Spring naar content

Het domino-effect van cyberaanvallen in de supply chain

De rol van de NIS2 richtlijn en de zorgplicht in de supply chain Wat betekent dit voor de supply chain? Voorbeelden van supply chain-aanvallen

De supply chain is het netwerk van alle leveranciers en organisaties die samenwerken om een product of dienst te maken en te leveren. Omdat een zwakke plek bij één partij de hele keten kan raken, is de supply chain extra kwetsbaar voor cyberaanvallen.

Bedrijven vormen samen een keten. Als één schakel wordt gehackt, kan dat iedereen raken. Stel, Bedrijf A levert software aan anderen. Als hackers die software binnendringen, kunnen ze alles stilleggen. De ransomware aanval zet productie en leveringen plat. Een ramp natuurlijk en directe financiële schade.

Maar wie is verantwoordelijk? Kan Bedrijf B, dat schade lijdt, Bedrijf A aansprakelijk stellen? Dat hangt af van contracten en of Bedrijf A zijn beveiliging op orde had. Bij internationale ketens wordt het nóg complexer door verschillen in wetgeving.

Cybersecurity is dus meer dan alleen techniek; het is ook een juridisch vraagstuk. En een inkoopvraagstuk. Met wie werk je wel samen? En met wie straks niet meer? Daarom bevatten contracten steeds vaker afspraken over beveiliging en datalekken. NIS2 dwingt bedrijven om maatregelen te nemen. De tijd van vrijblijvendheid is voorbij. Leveranciers mogen geen risico zijn voor je eigen bedrijf.

De rol van de NIS2 richtlijn en de zorgplicht in de supply chain

De NIS2 richtlijn (Network and Information Security Directive 2) legt strengere eisen op aan bedrijven en sectoren die essentieel zijn voor de economie en samenleving. Dit geldt ook voor bedrijven die een belangrijke rol spelen in de supply chain, veelal mkb-bedrijven in hun rol als toeleverancier.

Wat houdt de zorgplicht van NIS2 in? De NIS2 verplicht bedrijven om maatregelen te nemen om cyberincidenten te voorkomen en te beperken. Deze zorgplicht voor de keten (leveranciers) omvat:

  1. Inventarisatie: bedrijven moeten proactief risico’s in hun supply chain-risico’s in kaart brengen.
  2. Compliance eisen: bedrijven moeten de cybersecurity van hun toeleveranciers controleren en eisen stellen aan hun beveiliging.
  3. Contractueel vastleggen: Certificering en afspraken in inkoopvoorwaarden opnemen.
  4. Meldplicht: ernstige cyberincidenten moeten binnen 24 uur gemeld worden aan de toezichthouder dus moet je ook meldplicht afspraken met je leveranciers.

Wat betekent dit voor de supply chain?

Meer verantwoordelijkheid voor ketenpartners: niet alleen een bedrijf zelf, maar ook zijn leveranciers moeten voldoen aan de NIS2 eisen. Een zwakke schakel in de keten kan leiden tot stilstand en zorg voor non-compliance aan de NIS2.
Striktere contractuele afspraken: bedrijven zullen van hun leveranciers eisen dat ze cybersecuritynormen naleven passend bij hun risico.
Toezicht en sancties: toezichthouders gaan proactief en reactief controles doen. Ze kunnen boetes en sancties opleggen als bedrijven onvoldoende beveiligingsmaatregelen treffen.

Concrete impact van NIS2 op supply chain-aanvallen

Stel, een IT-leverancier wordt gehackt en dit leidt tot een probleem bij zijn NIS2 plichtige klanten. Het NIS2 bedrijf heeft de schade maar kan ook nog aansprakelijk worden gesteld als de ketenzorgplicht niet is nageleefd. De NIS2 richtlijn maakt cybersecurity in de supply chain een gedeelde verantwoordelijkheid. Bedrijven moeten niet alleen hun eigen systemen beveiligen, maar ook kritisch kijken naar de beveiliging van hun leveranciers. Dit helpt om het domino-effect van cyberaanvallen te voorkomen en de digitale weerbaarheid te versterken.

Voorbeelden van supply chain-aanvallen

Voorbeelden van supply chain-aanvallen

1. Cyberaanval op logistiek bedrijf – lege schappen in de supermarkt

Een ransomware-aanval legde de IT-systemen van een logistiek bedrijf stil, waardoor 250 vrachtwagens met levensmiddelen niet konden uitrijden. Schappen in de supermarkt, vooral de kaasafdeling, raakten leeg. Dit incident toont aan hoe een aanval op een logistieke partner direct de voedselvoorziening raakt.

2. Ransomware-aanval op vleesverwerker

Een grote vleesproducent werd getroffen door ransomware, wat leidde tot sluiting van fabrieken. De productie lag stil, wat zorgde voor leveringsproblemen en prijsstijgingen. Een duidelijk voorbeeld van hoe een cyberaanval de voedselketen verstoort.

3. Aanval op maritieme dienstverlener

Een cyberaanval verstoorde de monitoring van scheepvaartverkeer, wat risico’s opleverde voor de veiligheid op zee en vertragingen in goederenaanvoer naar havens. Dit laat zien hoe een aanval op een maritieme schakel de hele logistieke keten kan ontregelen.

4. Cyberaanval op bakkerijgrondstoffenleverancier

Door een cyberaanval raakten productie- en distributiesystemen van een grote bakkerijgrondstoffenleverancier ontregeld. Dit leidde tot tekorten aan brood en banket in supermarkten.

5. Productiebedrijf krijgt geen onderdelen

Door een cyberaanval bij een toeleverancier kreeg een productiebedrijf essentiële snijmachine-onderdelen niet op tijd geleverd, wat leidde tot stilstand en enorme vertragingen in productie en levering.

6. Ransomware-aanval op bedrijfsplannen

Cybercriminelen stalen gevoelige bedrijfsdocumenten. Dit bevatte vertrouwelijke contracten, licenties en klantgegevens. De data zou bekend worden gemaakt mits er wordt betaald. Er is betaald omdat de schade anders niet te overzien zou zijn.

Bovenstaande voorbeelden benadrukken het belang voor bedrijven om niet alleen hun eigen cybersecurity op orde te hebben, maar ook die van hun toeleveranciers en partners in de keten nauwlettend te monitoren. Een verstoring bij één schakel kan immers grote gevolgen hebben voor de gehele keten.

Bronnen: Samen Digitaal Veilig, ccinfo.nl

Gerelateerde artikelen

Overlijden van onze CTO, Antoon Scheffers

Energiesector nog niet volledig klaar voor Cyberbeveiligingswet

ISO-certificering voor NIS2? Voor de meeste bedrijven veel te zwaar

77,6% van de organisaties kwetsbaar voor e-mailspoofing volgens nieuw DMARC-rapport

Elke betaling aan hackers maakt de volgende hack waarschijnlijker
Interesse in dit onderwerp?

We houden je op de hoogte!

Terug naar overzicht