Supply Chain en Leveranciersrisico
Besluiten Die Schade Beperken
Bestuurlijke rust ontstaat niet door optimisme, maar door heldere verantwoordelijkheid en aantoonbare opvolging.
Voor Supply Chain en Leveranciersrisico werkt sturing alleen met meetbare doelen, duidelijke escalatie en tijdige besluiten.
Zo wordt dit onderwerp geen periodieke discussie, maar een bestuurbaar onderdeel van reguliere bedrijfsvoering.
Directe maatregelen (15 minuten)
Waarom dit telt
De kern van Supply Chain en Leveranciersrisico is risicoreductie in de praktijk. Technische context ondersteunt de maatregelkeuze, maar implementatie en borging staan centraal.
Waarom neemt supply chain-risico toe?
Drie ontwikkelingen maken leveranciersrisico tot een van de grootste uitdagingen van dit moment.
Toenemende afhankelijkheid. Organisaties gebruiken steeds meer externe software, clouddiensten en gespecialiseerde leveranciers. Een gemiddeld middelgroot bedrijf heeft tientallen tot honderden leveranciers met directe of indirecte toegang tot systemen of gegevens. Elke leverancier is een potentiele toegangspoort.
Schaalvoordeel voor aanvallers. Waarom duizend organisaties apart aanvallen als u via een leverancier duizend organisaties tegelijk kunt raken? Supply chain-aanvallen zijn efficienter. Een aanvaller investeert een keer in het compromitteren van een leverancier en oogst bij al diens klanten.
Vertrouwen als kwetsbaarheid. Software-updates van een vertrouwde leverancier worden doorgaans zonder argwaan geinstalleerd. Dat vertrouwen is precies wat aanvallers exploiteren. De kwaadaardige code komt binnen via een kanaal dat expliciet als veilig wordt beschouwd.
Typen supply chain-risico
Supply chain-risico is breder dan alleen gehackte software. Het helpt om de verschillende typen te kennen, zodat u weet waar u moet kijken.
| Type | Wat het inhoudt | Voorbeeld |
|---|---|---|
| Software supply chain | Kwaadaardige code in software-updates, libraries of open-source componenten. Zie ook CI/CD-pipeline hardening voor de technische kant van dit risico | SolarWinds (kwaadaardige update van netwerkbeheertool), Log4j (kwetsbaarheid in veelgebruikte open-source library) |
| Dienstverleners | Leveranciers met toegang tot uw netwerk of gegevens worden gecompromitteerd | IT-beheerder met beheerdersrechten op uw systemen wordt gehackt, MSP als springplank naar klanten (Kaseya) |
| Clouddiensten | Kwetsbaarheden of configuratiefouten bij uw cloudprovider raken uw gegevens | Datalek bij SaaS-leverancier, onveilige standaardinstellingen in cloudomgevingen |
| Hardware | Gecompromitteerde hardware of firmware die al bij levering een achterdeur bevat | Gemanipuleerde netwerkapparatuur, chips met ingebouwde kwetsbaarheden |
| Gegevensverwerking | Leveranciers die uw (klant)gegevens verwerken en onvoldoende beveiligd zijn | MOVEit (bestandsuitwisselingsplatform), salarisverwerker met datalek |
Inzicht: Het meest onderschatte risico zit vaak bij de indirecte leveranciers – de leveranciers van uw leveranciers. U heeft een contract met partij A, maar partij A besteedt werk uit aan partij B, die weer een clouddienst van partij C gebruikt. Heeft u zicht op die hele keten?
Leveranciersrisico beoordelen
U hoeft geen securityexpert te zijn om de juiste vragen te stellen. Een gestructureerde beoordeling van uw leveranciers begint met begrijpen wat u hen toevertrouwt en hoe zij daarmee omgaan.
De vijf kernvragen
Welke gegevens of systemen heeft deze leverancier toegang tot? Hoe gevoeliger de gegevens en hoe breder de toegang, hoe hoger het risico.
Hoe is de beveiliging van de leverancier georganiseerd? Hebben zij een informatiebeveiligingsbeleid? Worden zij onafhankelijk geaudit? Hebben zij relevante certificeringen?
Wat gebeurt er als de leverancier gehackt wordt? Heeft de leverancier een incidentresponsplan? Hoe snel worden u als klant geinformeerd? Wat zijn de contractuele afspraken hierover?
Hoe beheert de leverancier zijn eigen leveranciers? Supply chain-risico is een keten. Als uw leverancier zijn eigen toeleveranciers niet beoordeelt, heeft u een blind punt.
Wat is het exitplan? Kunt u overstappen naar een andere leverancier als het misgaat? Of zit u vast aan een partij die onvervangbaar is?
Contractuele beveiligingseisen
Goede afspraken op papier vervangen geen goede beveiliging, maar ze geven u wel een grondslag om eisen te stellen, te controleren en – als het misgaat – verantwoordelijkheden vast te stellen.
Wat hoort er minimaal in een leverancierscontract?
| Onderwerp | Wat u vastlegt | Waarom het belangrijk is |
|---|---|---|
| Beveiligingsnormen | Leverancier voldoet aan ISO 27001, SOC 2 of een vergelijkbaar raamwerk | Geeft een baseline voor het beveiligingsniveau |
| Meldplicht bij incidenten | Leverancier meldt beveiligingsincidenten binnen een afgesproken termijn (bijv. 24 uur) | Zonder snelle melding kunt u niet tijdig reageren en kunt u uw eigen meldplichten niet naleven |
| Auditrecht | U heeft het recht om (of door een derde partij te laten) de beveiliging van de leverancier te controleren | Vertrouwen is goed, controle is noodzakelijk |
| Subverwerkers | Leverancier informeert u over en vraagt goedkeuring voor het inschakelen van subleveranciers | Voorkomt dat uw gegevens bij onbekende partijen terechtkomen |
| Gegevensverwerking | Een verwerkersovereenkomst conform de AVG die beschrijft welke gegevens worden verwerkt, waarvoor, en hoe lang | Wettelijk verplicht wanneer een leverancier persoonsgegevens voor u verwerkt |
| Exit en dataretentie | Afspraken over teruggave of vernietiging van gegevens bij beeindiging van het contract | Voorkomt dat uw gegevens na het einde van de relatie bij de leverancier blijven slingeren |
| Aansprakelijkheid | Duidelijke afspraken over aansprakelijkheid bij een beveiligingsincident | Voorkomt eindeloze discussies op het slechtst mogelijke moment |
Praktijktip: Veel standaardcontracten van leveranciers bevatten clausules die hun eigen aansprakelijkheid maximaal beperken. Laat contracten met kritieke leveranciers altijd juridisch reviewen met specifieke aandacht voor cybersecurity-bepalingen.
NIS2 en de supply chain-verplichting
De Europese NIS2-richtlijn, die in Nederland via de Cyberbeveiligingswet wordt geimplementeerd, stelt expliciet eisen aan het beheer van supply chain-risico. Dit is niet vrijblijvend – het is een wettelijke verplichting voor organisaties die onder de richtlijn vallen.
Wat NIS2 vereist:
- Organisaties moeten de cybersecurityrisico’s in hun leveranciersketen beoordelen en beheersen
- Dit omvat directe leveranciers en kritieke dienstverleners
- Beveiligingseisen moeten contractueel worden vastgelegd
- Organisaties moeten rekening houden met de specifieke kwetsbaarheden van elke leverancier
- Er moet aandacht zijn voor de kwaliteit van producten en de cybersecuritypraktijken van leveranciers
Wat dit in de praktijk betekent voor bestuurders:
Supply chain-risicobeheer is niet langer iets dat u “zou moeten doen” – het is iets dat u moet doen. Toezichthouders kunnen handhaven, en bij een incident wordt beoordeeld of u aantoonbaar aan uw zorgplicht heeft voldaan. “We vertrouwden onze leverancier” is geen verweer meer.
Leveranciers indelen naar risiconiveau
Niet elke leverancier verdient dezelfde mate van aandacht. Een kantoorplantenleverancier heeft een ander risicoprofiel dan uw cloudhostingpartij. Door leveranciers in te delen in risiconiveaus, kunt u uw beperkte tijd en middelen richten op waar het ertoe doet.
