De impact van de NIS 2-richtlijn op de toeleveringsketens van de productie

De NIS 2-richtlijn  (richtlijn netwerk- en informatiebeveiliging) breidt de cyberbeveiligingsverplichtingen aanzienlijk uit in belangrijke en kritische sectoren, waaronder de maakindustrie. In dit artikel wordt onderzocht hoe de richtlijn de toeleveringsketens beïnvloedt, waarbij fabrikanten worden verplicht om verbeterd cyberrisicobeheer, procedures voor het melden van incidenten en toezicht op leveranciers te implementeren. 

Naarmate digitale dreigingen geavanceerder worden, dwingt NIS 2 fabrikanten om cyberbeveiliging te behandelen als een operationeel kernprobleem, niet alleen als een IT-probleem. Dit artikel legt uit wat NIS 2 betekent voor de maakindustrie, waarom veerkracht van de toeleveringsketen nu een strategische noodzaak is en hoe leiderschap moet worden opgevoerd om te voldoen aan de regelgevende en operationele eisen van een digitaal veilige toekomst.

Dit artikel is geschreven door Herman Annink ([email protected]) en Marius Ungureanu ([email protected]). Marius en Herman maken deel uit van RSM Netherlands Business Consulting Services, specifiek gericht op Internationale Handel en Strategie.    

Complexiteit van moderne toeleveringsketens

De NIS 2-richtlijn legt een ongekende nadruk op de beveiliging van toeleveringsketens en erkent deze als een kritieke vector voor cyberdreigingen en een belangrijk gebied voor het vergroten van de algehele veerkracht binnen de EU. Voor productie-entiteiten vertaalt dit zich in een aanzienlijke uitbreiding van de verantwoordelijkheid, die verder reikt dan hun eigen digitale grenzen en de cyberbeveiliging van hun directe en indirecte leveranciers en dienstverleners omvat.

In een moderne productie worden supply chains steeds complexer en ondanks hun wereldwijde karakter onderhouden maar weinig fabrikanten goede relaties met hun leverancier en meer inzicht dan Tier 1-leveranciers. In wezen stelt dit hen bloot aan cruciale kwetsbaarheden, aangezien ze moeten instaan voor een eindproduct waarin de fabrikant zelf geen volledig zicht heeft. Dit probleem wordt groter naarmate de producten die ze leveren steeds complexer worden. Om aan NIS 2 te voldoen, hebben fabrikanten zichtbaarheid nodig via hun Tier 2- en Tiers 3-leveranciers, ongeacht hun geografische locatie. Illustrerend hoe moeilijk het kan zijn, zijn de onthullingen die zijn gedaan in een journalistiek onderzoek waarbij niet-geïdentificeerde elektronische componenten werden gevonden in geïmporteerde apparatuur voor het Deense energievoorzieningsnetwerk.1  

Classificatie van productie onder NIS 2

Een cruciaal aspect van NIS 2 is de classificatie van entiteiten in twee hoofdcategorieën: essentiële entiteiten (bijlage I) en belangrijke entiteiten (bijlage II). De be- en verwerkende industrie is opgenomen in de rubriek "Andere kritieke sectoren" van bijlage II.  

De primaire criteria voor classificatie hangen af van de omvang van een entiteit. Over het algemeen vallen middelgrote ondernemingen (gedefinieerd als ondernemingen met 50 of meer werknemers of een jaaromzet van meer dan 10 miljoen EUR) en grote ondernemingen (250 of meer werknemers, met een jaaromzet van meer dan 50 miljoen EUR) binnen het toepassingsgebied van NIS 2 als zij in de gespecificeerde sectoren actief zijn. Er zijn echter uitzonderingen waarbij entiteiten kunnen worden geacht binnen het toepassingsgebied te vallen, ongeacht hun omvang. Dit is van toepassing als zij de enige verlener van een kritieke dienst in een lidstaat zijn, als de verstoring ervan aanzienlijke gevolgen kan hebben voor de openbare veiligheid, beveiliging of gezondheid, of als zij systeemrisico's met zich meebrengen, met name met grensoverschrijdende gevolgen.

