIS2 draait om het beheersen van risico’s. Wanneer een leverancier onvoldoende beveiligd is, kan dit een risico vormen voor de NIS2 bedrijven die zij direct of indirect bedienen. Dit kan leiden tot kwetsbaarheden in de IT, digitale communicatie, fysieke infrastructuur, elektronische data-uitwisseling (EDI), leverings- en bestelsystemen, en zelfs in producten waarin operationele technologie (OT) software aanwezig is. OT-software bestuurt machines, ongeacht of ze wel of niet met het internet zijn verbonden. Omdat NIS2 een “all hazards”-benadering hanteert, worden verschillende soorten risico’s meegenomen, niet alleen die op IT-gebied.

De belangrijkste vuistregel is: hoe groter de impact van jouw producten of diensten op je klant, hoe groter het risico dat je vormt, en hoe hoger de norm die je moet behalen.

Voor de meeste mkb bedrijven in de toeleveringsketen volstaat het NIS2-QM10 certificaat. Dus lever je aan bedrijven die zelf aan NIS2 bedrijven leveren, of rechtstreeks aan een NIS2 organisatie? En ben je geen IT- of OT bedrijf? Dan is NIS2-QM10 de minimale certificeringsnorm om aan te tonen dat jouw bedrijf voldoende beveiligingsmaatregelen heeft getroffen.

Als je denkt dat jouw bedrijf een groter risico kan vormen, bijvoorbeeld omdat je toegang hebt tot zeer gevoelige gegevens, je product een essentieel onderdeel is voor je klant, of omdat jouw product moeilijk vervangbaar is, overleg dan met je klant over een mogelijk hogere certificeringsnorm. Twijfel je of je een hoger certificaat nodig hebt? Neem dan contact op met de supportdesk voor advies.