Per oktober 2024 is de NIS2 van kracht in Europa. De Nederlandse wet die aan deze Europese richtlijn invulling zal geven, de Cyberbeveiligingswet, treedt naar verwachting in het tweede of derde kwartaal van 2025 in werking. Eén van de aspecten uit de NIS2-richtlijn richt zich op de zorgplicht en de zogeheten ‘ketenverantwoordelijkheid’.
Dit roept bij veel organisaties, sectoren en ketens tal van vragen op. Wat is het? Wat is de reikwijdte? In het kort worden organisaties die onder deze wet vallen onder meer verantwoordelijk voor de informatieveiligheid niet alleen van zichzelf, maar ook van hun eigen toeleveringsketen. Voor elke organisatie die valt onder de NIS2 richtlijn volgt hieruit dan ook de verplichting hiervoor een risicoanalyse uit te voeren.
Het ministerie van Infrastructuur en Waterstaat (hierna: ministerie van IenW) had dezelfde vragen en wilde inzicht krijgen in wat deze ketenverantwoordelijkheid betekent voor de chemische sector. Het antwoord op die vragen blijkt ook behulpzaam voor andere sectoren.
Gezamenlijke inventarisatie
In de context van deze vraag heeft het ministerie Berenschot gevraagd allereerst onderzoek te doen naar de typen ketens binnen de chemische sector, vervolgens naar de reikwijdte van de ketenverantwoordelijkheid zoals bedoeld in de NIS2-richtlijn, en tot slot naar de risico’s en gevolgen van (cyber)verstoringen in de chemische ketens. Bovendien wil het ministerie handvatten om bedrijven te ondersteunen bij het inzichtelijk maken van hun ketens plus een handreiking voor bedrijven in de chemische sector, zodat deze zelf een ketenanalyse kunnen uitvoeren.
In samenwerking met het ministerie van IenW heeft Berenschot aan de hand van een documentenstudie, interviews met personen uit de sector en best practices een ruwe schets opgesteld en deze vervolgens bij betrokkenen getoetst en aangescherpt.
Reikwijdte ketenverantwoordelijkheid
Uit de inventarisatie volgt dat de toeleveringsketens waar de NIS2 over spreekt, onder andere contractors, IT-leveranciers en dienstverleners betreffen. Klanten en af- en aanleveranciers vallen enkel binnen de scope als zij via IT-systemen een risico voor de organisatie vormen. De verantwoordelijkheid voor het beheersen van de risico’s uit de toeleveringsketen ligt bij de organisatie zelf. Kan de entiteit die onder de NIS2 valt het risico dat voortkomt uit de toeleveringsketen niet voldoende beheersen, dan kan deze verplichtingen opleggen aan de toeleverancier. Om hieraan te voldoen, kan de toeleverancier zelf verplichtingen stellen aan zijn eigen leveranciers. Deze werken door totdat de risico’s voor de entiteit die onder de NIS2 valt voldoende zijn beheerst. Berenschot heeft een handreiking geschreven voor bedrijven uit de chemische sector, op basis waarvan zij een ketenanalyse kunnen uitvoeren en passende maatregelen kunnen nemen.
Handvatten om bedrijven te ondersteunen
Ketenanalyses kunnen behoorlijk ingewikkeld en arbeidsintensief zijn, reden waarom het ministerie van IenW bedrijven hierin zo goed mogelijk wil ondersteunen. Daartoe heeft Berenschot vier handvatten aangedragen: 1) een eenduidige definitie van ‘ketens’, 2) bevorderen van samenwerking en standaardisatie binnen de sector, 3) coördineren van gezamenlijke normstelling en aanpak bij toezicht, en 4) inzicht en overzicht in de richtlijnen en normen die van toepassing zijn of ontwikkeld worden. Deze handvatten stellen bedrijven in staat sneller en beter te voldoen aan de NIS2-richtlijn, zodat de netwerk- en informatiesystemen van essentiële infrastructuur echt veilig zijn. Genoemde handvatten en handreiking zijn tevens bruikbaar voor andere sectoren en ministeries. Belangrijk is dat bedrijven zo snel mogelijk aan de slag gaan met ketenanalyses en het afdekken van de risico’s. Ondersteuning en duidelijkheid vanuit betreffende ministeries is daarbij cruciaal.
Meer weten? Een volledig overzicht van alle resultaten is te vinden op de website van het Ministerie van IenW.