Bijlage II van de NIS 2-richtlijn bevat een specifieke opsomming van verschillende subsectoren van de productie:  

• Vervaardiging van medische hulpmiddelen en medische hulpmiddelen voor in-vitrodiagnostiek;  
• Vervaardiging van computer-, elektronische en optische producten;  
• Vervaardiging van elektrische apparatuur;
• Vervaardiging van machines, apparaten en toestellen, elders ingedeeld;  
• Vervaardiging van motorvoertuigen, aanhangwagens en opleggers;  
• Vervaardiging van andere transportmiddelen (bijv. lucht- en ruimtevaart, spoorwegen, scheepsbouw)

Belangrijkste onderdelen van de NIS 2-richtlijn  

Artikel 21 vereist dat entiteiten een "all-hazards-benadering" van risicobeheer hanteren. In de context van toeleveringsketens impliceert dit dat fabrikanten rekening moeten houden met een breed spectrum van potentiële bedreigingen. Dit gaat verder dan directe cyberaanvallen gericht op leveranciers en omvat ook risico's zoals de introductie van nagemaakte of gemanipuleerde hardwarecomponenten, de fysieke beveiliging van de faciliteiten van een leverancier en zelfs geopolitieke instabiliteit die de operationele integriteit of betrouwbaarheid van een leverancier aantast.  

Om effectief aan deze uitgebreide beveiligingsvereisten voor de toeleveringsketen te voldoen, is een aanzienlijke verschuiving nodig in de manier waarop productieorganisaties werken. De traditionele silo's tussen cyberbeveiliging, inkoop en juridische afdelingen zijn niet langer uitvoerbaar. Artikel 21, lid 2, onder d), verplicht tot de beoordeling van kwetsbaarheden van leveranciers en de kwaliteit van hun cyberbeveiligingspraktijken, een taak die nauwe samenwerking tussen de partijen vereist. Tegelijkertijd legt artikel 20 de verantwoordelijkheid voor de naleving bij de bestuursorganen. De implementatie van deze vereisten zal onvermijdelijk inhouden dat specifieke clausules in leverancierscontracten worden opgenomen, terwijl de selectie, doorlichting en het beheer van leveranciers de belangrijkste inkoopverantwoordelijkheden blijven. Daarom is een samenhangende, geïntegreerde aanpak met nauwe samenwerking tussen afdelingen cruciaal voor het bereiken van een holistisch risicobeheer van de supply chain onder NIS 2.

Artikel 20 geeft een fundamentele hervorming van de rol en verantwoordelijkheid van leiderschap binnen productie-entiteiten op het gebied van cyberbeveiliging. Het verplicht de lidstaten ervoor te zorgen dat de bestuursorganen (bv. raden van bestuur, C-suite executives) van zowel essentiële als belangrijke entiteiten:  

• de maatregelen voor het beheer van cyberbeveiligingsrisico's goedkeuren die de entiteit heeft genomen om te voldoen aan de strenge vereisten van artikel 21;
• Toezicht houden op de effectieve uitvoering van deze goedgekeurde maatregelen;
• Kan persoonlijk aansprakelijk worden gesteld voor inbreuken op artikel 21 door de entiteit;  
• Moeten een opleiding volgen om voldoende kennis en vaardigheden te verwerven om cyberrisico's te identificeren, de toereikendheid van praktijken voor het beheer van cyberbeveiligingsrisico's te beoordelen en inzicht te krijgen in de impact ervan op de door de entiteit geleverde diensten.  

Deze bepaling verschuift de cyberbeveiliging van de toeleveringsketen effectief van een overwegend IT-afdeling naar een kerntaak van het management van een organisatie. Het potentieel voor persoonlijke aansprakelijkheid voor het senior management dient als een krachtige herinnering om ervoor te zorgen dat de beveiliging van de toeleveringsketen de nodige aandacht, middelen en strategisch toezicht krijgt.  

Bovendien zal de verplichte opleidingseis voor bestuursorganen (artikel 20, lid 2) de ontwikkeling en het aanbieden van gespecialiseerde opleidingsprogramma's noodzakelijk maken. Aangezien artikel 21 de beveiliging van de toeleveringsketen uitdrukkelijk als een kerngebied voor risicobeheer omvat, moet een dergelijke opleiding betrekking hebben op de unieke cyberrisico's die inherent zijn aan de toeleveringsketens van de productie. Een algemeen bewustzijn van cyberbeveiliging zal waarschijnlijk onvoldoende blijken te zijn. In plaats daarvan zal training nodig zijn die is afgestemd op de productiesector, waarbij specifieke bedreigingen worden aangepakt, zoals gecompromitteerde industriële controlesystemen (ICS), risico's in verband met toegang op afstand door serviceproviders en strategieën voor het toezicht op effectieve mitigatiemaatregelen.  

