Spring naar content

CISO’s spelen een sleutelrol in een veilige supply chain

Cybersecurity houdt niet op bij de voordeur van een organisatie. Dat is een boodschap die Roy Sandbergen, Head of Security (CISO) bij Hallo, dagelijks uitdraagt. Hallo behoort met ruim 12.000 zakelijke klanten tot de grootste Managed Service Providers van Nederland en ziet iedere dag hoe cyberdreigingen zich ontwikkelen en welke impact kwetsbare leveranciers kunnen hebben op de continuïteit van organisaties.

In een interview met Samen Digitaal Veilig zegt Roy het treffend:

“Wat vandaag veilig is, kan morgen alweer kwetsbaar zijn.”

Die uitspraak raakt precies de kern van de Cyberbeveiligingswet. Organisaties moeten niet alleen hun eigen digitale omgeving beschermen, maar ook de risico’s beheersen die ontstaan via leveranciers, softwarepartners, IT-dienstverleners en andere schakels in de supply chain.

De rol van de CISO verandert

Waar de CISO vroeger vooral verantwoordelijk was voor de beveiliging van de eigen IT-omgeving, ligt de focus tegenwoordig veel breder.

De moderne CISO houdt zich onder meer bezig met:

  • het in kaart brengen van leveranciers;
  • het beoordelen van risico’s binnen de supply chain;
  • het vaststellen van passende beveiligingseisen in overleg met inkoop;
  • het aantoonbaar invullen van de wettelijke zorgplicht.

Daarmee is de CISO niet alleen verantwoordelijk voor techniek, maar ook voor strategisch risicomanagement binnen de gehele organisatie.

Niet iedere leverancier is hetzelfde

We weten dat veel organisaties worstelen met leveranciersmanagement. Sommige organisaties overwegen om iedere leverancier dezelfde zware cybersecurity-eisen op te leggen. Dat lijkt misschien veilig, maar is in de praktijk vaak niet effectief.

Sterker nog, het kan leiden tot hoge kosten, onnodige administratieve lasten en weerstand bij duizenden mkb-leveranciers en vaak het afhaken van waardevolle leveranciers.

Dat is ook niet wat de Cyberbeveiligingswet beoogt of verplicht.

Proportionaliteit is het uitgangspunt

De Europese NIS2-richtlijn en de Nederlandse Cyberbeveiligingswet spreken nadrukkelijk over proportionele maatregelen. Dat betekent dat de beveiligingseisen moeten aansluiten bij het risico dat een leverancier vormt voor de organisatie.

Een leverancier die beheer uitvoert op kritieke IT-systemen of toegang heeft tot gevoelige bedrijfsinformatie vraagt vanzelfsprekend om zwaardere eisen dan een leverancier die slechts een beperkte ondersteunende rol vervult.

Juist die afweging hoort thuis bij de CISO.

Een veilige keten bereik je niet door iedereen dezelfde norm op te leggen

Bij Samen Digitaal Veilig maken wij ons zorgen over organisaties die uit voorzorg alle leveranciers dezelfde zware certificering of dezelfde uitgebreide eisen willen opleggen.

Dat zorgt niet automatisch voor meer veiligheid.

Integendeel.

Wanneer duizenden mkb-leveranciers worden geconfronteerd met disproportionele eisen, ontstaat vertraging, weerstand en onnodige kosten, terwijl de wet juist vraagt om een risicogestuurde aanpak.

Een sterke supply chain ontstaat wanneer:

  • kritieke leveranciers aantoonbaar goed beveiligd zijn;
  • minder risicovolle leveranciers passende, uitvoerbare maatregelen nemen;
  • organisaties kunnen onderbouwen waarom zij voor een bepaald beveiligingsniveau hebben gekozen.

Dat is precies wat proportionaliteit betekent. Het is exact daarom dat wij de NIS2 Supply Chain normering adviseren. Die norm past perfect bij de NIS2 en is ideaal om te gebruiken als vraag aan je leveranciers.

De CISO bouwt aan vertrouwen in de keten

Een goede CISO kijkt verder dan alleen compliance.

Hij of zij zorgt ervoor dat leveranciers kunnen meegroeien in hun cyberweerbaarheid, zonder hen onnodig te belasten. Daarmee wordt niet alleen voldaan aan de Cyberbeveiligingswet, maar ontstaat ook een sterkere, stabielere en beter beveiligde supply chain.

Dat is uiteindelijk waar de wet voor bedoeld is.

Lees het interview met Roy Sandbergen

Roy Sandbergen deelt in zijn interview met Samen Digitaal Veilig hoe hij als CISO naar cybersecurity kijkt, waarom bewustwording zo belangrijk is en waarom organisaties continu moeten blijven investeren in hun digitale weerbaarheid.

Lees hier het hele interview

Gerelateerde artikelen

NIS2 Cyberbeveiligingswet mogelijk op 15 augustus van kracht

Steeds meer bedrijven vallen onder de NIS2, ook producenten van diervoeding

Waarom onze leveranciers tegelijkertijd fijn én gevaarlijk zijn

Meer dan de helft van bedrijven verliest binnen 24 uur omzet na cyberaanval

HR als verbindende schakel tussen directie, IT en de werkvloer
Interesse in dit onderwerp?

We houden je op de hoogte!

Terug naar overzicht