ENISA: Technische richtlijnen voor beveiliging van de leveringsketen voor MSP’s

Een beperkte maar belangrijke groep bedrijven valt onder de reikwijdte van deze technische richtlijn: DNS-providers, TLD-registers, aanbieders van cloudcomputingdiensten, aanbieders van datacenterdiensten, aanbieders van content delivery networks (CDN’s), aanbieders van beheerde diensten (MSP’s) en aanbieders van beheerde beveiligingsdiensten, aanbieders van onlinemarktplaatsen, onlinezoekmachines en platforms voor sociale netwerkdiensten, en aanbieders van vertrouwensdiensten.

Voor de toepassing van artikel 21, lid 2, punt (d) van Richtlijn (EU) 2022/2555 stellen de betrokken entiteiten een beleid voor de beveiliging van de aanvoerketen vast, voeren dit uit en passen het toe. Dit beleid regelt de relaties met hun directe leveranciers en dienstverleners om de geïdentificeerde risico’s voor de veiligheid van netwerk- en informatiesystemen te beperken.

In dit beleid identificeren betrokken entiteiten hun rol in de aanvoerketen en communiceren zij deze aan hun directe leveranciers en dienstverleners.

Aanbevelingen:

Val je hieronder ga de hele tekst goed bestuderen
Maak een plan
Gebruik erkende industrie standaarden (wij adviseren NIS2 QM) of goede praktijken bij het ontwikkelen van dit beleid
De rol van een leverancier of dienstverlener kan een of meerdere van de volgende zijn:
- o ICT-leverancier (inclusief hard- en software),
- Fabrikant
- Managed service provider
- Managed security service provider
- Cloudprovider
Bij open source software (FOSS) geldt: als er geen contractuele relatie is, vallen deze niet onder directe leveranciers. Een uitzondering geldt als er een contract is met een ‘steward’ (zoals gedefinieerd in Verordening 2024/2847, artikel 3(14)).

Zorg voor bewijsvoering:

Beleid is aanwezig en volgt standaarden
Communicatie (zoals e-mails, contracten of aankondigingen) aan leveranciers over de rol van de entiteit

In het beleid worden ook selectiecriteria opgenomen voor leveranciers en dienstverleners. Deze criteria omvatten:

Cybersecuritypraktijken, inclusief veilige ontwikkelprocedures
Vermogen om te voldoen aan gestelde cybersecurity-eisen
Algemene kwaliteit en veerkracht van ICT-producten en -diensten
Mogelijkheid om leveranciers te diversifiëren en vendor lock-in te voorkomen.

Niet vergeten:

Kijk ook naar:
- Jurisdictie van de leverancier (bijv. valt deze onder NIS2?)
- Eigenaar van het bedrijf. o Certificeringen of risicobeoordelingsrapporten
- Geschiedenis van incidenten
- Standaarden of dataformaten
- Nationale adviezen over leveranciers.

Bij het opstellen van het beleid moet rekening worden gehouden met de resultaten van gecoördineerde risicoanalyses op EU-niveau, uitgevoerd onder artikel 22(1) van de richtlijn.

Contracten met leveranciers moeten, gebaseerd op het beleid en de risicoanalyse (punt 2.1), duidelijke afspraken of een norm bevatten met inhoud over:

Cybersecurityvereisten (incl. uitbesteding, awareness, auditrechten, incidentmeldingen onderaannemers)
Achtergrondverificatie van personeel
Eisen bij contractbeëindiging (zoals verwijdering van data)
Neem eisen op in nieuwe én verlengde contracten
Overweeg maatregelen zoals collectieve inkoop, juridische ondersteuning, SLA-borging en leveranciersplatforms