Blog

Veilige toeleveringsketens - een methodiekondersteuning.

Deze methodiek helpt organisaties om hun cyberbeveiliging in de toeleveringsketen te versterken via gestructureerd risicobeheer, eisenstelling en opvolging.
De methode is opgedeeld in drie onderdelen:
  • Begrijp de risico's – Breng beveiligingsrisico's in de toeleveringsketen in kaart en analyseer ze.
  • Krijg grip – Stel beveiligingseisen op en handhaaf deze bij leveranciers.
  • Bouw veerkracht – Ontwikkel voortdurende veiligheidsverbeteringen en incidentbeheer.

1. Begrijp de risico's

Een inventarisatie helpt uw organisatie om beveiligingsrisico's in de toeleveringsketen te identificeren en te begrijpen. Deze risicokaart moet een beoordeling bevatten van bedrijfskritische leveranciers, informatiestromen en eventuele juridische risico's.

1.1 Wat moet beschermd worden en waarom

Deze fase omvat het in kaart brengen en definiëren van de informatie en systemen die het waard zijn om beschermd te worden, en waarom. Welke leveranciers en systemen vormen de grootste bedreiging voor uw voortgezette bedrijfsvoering? Een risicomatrix kan worden gebruikt om risico's te visualiseren en prioriteren op basis van waarschijnlijkheid en impact.

U dient in kaart te brengen:

  • De juridische risico's, bijvoorbeeld mogelijke zwakheden in de contracten die u heeft of zult aangaan met uw leveranciers.

  • Welke informatie of middelen de leverancier beheert en toegang toe heeft als onderdeel van de overeenkomst, en wat dit waard is voor uw organisatie.

  • Het beschermingsniveau dat u van uw leveranciers verwacht, zowel in hun omgang met uw informatie en middelen als met de producten of diensten die zij aan u leveren.

1.2 Breng uw leveranciers in kaart

Breng de risico's en bedreigingen in kaart die uw leveranciers vormen. Begin met het beoordelen van hun veerkracht en continuïteitsvermogen. Beoordeel welke informatie zij bij u kunnen benaderen en of zij diensten en producten leveren die cruciaal zijn voor uw organisatie. Denk na over de gevolgen als deze informatie wordt blootgesteld, verloren gaat of in verkeerde handen valt.

U brengt in kaart en specificeert:

  • Welke leveranciers u heeft. Houd rekening met het aantal schakels in de keten dat u moet doorgronden om vertrouwen te krijgen in de gehele levering. Mogelijk moet u uw directe leveranciers vragen om informatie over onderaannemers, wat tijd kan kosten om het volledige bereik van uw toeleveringsketen vast te stellen.

  • De volwassenheid en effectiviteit van de beveiligingsmaatregelen en cyberhygiëne van uw leveranciers.

  • Welke beveiligingseisen u stelt. Zijn deze realistisch gezien wat de leverancier levert en kan uw leverancier hieraan voldoen?

  • Controleer en zorg ervoor dat de gestelde eisen worden nageleefd.

  • Begrijp welke toegang (fysiek en logisch) uw leveranciers hebben tot uw systemen, locaties en informatie, en hoe u deze kunt beheersen.

  • Begrijp hoe uw directe leveranciers de toegang tot en het gebruik van uw informatie en/of middelen – inclusief systemen en locaties – controleren.

1.3 Schat het beveiligingsrisico in

Beoordeel de risico's en wat deze betekenen voor uw informatie of middelen, evenals voor de producten of diensten die geleverd moeten worden. Dit geldt voor de toeleveringsketen als geheel. Het is belangrijk om uit te gaan van het zakelijke risicoperspectief. Voor de publieke sector kan dit vertaald worden naar het beschermen van het merkimago. Een risicomatrix kan worden gebruikt om risico's te visualiseren en te prioriteren op basis van waarschijnlijkheid en impact.

Veelvoorkomende bedreigingen in de toeleveringsketen

  • Cyberaanvallen op leveranciers (bijvoorbeeld: ransomware, supply chain-aanvallen)

  • Interne dreigingen en social engineering (ongeoorloofde toegang via medewerkers)

  • Ontbrekende gegevensbescherming en incidentbeheer

  • Onvoldoende toezicht op onderaannemers

Beperkingen correct instellen

Het begrijpen van de risico's die verbonden zijn aan uw toeleveringsketen is de sleutel om te zorgen dat beveiligingsmaatregelen en eisen proportioneel, effectief en acceptabel zijn. Gebruik dit inzicht om het beschermingsniveau te bepalen dat u van leveranciers in uw gehele toeleveringsketen verwacht.

Actieplan

Documenteer uw aanpak en stel een "Supply chain policy" op. Het kan nuttig zijn om verschillende contracten of leveranciers te groeperen naar risicoprofielen. Baseer dit op overwegingen die van invloed zijn op uw bedrijfsvoering bij eventuele verliezen, schade of onderbrekingen, en de capaciteit van waarschijnlijke bedreigingen. Houd rekening met het type dienst/product dat zij leveren, en de aard en gevoeligheid van de informatie die zij verwerken. Elk profiel vereist een iets andere aanpak om uw visie op de bijbehorende risico's te weerspiegelen.

