Een van de zwaarste nieuwe eisen onder NIS2 is supply chain veiligheid. U bent niet alleen verantwoordelijk voor uw eigen IT, maar ook voor de risico's die via uw leveranciers binnenkomen. Een SaaS leverancier die gehackt wordt kan uw eigen meldplicht in werking zetten. Daarom kijkt de toezichthouder naar wat u over uw leveranciers weet en hoe u daarop stuurt.
Het probleem in de praktijk
De meeste organisaties hebben honderden leveranciers in hun inkoopadministratie. Twintig daarvan zijn echt kritiek. Vijf gaan over kritieke data of toegang tot uw systemen. Een NIS2 conform proces brengt die laag terug van honderden naar een werkbaar aantal en richt zich daar op. Niet honderd vragenlijsten versturen aan partijen die u nooit zou checken, wel diepgaand kijken naar de tien tot twintig die er echt toe doen.
Wat wij voor u doen
Wij classificeren uw leveranciers naar criticality voor uw bedrijfsvoering en uw NIS2 scope. Voor de kritieke partijen stellen wij een NIS2 questionnaire op die past bij hun grootte. Voor de allerkritiekste een echte audit of een derde partij certificaat als bewijs. En voor de rest een light review die proportioneel is. Inclusief een proces dat dit jaarlijks bijhoudt zonder uw inkoopafdeling te overbelasten.
Doorlooptijd
Drie tot zes maanden voor de eerste compleet doorgevoerde cyclus. Daarna een jaarlijkse refresh die in uw normale leveranciersmanagement is ingebed.
Plan een eerste gesprek via het formulier hieronder. Verwant: NIS2 due diligence bij overname.
Verwant: Freelance NIS2 consultant, NIS2 voor digital infrastructure en trust services.