Waarom deze wet?

De reden waarom Europa met deze NIS2 wet komt is om te voorkomen dat cybersecurityincidenten mogelijk leiden tot situaties waarin grote aantallen Europese burgers eerste hinder zouden ondervinden zoals:

  • Een ziekenhuis wordt slachtoffer van een cyberincident en kan daardoor geen levensreddende operaties meer uitvoeren.
  • Een hack bij een waterleidingbedrijf zorgt ervoor dat er geen drinkbaar water meer uit de kraan komt.
  • Er wordt geen elektriciteit meer geleverd.
  • Er is geen voeding meer te verkrijgen in de supermarkt.
  • De lijst van voorbeelden kun je eigenlijk in heel veel sectoren vinden. Denk aan transport; geen vrachtwagens die nog rijden. Postbezorging; geen post die nog wordt geleverd. Gemeentes die geen paspoorten meer kunnen uitgeven. Banken die geen financiële diensten meer kunnen leveren. De voorbeelden zijn legio.
Wat staat er in de wet?

Artikel 21.2D van de NIS2:

De beveiliging van de toeleveringsketen, met inbegrip van beveiligingsgerelateerde aspecten met betrekking tot de relaties tussen elke entiteit en haar rechtstreekse leveranciers of dienstverleners;

Dat wil zeggen dat ongeveer 10.000 essentiële en belangrijke (vaak grote) organisaties en bedrijven in Nederland cybersecuritymaatregelen moeten gaan opleggen aan al hun directe leveranciers.

Het aantal maatregelen dat opgelegd moet worden is afhankelijk van de risico-inventarisatie die elk bedrijf moet gaan maken voor elk van zijn toeleveranciers. Stel je hebt 300 leveranciers. Dan moet je 300 risico-inventarisaties maken.

Risico-inventarisaties brengen in kaart welk risico samenwerken met een leverancier met zich mee kan brengen. Met name gaat het hier over de impact die een  leverancier heeft op jouw bedrijf of organisatie als de leverancier wordt getroffen door de cybersecurityincident. Als die impact ervoor zorgt dat het jouw bedrijf zelf hinder geeft of dat het zelfs daardoor stil komt te liggen, dan spreken we van verhoogd risico en zullen er navenant maatregelen moeten worden opgelegd. Met andere woorden: de leverancier moet dan verplicht cybersecuritymaatregelen nemen om te voorkomen dat ze worden geraakt door cybersecurityincidenten.

Alles moet in verhouding zijn. Dus als de risico-inventarisatie uitkomt op een zeer beperkt risico of gemiddeld risico, dan moeten er navenant minder cybersecuritymaatregelen worden genomen.

En dan de grote hamvraag: hoe ga je afspraken maken met je leveranciers over de hoeveelheid en welke cybersecuritymaatregelen ze moeten nemen? Verder moet je zeker weten dat ze het hebben gedaan. Dus hoe ga je het controleren?

Het feit dat je dit natuurlijk moet vastleggen in je inkoopvoorwaarden zorgt ervoor dat de betrokken juristen niet anders kunnen dan gebruik te maken van bestaande normering op het vlak van cybersecurity. Er is geen andere manier om duidelijkheid te krijgen over de te nemen maatregelen.

Juridische naleving via normen

Het is dan ook niet mogelijk voor een groot bedrijf om voor zijn 300 leveranciers allemaal zelf verschillende lijstjes te gaan bedenken, uitwerken en afspreken. Het feit dat er gewerkt moet gaan worden met een normering zorgt ervoor dat cybersecuritynormen moeten passen bij de risico’s die voortkomen uit risico-inventarisatie. En daar wringt de schoen. De bestaande normen, vaak ontwikkeld voor grote bedrijven zoals ISO en NEN, zijn van nature gemaakt voor grotere bedrijven en grotere risico’s en dus minder geschikt voor mkb-bedrijven en toeleveranciers in de keten. Bij kleine risico’s hoort immers een beperkt lijstje van cybersecuritymaatregels. 

Het probleem is dus dat er geen passende normen zijn voor deze NIS2 wet. Dus kunnen juristen niet anders dan de bestaande zware ISO en of NEN-normen toe te passen. Het implementeren van een norm voor gewone bedrijven van 5, 10 of 40 medewerkers kost veel tijd en heel veel geld. Er ontstaat direct een economisch dilemma en de leverancier gaat rekenen: is de marge die ik heb op de producten wel voldoende? Is de omzet die ik heb wel voldoende genoeg om deze kosten, deze grote investering, te rechtvaardigen?

Zie dat er dan direct drie dingen gebeuren:

  1. De leverancier gaat rekenen.
  2. De leverancier gaat beslissen of hij wel of niet wil blijven leveren.
  3. De leverancier zal gaan nadenken over zijn prijsstelling.

Er ontstaat een nieuwe dynamiek tussen inkoop van de grote bedrijven en verkoop van de toeleveranciers met alle mogelijke gevolgen van dien. Het toepassen van bestaande zware cybersecuritynormen In de toeleveringsketen gaat dus grote effecten hebben op de relatie.

Na de zomer van 2023 hebben wij al gesproken met een flink aantal grote bedrijven. En zij hebben dit probleem bevestigd. Ze willen eigenlijk helemaal niet hun bestaande leveranciers verplichten om zware cybersecuritymaatregelen te gaan nemen. Maar ze zullen wel moeten omdat er geen alternatieven zijn om te voldoen aan de NIS2 wet.

We hebben het zojuist al even gehad over de economische rekensom die leveranciers zullen maken als ze worden geconfronteerd met zware inkoopvoorwaarden. Maar er zijn natuurlijk ook situaties waarin de leverancier heel specialistische producten levert aan het grote bedrijf. Maatwerkproducten die specifiek zijn vervaardigd in afstemming en overeenstemming met elkaar. In dat geval is de leverancier helemaal niet snel of makkelijk te vervangen. De positie die je dan hebt als groot bedrijf is veel moeilijker. Wat als je zware maatregelen oplegt en die leverancier is daar niet meer akkoord? Dan ontstaat er een patstelling. Ook dit is het hoogst ongewenst en kan leiden tot onmogelijke situaties.