Cybersecurity in de supply chain
IMCD zet met BDO de puntjes op de i voor NIS2
“In feite zijn de maatregelen common sense”
Het bedrijfsleven staat voor de grote opdracht om de cybersecurityverplichtingen uit de NIS2 te implementeren. De vernieuwde richtlijn voor versterking, eenheid en samenhang in de Europese aanpak van netwerk & informatiebeveiliging en opvolger van de huidige WBNI (NIS2). Deze Cyberbeveiligingswet heeft als hoger doel om de fysieke, digitale en economische weerbaarheid van ‘essentiële en belangrijke diensten in EU-lidstaten’ te verbeteren via specifieke maatregelen op het gebied van cybersecurity.
BDO onderscheidt dertien concrete maatregelen in de richtlijn voor digitalisering en cybersecurity. Naast het verplichte karakter en de potentieel hoge boetes, valt op dat organisaties verantwoordelijkheid krijgen over de beveiliging van de toeleveringsketen. Dit betekent dat organisaties in zekere mate moeten weten hoe veilig hun leveranciers zijn en welke cybersecuritymaatregelen zij nemen.
Maar welke impact heeft deze eis op organisaties die in hun ‘supply chain’ te maken hebben met duizenden leveranciers, die ook weer leveranciers hebben? Waar begin je en misschien wel belangrijker: waar houdt het op? En welke rol kan een onafhankelijke partij als BDO daarin spelen?
Maatregelen bundelen
Mark Butterhoff is Global CISO bij IMCD, marktleider in de formulering, verkoop en distributie van speciale chemicaliën en ingrediënten. Dit beursgenoteerde bedrijf, met het hoofdkantoor in Rotterdam, vertegenwoordigt producenten over de hele wereld. “Als distributeur bevinden wij ons in keten tussen de klanten en leveranciers. De druk om aan te tonen dat we voldoen aan diverse wetgeving nam de afgelopen jaren snel toe, zoals ESG en branche-specifieke regels. Niet alleen vanuit de overheid, maar ook vanuit de wereldwijde keten zelf. En nu komt NIS2 erbij met oog op de cybersecurity. De kunst is om maatregelen dusdanig te bundelen dat we in één keer voldoen aan meerdere eisen.”
Een deel van de focus voor een bedrijf als IMCD ligt bij cybersecurity op de supply chain. “Wij hebben te maken met duizenden leveranciers en tienduizenden klanten”, vertelt Butterhoff. “De eis van NIS2 is dat we risico-gebaseerd onze ‘third parties’ moeten gaan managen op het gebied van cybersecurity. De vraag is dan natuurlijk hoever we daarin moeten en kunnen gaan, hoe diep we die keten in moeten en kunnen. Tot hoever moeten wij dat managen? Waar houdt onze verantwoordelijkheid op? Dat we controle houden over en verantwoordelijk zijn voor wat we uitbesteden, is niet anders dan voorheen. Nieuw en lastig is vooral dat we zaken moeten managen die ‘buiten onze directe invloedssfeer’ liggen. En op bepaalde leveranciers hebben we bovendien geen invloed. Denk aan de grote tech-bedrijven, in hoeverre kun je als klant invloed hebben op een Amazon of Microsoft?”
Common sense
De crux van de juiste aanpak voor IMCD schuilt in het begrip risicogebaseerd. Het risico is kans maal impact. De vraag is op welke plekken ons hoogste risico zit voor de continuïteit van de supply chain. Dus wanneer – en wanneer niet – leidt een cybersecurity-incident tot disruptie in onze supply chain? Juist die risico’s moeten we managen en proberen te verkleinen, dus welke maatregelen nemen we daarvoor? Dat begint met risicoassessments en vervolgens de leveranciers benaderen om te vragen naar hun stand van zaken en plannen op dit gebied.
Butterhoff kijkt met een nuchtere blik naar de NIS2. “De eerste raamwerken voor security bestaan al zo’n veertig jaar en nieuwe raamwerken liggen eigenlijk altijd in lijn met hun voorgangers. Dat is met deze richtlijn niet anders. In feite is alles wat je behoort te regelen ook gezond verstand, anders ben je simpelweg niet veilig en heb je een continuïteitsissue voor je eigen bedrijf. Vanuit die gedachte is het niet erg om gewezen te worden op wat moet gebeuren. En dat iedereen op scherp staat om die zaken daadwerkelijk voor elkaar te krijgen.”
