Supply Chain Risk Assessment: hoe werkt het?
Vrijwel elke organisatie is afhankelijk van leveranciers, dienstverleners en software van derden. Die afhankelijkheid brengt risico's met zich mee: een kwetsbaarheid bij een leverancier kan direct gevolgen hebben voor jouw bedrijfscontinuiteit en databeveiliging. Onze Supply Chain Risk Assessment brengt deze risico's in kaart en geeft concrete aanbevelingen om je leveranciersketen te versterken.
Wat is een Supply Chain Risk Assessment?
Een Supply Chain Risk Assessment is een gestructureerde beoordeling van de cybersecurity-risico's die ontstaan via je leveranciersketen. Het assessment analyseert drie kernaspecten: je leverancierslandschap (wie zijn je leveranciers en hoe kritiek zijn ze), je huidige beheersmaatregelen (welke controles heb je al ingericht) en je afhankelijkheden en risicoscenario's (hoe hard raakt een incident je).
Het doel is niet om elke leverancier individueel te auditen, maar om een overkoepelend beeld te geven van de volwassenheid van je supply chain risk management. Daarmee identificeer je de grootste lacunes en kun je gericht prioriteiten stellen.
Supply chain aanvallen behoren tot de meest impactvolle cyberdreigingen van dit moment. Bij de SolarWinds-aanval werden meer dan 18.000 organisaties getroffen via een enkele gecompromitteerde software-update. De Kaseya VSA-aanval trof honderden MSP-klanten tegelijk. En de Log4j-kwetsbaarheid toonde aan hoe een enkele open-source component de volledige software supply chain kan ontwrichten. Deze incidenten onderstrepen waarom supply chain security niet langer optioneel is.
Methodologie en frameworks
Onze Supply Chain Risk Assessment is gebaseerd op drie toonaangevende standaarden en richtlijnen:
- NIST SP 800-161 (Cybersecurity Supply Chain Risk Management Practices) -- het meest uitgebreide framework voor supply chain risk management. NIST SP 800-161 biedt een systematische aanpak voor het identificeren, beoordelen en mitigeren van risico's in de ICT-supply chain. Het framework behandelt de volledige levenscyclus: van leveranciersselectie tot exit-strategie.
- NIS2 Artikel 21(2)(d) -- de Europese NIS2-richtlijn verplicht essentiële en belangrijke entiteiten expliciet om de beveiliging van hun toeleveringsketen te beheren. Dit omvat risicobeoordeling van directe leveranciers, security-eisen in contracten en incidentmeldingsafspraken.
- ENISA Supply Chain Best Practices -- het EU-cybersecurityagentschap ENISA publiceert richtlijnen voor het beoordelen en verbeteren van supply chain security, met speciale aandacht voor de Europese context en sectorspecifieke dreigingen.
Het assessment beoordeelt de volledige supply chain security lifecycle: van het in kaart brengen van leveranciers, via het inrichten van beheersmaatregelen, tot het plannen van responses op supply chain incidenten. Door deze drie frameworks te combineren, bieden we een beoordeling die zowel internationaal erkend als NIS2-compliant is.
De drie stappen van het assessment
Het assessment bestaat uit drie stappen die samen een volledig beeld geven van je supply chain risicoprofiel. Elke stap bevat meerdere vragen die automatisch worden gewogen en gescoord.
In de eerste stap brengen we je leverancierslandschap in kaart. Je geeft aan hoeveel kritieke leveranciers je hebt (1-5, 6-20, 21-50 of 50+) en welke typen leveranciers in je keten zitten: cloud- en SaaS-providers, IT-dienstverleners (MSP/MSSP), softwareleveranciers, hardwareleveranciers, dataverwerkers en fysieke toeleveranciers.
Het risico van je supply chain begint met weten wie erin zit. Een organisatie met vijf leveranciers heeft een fundamenteel ander risicoprofiel dan een organisatie met vijftig. Evenzo verhoogt de aanwezigheid van MSP's en cloudproviders -- die vaak geprivilegieerde toegang tot je systemen hebben -- het risico aanzienlijk ten opzichte van puur fysieke toeleveranciers.
In de tweede stap inventariseren we welke supply chain security maatregelen je al hebt ingericht. We vragen naar acht kernmaatregelen: leveranciersrisicobeoordeling bij onboarding, periodieke herbeoordeling, contractuele security-eisen (SLA), right-to-audit clausules, leveranciersincidentmelding, SBOM-vereisten (Software Bill of Materials), monitoring van de beveiligingsstatus van leveranciers en een exit-strategie per kritieke leverancier. Daarnaast vragen we of je security-certificeringen van leveranciers vereist -- altijd, alleen voor kritieke leveranciers, of niet.
Zonder structurele beheersmaatregelen is supply chain risk onzichtbaar. Je kunt pas leveranciersrisico's beheersen als je weet welke controles aanwezig zijn en waar de lacunes zitten. Veel organisaties hebben wel contractuele afspraken, maar missen continue monitoring of een exit-strategie -- precies de gebieden waar NIS2 extra aandacht aan besteedt.
In de derde stap beoordelen we hoe afhankelijk je organisatie is van haar belangrijkste leveranciers en welke risicoscenario's relevant zijn. Je geeft aan hoe afhankelijk je bent van je top-3 leveranciers (laag, gemiddeld, hoog of kritiek) en welke scenario's je overweegt: leverancier gehackt, leverancier failliet, malafide software-update, compliance-schending of geopolitiek risico.
Concentratierisico bepaalt hoe hard een supply chain incident je raakt. Een organisatie die kritiek afhankelijk is van drie leveranciers zonder alternatieven, loopt bij uitval een existentieel risico. Door de impactscenario's expliciet te benoemen, wordt duidelijk welke risico's de meeste aandacht verdienen in je mitigatiestrategie.
Wat krijg je als resultaat?
Na het doorlopen van de drie stappen berekent het assessment automatisch je supply chain risicoprofiel. De resultaten bestaan uit vier onderdelen:
- Supply chain risicoscore -- een overkoepelende score die aangeeft hoe goed je supply chain risk management is ingericht. De score wordt visueel weergegeven met een risicoindicatie: laag, gemiddeld, hoog of kritiek.
- Categoriescores -- afzonderlijke scores per beoordeeld domein (leverancierslandschap, beheersmaatregelen, afhankelijkheden), zodat je precies ziet waar de sterkste en zwakste punten liggen.
- Risicokaart -- een visuele weergave van je supply chain risico's, waarmee je in een oogopslag ziet welke gebieden de meeste aandacht verdienen.
- Aanbevelingen -- geprioriteerde verbeterpunten op basis van jouw specifieke antwoorden. De aanbevelingen zijn concreet en direct uitvoerbaar.
Het gratis rapport
- Volledige supply chain risicoscore met kleurindicatie
- Overzicht van sterke punten in je huidige aanpak
- Identificatie van de belangrijkste zwakke punten en lacunes
- Geprioriteerd verbeteradvies om direct mee aan de slag te gaan
Na het invullen van het assessment kun je het rapport direct per e-mail ontvangen als PDF. Het gratis rapport geeft een helder overzicht van je huidige supply chain security posture en de belangrijkste verbeterpunten. Het is geschikt als startpunt voor interne discussies over leveranciersrisicobeheer.
Premium Supply Chain Assessment
- Leveranciersrisicoclassificatie: kritiek, hoog, midden en laag -- per leverancierscategorie
- Gap-analyse tegen NIST SP 800-161 en NIS2 Artikel 21(2)(d)
- Security-eisentemplate per leverancierscategorie, direct bruikbaar in contracten
- SBOM-eisen en software supply chain analyse
- Integratie- en afhankelijkheidskaart van je leverancierslandschap
- Compleet leveranciersbeleid als professioneel PDF-rapport
Het premium rapport gaat aanzienlijk dieper dan de gratis versie. Waar het gratis rapport een risicoscore en verbeterpunten biedt, levert het premium rapport een compleet supply chain risk management programma op. De leveranciersrisicoclassificatie helpt je om de juiste beheersmaatregelen toe te passen op de juiste leveranciers. De gap-analyse toont precies waar je afwijkt van NIST SP 800-161 en wat NIS2 van je verwacht. En de security-eisentemplates kun je direct gebruiken in contractonderhandelingen met leveranciers.
De SBOM-analyse is bijzonder waardevol voor organisaties die software afnemen of ontwikkelen. Een SBOM maakt transparant welke componenten en bibliotheken in software zitten, zodat je bij een nieuwe kwetsbaarheid (zoals Log4j) direct kunt vaststellen of je geraakt bent. Het premium rapport bevat concrete SBOM-eisen die je aan softwareleveranciers kunt stellen.
Gratis vs. premium vergelijking
| Onderdeel | Gratis | Premium |
|---|---|---|
| Supply chain risicoscore | ✓ | ✓ |
| Sterke en zwakke punten | ✓ | ✓ |
| Prioriteitsadvies | ✓ | ✓ |
| Leveranciersrisicoclassificatie per categorie | ✕ | ✓ |
| Gap-analyse NIST SP 800-161 & NIS2 | ✕ | ✓ |
| Security-eisentemplate per leverancierscategorie | ✕ | ✓ |
| SBOM-eisen en software supply chain analyse | ✕ | ✓ |
| Integratie- en afhankelijkheidskaart | ✕ | ✓ |
| Compleet leveranciersbeleid PDF | ✕ | ✓ |
Veelgestelde vragen
Wat is supply chain risk?