| Tier | Criteria | Voorbeelden | Beoordelingsfrequentie | Maatregelen |
|---|---|---|---|---|
| Tier 1 – Kritiek | Directe toegang tot uw netwerk of gevoelige gegevens, bedrijfskritische dienstverlening, moeilijk vervangbaar | Cloudhostingprovider, IT-beheerbedrijf, ERP-leverancier, salarisverwerker | Jaarlijkse audit of assessment, continue monitoring | Uitgebreide contractuele eisen, regelmatige audits, incidentresponsoefeningen samen, exitplan |
| Tier 2 – Significant | Beperkte toegang tot systemen of gegevens, belangrijk maar niet bedrijfskritisch, vervangbaar met inspanning | SaaS-applicaties, communicatieplatformen, externe consultants met systeemtoegang | Jaarlijkse vragenlijst, periodieke review | Contractuele beveiligingseisen, certificeringseis, jaarlijkse beoordeling |
| Tier 3 – Laag | Geen directe toegang tot systemen of gevoelige gegevens, makkelijk vervangbaar | Kantoorbenodigdheden, schoonmaakbedrijf (tenzij zij fysieke toegang hebben tot serverruimtes), marketingbureau zonder gegevenstoegang | Eenmalige beoordeling bij contractsluiting, herziening bij contractverlenging | Standaard inkoopvoorwaarden met basale beveiligingsclausules |
Let op: De indeling is niet statisch. Een leverancier kan van tier veranderen wanneer de relatie verandert – bijvoorbeeld wanneer een marketingbureau toegang krijgt tot klantgegevens voor een campagne. Herzie de indeling minimaal jaarlijks.
Leveranciers monitoren en auditen
Een beoordeling bij contractsluiting is een beginpunt, geen eindpunt. Leveranciers veranderen. Hun beveiliging kan verslechteren. Hun personeel wisselt. Ze worden overgenomen door een andere partij. Daarom is doorlopend toezicht noodzakelijk.
Methoden voor leveranciersmonitoring
| Methode | Wat het oplevert | Inspanning | Geschikt voor |
|---|---|---|---|
| Vragenlijst (self-assessment) | Inzicht in het beveiligingsbeleid en de maatregelen van de leverancier, op basis van hun eigen verklaring | Laag | Alle tiers, jaarlijks |
| Certificeringseis (ISO 27001, SOC 2) | Onafhankelijke bevestiging dat de leverancier aan een erkend beveiligingsraamwerk voldoet | Laag (voor u) | Tier 1 en 2 |
| Onafhankelijke audit (third-party assessment) | Diepgaande controle door een onafhankelijke partij | Hoog | Tier 1, bij kritieke leveranciers |
| Continu monitoring-platform | Geautomatiseerde monitoring van de externe beveiligingsstatus van leveranciers (bijv. SecurityScorecard, BitSight) | Medium (eenmalige opzet) | Tier 1 en 2, doorlopend |
| Pentestrapportage opvragen | Inzicht in de resultaten van beveiligingstesten die de leverancier laat uitvoeren | Laag | Tier 1 |
| Incidenthistorie bespreken | Begrip van hoe de leverancier omgaat met incidenten en wat er in het verleden is voorgevallen | Laag | Tier 1 en 2, jaarlijks |
Praktische checklist: leveranciersbeoordeling
Gebruik deze checklist bij de beoordeling van nieuwe en bestaande kritieke leveranciers.
| Onderwerp | Vraag aan de leverancier | Verwacht antwoord |
|---|---|---|
| Certificering | Beschikt u over een ISO 27001-certificering of SOC 2-rapport? | Ja, met geldig certificaat of rapport |
| Toegangsbeheer | Hoe beheert u de toegang van uw medewerkers tot onze gegevens en systemen? | Rolgebaseerde toegang, principle of least privilege, MFA |
| Incidentrespons | Heeft u een incidentresponsplan en hoe snel meldt u incidenten aan klanten? | Gedocumenteerd plan, melding binnen 24 uur |
| Gegevensbeveiliging | Hoe worden onze gegevens versleuteld, opgeslagen en na contractbeeindiging verwijderd? | Versleuteling in rust en in transit, gedocumenteerd retentie- en vernietigingsbeleid |
| Subverwerkers | Schakelt u derde partijen in die toegang krijgen tot onze gegevens? | Transparant overzicht, voorafgaande goedkeuring vereist |
| Continuiteit | Wat is uw business continuity-plan bij een cyberincident? | Gedocumenteerd plan met herstel-tijden (RTO/RPO) |
| Personeel | Hoe screent en traint u medewerkers die met klantgegevens werken? | Achtergrondcontrole, periodieke security awareness-training |
| Patchbeleid | Hoe snel worden kritieke beveiligingsupdates doorgevoerd? | Kritieke patches binnen 24-48 uur, gedocumenteerd patchbeleid |
| Penetratietesten | Laat u regelmatig penetratietesten uitvoeren en kunt u de resultaten delen? | Minimaal jaarlijks, bereidheid om (samenvatting van) resultaten te delen |
| Verzekering | Heeft u een cyberverzekering? | Ja, met adequate dekking |
Praktijktip: Een leverancier die weigert om beveiligingsvragen te beantwoorden of die geen certificering kan tonen, is een rode vlag. Goede leveranciers begrijpen dat klanten deze vragen stellen en hebben hun antwoorden klaarliggen. Weerstand tegen transparantie is zelden een goed teken.
