
Cyberrisico’s in de keten - hoe zit dat eigenlijk?
De NIS2 Cyberbeveiligingswet komt eraan en gaat verder dan je denkt. De nieuwe Europese NIS2-richtlijn is een fundamentele verschuiving in hoe organisaties risico’s moeten benaderen. Niet alleen digitale risico’s zoals hacking of datalekken, maar ook risico’s die de continuïteit van een essentiële of belangrijke entiteit in gevaar kunnen brengen. Dit heet de ‘all hazards approach’. Dat betekent: IT, OT, IoT én fysieke risico’s in digitale omgevingen.
We gaan het hier ontrafelen. In begrijpelijke taal. Met heldere voorbeelden. Zodat je als organisatie, als leverancier of als CISO weet wat je te doen staat.
IT-risico’s - Informatie Technologie
De klassiekers, denk aan:
- Ransomware: systemen worden versleuteld, de operatie ligt plat.
- Datalekken: klantgegevens of medische dossiers worden gestolen of gelekt.
- Software die niet wordt onderhouden: updates worden niet uitgevoerd en oudere software is zeer kwetsbaar.
- Onveilige API-koppelingen: bijvoorbeeld bij bedrijven die gebruikmaken van EDI (Electronic Data Interchange) om digitaal bestellingen, facturen of voorraadinformatie uit te wisselen. Dit zijn vaak geen IT-bedrijven, maar gewone logistieke dienstverleners, grondstoffenleveranciers of toeleveranciers.
OT-risico’s - Operationele Technologie
Operationele techniek bestuurt onze machines, fabrieken en infrastructuren. Denk aan:
- Productielijnen die digitaal zijn aangestuurd: als iemand toegang krijgt tot de besturing, kan de productie stilvallen of foutlopen.
- Energie- of waterbeheer: aanvallen op deze systemen kunnen hele regio’s ontregelen.
- Slimme machines in de voedselindustrie: een gehackte verpakkingslijn kan de voedselveiligheid in gevaar brengen.
IoT-risico’s - Internet of Things
Beveiligingscamera’s, sensoren of slimme thermostaten die verbonden zijn met het internet: als deze onveilig zijn, kunnen ze een ingang vormen voor cybercriminelen.
Denk aan:
- Slimme koelsystemen in de voedselketen of sensoren in containers. Vaak lastig te patchen of updaten – en dus een zwakke plek.
Fysieke risico’s in digitale omgevingen
Dit is de meest onderschatte categorie. Maar het staat zwart op wit in de Europese NIS2-tekst: ook fysieke toegang tot systemen hoort bij de risico-inventarisatie.
Voorbeelden:
- Een USB-stick wordt gevonden op het parkeerterrein van het bedrijf. Een medewerker raapt hem op, stopt hem in een systeem – en bam: malware binnen.
- Leveranciers die op locatie komen: monteurs, technici, onderhoudsploegen. Als zij toegang krijgen tot plekken waar IT-, OT- of IoT-systemen staan, vormen ze een risico. Denk aan machines in een productiehal. Die hebben allemaal een USB-poort voor onderhoud. Die is vaak niet beveiligd. Een onbevoegde kan daar een USB-stick insteken en je systeem is gecorrumpeerd. Er zijn voorbeelden van Russische hackers die “locals met access” hiervoor betalen.
- Slechte toegangscontrole: als iedereen zomaar bij een serverkast of industriële controller kan komen, is er géén cyberveiligheid.
Eigen gebouwde applicaties en apps
Er zijn mkb-bedrijven die eigen software maken. Dat is tegenwoordig heel gebruikelijk. Bijvoorbeeld een installatiebedrijf met eigen onderhoudssoftware die ze ook verkopen aan klanten. Met de komst van AI kan iedereen een eigen app bouwen. Dat gebeurt zo vaak dat de IT-afdeling daar zelf geen of weinig zicht op heeft. Vaak hebben de bouwers geen flauw benul van security. Een heel nieuw luik van onveiligheid opent zich hier.
Risico’s stoppen niet bij de muren van je bedrijf
Softwaresystemen en toegang lopen vaak ver buiten de muren van je eigen bedrijf. De NIS2-richtlijn vraagt een brede blik. Je moet risico’s in kaart brengen, niet alleen op basis van bedrijfstype, maar op basis van wat een bedrijf doet binnen jouw keten. Zoals ook het Nationaal Cyber Security Centrum (NCSC) stelt bij maatregel 7 over ketenafhankelijkheid: ‘Breng risico’s in de keten in kaart en neem maatregelen die bij jouw keten passen’. Even wennen voor CISO’s, juristen en bedrijven die al ISO27001 hebben.
De NIS2-richtlijn is een wake-up call. Je kunt helaas niet alles afdekken met beleid en documentatie. De realiteit is complexer: leveranciers hebben toegang, systemen hangen aan elkaar, fysieke en digitale werelden zijn verweven. Je kunt deze risico’s niet meer ontkennen. Zeker niet in sectoren met essentiële NIS2-entiteiten zoals ziekenhuizen, waterleidingbedrijven, energievoorziening of vitale infrastructuur. Daar moet alles blijven draaien.
NIS2 = all hazards
De ‘all hazards’-aanpak van NIS2 is logisch. En nodig. Niet elk risico is de standaard hacker die je verwacht. Soms is het een vergeten USB-stick, een onderaannemer met verouderde software of een koelwagen met een slecht beveiligde IoT-sensor.
Wil je aantoonbaar veilig zijn, dan moet je:
- Begrijpen waar je kwetsbaar bent – digitaal, operationeel én fysiek.
- Weten wie je partners en leveranciers zijn – en hoe veilig zíj werken.
- De risico’s beheersen, passend bij jouw keten, branche en rol.
NIS2 is all-hazards en dat is geen dreiging, maar een kans je hele keten écht veiliger te maken. Informeer directe leveranciers dat zij ook aan de slag moeten. De meeste inspanningen zijn voornamelijk gericht op het beveiligen van het eigen bedrijf. Geef ze alvast een seintje voor het implementeren van de NIS2 Cyberbeveiligingswet.
Zelf cybermaatregelen treffen of fraude melden?
Ongeveer 1 op de 5 ondernemers krijgt te maken met cybercriminaliteit. Zo’n cyberincident kan grote gevolgen hebben voor de bedrijfsvoering, klanten, leveranciers of reputatie. Het treffen van passende maatregelen is daarom van belang voor elke onderneming.
- Leer meer over de 4-in-1-cyberoplossing Cyber Veilig & Zeker en verlaag jouw cyberrisico's.
- Bekijk slimme tools, handige artikelen en cyberwebinars op onze Veilig ondernemen-pagina.
- Meld fraude bij ons, ook bij twijfel, waarna onze helpdesk je direct verder helpt.