Supply chain risk omvat alle cybersecurity-dreigingen die ontstaan via leveranciers, dienstverleners en software van derden. Een kwetsbaarheid of incident bij een leverancier kan direct leiden tot een datalek, operationele verstoring of compliance-schending bij jouw organisatie. Het risico is vaak groter dan organisaties inschatten, omdat leveranciers regelmatig geprivilegieerde toegang hebben tot systemen en data.
Waarom is supply chain security belangrijk?
Meer dan 60% van alle cyberincidenten heeft inmiddels een supply chain-component. De SolarWinds-aanval (2020), Kaseya VSA-aanval (2021) en Log4j-kwetsbaarheid (2021) hebben aangetoond dat een enkele gecompromitteerde leverancier duizenden organisaties tegelijk kan treffen. NIS2 erkent dit risico en verplicht organisaties daarom expliciet om supply chain risk management in te richten. Zonder inzicht in je leveranciersrisico's is je eigen beveiliging onvolledig, hoe sterk die intern ook is.
Wat zijn de grootste supply chain dreigingen?
De vijf grootste supply chain dreigingen zijn: (1) malafide software-updates waarbij een aanvaller kwaadaardige code injecteert in een legitieme update, (2) gecompromitteerde leveranciers die als springplank naar jouw netwerk dienen, (3) dataverwerkers die persoonsgegevens lekken met AVG-boetes als gevolg, (4) leveranciers die failliet gaan waardoor kritieke diensten wegvallen en (5) geopolitieke risico's zoals sancties of datalokaliteitseisen die de continuiteit van de dienstverlening bedreigen.
Hoe beoordeel je leveranciers op security?
Een gedegen leveranciersbeoordeling combineert meerdere methoden: security-vragenlijsten, controle van certificeringen (ISO 27001, SOC 2, NEN 7510), contractuele security-eisen, right-to-audit clausules en continue monitoring van de beveiligingsstatus. Kritieke leveranciers verdienen een diepgaandere assessment dan niet-kritieke leveranciers. De frequentie van herbeoordeling hangt af van de risicoclassificatie: minimaal jaarlijks voor kritieke leveranciers.
Wat is een SBOM?
Een SBOM (Software Bill of Materials) is een gestructureerd overzicht van alle componenten, bibliotheken en afhankelijkheden in een softwareproduct. Het is vergelijkbaar met een ingredientenlijst op een voedselverpakking. Bij een nieuwe kwetsbaarheid -- zoals de Log4j-kwetsbaarheid in december 2021 -- kun je dankzij een SBOM direct vaststellen of jouw software geraakt is. Steeds meer organisaties en overheden vereisen SBOMs van hun softwareleveranciers als onderdeel van supply chain security.
Wat eist NIS2 voor supply chain?
NIS2 Artikel 21(2)(d) verplicht essentiële en belangrijke entiteiten om de beveiliging van hun toeleveringsketen te beheren. Concreet betekent dit: risicobeoordeling van directe leveranciers en dienstverleners, security-eisen in contracten, afspraken over incidentmelding door leveranciers, periodieke herbeoordeling van leveranciersrisico's en aandacht voor de kwaliteit van cybersecurityproducten en -diensten die je afneemt. Niet-naleving kan leiden tot boetes tot 10 miljoen euro of 2% van de wereldwijde omzet.
Hoe vaak moet je leveranciers herbeoordelen?
De frequentie hangt af van de risicoclassificatie van de leverancier. Kritieke leveranciers -- leveranciers met directe toegang tot je systemen of data -- verdienen minimaal een jaarlijkse herbeoordeling. Daarbovenop is een ad-hoc beoordeling nodig bij significante wijzigingen (nieuw contract, fusie, incident). Niet-kritieke leveranciers kun je elke twee tot drie jaar herbeoordelen. Continu monitoren van certificeringen en publiek bekende incidenten is voor alle leveranciersklassen aan te raden.
Wat doe je als een leverancier gehackt wordt?
Stap 1: activeer je incident response plan en isoleer waar mogelijk de verbindingen met de getroffen leverancier. Stap 2: beoordeel de impact -- welke data en systemen zijn potentieel geraakt? Stap 3: informeer relevante stakeholders, je privacyfunctionaris en indien nodig de toezichthouder (AP, sectorale toezichthouder). Stap 4: documenteer alle bevindingen en acties. Na het incident voer je een root cause analysis uit, herzie je de leveranciersrisicoclassificatie en pas je waar nodig de beheersmaatregelen aan.