7. Hoe maak je een toeleveringsketen veilig?
De keten is zo sterk als de zwakste schakel
Een bekende metafoor die zeker in cybersecurity opgaat. Bedrijven zijn vaak afhankelijk van de (deel)producten of diensten van toeleveranciers. Als bedrijven digitaal met elkaar verbonden zijn, krijgt de afhankelijkheid nog een andere dimensie; een beveiligingslek bij de ene organisatie kan grote gevolgen hebben voor de organisatie waarmee het digitaal verbonden is. Daarom verlangt de Europese NIS2-richtlijn dat 'belangrijke' en 'essentiële' bedrijven en organisaties maatregelen nemen voor de beveiliging van de toeleveringsketen.
Wat kan er in de keten gebeuren?
Er zijn grote verschillen in digitale weerbaarheid tussen bedrijven, sectoren en ketens. Het kan zijn dat de digitale weerbaarheid van jouw bedrijf op orde is, maar je toch aanzienlijke risico’s loopt omdat jouw toeleverancier of (IT-)dienstverlener kwetsbaar is voor cyberrisico’s. Dit is een risico voor de beschikbaarheid, de vertrouwelijkheid en de integriteit van je bedrijfsprocessen, informatie en daarmee jouw hele bedrijf.
Er zijn meerdere soorten digitale supply chain risico’s die jouw bedrijf kunnen aantasten. Deze worden toegelicht aan de hand van een drietal scenario’s:
- Een toeleverancier levert niet meer als gevolg van een digitale aanval;
- Je (IT-)dienstverlener is gehackt en hierdoor heeft de aanvaller mogelijk ook toegang tot jouw (digitale) systemen;
- Er is een kritieke kwetsbaarheid ontdekt in één van de (digitale) producten of diensten die je gebruikt in je bedrijfsproces.
Lees over de 'kaashack', de hack die de Rotterdamse haven platlegde en hoe vijf gemeenten in Limburg hun dienstverlening moesten stopzetten na een hack in de keten.
Beleid voor de toeleveranciersketen
Het is niet eenvoudig om zicht én grip te krijgen op cybersecurity risico's in de toeleveringsketen. Wil je een sterke cyberveilige keten, dan moet je een beleid opstellen waarin je de afhankelijkheidsrelaties met directe leveranciers of dienstverleners in kaart brengt. Richt je ook op de IT-toeleveringsketen om de potentiële geïdentificeerde risico's te beperken.
Als NIS2-organisatie ben je verantwoordelijk voor het identificeren en beperken van de risico’s voor je organisatie. Dit geldt ook de voor de risico’s voortkomend vanuit de keten van toeleveranciers. Het is daarom belangrijk om goede afspraken te maken om zicht te houden op de risico's en indien nodig, te beperken naar een 'te accepteren' risico.
NIS2-zorgplicht
In de Europese NIS2-richtlijn worden zorgplichtmaatregelen vereist voor de beveiliging van de toeleveringsketen met inbegrip van beveiligingsgerelateerde aspecten met betrekking tot de relaties tussen elke organisatie en haar rechtstreekse leveranciers en dienstverleners. Dit staat in artikel 21 lid 2 sub d.
Bereid je voor op de NIS2
Voor de voorbereiding op de Cyberbeveiligingswet die voortkomt uit de NIS2-richtlijn, vind je hier suggesties, handvatten en aandachtspunten. Omdat de zorgplichtmaatregelen nog niet zijn uitgewerkt in de regelgeving, baseren we de suggesties, tips en handreikingen op wat er gangbaar is in de cybersecuritypraktijk. Het uitvoeren of volgen ervan vergroot de cyberweerbaarheid van je organisatie, maar het is geen garantie dat je organisatie al voldoet aan komende wetgeving.
Relevante links en hulpmiddelen
- Supply Chain Security
- ICT-supply chain risicomanagement (NCSC)
- Omgaan met risico's in de toeleveringsketen (NCSC)
- Handreiking ketenrisicoanalyses (IBD)
- Hoe breng ik mijn rechtstreekse leveranciers in kaart? (NCSC)
- Handreiking Ketensamenwerking
- Oefenen in de keten met CCRC
- Assessmentmodel voor ketens met CYRA
Cyberaanval legt Rotterdamse haven dagenlang plat
In de zomer van 2017 werd een containerterminal in de Rotterdamse haven getroffen door een cyberaanval. Een terminal - waar normaal duizenden containers per dag verscheept worden - werd door deze aanval compleet stilgelegd, met grote logistieke problemen als gevolg.
Schepen moesten uitwijken naar andere havens, vrachtwagens konden hun goederen niet kwijt en stonden dagenlang in files en klanten moesten lang op hun spullen wachten. De totale schade liep al snel op tot in de miljoenen euro’s. En het frappante was: de haven was waarschijnlijk niet eens het doelwit van de cyberaanval, maar slechts ‘collateral damage’. Deze cyberaanval is een voorbeeld van hoe een digitale aanval niet alleen schade veroorzaakt bij het doelwit van de cyberaanval, maar grote problemen kan veroorzaken bij andere bedrijven in de keten.
Beleidsplan voor de toeleveranciersketen
Een beleidsplan voor de toeleveringsketen is een strategisch document of beleidsdocument dat uiteenzet:
- Op welke wijze je leveranciers selecteert en contracteert;
- Hoe je de afhankelijkheden in kaart brengt;
- Hoe je de risico's en afhankelijkheden classificeert;
- Hoe je risico's of afhankelijkheden beheerst;
- Hoe je dit periodiek evalueert en herziet.
Bij het afnemen van diensten of producten bij leveranciers vereist de NIS2-richtlijn inzicht in de volgende zaken:
- Kan een leverancier aantonen dat hij voldoet aan de cybersecurityspecificaties die je mogelijk hebt opgelegd?
- Risicoclassificaties (als onderdeel van de risicoanalyse van artikel 21 lid 2 sub a van de NIS2-richtlijn) van de IT-diensten of -producten die worden geleverd;
- Er dient rekening te worden gehouden met artikel 22 lid 1 vanuit de richtlijn, waarbij een gecoördineerde risicobeoordeling van kritieke toeleveranciers wordt uitgevoerd.
De NIS2-Quickscan
De NIS2-Quickscan is een tool voor organisaties die willen weten hoe zij zich kunnen voorbereiden. Deze scan is met name bedoeld voor IT- en cybersecurity-specialisten en -verantwoordelijken binnen organisaties. De scan biedt ook handelingsperspectief: per thema worden technische of organisatorische maatregelen voorgesteld die kunnen bijdragen aan de digitale weerbaarheid van organisaties en aan de voorbereiding op de NIS2.
Afspraken maken met je IT-dienstverlener
Graag bieden we de checklist 'Afspraken maken met je IT-dienstverlener' aan voor het opstellen van een SLA met je IT-leverancier. Zie het als handvatten voor het maken van goede afspraken over het opzetten en beveiligen van je IT-omgeving.
Gesprek met je IT-dienstverlener
Het uitbesteden van IT betekent niet automatisch dat digitale veiligheid geregeld is. De bescherming van jouw data en continuïteit van je bedrijfsprocessen, is een gezamenlijke verantwoordelijkheid. Gebruik de handleiding om hierover in gesprek te gaan.
Handvat voor keteninventarisatie
Gebruik voor het in kaart brengen van de toeleveranciers waar je afhankelijk van bent in kaart. Log de afspraken die je maakt over risico's van een leveringsstop of een digitale kwetsbaarheid samen met de alternatieven, in een handig format.
Maak contractuele afspraken met je toeleverancier(s) en IT-dienstverleners
Omdat je de risico's en afhankelijkheden wilt kunnen beheersen, maak je afspraken met je toeleveranciers. Dat kan onderdeel zijn van een Service Level Agreement (SLA). In deze overeenkomst tussen een klant/afnemer en een dienstverlener/leverancier leg je de verwachte prestatie-indicatoren en responsniveaus vast.
Via goede afspraken met toeleveranciers en externe dienstverleners borg je dat de diensten die je afneemt goed onderhouden worden en voldoende beveiligd zijn. Het moet bijvoorbeeld duidelijk zijn wie verantwoordelijk is voor het uitvoeren van onderhoud, of er periodiek controles worden gedaan op kwetsbaarheden en of je data regelmatig geback-upt worden. Specifiek voor ketenbeveiligingsaspecten kun je in een SLA de volgende afspraken plaatsen:
- Cybervaardigheden en -trainingen die vereist worden;
- Beveiligingscertificeringen;
- Achtergrondverificaties van werknemers;
- Meldplicht voor relevante cyberincidenten;
- Afspraken over bedrijfscontinuïteit en daar bijbehorende reparatieactiviteiten en -tijden;
- Het recht om audits of rapporten in te zien;
- Afspraken over incidentbehandeling;
- Afspraken over beëindiging van de overeenkomst.
Heb je nog geen afspraken vastgelegd met je dienstverlener of toeleverancier, gebruik dan Gesprek met je IT-dienstverlener om een start te maken wanneer je hierover in gesprek gaat.
Effectiviteit en herziening
Het beleidsplan voor de toeleveringsketen wordt periodiek getoetst via een interne onafhankelijk toets of audit, of door een externe partij. Ook wordt het beleidsplan herzien, waarbij rekening wordt gehouden met veranderingen in de organisatie, met het huidige dreigingslandschap en de risico's waarmee je organisatie wordt geconfronteerd. Neem ook de testresultaten op in de herziene versie van het beleidsplan voor de toeleveringsketen.
Hoe inventariseer je supply chain risico's?
De AIVD, CIO Rijk, NCSC en NCTV hebben een handreiking gemaakt voor het inventariseren en beheersen van supply chain risico’s voor producten en diensten uit landen met een offensief cyberprogramma gericht tegen Nederlandse belangen.
Cryptografie is de techniek van het coderen of decoderen van gegevens zodat alleen bevoegden de gegevens kunnen lezen. Het vormt de basis om de vertrouwelijkheid en integriteit van je gegevens te beschermen. Met encryptie versleutel je gegevens op basis van een cryptografisch algoritme.
Gebruik MFA en andere beveiligde communicatie. Voor veilige bedrijfsprocessen is het nodig dat gebruikers, apparaten en andere activa worden geauthentiseerd door middel van meerdere authenticatiefactoren of continue authenticatiemechanismen om toegang te krijgen tot netwerken en informatiesystemen.
Je wilt weten of de genomen beheersmaatregelen effect hebben gehad. Vallen de beoogde risico's binnen de acceptatiecriteria? Met een beleid en procedures borg je de effectmeting. Om effect te meten, toets je de maatregelen. Dit kan via securitytesten. Het uitvoeren van een securitytest gaat in 4 stappen.