Toeleveringsketen en cyberbeveiliging
Welke risico’s voor de cyberbeveiliging brengen uw leveranciers en hun onderaannemers met zich mee voor uw organisatie? Valt uw organisatie onder de Cyberbeveiligingswet (Cbw), dan moet u aan de slag met deze vraag. Wat u nu al kunt doen, leest u hieronder.
De beveiliging van uw toeleveringsketen is niet alleen relevant vanuit bedrijfseconomisch perspectief, maar ook vanuit veiligheidsperspectief. Door de keten goed te beschermen, voorkomt u verstoringen en zorgt u voor een stabiele bedrijfsvoering. Dit draagt niet alleen bij aan de continuïteit van uw eigen organisatie, maar biedt ook stabiliteit aan de hele samenleving.
Governance inrichten voor ketenbeveiliging
Ketenbeveiliging gaat over het beschermen van zowel bestaande als nieuwe leveranciers van uw organisatie. Hierbij kunt u het beste zo vroeg mogelijk cybersecurity- en cyberweerbaarheidsexperts betrekken. Maar digitale veiligheid is niet alleen een verantwoordelijkheid van een cybersecurity-afdeling. Het is een gezamenlijke inspanning van de hele organisatie. Van alle afdelingen, zoals financiën, juridische zaken, inkoop en HR. Samen kunnen zij goed meewegen welke afhankelijkheden en risico’s er zijn.
Het bestuurlijk inrichten van afspraken, verantwoordelijkheden en processen (governance) voor ketenbeveiliging valt onder de bestuurlijke verantwoordelijkheid.
Beleid maken
Uw organisatie moet beleid hebben voor de beveiliging van de toeleveringsketen. Dit beleid geeft richtlijnen voor het omgaan met afhankelijkheden van leveranciers die de veiligheid van de netwerk- en informatiesystemen kunnen beïnvloeden. Hierbij gaat het niet alleen om de digitale beveiliging. Het gaat ook om de fysieke beveiliging van de locatie waar de te beschermen systemen staan. Het beleid richt zich op bestaande leveranciers (via risicoanalyses) en nieuwe leveranciers (via het inkoopproces).
Risicoanalyse van processen en leveranciers
Met behulp van een risicoanalyse bepaalt u van uw huidige leveranciers hoe groot de impact is op uw eigen organisatie, als ze bijvoorbeeld wegvallen of worden gehackt. Welke processen en data hebben met leveranciers te maken? Welke risico’s en afhankelijkheden zijn er? Zo identificeert u uw kritieke leveranciers met hun risico’s.
Handige hulpmiddelen hierbij zijn:
- Quickscan met enkele vragen die u helpen bij het starten met de beoordeling van uw leveranciersmanagement;
- Stappenplan voor het in kaart brengen van uw leveranciers;
- Keteninventarisatie: formulier waarin u afhankelijkheden, afspraken en alternatieven per leverancier kunt vastleggen;
- Ketenbeveiliging – Good Practices met informatie over hoe zes grote cybervolwassen organisaties de toeleveringsketen beveiligen.
Gesprekken en schriftelijke afspraken met leveranciers
U wilt de risico’s van uw leveranciers beheersen. Dan kunt u het beste een gesprek voeren met deze leveranciers over elkaars afhankelijkheden en cyberbeveiliging. Bekijk samen waar de veiligheid beter kan en maak een plan om dit te verbeteren.
Met de leveranciers die een grote impact hebben op uw organisatie, kunt u schriftelijke afspraken maken. Deze zorgen voor duidelijkheid en een betere controle op de veiligheid binnen de hele keten.
Bij het maken van schriftelijke afspraken moet u rekening houden met:
- De specifieke kwetsbaarheden die een leverancier kan hebben;
- Hoe de leverancier omgaat met cyberbeveiliging van de producten en diensten die zij levert. Daarbij hoort ook de vraag of de leverancier haar producten op een veilige manier ontwikkelt;
- De Europese NIS Cooperation Group werkt aan beveiligingsrisicobeoordelingen voor kritieke toeleveringsketens. Het doel is om inzicht te bieden in welke cyberrisico’s belangrijk zijn binnen deze toeleveringsketens en hoe organisaties in specifieke sectoren deze risico’s kunnen beheersen. De verwachting is dat deze risicobeoordelingen en bijbehorende inzichten openbaar worden gemaakt.
De afspraken kunnen bijvoorbeeld gaan over:
- De beveiligingsmaatregelen die volgens de zorgplicht nodig zijn. Deze maatregelen moeten aansluiten bij het risicoprofiel van de organisatie;
- Hoe het proces verloopt en wie welke rol en verantwoordelijkheid heeft bij grote incidenten;
- Wat er gebeurt met bedrijfsmiddelen, zoals apparatuur en data, als een contract wordt beëindigd, of bij faillissement of overname van de leverancier.
Monitoring van afspraken
Het opzetten van een systeem helpt u om te controleren of uw leveranciers zich aan de gemaakte beveiligingsafspraken houden. Ook moet u ervoor zorgen dat deze afspraken up-to-date blijven en regelmatig worden getoetst, bijvoorbeeld met assessments of audits.
Nieuwe leveranciers en cyberbeveiliging
Bij nieuwe contracten en aanbestedingen kunt u cyberbeveiliging vanaf het begin meenemen. U kunt een standaardproces inrichten, waarbij u vooraf analyseert wat de risico’s van samenwerking met deze nieuwe leverancier zijn. Deze afspraken legt u vast in de contracten.
In het contract kunt u ook al aandacht besteden aan het moment van beëindiging van de samenwerking. Denk aan afspraken over het wissen van data, het retourneren van apparatuur en het afsluiten van toegangsrechten. Deze verplichtingen helpen om risico’s te beheersen als een leverancier geen diensten meer levert.
Gevolgen Cbw voor leveranciers
Leveranciers aan organisaties die onder de Cbw vallen, zullen indirect de gevolgen van de wet merken. Zo is de verwachting dat Cbw-organisaties aan hun leveranciers om extra maatregelen zullen vragen, zoals het hebben van bepaalde certificaten. Volgens de wet zijn de Cbw-organisaties immers verantwoordelijk voor voldoende beveiliging van de toeleveringsketen.
Meer informatie
Meer informatie voor de toeleveringsketen vindt u via De Cyberbeveiligingswet en toeleveranciers | Digital Trust Center (Min. van EZ).