Artikel 21 is een van de cruciale aspecten van de NIS 2-richtlijn en dwingt essentiële en belangrijke entiteiten om "passende en evenredige technische, operationele en organisatorische maatregelen" uit te voeren om de risico's voor de beveiliging van hun netwerk- en informatiesystemen te beheren. Cruciaal is dat deze maatregelen expliciet gericht moeten zijn op risico's die voortvloeien uit hun toeleveringsketens.  

Het artikel schetst een minimumset van tien maatregelen voor het beheer van cyberbeveiligingsrisico's. Verschillende hiervan hebben directe en diepgaande implicaties voor de beveiliging van de toeleveringsketen. Zo is artikel 21, lid 2, onder d), het meest directe mandaat met betrekking tot leveranciers. Entiteiten zijn verplicht om rekening te houden met de specifieke kwetsbaarheden van elke directe leverancier en dienstverlener. Ze moeten ook de algehele kwaliteit van producten en cyberbeveiligingspraktijken van hun leveranciers beoordelen, inclusief hun veilige ontwikkelingsprocedures. Voorts moeten de entiteiten rekening houden met de resultaten van gecoördineerde veiligheidsrisicobeoordelingen op Unieniveau van kritieke toeleveringsketens die op grond van artikel 22 worden uitgevoerd.

Hoewel in artikel 21, lid 2, onder d), uitdrukkelijk wordt verwezen naar "directe leveranciers of dienstverleners", kunnen de overkoepelende "alle risico's" en de algemene verplichting inzake risicobeheer door de nationale bevoegde autoriteiten zo worden geïnterpreteerd dat zij inzicht moeten krijgen in en beperking moeten houden van kritieke indirecte leveranciersrisico's (d.w.z. tier 2- en tier 3-leveranciers). Dit is met name relevant als het vermogen van een directe leverancier om een kritieke component of dienst te leveren sterk afhankelijk is van een onderleverancier met bekende kwetsbaarheden. Als geen rekening wordt gehouden met dergelijke voorzienbare indirecte risico's met een grote impact, kan dit worden beschouwd als het niet nemen van "passende en evenredige" maatregelen.  

Wat betekent het voor bedrijven?

Ten eerste zullen fabrikanten verplicht worden om een basislijn van beveiligingsmaatregelen te implementeren, waaronder beleid op het gebied van risicoanalyse, incidentafhandeling, bedrijfscontinuïteit en crisisbeheer, en de beveiliging van hun informatiesystemen. De richtlijn introduceert strengere en meer geharmoniseerde verplichtingen voor het melden van incidenten. Fabrikanten moeten de relevante nationale autoriteiten onverwijld op de hoogte brengen van belangrijke cyberbeveiligingsincidenten, doorgaans binnen 24 uur nadat zij er kennis van hebben genomen, gevolgd door meer gedetailleerde rapporten. Dit heeft tot doel sneller en meer gecoördineerd te kunnen reageren op grootschalige cyberdreigingen.  

Ten tweede zullen fabrikanten de cyberbeveiligingspraktijken van hun directe leveranciers en dienstverleners moeten beoordelen en aanpakken. Dit omvat het opnemen van cyberbeveiligingsoverwegingen in contractuele overeenkomsten en het uitvoeren van due diligence om ervoor te zorgen dat hun partners voldoen aan de vereiste beveiligingsnormen. De richtlijn onderstreept dat de veiligheid van het hele ecosysteem slechts zo sterk is als de zwakste schakel.  

Vooruitdenken

Naarmate digitale transformatie IT- en OT-systemen (Operational Technology) blijft integreren in de productie, wordt het aanvalsoppervlak voor cyberdreigingen groter. NIS 2 dwingt fabrikanten om een holistische kijk op cyberbeveiliging aan te nemen, deze in te bedden in hun operationele strategieën en een cultuur van beveiligingsbewustzijn te bevorderen op alle niveaus van de organisatie en haar toeleveringsnetwerk. Deze proactieve aanpak is niet alleen essentieel voor compliance, maar ook voor het waarborgen van operationele veerkracht, het beschermen van intellectueel eigendom en het behouden van vertrouwen met klanten en partners in een steeds meer onderling verbonden en vijandig digitaal landschap. De overgang naar NIS 2-conformiteit zal aanzienlijke inspanningen en investeringen vergen, maar is uiteindelijk bedoeld om de algehele cyberbeveiliging van een kritieke sector voor de EU-economie te versterken.

RSM is een thought leader op het gebied van Strategy en International Trade consulting. We bieden frequente inzichten door middel van training en het delen van thought leadership op basis van een gedetailleerde kennis van ontwikkelingen in de branche en praktische toepassingen in de samenwerking met onze klanten. Wilt u meer weten, neem dan contact op met een van onze consultants.