Spring naar content

De vergeten zwakke plek: je leverancier

De vergeten zwakke plek: je leverancier

Firewall? Check. MFA? Check. Procedures? Check.

Jouw beveiliging staat. Maar er is één plek waar jouw IT-afdeling niet bij kan: je leveranciers. En precies daar slaan aanvallers steeds vaker toe.

Hoe een aanval via de keten binnenkomt

Stap 1: een leverancier wordt gehackt. Jij weet van niets. De aanvaller krijgt toegang tot hun mailsysteem en ziet wie er met jouw bedrijf communiceert.

Stap 2: jij ontvangt een e-mail van een bekende contactpersoon. Alles lijkt normaal. Maar de mail is niet van je leverancier, hij is van de hacker. Eén klik is genoeg.

Je eigen beveiliging kan dit niet allemaal tegengehouden. Want de aanval kwam via e-mail en jouw medewerker heeft erop geklikt. En logisch ook want die e-mail is niet tegen te houden. Die komt van een bekend e-mailadres, ondertekent door een bekende en in de schrijfstijl van een bekende leverancier!

De blinde vlek die je IT-afdeling niet kan oplossen

Hackers krijgen zo via leveranciers toegang tot jouw e-mailverkeer, jouw systemen, jouw facturen. Jouw IT-afdeling kan dit niet volledig oplossen. Dat is geen IT-probleem. Dat is een directieprobleem. Een leveranciersprobleem.

Leveranciers hebben niet altijd MFA, goede mailbeveiliging of monitoring geregeld. Juist daardoor worden zij een aantrekkelijk doelwit en jij het volgende slachtoffer.

NIS2 maakt het expliciet: kijk naar je keten

De NIS2-wetgeving verplicht je om risico's in je toeleveringsketen aantoonbaar in kaart te brengen. Je moet weten welke leveranciers kritisch zijn. Niet elke leverancier hoeft aan dezelfde zware eisen te voldoen. Maar je moet bewust keuzes maken en die kunnen onderbouwen.

Dit los je niet op met betere techniek

De meeste organisaties worden niet gehackt omdat hun eigen beveiliging slecht is. Ze worden gehackt omdat ergens in de keten een zwakke plek zit die niemand in beeld had.

Wie zijn leveranciers niet meeneemt in zijn cybersecurity, houdt een blinde vlek. En precies daar slaan aanvallers toe.

Wat kun je nu doen?

Inkopers: NEVI (de brancheorganisatie voor inkoopprofessionals) en Samen Digitaal Veilig organiseren een webinar over de inrichting van het inkoopdossier onder NIS2. Aan bod komen: hoe je leveranciersrisico's gestructureerd beoordeelt, hoe je cybersecurity-eisen juridisch vastlegt, en hoe standaardisatie het proces beheersbaar maakt.

Meld je aan voor het webinar → NIS2 en je leveranciers: voorkom overvraging.

Directies: Ga aan de slag met het halen van NIS2 Supply Chain certificering. Vraag ernaar bij je ICT-leverancier.

Gerelateerde artikelen

Nieuw: NIS2 dossier – CEO/bestuur verplicht aan het stuur

Samen Digitaal Veilig lanceert Estimated Risk Index: automatische risicoscore voor 170.000 Nederlandse leveranciers

Datect en Samen Digitaal Veilig starten samenwerking

Bij welke partijen kun je een NIS2 Supply Chain audit laten uitvoeren?

Handreiking weerbaarheid: ‘Weet wat je te doen staat’
Interesse in dit onderwerp?

We houden je op de hoogte!

Terug naar overzicht