De rol van IT is cruciaal bij de implementatie van NIS2
Maar de directie is aan zet, want het is een governance probleem
Regelmatig zien we dat directies denken dat ze de verantwoordelijkheid voor compliance kunnen beleggen bij de IT-afdeling. Dat is niet uit gemakzucht, maar omdat men meent dat het daar hoort en in goede handen is. Dat laatste is een logische gedachte en klopt veelal ook wel, maar het hoort er niet!
IT-afdelingen spelen een cruciale rol in NIS2
IT-afdelingen (her)kennen als geen ander de risico’s, begrijpen de technische kwetsbaarheden en weten wat er allemaal nodig is om systemen veilig te houden. Zonder IT-expertise is supply chain cybersecurity eigenlijk simpelweg niet goed uitvoerbaar. Toch ligt de eindverantwoordelijkheid niet bij de IT-afdeling, want IT mag volgens de wet geen bestuurlijke beslissingen nemen die aan de directie toebehoren.
NIS2 wordt door de wet op het bord gelegd van de directie en dat is terecht
NIS2 is een governance-probleem en geen IT-probleem. De rol van de IT-afdeling is helder en uiterst waardevol. Jullie advies telt zwaar, jullie brengen risico’s in kaart en adviseren technische maatregelen, maar de beslissing en eindverantwoordelijkheid ligt bij de directie en nergens anders.
De Estimated Risk Index (ERI) kan je helpen
De ERI in het SDV-platform kun je goed inzetten voor leveranciersclassificatie en zal je helpen voor het opstellen van je uiteindelijke advies. Jij kunt de gewenste input leveren voor contractuele borging, maar de bestuurlijke beslissing moet je aan de directie laten. Dat is niet weglopen voor je verantwoordelijkheid, maar de weg bewandelen die daarvoor staat. Als IT-afdeling heb je rugdekking nodig van de directie en de directie heeft op zijn beurt jullie kennis nodig. Dat is samenwerken en resulteert in veilige stappen voorwaarts zetten.
Hoe werkt de Estimated Risk Index?
Op basis van data van circa 170.000 Nederlandse bedrijven helpt de ERI om leveranciers te beoordelen op hun digitale risicoprofiel. Je kunt leveranciers indelen in laag, middel en hoog risico, prioriteiten stellen in leveranciersbeheer en aantoonbaar risicogestuurd werken, precies wat de NIS2 ketenzorgplicht vereist. Beoordeel leveranciers met de ERI-tool in het SDV-platform (samendigitaalveilig.nl/estimated-risk-index-eri/) en volg het gratis webinar voor IT-professionals (samendigitaalveilig.nl/webinars/). Dat helpt je het NIS2 Supply Chain traject concreet te maken voor jullie organisatie. En wat ook altijd werkt is even sparren met de specialisten van Axoft (sales@axoft.nl).