“De kunst is om maatregelen dusdanig te bundelen dat we in één keer voldoen aan meerdere eisen.”
Business as usual
IMCD is volgens Butterhoff al heel ver met de implementatie van NIS2. “Het gaat voor ons met name nog om de formaliteiten. De elementen waaraan we als beursgenoteerde onderneming aan moeten voldoen voor de jaarrekening, hebben we allemaal in kannen en kruiken. Bepaalde maatregelen in cybersecurity neem je vaak echter gewoon zonder die vervolgens in documenten vast te leggen omdat het common practices zijn. Dat bedoel ik met formaliteiten, het op papier vastleggen van de getroffen maatregelen.”
In voorbereiding op de implementatie van NIS2 schakelde Butterhoff de specialisten van BDO in voor onafhankelijke ‘view’. “Het onderscheidend vermogen van BDO is heel veel jaren aan kennis en ervaring, voor een redelijke prijs. De BDO’ers waarmee wij hebben gewerkt, lagen goed in de organisatie en spraken de taal van onze mensen, zodat het niet aanvoelde als een streng audit-programma. En voor de ‘third party risk of supply chain’ hadden we te maken met een BDO’er die niet zozeer verstand heeft van IT, maar wel van de supply chain. Dat waren voor onze riskmanagement-afdeling hele goede gesprekken. De kennis en ervaring van BDO was voor ons dus van grote meerwaarde.”
Geen paniekvoetbal
De belangrijkste uitdaging voor IMCD is en blijft die ‘supply chain riskmanagement’, omdat dit bedrijf wereldwijd zo veel leveranciers heeft. “En die hebben weer één of meer fabrikanten die de producten echt maken. Vervolgens hebben we te maken met onder andere distributeurs, warehouses en overheden, zoals douanes. Het is voor ons uiteindelijk vooral de omvang die het allemaal zo complex maakt. En duizenden leveranciers actief managen, is natuurlijk geen doen. Dan rijst ook de vraag: wat gaan we wel en niet doen, waar houdt het op? De regelgeving is daar ook niet heel erg concreet in, behalve dat we het risico gebaseerd moeten gaan oppakken. Maar wat dan precies, was voor ons nog een beetje uitzoeken.”
Butterhoff adviseert vergelijkbare bedrijven, voor wie de supply chain ook het voornaamste aandachtsgebied is bij cybersecurity, om heel goed na te denken over waar de echte risico’s zitten en om dan te prioriteren. “Een onafhankelijke nulmeting is dan handig. Let wel op wat het uitgangspunt is van die derde partij. Er zijn veel partijen op de markt met een dubbele agenda, voor wie nieuwe wet- en regelgeving een bron van inkomsten is en die paniekvoetbal proberen te veroorzaken. Bijvoorbeeld door softwareleveranciers en licentiepartners die een en ander proberen op te lossen door extra licenties. Laat je vooral niet meeslepen en neem de maatregelen waarvan je weet dat je ze al lang had moeten nemen. Dat staat in principe ook in die nieuwe richtlijn, die verder niet spannend is.”
Hij spreekt de wens uit dat iedereen “een beetje bij zichzelf blijft” en vooral risicogebaseerd kijkt naar welke maatregelen wel en niet mogelijk zijn. “Een aantal acties is gewoon nodig en die moet je zelf regelen. Houd daarbij zelf de regie in handen, besteedt niet alles zomaar uit. Verdiep je in de materie, weet wat nodig is en blijf zelf goed nadenken. En: laat je niet gek maken.”
De NIS2-richtlijn brengt nieuwe uitdagingen met zich mee voor organisaties, maar biedt ook kansen om de cyberweerbaarheid te verbeteren. Het is daarom belangrijk om deze uitdagingen nu al aan te pakken en niet te wachten tot de NIS2 in de Nederlandse wet is vertaald.
Meer informatie
Cybersecurity in de supply chain
IMCD zet met BDO de puntjes op de i voor NIS2
BDO onderscheidt dertien concrete maatregelen in de richtlijn voor digitalisering en cybersecurity. Naast het verplichte karakter en de potentieel hoge boetes, valt op dat organisaties verantwoordelijkheid krijgen over de beveiliging van de toeleveringsketen. Dit betekent dat organisaties in zekere mate moeten weten hoe veilig hun leveranciers zijn en welke cybersecuritymaatregelen zij nemen.
Maar welke impact heeft deze eis op organisaties die in hun ‘supply chain’ te maken hebben met duizenden leveranciers, die ook weer leveranciers hebben? Waar begin je en misschien wel belangrijker: waar houdt het op? En welke rol kan een onafhankelijke partij als BDO daarin spelen?
De NIS2-richtlijn brengt nieuwe uitdagingen met zich mee voor organisaties, maar biedt ook kansen om de cyberweerbaarheid te verbeteren. Het is daarom belangrijk om deze uitdagingen nu al aan te pakken en niet te wachten tot de NIS2 in de Nederlandse wet is vertaald.
Meer informatie
Maatregelen bundelen
Mark Butterhoff is Global CISO bij IMCD, marktleider in de formulering, verkoop en distributie van speciale chemicaliën en ingrediënten. Dit beursgenoteerde bedrijf, met het hoofdkantoor in Rotterdam, vertegenwoordigt producenten over de hele wereld. “Als distributeur bevinden wij ons in keten tussen de klanten en leveranciers. De druk om aan te tonen dat we voldoen aan diverse wetgeving nam de afgelopen jaren snel toe, zoals ESG en branche-specifieke regels. Niet alleen vanuit de overheid, maar ook vanuit de wereldwijde keten zelf. En nu komt NIS2 erbij met oog op de cybersecurity. De kunst is om maatregelen dusdanig te bundelen dat we in één keer voldoen aan meerdere eisen.”
Geen paniekvoetbal
De belangrijkste uitdaging voor IMCD is en blijft die ‘supply chain riskmanagement’, omdat dit bedrijf wereldwijd zo veel leveranciers heeft. “En die hebben weer één of meer fabrikanten die de producten echt maken. Vervolgens hebben we te maken met onder andere distributeurs, warehouses en overheden, zoals douanes. Het is voor ons uiteindelijk vooral de omvang die het allemaal zo complex maakt. En duizenden leveranciers actief managen, is natuurlijk geen doen. Dan rijst ook de vraag: wat gaan we wel en niet doen, waar houdt het op? De regelgeving is daar ook niet heel erg concreet in, behalve dat we het risico gebaseerd moeten gaan oppakken. Maar wat dan precies, was voor ons nog een beetje uitzoeken.”
Butterhoff adviseert vergelijkbare bedrijven, voor wie de supply chain ook het voornaamste aandachtsgebied is bij cybersecurity, om heel goed na te denken over waar de echte risico’s zitten en om dan te prioriteren. “Een onafhankelijke nulmeting is dan handig. Let wel op wat het uitgangspunt is van die derde partij. Er zijn veel partijen op de markt met een dubbele agenda, voor wie nieuwe wet- en regelgeving een bron van inkomsten is en die paniekvoetbal proberen te veroorzaken. Bijvoorbeeld door softwareleveranciers en licentiepartners die een en ander proberen op te lossen door extra licenties. Laat je vooral niet meeslepen en neem de maatregelen waarvan je weet dat je ze al lang had moeten nemen. Dat staat in principe ook in die nieuwe richtlijn, die verder niet spannend is.”
Hij spreekt de wens uit dat iedereen “een beetje bij zichzelf blijft” en vooral risicogebaseerd kijkt naar welke maatregelen wel en niet mogelijk zijn. “Een aantal acties is gewoon nodig en die moet je zelf regelen. Houd daarbij zelf de regie in handen, besteedt niet alles zomaar uit. Verdiep je in de materie, weet wat nodig is en blijf zelf goed nadenken. En: laat je niet gek maken.”
