De wereld van informatiebeveiliging is een voortdurende strijd tegen bedreigingen die vanuit elke hoek kunnen komen. De toeleveringsketen kan daarbij niet alleen een potentiële zwakke schakel zijn; het kan ook een kans zijn om weerbaarder te worden. Door van je toeleveranciers en IT-dienstverleners bondgenoten in informatiebeveiliging te maken, transformeer je de potentiële risico's naar versterkingen. Met de komst van de Europese NIS2-richtlijn én Digital Operational Resilience Act (DORA) wordt het bovendien niet alleen verstandig, maar ook verplicht om deze samenwerking serieus te nemen. De scope en reikwijdte van DORA wijkt af van die van NIS2, al komen veel van de verplichtingen rondom de toeleveringsketen hierin terug. Binnen deze blog wordt daar verder niet op ingegaan.
Dat de keten zo sterk is als de zwakste schakel is een gezegde dat zeker in de context van informatiebeveiliging opgaat. De NIS2-richtlijn benadrukt dit door organisaties te verplichten de veiligheid van hun toeleveringsketen grondig aan te pakken. Volgens deze richtlijn moeten organisaties hun leveranciers beoordelen op hun digitale weerbaarheid en de risico’s in kaart brengen. Dit betekent dat je er niet alleen voor kunt kiezen om je keten te versterken, maar dat je dit ook moet doen om aan de wettelijke eisen te voldoen, wanneer jouw organisatie onder de richtlijn valt.
Het proces begint met zicht op de risico’s. Zorg ervoor dat je in kaart hebt gebracht welke risico’s ontstaan bij het afnemen van de diensten van de toeleverancier. Bespreek deze risico’s en leg uit dat kwetsbaarheden binnen hun systemen direct invloed kunnen hebben op jouw organisatie. Alleen door deze transparantie kan er een echt partnerschap ontstaan waarin iedereen zijn rol begrijpt en actief meewerkt aan het beveiligen van de hele keten.
Het maken van afspraken is het fundament van een succesvolle samenwerking. Het is belangrijk om afspraken vast te leggen; niet alleen om duidelijkheid te creëren, maar ook om aan te kunnen tonen dat de afspraken zijn gemaakt. Dit kan het bijvoorbeeld worden vastgelegd in Service Level Agreements (SLA’s). In een SLA leg je niet alleen kritieke prestatie indicatoren (KPI's) vast, maar ook de beveiligingseisen waaraan je leveranciers moeten voldoen om te zorgen dat zowel zij als jij voldoen aan de verplichtingen vanuit de NIS2.
Denk bijvoorbeeld aan afspraken over regelmatige vulnerability scans of pentests, het up-to-date houden van software en het melden van incidenten. Daarnaast kun je eisen dat je toeleverancier voldoet aan specifieke beveiligingscertificeringen (bijv. ISO 27001) of dat hun personeel wordt getraind in cyberveiligheid. Hiermee zorg je ervoor dat de basisbeveiliging van je leveranciers op een passend niveau ligt ten opzichte van je eigen organisatie.
Ook afspraken over bedrijfscontinuïteit, zoals hoe snel systemen na een incident weer operationeel moeten zijn, zijn essentieel. Dit voorkomt dat een incident bij een toeleverancier jouw bedrijfsprocessen langdurig plat legt en zorgt ervoor dat je keten veerkrachtig blijft.
Een keten kan alleen sterk zijn als alle schakels samenwerken. De NIS2-richtlijn onderstreept het belang van samenwerking en het delen van informatie over cyberdreigingen tussen bedrijven en hun toeleveranciers. Dit betekent dat je verder moet kijken dan alleen het ondertekenen van contracten. Regelmatige overleggen met je leveranciers om de beveiligingsmaatregelen te bespreken kan helpen om een echte samenwerkingscultuur te creëren. Overweeg ook gezamenlijke trainingen of simulaties van cyberincidenten door middel van tabletop sessies, zodat iedereen weet wat te doen in geval van een incident. Kostbare tijd gaat verloren wanneer op het moment van een incident de taken en verantwoordelijkheden van ieders rol nog afgestemd moeten worden.
De samenwerking stopt niet bij het opstellen van contracten en het maken van afspraken. Het dreigingslandschap verandert voortdurend. En daarmee ook de risico's voor je toeleveringsketen. Daarom is het belangrijk om de afspraken en procedures regelmatig te evalueren en bij te werken. De NIS2-richtlijn vereist dat organisaties regelmatig de effectiviteit van de maatregelen voor het beheer van risico’s evalueren en aanpassen aan nieuwe bedreigingen en omstandigheden.
Organiseer bijvoorbeeld jaarlijks een evaluatie van de beveiligingsmaatregelen van je toeleveranciers. Maak gebruik van externe audits om een objectieve blik te werpen op de beveiliging van je keten. Deze evaluaties geven niet alleen inzicht in de effectiviteit van je huidige maatregelen, maar bieden ook kansen om zwakke punten aan te pakken en nieuwe bedreigingen voor te blijven.
Met de verplichtingen van de NIS2-richtlijn in gedachten, is het belangrijker dan ooit om je toeleveranciers te zien als bondgenoten in de strijd tegen cyberdreigingen. Door transparantie, samenwerking, duidelijke afspraken en voortdurende evaluatie, maak je van je toeleveringsketen een solide fort dat niet alleen jouw organisatie beschermt, maar ook de weerbaarheid van het gehele ecosysteem waarin je opereert.
Maak van cybersecurity geen eenzame strijd, maar een gezamenlijke missie. Door samen te werken met je toeleveranciers, verander je hen van een potentieel zwakke schakel in een onmisbare bondgenoot in de verdediging van je digitale domein.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.