Onderzoek: waarom het Inkoop Dossier onder NIS2 zo ingewikkeld is

Cybersecurity staat inmiddels bij veel organisaties op de agenda. Maar steeds duidelijker wordt dat het grootste risico niet altijd binnen de eigen organisatie zit.

Het zit in de leveranciersketen.

Een incident bij een softwareleverancier, IT-dienstverlener of productiepartner kan direct leiden tot stilstand van systemen, dataverlies of verstoring van bedrijfsprocessen.

Daarom legt de Europese NIS2-richtlijn een nieuwe verantwoordelijkheid bij organisaties: niet alleen de eigen cybersecurity moet op orde zijn, ook de risico’s in de supply chain moeten aantoonbaar worden beheerd.

En precies daar begint voor veel bedrijven het ingewikkeldste deel van NIS2.

Er zijn veel onderzoeken naar de impact van NIS2 op de Supply Chain

Enisa en Ecso onderzoeken dit regelmatig over we deden een deepdive. We leggen uit waarom het zo ingewikkeld is:

Supply chain-eisen zijn één van de lastigste NIS2-onderdelen en veel organisaties voelen zich er nog niet klaar voor.
Er is brede frictie rond supplier assurance: bewijs, templates, vragenlijsten, contractclausules, en leveranciersweerstand.
Mkb-leveranciers ervaren vaak nog geen heldere, uniforme uitvraag vanuit klanten.

Het raakt de hele organisatie

Supply chain cybersecurity onder NIS2 is lastig omdat het tegelijk een governance-, inkoop-, IT- en juridisch dossier is. Het is geen “extra maatregel”, maar een structurele verandering in hoe organisaties met leveranciers werken. Europese onderzoeken en praktijkpublicaties laten een consistent beeld zien: ketenbeveiliging wordt breed gezien als één van de meest uitdagende onderdelen van NIS2.

De complexiteit is inherent aan het onderwerp

ENISA rapporteert dat organisaties supply-chain risk management aanwijst als de moeilijkste NIS2-eis om te implementeren.

De verantwoordelijkheid ligt bij de CEO, maar het dossier start meestal bij IT

Veel organisaties starten NIS2 als een IT of security-project. Maar ketenverantwoordelijkheid vraagt keuzes over risicoacceptatie, leveranciersstrategie, contracten, budget en escalatie. In de praktijk betekent dit dat de implementatie vaak stokt zodra het onderwerp uit de IT-omgeving naar directie en inkoop moet worden vertaald. ECSO’s survey wijst op structurele readiness-gaten, zoals het ontbreken van dedicated budgetten en beperkte managementbetrokkenheid, terwijl juist dat wettelijk nodig is.

Inkoop wil leveranciers niet onnodig onder druk zetten en wil de relatie niet beschadigen

Organisaties zijn afhankelijk van hun leveranciers. Zodra security-eisen contractueel worden vastgelegd (certificering, meldtermijnen, aansprakelijkheid, subcontracting), ontstaat commerciële frictie. Organisaties hebben “major challenges” op scope, governance en supply chain, inclusief de contractkant.

De markt heeft last van bewijs- en standaardisatieproblemen

Leveranciers krijgen verschillende vragenlijsten, verschillende formats, verschillende interpretaties. Dit veroorzaakt “questionnaire fatigue” en vertraging. Vanuit het leveranciersperspectief is dat zichtbaar: DIGITAL SME rapporteert dat meer dan 50% van de mkb’ers onduidelijkheid ervaart over NIS2-eisen, vooral over hoe zij hun betrouwbaarheid in de keten moeten aantonen, en dat dit wordt versterkt door gebrekkige communicatie en contractverwachtingen vanuit grotere entiteiten.

Er is bovendien te weinig guidance en te veel ambiguïteit

Een Europese Commissie staff working document signaleert dat respondenten vaak “ambiguity in regulatory requirements and lack of guidance” noemen (75%) en vertraging in standaardisatieprocessen (52,5%). Dit verklaart waarom bedrijven blijven zoeken naar werkbare, proportionele aanpakken.

KPMG schrijft “Supply chain security is a tough nut to crack”

Veel organisaties zijn bezig hun contracten te herzien en aan te passen om aan deze nieuwe eisen te voldoen. De volgende onderdelen toegevoegd:

clausules voor cybersecurity-risicobeoordeling en aantoonbaarheid;
verplichtingen voor incidentmelding;
audit- en due diligence-rechten;
afspraken over onderaanneming;
en verzekerings- of aansprakelijkheidsbepalingen die gekoppeld zijn aan cyberincidenten.

De praktische uitvoering verloopt echter nog ongelijk. Leveranciers verzetten zich vaak tegen vergaande rechten en verplichtingen”.

Conclusie:

Het NIS2 Supply Chain dossier is moeilijk omdat het tegelijk gaat over governance, relatiebeheer, contracten, bewijsvoering en standaardisatie. Precies die combinatie maakt dat organisaties het onderwerp herkennen als belangrijk, maar het toch uitstellen of fragmentarisch aanpakken. Bedrijven en consultants moeten aan de slag om de ze noot te kraken.

Advies:

Zet hij op de directie agenda. Wijs verantwoordelijken aan. Gebruik kennis van NEVI en SDV. Gebruik een consultant erbij die dit onderwerp beheerst. Gebruik tooling zoals SDV. Kies bewust voor NIS2 SC certificering als meest gebruikte en makkelijkste leidraad.

https://nevi.nl/landingspaginas/nis2

/inkoop

https://nis2supplychain.eu/

** **

Webinar 31 maart

Om bedrijven hierbij te helpen organiseren NEVI en Samen Digitaal Veilig op 31 maart een webinar over het Inkoop Dossier onder NIS2.

Tijdens dit webinar bespreken we:

waarom supply chain cybersecurity één van de moeilijkste onderdelen van NIS2 is
hoe organisaties leveranciersrisico’s kunnen identificeren en prioriteren
hoe cybersecurity juridisch kan worden vastgelegd in inkoopvoorwaarden
en hoe tooling zoals het SDV-platform dit proces praktisch ondersteunt

Daarnaast laten we zien hoe bedrijven kunnen werken met standaardisatie, certificering en leveranciersmanagement, zodat het dossier beheersbaar wordt zonder leveranciersrelaties onnodig onder druk te zetten.

Aanmelden via: /webinars/webinar-nis2-en-je-leveranciers-voorkom-overvraging/

Bronnen: