Cyberrisico’s in de keten - hoe zit dat eigenlijk?

We gaan het hier ontrafelen. In begrijpelijke taal. Met heldere voorbeelden. Zodat je als organisatie, als leverancier of als CISO weet wat je te doen staat.

De klassiekers, denk aan:

• Ransomware: systemen worden versleuteld, de operatie ligt plat.
• Datalekken: klantgegevens of medische dossiers worden gestolen of gelekt.
• Software die niet wordt onderhouden: updates worden niet uitgevoerd en oudere software is zeer kwetsbaar.
• Onveilige API-koppelingen: bijvoorbeeld bij bedrijven die gebruikmaken van EDI (Electronic Data Interchange) om digitaal bestellingen, facturen of voorraadinformatie uit te wisselen. Dit zijn vaak geen IT-bedrijven, maar gewone logistieke dienstverleners, grondstoffenleveranciers of toeleveranciers.

Operationele techniek bestuurt onze machines, fabrieken en infrastructuren. Denk aan:

• Productielijnen die digitaal zijn aangestuurd: als iemand toegang krijgt tot de besturing, kan de productie stilvallen of foutlopen.
• Energie- of waterbeheer: aanvallen op deze systemen kunnen hele regio’s ontregelen.
• Slimme machines in de voedselindustrie: een gehackte verpakkingslijn kan de voedselveiligheid in gevaar brengen.

Beveiligingscamera’s, sensoren of slimme thermostaten die verbonden zijn met het internet: als deze onveilig zijn, kunnen ze een ingang vormen voor cybercriminelen.

Denk aan:

• Slimme koelsystemen in de voedselketen of sensoren in containers. Vaak lastig te patchen of updaten – en dus een zwakke plek.

Dit is de meest onderschatte categorie. Maar het staat zwart op wit in de Europese NIS2-tekst: ook fysieke toegang tot systemen hoort bij de risico-inventarisatie.

Voorbeelden:

• Een USB-stick wordt gevonden op het parkeerterrein van het bedrijf. Een medewerker raapt hem op, stopt hem in een systeem – en bam: malware binnen.
• Leveranciers die op locatie komen: monteurs, technici, onderhoudsploegen. Als zij toegang krijgen tot plekken waar IT-, OT- of IoT-systemen staan, vormen ze een risico. Denk aan machines in een productiehal. Die hebben allemaal een USB-poort voor onderhoud. Die is vaak niet beveiligd. Een onbevoegde kan daar een USB-stick insteken en je systeem is gecorrumpeerd. Er zijn voorbeelden van Russische hackers die “locals met access” hiervoor betalen.
• Slechte toegangscontrole: als iedereen zomaar bij een serverkast of industriële controller kan komen, is er géén cyberveiligheid.

Er zijn mkb-bedrijven die eigen software maken. Dat is tegenwoordig heel gebruikelijk. Bijvoorbeeld een installatiebedrijf met eigen onderhoudssoftware die ze ook verkopen aan klanten. Met de komst van AI kan iedereen een eigen app bouwen. Dat gebeurt zo vaak dat de IT-afdeling daar zelf geen of weinig zicht op heeft. Vaak hebben de bouwers geen flauw benul van security. Een heel nieuw luik van onveiligheid opent zich hier.

Softwaresystemen en toegang lopen vaak ver buiten de muren van je eigen bedrijf. De NIS2-richtlijn vraagt een brede blik. Je moet risico’s in kaart brengen, niet alleen op basis van bedrijfstype, maar op basis van wat een bedrijf doet binnen jouw keten. Zoals ook het Nationaal Cyber Security Centrum (NCSC) stelt bij maatregel 7 over ketenafhankelijkheid: ‘Breng risico’s in de keten in kaart en neem maatregelen die bij jouw keten passen’. Even wennen voor CISO’s, juristen en bedrijven die al ISO27001 hebben.

De NIS2-richtlijn is een wake-up call. Je kunt helaas niet alles afdekken met beleid en documentatie. De realiteit is complexer: leveranciers hebben toegang, systemen hangen aan elkaar, fysieke en digitale werelden zijn verweven. Je kunt deze risico’s niet meer ontkennen. Zeker niet in sectoren met essentiële NIS2-entiteiten zoals ziekenhuizen, waterleidingbedrijven, energievoorziening of vitale infrastructuur. Daar moet alles blijven draaien.

De ‘all hazards’-aanpak van NIS2 is logisch. En nodig. Niet elk risico is de standaard hacker die je verwacht. Soms is het een vergeten USB-stick, een onderaannemer met verouderde software of een koelwagen met een slecht beveiligde IoT-sensor.

Wil je aantoonbaar veilig zijn, dan moet je:

• Begrijpen waar je kwetsbaar bent – digitaal, operationeel én fysiek.
• Weten wie je partners en leveranciers zijn – en hoe veilig zíj werken.
• De risico’s beheersen, passend bij jouw keten, branche en rol.

NIS2 is all-hazards en dat is geen dreiging, maar een kans je hele keten écht veiliger te maken. Informeer directe leveranciers dat zij ook aan de slag moeten. De meeste inspanningen zijn voornamelijk gericht op het beveiligen van het eigen bedrijf. Geef ze alvast een seintje voor het implementeren van de NIS2 Cyberbeveiligingswet.