NIS2: beveiliging van de toeleveringsketen

Uw zwakste schakel is niet intern

De SolarWinds-aanval van 2020 demonstreerde het verwoestende effect van supply chain compromittering: één kwetsbare leverancier bracht duizenden organisaties in gevaar. NIS2 trekt hier consequenties uit door beveiliging van de toeleveringsketen als een van de kernverplichtingen op te nemen.

Artikel 21(2)(d) van de NIS2-richtlijn is expliciet: organisaties moeten de cybersecurityrisico's van hun directe leveranciers en dienstverleners beoordelen en beheren. In Nederland zal de Cyberbeveiligingswet dit verder concretiseren.

Waarom supply chain security verplicht wordt

De cijfers spreken voor zich:

• 62% van alle cyberaanvallen in Europa maakt gebruik van de toeleveringsketen (ENISA 2024)
• De gemiddelde kosten van een supply chain aanval zijn 3,5x hoger dan een directe aanval
• 73% van organisaties heeft onvoldoende zicht op de cybersecurity van hun leveranciers

NIS2 erkent dat een organisatie niet veiliger is dan haar zwakste leverancier. Daarom worden organisaties verplicht om verder te kijken dan hun eigen muren.

Wat NIS2 concreet eist

Risicobeoordelingen

Voer regelmatige risicobeoordelingen uit van uw kritieke leveranciers. Focus op:

• Technische beveiligingsmaatregelen die de leverancier implementeert
• Toegang tot uw systemen die de leverancier heeft
• Data-uitwisseling en de beveiliging daarvan
• Certificeringen en audit-resultaten van de leverancier
• Incidenthistorie en responstijd bij eerdere voorvallen

Contractuele borging

NIS2 verwacht dat beveiligingseisen contractueel worden vastgelegd. Dit gaat verder dan een standaard verwerkersovereenkomst onder de AVG.

Elementen die in leverancierscontracten thuishoren:

| Element | Toelichting | |---|---| | Beveiligingsstandaarden | Minimale eisen (bijv. ISO 27001, SOC 2) | | Incidentmelding | Meldtermijnen bij security incidents | | Audit-recht | Recht om beveiligingsmaatregelen te inspecteren | | Patchmanagement | Maximale termijnen voor beveiligingsupdates | | Toegangsbeheer | MFA, least privilege, logging van toegang | | Exit-clausule | Veilige overdracht/verwijdering data bij beëindiging | | Onderaanneming | Goedkeuring en eisen voor sub-toeleveranciers |

Continue monitoring

Eenmalige beoordeling volstaat niet. NIS2 vereist een doorlopend proces:

1. Inventarisatie — houd een actueel register bij van alle ICT-leveranciers en hun kriticaliteit
2. Classificatie — bepaal welke leveranciers toegang hebben tot kritieke systemen of data
3. Beoordeling — voer periodieke assessments uit (minimaal jaarlijks voor kritieke leveranciers)
4. Monitoring — volg beveiligingsstatus van leveranciers actief (certificeringen, incidenten, kwetsbaarheden)
5. Evaluatie — herbeoordeel bij significante wijzigingen (nieuwe diensten, fusies, incidenten)

Het leveranciers-risicoframework

Stap 1: Categoriseer uw leveranciers

Niet elke leverancier vormt hetzelfde risico. Categoriseer op basis van:

• Kriticaliteit: welke impact heeft uitval van deze leverancier op uw bedrijfsvoering?
• Toegangsniveau: heeft de leverancier directe toegang tot uw systemen of data?
• Data-gevoeligheid: welke gegevens worden gedeeld of verwerkt?

Stap 2: Definieer minimumnormen per categorie

| Risico | Minimumnorm | Frequentie assessment | |---|---|---| | Hoog | ISO 27001 + pentest + audit-recht | Halfjaarlijks | | Midden | Beveiligingsvragenlijst + certificering | Jaarlijks | | Laag | Standaard contractuele eisen | Bij contractvernieuwing |

Stap 3: Implementeer het assessment

Gebruik gestandaardiseerde vragenlijsten die aansluiten bij NIS2-vereisten. Het NCSC biedt referentiemodellen die als basis kunnen dienen.

Kerngebieden:

• Governance en organisatie
• Technische beveiligingsmaatregelen
• Incidentmanagement
• Bedrijfscontinuïteit
• Personeelsbeveiliging
• Fysieke beveiliging

Stap 4: Handel op bevindingen

Een assessment zonder opvolging is zinloos. Stel actieplannen op voor geïdentificeerde risico's en volg de voortgang.

Software supply chain: een bijzonder risico

Naast traditionele leveranciers verdient de software supply chain extra aandacht:

• Open source componenten — controleer op bekende kwetsbaarheden (CVE's)
• Software Bill of Materials (SBOM) — eis transparantie over gebruikte componenten
• Build pipeline security — verifieer de integriteit van software-updates
• Code signing — verifieer de authenticiteit van software

De Log4Shell-kwetsbaarheid in december 2021 toonde aan hoe één kwetsbaar open source component miljoenen systemen wereldwijd kan treffen.

Samenwerking in de keten

NIS2 moedigt sectorale samenwerking aan op het gebied van supply chain security. In Nederland zijn er diverse initiatieven:

• ISAC's (Information Sharing and Analysis Centers) — sectorspecifieke platforms voor het delen van dreigingsinformatie
• Dutch Security and IT Cloud Community — best practices voor cloudbeveiliging
• NCSC-samenwerkingsverbanden — publiek-private partnerships

Praktische tips

1. Begin met een inventarisatie — u kunt niet beveiligen wat u niet kent
2. Prioriteer op risico — niet elke leverancier vergt dezelfde aandacht
3. Automatiseer waar mogelijk — gebruik tools voor continue monitoring van leveranciersstatus
4. Communiceer proactief — bespreek NIS2-vereisten met uw leveranciers vóór contractvernieuwing
5. Documenteer — bewaar assessments, beslissingen en communicatie als bewijs van compliance

Nederlandse ondersteuning en hulpmiddelen

Het NCSC biedt diverse hulpmiddelen voor supply chain security in de Nederlandse context. De factsheets over ketenafhankelijkheden en de richtlijnen voor leveranciersbeheer zijn specifiek afgestemd op de Nederlandse markt en wetgeving.

Het Digital Trust Center (DTC) ondersteunt niet-vitale bedrijven en het MKB met praktische handreikingen voor het beoordelen van leveranciersrisico's. Voor organisaties die niet over een eigen security-afdeling beschikken, biedt het DTC een laagdrempelig startpunt.

Brancheorganisaties zoals Nederland ICT en de ISAC's bieden sectorspecifieke templates voor leveranciersbeoordelingen en contractuele beveiligingseisen. Het gebruik van deze gestandaardiseerde formats versnelt het assessment-proces en zorgt voor vergelijkbaarheid tussen leveranciers.

Scan uw website gratis met WarDek — OWASP, NIS2, AVG, AI Act compliance in één scan.