Een voorstel is om een risico- en impactanalyse te maken en uw leveranciers in te delen in:

  • Kritisch (Critical)

  • Essentieel (Essential)

  • Belangrijk (Important)

  • Overig (Other)

Wettelijke naleving

NIS2, DORA en AI-Act stellen eisen aan leveranciersbeveiliging. Organisaties moeten ervoor zorgen dat leveranciers aan deze regelgeving voldoen en basale cyberbeveiligingsmaatregelen implementeren.

2. Krijg grip

Dit onderdeel helpt u om controle te krijgen en te behouden over uw toeleveringsketen. Met betere grip kunt u strategische risico's analyseren, zoals:

  • Het identificeren van leveranciers die niet voldoen aan uw verwachtingen op het gebied van veiligheid en prestaties.

  • Het identificeren van kritieke middelen en mogelijke afhankelijkheid van individuele leveranciers.

2.1 Bepaal minimumeisen

Om consistente en robuuste cyberbeveiliging door de hele toeleveringsketen te garanderen, moeten leveranciers voldoen aan duidelijke, gestandaardiseerde beveiligingseisen gedurende de gehele contractperiode. Deze eisen zijn gebaseerd op internationale standaarden (zoals ISO 27001, NIST CSF, CIS Controls) en afgestemd op het risicoprofiel van uw organisatie.

Het gebruik van gestandaardiseerde controles en analysetools bespaart tijd voor u en uw leveranciers, zeker gezien de toenemende wettelijke eisen (NIS2, DORA, AI-Act, enz.).

De eisen moeten uw risicobeoordeling weerspiegelen, maar ook rekening houden met de volwassenheid van de beveiligingsmaatregelen van uw leveranciers en hun vermogen om aan uw eisen te voldoen. Zorg voor minimumeisen die gerechtvaardigd, proportioneel en haalbaar zijn voor leveranciers.

Voor kritieke leveranciers kan het nodig zijn om diepgaandere controles en beveiligingsaudits uit te voeren. Stel verschillende volwassenheidseisen afhankelijk van het type leverancier en het bijbehorende risico — vermijd dat alle leveranciers hetzelfde niveau moeten leveren als dit niet proportioneel of gerechtvaardigd is. Leg de reden voor deze eisen duidelijk uit aan uw leveranciers, zodat zij begrijpen wat er van hen wordt verwacht.

2.2 Leg eisen vast in contracten

Neem uw minimumeisen voor beveiliging op in contracten met leveranciers en eis dat zij deze ook doorgeven aan eventuele onderaannemers. U kunt eisen dat leveranciers ervoor zorgen dat hun onderaannemers een basisniveau van cyberhygiëne handhaven.

Bewijs

Vraag potentiële leveranciers om bewijs van hun systematische aanpak van cyberbeveiliging en hun vermogen om aan uw minimumeisen te voldoen gedurende de contractperiode.

Ondersteuning bieden

Ontwikkel passende richtlijnen, hulpmiddelen en processen om het beveiligingswerk voor u en uw leveranciers op alle niveaus te vergemakkelijken.

Duidelijke eisen stellen

Formuleer duidelijk de eisen voor het beheer en de rapportage van beveiligingsincidenten in contracten. Maak duidelijk wat de verantwoordelijkheden van de leverancier zijn bij het melden van incidenten, aan wie zij moeten rapporteren, enzovoort. Leveranciers moeten ook weten welke ondersteuning zij van u kunnen verwachten bij een incident, welke herstelmaatregelen nodig zijn en hoe compensaties geregeld zijn. GDPR vereist snelle meldingen aan toezichthouders bij incidenten, iets waar u en uw toeleveringsketen op voorbereid moeten zijn. NIS2 stelt nog strengere termijnen voor deze meldingen.

U dient:

  • Zorgen dat de beveiligingseisen in uw contracten proportioneel zijn en passen bij de verschillende fasen van het contractproces, afgestemd op het belang en de mogelijkheden van de leverancier.

  • Eisen dat beveiligingsoverwegingen in contracten worden vastgelegd en alle betrokkenen worden getraind in het gebruik daarvan.

  • Controleren dat uw richtlijnen, hulpmiddelen en processen in de hele toeleveringsketen worden toegepast.

  • Eisen dat contracten regelmatig worden vernieuwd en dat risico's daarbij opnieuw worden beoordeeld.

  • Zorgen dat leveranciers uw beveiligingsbeleid begrijpen en ondersteunen, en hen verzoeken om waar nodig maatregelen te nemen of informatie te leveren.

  • Zorgen dat contracten duidelijke afspraken bevatten over de terugname en verwijdering van uw informatie en middelen door de leverancier bij beëindiging of overdracht van het contract.