Wat te doen bij een supply chain-incident
Wanneer een leverancier wordt gecompromitteerd, is snelheid essentieel. U moet tegelijkertijd twee dingen doen: de schade voor uw eigen organisatie beperken en de communicatie met de leverancier en uw eigen stakeholders managen.
Directe acties:
- Beoordeel de impact – welke systemen en gegevens zijn potentieel geraakt via deze leverancier?
- Beperk de toegang – ontkoppel de leverancier van uw netwerk of beperk hun toegangsrechten totdat de situatie duidelijk is
- Activeer uw incidentresponsproces – behandel het als een eigen incident (zie hoofdstuk 7)
- Communiceer met de leverancier – eis duidelijkheid over de aard en omvang van het incident, de genomen maatregelen en de verwachte tijdlijn voor herstel
- Beoordeel uw meldplichten – als persoonsgegevens zijn geraakt, gelden uw eigen meldplichten bij de AP
- Documenteer alles – voor mogelijke juridische procedures, verzekeringsclaims en de evaluatie achteraf
Samenvatting
Supply chain-risico is een van de meest onderschatte dreigingen voor organisaties. Uw eigen beveiliging kan uitstekend zijn, maar als een kritieke leverancier gecompromitteerd wordt, raakt dat u direct. De belangrijkste lessen:
- Uw beveiliging is zo sterk als uw zwakste leverancier – breng in kaart welke leveranciers toegang hebben tot uw systemen en gegevens
- Niet alle leveranciers zijn gelijk – deel ze in op risiconiveau en richt uw aandacht op de kritieke partijen
- Stel de juiste vragen – u hoeft geen technicus te zijn om een leverancier te beoordelen. De vijf kernvragen geven u een solide basis
- Leg het vast in contracten – beveiligingseisen, meldplichten, auditrechten en aansprakelijkheid horen in elk leverancierscontract
- NIS2 maakt het verplicht – supply chain-risicobeheer is een wettelijke verplichting, niet een aanbeveling
- Monitor doorlopend – een beoordeling bij contractsluiting is een begin, geen eindpunt. Leveranciers veranderen, en uw toezicht moet meebewegen
- Bereid u voor op het onvermijdelijke – het is niet de vraag of een van uw leveranciers ooit gecompromitteerd wordt, maar wanneer. Zorg dat u weet wat u dan doet
De kern: U kunt beveiliging uitbesteden, maar u kunt verantwoordelijkheid niet uitbesteden. Wanneer een leverancier gehackt wordt en uw klantgegevens op straat liggen, kijkt de toezichthouder niet naar uw leverancier. Die kijkt naar u.
Verder lezen
Een supply chain-incident brengt niet alleen operationele schade met zich mee – het kan ook aanzienlijke financiele gevolgen hebben, van forensisch onderzoek tot juridische kosten en omzetverlies. Hoe u die financiele risico’s kunt beheersen en wat een cyberverzekering wel en niet dekt, leest u in het volgende hoofdstuk: Cyberverzekeringen.
Doe dit deze maand
| Onderwerp | Ja/Nee | Actie nodig |
|---|---|---|
| U heeft een actueel overzicht van alle leveranciers met toegang tot uw systemen of gegevens | ||
| Leveranciers zijn ingedeeld naar risiconiveau (Tier 1, 2, 3) | ||
| Contracten met Tier 1-leveranciers bevatten beveiligingseisen, meldplichten en auditrechten | ||
| Er is een verwerkersovereenkomst afgesloten met elke leverancier die persoonsgegevens verwerkt | ||
| Tier 1-leveranciers zijn in het afgelopen jaar beoordeeld op hun beveiliging | ||
| Er is een exitplan voor elke kritieke leverancier | ||
| Het supply chain-risicobeheer voldoet aan de NIS2-vereisten (indien van toepassing) | ||
| Er is een procedure voor het ontkoppelen van een gecompromitteerde leverancier |
Verder lezen in de kennisbank
Deze artikelen in het portaal geven je meer achtergrond en praktische context:
- Compliance — regels volgen zonder je verstand te verliezen
- Incident Response — wanneer het misgaat
- Supply chain attacks — het zwakste schakel-probleem
- "Zijn wij een doelwit?"
- Ransomware — digitale gijzeling voor beginners en gevorderden
Je hebt een account nodig om de kennisbank te openen. Inloggen of registreren.
Gerelateerde securitymaatregelen
Deze artikelen bieden aanvullende context en verdieping: