Ketenbeveiliging - Good Practices

“Een keten is zo sterk als de zwakste schakel.”

Een bekende metafoor die zeker in cybersecurity opgaat. Bedrijven zijn vaak afhankelijk van de (deel)producten of diensten van toeleveranciers. Als bedrijven digitaal met elkaar verbonden zijn, krijgt de afhankelijkheid nog een andere dimensie; een digitaal incident bij de ene organisatie kan grote gevolgen hebben voor de organisatie waarmee het (digitaal) verbonden is. Er zijn voorbeelden genoeg in de recente geschiedenis. Daarom verlangt de Europese NIS2-richtlijn dat 'belangrijke' en 'essentiële' organisaties maatregelen nemen voor de beveiliging van de toeleveringsketen.
 

Maar hoe pak je dat in de praktijk aan?

 

We vroegen het een 6-tal CISO's en ISO's van organisaties uit aan het DTC verbonden ISAC's. Met hun ervaringsverhalen hebben we de hiernavolgende Good Practices samengesteld.

De good practices zijn geschikt voor organisaties die onder het NIS2- of DORA-regime vallen. Maar de toepasbaarheid van de tips zijn zeker niet beperkt tot deze groep organisaties. Elke organisatie die zijn keten wil beveiligen kan  inspiratie halen uit de werkwijze die de bevraagde cybervolwassen organisaties toepassen.

Let op

Elke organisatie is anders, heeft andere processen en een andere organisatiestructuur. Dat maakt dat good practices soms niet goed toepasbaar zijn in jouw keten. Gebruik ze daarom als hulpmiddel, als inspiratie en als uitnodiging om aan de slag te gaan met de beveiliging van jouw keten.

"De aandacht voor digitale dreigingen verschuift richting de bestuurder"

Bestuurders moeten met de inwerkingtreding van de Cyberbeveiligingswet de grotere risico's kunnen beoordelen, ook op het gebied van informatiebeveiliging. Dit vraagt inspanningen van zowel CISO's als bestuurders, vertelt Manager ICT en CISO Peter Baard in een interview. Ook komen de praktische invulling van bestuurdersaansprakelijkheid, meldplicht en ketenverantwoordelijkheid aan de orde.

Ketenbeveiliging in 4 fases

Ketenbeveiliging valt onder te delen in een aantal fases:

1. Voorbereiding

Uit gesprekken met experts binnen cybervolwassen bedrijven zijn good practices voor beveiliging van ketens samengesteld. Het start bij de eigen organisatie.

2. Keten in kaart brengen

In Fase 2 maak je een keteninventarisatie op basis van risico's. Een bedrijfsimpactanalyse kan als basis dienen. Classificeer vervolgens je leveranciers.

3. Afspraken maken

In Fase 3 maak je afspraken met toeleveranciers over de benodigde beveiliging van de keten. Leg vast aan wie welke securityeisen gesteld zijn en wanneer.

4. Naleving

In Fase 4 van ketenbeveiliging ligt de nadruk op periodiek evalueren, testen of controles, ketenoefeningen doen en contact onderhouden met je ketenpartners.

 

Hulpmiddelen en ervaringsdeskundigen

Hulpmiddelen voor beveiliging van NIS2-ketens

Organisaties die onder de Cyberbeveiligingswet vallen moeten zorgdragen voor een veilige keten. Naast good practices uit de praktijk, zijn er ook wat hulpmiddelen zoals een template voor ketenrisicoinventarisatie.

Stel je vragen aan de DTC Community

Het DTC biedt ondernemers en securityprofessionals de mogelijkheid om vragen over de Cyberbeveiligingswet te stellen aan de DTC Community in de NIS2-samenwerkruimte. Meld je aan, stel je vraag of deel je kennis met andere professionals die zich ook met de NIS2-voorbereidingen bezighouden.

10 Zorgplichtmaatregelen

Organisaties die vallen onder de Cyberbeveiligingswet (NIS2) moeten maatregelen nemen om hun netwerk- en informatiesystemen tegen incidenten te beschermen. Hetzelfde geldt voor de fysieke omgeving waarin de systemen zich bevinden. Bekijk wat je moet weten en start bij het NIS2 Startpunt.