Dé standaard voor een weerbare keten

De NIS2-richtlijn stelt essentiële en belangrijke bedrijven, de zogenaamde NIS2-bedrijven, verantwoordelijk voor de cyberveiligheid binnen hun toeleveringsketen. Zij zullen daarom van hun directe leveranciers, vaak mkb-bedrijven, eisen dat zij kunnen aantonen digitaal veilig te werken. Dit betekent dat mkb-bedrijven een concreet bewijs moeten overleggen van de door hun genomen beveiligingsmaatregelen. Het NIS2 Supply Chain-certificaat (voorheen NIS2 Quality Mark) is dé manier om dit aan te tonen.

Het NIS2 Supply Chain-certificaat is een keurmerk dat aantoont dat jouw bedrijf digitaal veilig werkt en voldoet aan de eisen van de NIS-2 richtlijn. Het is opgebouwd uit een modulair normensysteem met drie niveaus: SC10, SC20 en SC30. Elk niveau biedt specifieke beveiligingsmaatregelen die afgestemd zijn op de risico’s en behoeften van jouw organisatie.

‍

Levert jouw organisatie direct of indirect aan NIS2-bedrijven? Dan is NIS2-SC10 vaak het keurmerk dat je nodig hebt om te bewijzen dat je voldoet aan de vereiste veiligheidsstandaarden. Dit is de standaardnorm voor de meeste bedrijven in de toeleveringsketen.

‍

De vuistregel is simpel: hoe groter de impact van jouw producten of diensten op je klant, hoe groter het risico dat je vormt, en hoe hoger de norm die je moet behalen. Met het NIS2 Supply Chain-certificaat toon je niet alleen compliance aan, maar versterk je ook het vertrouwen in jouw bedrijf.

We kunnen ons voorstellen dat je je nu afvraagt: wat houdt SC10, SC20 en SC30 dan concreet in? De SC10 gaat in op organisatorische, mensgerichte, fysieke en technologische beheersmaatregelen. Binnen de SC20 en SC30 wordt dit uitgebreid met OT-management en IT-management beheersmaatregelen, waarbij er binnen de SC30 aanvullende beheersmaatregelen zijn ten opzichte van de SC20. Hieronder vind je een beknopt overzicht van de maatregelen: 

‍

SC10 - Basismaatregelen

Onder de SC10 moet je beheersmaatregelen implementeren, zoals: 

1️⃣ Cybersecuritybeleid – Formeel vastgesteld beleid met duidelijke verantwoordelijkheden.

2️⃣ Toegangsbeheer – Multi-factor authenticatie (MFA) en strikte toegangsrechten.

3️⃣ Incidentbeheer – Procedures voor het detecteren en melden van beveiligingsincidenten.

4️⃣ Beveiliging van apparaten – Regelmatige updates en bescherming tegen malware.

5️⃣ Bewustwording & training – Medewerkers en bestuurders opleiden in cybersecurity.

‍

Uitbreidingen in SC20 t.o.v. SC10

De SC20 heeft meer eisen, waarbij je aanvullende beheersmaatregelen moet implementeren zoals: 

1️⃣ Classificatie van informatie – Beleid voor vertrouwelijkheid en bescherming van gegevens.

2️⃣ Leveranciersbeveiliging – Eisen en afspraken over cybersecurity in contracten.

3️⃣ Controle op gebruikersaccounts – Striktere registratie, monitoring en intrekking van accounts.

4️⃣ Beveiliging van gegevensoverdracht – Encryptie en veilige communicatiekanalen.

5️⃣ Toezicht op naleving – Regelmatige interne evaluaties van beveiligingsmaatregelen.

‍

Uitbreidingen in SC30 t.o.v. SC20

Het meest uitgebreide certificaat is de SC30, waarbij je moet voldoende aan extra beheersmaatregelen zoals: 

1️⃣ Beheer van OT-systemen – Inventarisatie, segmentatie en patchbeheer voor operationele technologie.

2️⃣ Striktere clouddiensten-controle – Veilige selectie, monitoring en exitstrategieën voor cloudleveranciers.

3️⃣ Veilige softwareontwikkeling – Beheer van broncode en testen van applicatiebeveiliging.

4️⃣ Digitale forensische bewijslast – Procedures voor het verzamelen en veiligstellen van incidentgegevens.

5️⃣ Onafhankelijke beveiligingsaudits – Externe toetsing van cybersecuritymaatregelen.

‍

Wil je meer weten over de kwaliteitsmerken? Je kunt hier de complete inhoud van de kwaliteitsmerken downloaden.
‍