2.3 Opvolging en controle

Een belangrijk onderdeel van veilige toeleveringsketens is ervoor zorgen dat leveranciers gedurende de hele contractperiode voldoen aan de beveiligingseisen. Veel beveiligingsproblemen ontstaan na het afsluiten van het contract, waardoor voortdurende opvolging en audits essentieel zijn. Geautomatiseerde controles en KPI's maken het mogelijk beveiligingsproblemen sneller te signaleren.

Volg op of uw leveranciers actief en systematisch werken aan hun cyberbeveiligingscapaciteiten gedurende de hele contractperiode. Voldoet een leverancier niet aan uw minimumeisen, vraag dan om een actieplan met een tijdschema en aanpak voor verbetering. Geautomatiseerde risicobeoordelingen en continue opvolging zorgen ervoor dat de beveiliging op peil blijft. Het toepassen van Zero Trust-principes en digitale platforms kan de transparantie en veiligheid in de toeleveringsketen vergroten.

Overweeg regelmatige beveiligingsaudits van uw kritieke leveranciers. Vraag bewijs dat zij aan uw minimumeisen voldoen. Als een leverancier een certificaat toont, zoals ISO27001, controleer dan of dit de gehele organisatie dekt en vraag om hun Statement of Applicability om de reikwijdte van hun beveiliging te beoordelen. Dit is extra belangrijk voor organisaties die onder NIS2/DORA vallen, die eisen stellen aan de hele bedrijfsvoering.

3. Bouw veerkracht

Naarmate uw toeleveringsketen zich ontwikkelt, moet u de beveiliging blijven verbeteren en onderhouden.

3.1 Ontwikkel processen voor het beheer van de toeleveringsketen

  • Eis dat leveranciers die cruciaal zijn voor de beveiliging van uw toeleveringsketen via contracten rapporteren over hun beveiligingsprestaties en voldoen aan alle risicobeheerbeleid en processen.

  • Neem het recht op audits op in alle contracten. Dit geeft u het recht om bewijs te vragen dat de leverancier aan zijn verplichtingen voldoet. Gebruik dit recht consequent gedurende de contractperiode.

  • Neem beveiligingseisen op zoals beveiligingsverklaringen, penetratietests, externe audits of formele beveiligingscertificeringen waar passend.

  • Stel KPI's op om de resultaten van uw beveiligingsbeheer in de toeleveringsketen te meten.

  • Beoordeel de resultaten en leerpunten en onderneem actie waar nodig.

  • Stimuleer leveranciers om goede cyberhygiëne te bevorderen.

3.2 Stimuleer voortdurende verbetering

  • Moedig uw leveranciers aan om hun cyberbeveiligingscapaciteiten en cyberhygiëne te blijven verbeteren, en benadruk dat dit hen kan helpen om toekomstige contracten met u en anderen te winnen.

  • Bied advies en ondersteuning aan uw leveranciers bij deze verbeteringen.

  • Vermijd onnodige belemmeringen voor verbeteringen: erken bestaande beveiligingspraktijken of certificeringen die aantonen dat leveranciers aan uw minimumeisen voldoen.

  • Geef leveranciers de tijd om verbeteringen door te voeren, maar vraag om planning en specificaties over hoe ze dit willen realiseren.

  • Luister naar en reageer op problemen die naar voren komen via monitoring, incidenten of rapportage van leveranciers, die kunnen wijzen op onvoldoende effectiviteit van huidige maatregelen.

3.3 Bouw vertrouwen bij leveranciers

Hoewel het redelijk is om te verwachten dat uw leveranciers beveiligingsrisico's conform het contract beheren, moet u bereid zijn ondersteuning te bieden wanneer beveiligingsincidenten uw organisatie of de bredere toeleveringsketen kunnen raken.

  • Streef naar strategische partnerschappen met belangrijke leveranciers, deel problemen, moedig hun input aan en waardeer die. Zorg dat zij uw strategie voor cyberbeveiliging in de toeleveringsketen accepteren en dat deze rekening houdt met hun behoeften en die van u.

  • Laat hen onderaannemers beheren, maar eis passende rapportage om duidelijkheid over de beveiliging in deze relaties te waarborgen.

  • Behoud continue en effectieve communicatie met uw leveranciers.

  • Zie "Supply chain management" als een gezamenlijke verantwoordelijkheid van u en uw leveranciers.

Robert Willborg

Wat digitale soevereiniteit echt betekent

Soevereiniteit is geen geografisch begrip. Het gaat om controle.

Robert Willborg

Van onzekerheidseconomie naar vertrouwen

Een verhaal over een sector die haar kompas verloor.

Robert Willborg

Luchtwaardigheid voor de digitale samenleving

NIS2 wil dat we veilig vliegen, niet dat we formulieren invullen.

Robert Willborg

EU Data Act

Wanneer de EU 'nooduitgangen' bouwt in uw datakorridors (en niemand heeft de borden nog gelezen).
Ga naar de blogpagina