NIS2 raakt ook adviseurs – indirect
De NIS2-richtlijn, die sinds 16 januari 2023 van kracht is, geldt niet voor financieel dienstverleners zoals verzekeringsadviseurs. Maar let op: de impact van NIS2 kan indirect toch voelbaar zijn – met name als je klanten of leveranciers hebt die wél onder de richtlijn vallen.
NIS2 is bedoeld om de digitale weerbaarheid van vitale en belangrijke sectoren in Europa te vergroten. Denk aan energie, gezondheidszorg, transport, IT en digitale infrastructuur. Organisaties in deze sectoren zijn verplicht om vergaande maatregelen te nemen op het gebied van informatiebeveiliging, risicobeheer en incidentmelding. En daar hoort ook bij: het beoordelen van risico’s in hun toeleveringsketen.
Als je klanten of leveranciers hebt die onder NIS2 vallen, kunnen zij eisen aan jou gaan stellen. Bijvoorbeeld over hoe je omgaat met digitale veiligheid, welke maatregelen je hebt getroffen, of hoe je omgaat met gevoelige gegevens. Ook kan het zijn dat je moet meewerken aan audits of strengere contractvoorwaarden krijgt opgelegd. Niet omdat jij zelf onder NIS2 valt, maar omdat jouw klant of leverancier moet aantonen dat ook zijn keten veilig is.
Daarbij is wel een nuance te maken, namelijk dat jij als leverancier kwalificeert als een kritieke leverancier. Een kritieke leverancier is een partij waarvan het falen directe impact heeft op de beschikbaarheid, integriteit of vertrouwelijkheid van de kernprocessen of dienstverlening van de partij die onder NIS2 valt. Denk bij kritieke leveranciers aan hostingpartners, beheerders van medische of financiële data, OT-leveranciers of softwareleveranciers die diep in de systemen geïntegreerd zijn. Een niet-kritieke leverancier levert diensten of producten die weliswaar belangrijk zijn, maar geen directe risico’s opleveren voor bedrijfscontinuïteit of veiligheid bij uitval of misbruik.
Kortom: je hoeft niet te voldoen aan NIS2, maar je kunt er wél mee te maken krijgen. Het is daarom verstandig om na te gaan of jij relaties hebt die onder NIS2 vallen, of zij mogelijk aanvullende eisen gaan stellen. Door je hier tijdig op voor te bereiden, voorkom je verrassingen en laat je zien dat je een betrouwbare partner bent.