VCM2024_05

DIGITALE TRANSFORMATIE

aanhangers, opleggers en andere transportmiddelen produ ceren. Met andere woorden: het is een erg brede categorie.

Specifieke verplichtingen Vergeleken met NIS1 specifieert NIS2 beter hoe bedrijven en organisaties aan de richtlijn kunnen voldoen. “Maar NIS2 omvat nog steeds ruime beschrijvingen, zoals ‘je moet een back-up maken’, ‘je moet een inventaris hebben van alle ICT-onderdelen en leveranciers’, ‘je moet een rapporterings mechanisme hebben in het geval van een incident’, enzovoort. België voegde er nog ‘een beleid voor de gecoördineerde bekendmaking van kwetsbaarheden’ aan toe”, vervolgt Levi Nietvelt. Daarmee loopt ons land voorop. De extra maatre gel zorgt ervoor dat ethisch hacken niet langer strafbaar is en dat hackers formeel een melding kunnen doen. “De afgelopen drie maanden heeft het Centre for Cyber Security Belgium (CCB) 29 meldingen gekregen. Daarvan werden er twintig als kritiek bestempeld. Er zijn dus twintig mogelijke incidenten voorkomen.” Een belangrijke plicht die erbij komt, is de meldingsplicht. “Bedrijven moeten een incident binnen de 24 uur melden, 72 uur later moeten ze meer details geven en na een maand moeten ze een rapport indienen. Die tijdslijn geldt voor heel Europa.” NIS2 legt ook flink wat verantwoordelijkheid bij het management en het bedrijfsbestuur. “Bij bedrijven in kritieke sectoren kunnen bestuurders zelfs tijdelijk uit hun functie worden gezet als blijkt dat ze nalatig zijn geweest.” Impact op de supply chain De meest verregaande impact zit wellicht in het feit dat NIS2 organisaties verantwoordelijk maakt voor hun volle dige supply chain als die hun betrouwbaarheid, integriteit en beschikbaarheid beïnvloedt. L. Nietvelt: “Het zal er voor bedrijven op aankomen die supply chain in kaart te brengen en na te gaan hoe mogelijke inciden ten tot bij hen kunnen komen. Neem bijvoorbeeld heftrucks die in een magazijn rondrijden: die bevatten vandaag heel wat software die verbonden is met het ERP-systeem. Bedrijven optimaliseren prestaties aan de hand van de uitge lezen data. Als de leverancier van die software het slachtoffer wordt van een hacking, kunnen updates met daarin virussen de heftrucks bereiken en zo ook het bedrijf platleggen. Door de digitalisering zijn we allemaal met elkaar verbonden.” Levi Nietvelt ziet drie manieren waarop NIS2 een impact zal hebben op de supply chain van bedrijven. “Om te beginnen komt de verantwoordelijkheid voor een veiligere supply chain bij de bedrijven zelf te liggen. Dan gaat het in het bijzon der over IT vendors, zoals leveranciers van software of cloud services. Bedrijven verwachten nu al bepaalde standaarden van hun vendors en die zullen veralgemenen. Zij zien NIS2

Levi Nietvelt, policy lead bij Beltug: “Organisaties met een omzet kleiner dan tien miljoen euro en minder dan vijftig medewerkers vallen doorgaans niet onder NIS2.”

markten, gezondheidszorg, drinkwater, afvalwater, digitale infrastructuur, beheer van ICT-diensten, overheid en ruim tevaart. Daar komen andere kritieke sectoren bij: post- en koerierdiensten, afvalstoffenbeheer, productie en distributie van chemische stoffen, productie, verwerking en distributie van levensmiddelen, de maakindustrie, leveranciers van digi tale diensten en onderzoek. Anderzijds speelt ook de grootte van bedrijven en organisaties een rol. Kleine organisaties zijn in de meeste gevallen niet kritiek. Dan spreken we van orga nisaties met een omzet van minder dan tien miljoen euro en minder dan vijftig medewerkers. Maar ook wanneer de omzet en het aantal medewerkers onder bovengenoemde grenzen vallen, kan een organisatie toch in het rijtje van kritieke secto ren passen. Dan spreken we niet van een essentiële entiteit, maar van een belangrijke entiteit.” Specifiek voor de maakindustrie bieden de bijlagen van de richtlijn extra duiding. Onder de maakindustrie vallen de bedrijven die medische hulpmiddelen, informaticaproducten, elektronische en optische producten, elektrische appara tuur, machines, apparaten en werktuigen, motorvoertuigen,

11

VALUE CHAIN MANAGEMENT - MEI 2024