Business as usual
IMCD is volgens Butterhoff al heel ver met de implementatie van NIS2. “Het gaat voor ons met name nog om de formaliteiten. De elementen waaraan we als beursgenoteerde onderneming aan moeten voldoen voor de jaarrekening, hebben we allemaal in kannen en kruiken. Bepaalde maatregelen in cybersecurity neem je vaak echter gewoon zonder die vervolgens in documenten vast te leggen omdat het common practices zijn. Dat bedoel ik met formaliteiten, het op papier vastleggen van de getroffen maatregelen.”
In voorbereiding op de implementatie van NIS2 schakelde Butterhoff de specialisten van BDO in voor onafhankelijke ‘view’. “Het onderscheidend vermogen van BDO is heel veel jaren aan kennis en ervaring, voor een redelijke prijs. De BDO’ers waarmee wij hebben gewerkt, lagen goed in de organisatie en spraken de taal van onze mensen, zodat het niet aanvoelde als een streng audit-programma. En voor de ‘third party risk of supply chain’ hadden we te maken met een BDO’er die niet zozeer verstand heeft van IT, maar wel van de supply chain. Dat waren voor onze riskmanagement-afdeling hele goede gesprekken. De kennis en ervaring van BDO was voor ons dus van grote meerwaarde.”
“De kunst is om maatregelen dusdanig te bundelen dat we in één keer voldoen aan meerdere eisen.”
Common sense
De crux van de juiste aanpak voor IMCD schuilt in het begrip risicogebaseerd. Het risico is kans maal impact. De vraag is op welke plekken ons hoogste risico zit voor de continuïteit van de supply chain. Dus wanneer – en wanneer niet – leidt een cybersecurity-incident tot disruptie in onze supply chain? Juist die risico’s moeten we managen en proberen te verkleinen, dus welke maatregelen nemen we daarvoor? Dat begint met risicoassessments en vervolgens de leveranciers benaderen om te vragen naar hun stand van zaken en plannen op dit gebied.
Butterhoff kijkt met een nuchtere blik naar de NIS2. “De eerste raamwerken voor security bestaan al zo’n veertig jaar en nieuwe raamwerken liggen eigenlijk altijd in lijn met hun voorgangers. Dat is met deze richtlijn niet anders. In feite is alles wat je behoort te regelen ook gezond verstand, anders ben je simpelweg niet veilig en heb je een continuïteitsissue voor je eigen bedrijf. Vanuit die gedachte is het niet erg om gewezen te worden op wat moet gebeuren. En dat iedereen op scherp staat om die zaken daadwerkelijk voor elkaar te krijgen.”
Een deel van de focus voor een bedrijf als IMCD ligt bij cybersecurity op de supply chain. “Wij hebben te maken met duizenden leveranciers en tienduizenden klanten”, vertelt Butterhoff. “De eis van NIS2 is dat we risico-gebaseerd onze ‘third parties’ moeten gaan managen op het gebied van cybersecurity. De vraag is dan natuurlijk hoever we daarin moeten en kunnen gaan, hoe diep we die keten in moeten en kunnen. Tot hoever moeten wij dat managen? Waar houdt onze verantwoordelijkheid op? Dat we controle houden over en verantwoordelijk zijn voor wat we uitbesteden, is niet anders dan voorheen. Nieuw en lastig is vooral dat we zaken moeten managen die ‘buiten onze directe invloedssfeer’ liggen. En op bepaalde leveranciers hebben we bovendien geen invloed. Denk aan de grote tech-bedrijven, in hoeverre kun je als klant invloed hebben op een Amazon of Microsoft?”
Het bedrijfsleven staat voor de grote opdracht om de cybersecurityverplichtingen uit de NIS2 te implementeren. De vernieuwde richtlijn voor versterking, eenheid en samenhang in de Europese aanpak van netwerk & informatiebeveiliging en opvolger van de huidige WBNI (NIS2). Deze Cyberbeveiligingswet heeft als hoger doel om de fysieke, digitale en economische weerbaarheid van ‘essentiële en belangrijke diensten in EU-lidstaten’ te verbeteren via specifieke maatregelen op het gebied van cybersecurity.