Waarom 50.000 MKB’ers moeten bewijzen dat ze veilig werken
Als MKB’er is het essentieel dat je je voorbereidt op de eisen die (indirect) voortvloeien uit de NIS2-richtlijn.
tl;dr:
De NIS2-richtlijn verplicht zo’n 10.000 essentiële en belangrijke organisaties in Nederland om hun hele digitale toeleveringsketen veilig te maken. Daardoor komen naar schatting 50.000 MKB-bedrijven indirect onder deze regels te vallen. Ook als je zelf niet NIS2-plichtig bent, moet je als toeleverancier kunnen aantonen dat jouw digitale veiligheid op orde is.
De digitale veiligheid van Nederland staat of valt met de zwakste schakel in de keten. En met de komst van de NIS2-richtlijn wordt het belang van die keten nog eens extra onderstreept. Maar hoe ziet die keten er eigenlijk uit? En waarom komen daar naar schatting minstens 50.000 bedrijven in het MKB bij kijken?
Laten we beginnen bij de top: de zogenoemde essentiële en belangrijke organisaties. Dat zijn er in Nederland naar schatting zo’n 10.000. Zij vallen rechtstreeks onder de NIS2-regelgeving en moeten vanuit de zorgplicht voldoen aan tien verplichtingen op het gebied van digitale weerbaarheid. Eén daarvan is het beveiligen van de toeleveringsketen.
En daar kom jij als MKB’er in beeld.
Geschreven door: Jacco Wildeman
De digitale keten: meerlagig en complex
Onder die 10.000 NIS2-plichtige organisaties bevindt zich een gelaagde toeleveringsketen. Denk aan directe toeleveranciers, maar ook aan de leveranciers dáárvan, en zo verder. De keten kan dus vele lagen diep gaan – dieper dan de twee die vaak visueel worden weergegeven. En elke schakel in die keten is potentieel een risico, een incident bij een organisatie in de keten kan gevolgen hebben voor de bedrijfsvoering van de NIS2-plichtige.
Daarom rust op de toporganisaties een actieve zorgplicht: zij moeten aantonen dat de hele keten veilig digitaal werkt. Het gevolg? Honderdduizenden bedrijven – met name in het midden- en kleinbedrijf – zullen binnenkort gevraagd worden om te bewijzen dat ze digitale veiligheid serieus nemen. Want dat is hun verantwoordelijkheid richting de top van de keten.
De kloof tussen normen en de praktijk
Tot nu toe werd digitale veiligheid vaak gemeten aan de hand van bestaande normeringen, zoals:
-
- ISO 27001 (algemeen)
- NEN 7510 (zorg)
- BIO (overheid)
- BIG (woningcorporaties)
- DORA (financiële sector)
Deze normen zijn waardevol, maar meestal te complex, te duur en te omvangrijk voor het gemiddelde MKB-bedrijf. En dat is precies het knelpunt: het ontbreken van een praktisch, betaalbaar en realistisch alternatief waarmee kleinere bedrijven hun digitale veiligheid kunnen aantonen.
Wie vallen er onder deze toeleveranciers?
Om een idee te geven van het type bedrijven dat onderdeel kan uitmaken van deze digitale keten, een aantal voorbeelden:
-
- Logistieke partners – van koeriersdiensten tot transportbedrijven die producten verplaatsen van A naar B. (Let op: dit zijn andere dan de ‘kritieke’ transportbedrijven binnen bijvoorbeeld de chemie of infrastructuur.)
- Financiële dienstverleners – zoals je accountant, boekhouder of salarisverwerker. Zij beheren gevoelige informatie die je koste wat kost veilig wilt houden.
- Creatieve en strategische bureaus – denk aan marketing- of communicatiebureaus die aan je merk bouwen en strategische plannen ontwikkelen. Je wilt niet dat deze documenten zomaar op straat komen te liggen.
- Schoonmaak- en beveiligingsbedrijven – fysiek ondersteunend, maar vaak ook toegang hebbend tot gevoelige ruimtes of systemen.
- Productie- en machineleveranciers – essentiële schakels voor jouw operationele processen.
Wat betekent dit voor jou?
Als MKB’er is het dus essentieel dat je je voorbereidt op de eisen die (indirect) voortvloeien uit de NIS2-richtlijn. Je hoeft misschien zelf niet NIS2-plichtig te zijn, maar je bent mogelijk wel een toeleverancier van een NIS2-plichtige partij. En dat betekent dat je straks gevraagd wordt om aan te tonen dat jouw digitale veiligheid op orde is.
