Spring naar content

Gevaarlijke e-mails tussen NIS2-Bedrijven en hun leveranciers

Nu de NIS2-richtlijn de eisen rondom cybersecurity verder aanscherpt, blijft één belangrijke zwakke plek vaak onderbelicht: de beveiliging van e-mail bij leveranciers. Grote organisaties investeren steeds meer in digitale weerbaarheid, maar veel van hun kleinere partners en leveranciers draaien nog op minder goed beveiligde e-mailomgevingen. Dat maakt ze een aantrekkelijk doelwit voor aanvallers. Medewerkers van grote bedrijven kennen vaak hun leveranciers. Ze openen mails van bekenden makkelijker zonder nadenken.

De grootste dreiging? Die komt vaak niet van geavanceerde hackers, maar simpelweg door ontbrekende of verkeerd ingestelde basisbeveiliging zoals wachtwoorden, MFA of domeinverificatie. Met minimale moeite kunnen kwaadwillenden dan een mailbox overnemen of e-mails versturen die van een betrouwbaar adres lijken te komen.

 

Wat gaat er in de praktijk mis?

De vijf meest voorkomende (en risicovolle) fouten bij bedrijven:

  1. Zwakke of hergebruikte wachtwoorden
    Vaak wordt hetzelfde wachtwoord gebruikt voor mailbox, VPN en portalen. Als één van die wachtwoorden uitlekt, is de mailbox meestal het eerste slachtoffer.
  2. Geen MFA (twee-factor-authenticatie)
    Zonder MFA hoeft een aanvaller alleen een gebruikersnaam en wachtwoord te bemachtigen om toegang te krijgen en e-mails te versturen alsof hij jou is.
  3. Verouderde loginprotocollen nog ingeschakeld
    Denk aan IMAP/POP of ‘basic authentication’ in Microsoft 365 of Google Workspace. Die omzeilen moderne beveiliging en worden vaak misbruikt.
  4. Geen of slecht ingestelde SPF, DKIM en DMARC
    Deze instellingen voorkomen dat aanvallers je domeinnaam kunnen misbruiken. Zonder deze bescherming kunnen ze geloofwaardige e-mails versturen uit naam van jouw organisatie, zónder je mailbox ooit te openen.
  5. Geen monitoring of waarschuwingen
    Inlogpogingen vanuit bijvoorbeeld Nigeria om 03:00 ’s nachts vallen niemand op. Ook het versturen van grote hoeveelheden e-mails gebeurt vaak zonder alarmsignaal.

 

Twee varianten van “mailen uit jouw naam”

Er is een belangrijk verschil tussen deze twee vormen van e-mailmisbruik en de oplossing is in beide gevallen anders:

  1. A) Account Takeover (ze zitten echt in je mailbox)

Dit is de gevaarlijkste variant. De aanvaller heeft toegang tot je inbox en kan:

  • Inbox-regels aanmaken om e-mails automatisch door te sturen of te verbergen
  • E-mails versturen die jij nooit hebt geschreven
  • Wachtwoordresets onderscheppen
  • Logins vanaf onbekende apparaten of locaties veroorzaken
  1. B) Spoofing (ze doen alsof ze jou zijn)

De aanvaller heeft géén toegang tot je mailbox, maar stuurt e-mails vanaf een server die zich voordoet als jouw domein.

  • Ontvangers krijgen e-mail “van jou” die niet in je verzonden items staat
  • Het reply-adres wijkt net af (bijv. bedrijf.nl wordt bedrijff.nl)
  • De e-mail komt van een externe mailserver met jouw domeinnaam

Oplossing: instellen van correcte SPF-, DKIM- en DMARC-records.

 

De 3 basiszaken om te regelen

Deze maatregelen voorkomen de belangrijkste issues:

  1. MFA verplicht voor alle mailaccounts (zonder uitzonderingen)
  2. Werk samen met je IT-leveranciers en bespreek Instellingen zoals: Zet legacy login (IMAP/POP/basic auth), correct ingestelde SPF, DKIM en DMARC. Wellicht  blokkering van automatisch doorsturen naar externe adressen, instellen van meldingen voor verdachte logins of massaal mailverkeer
  3. Gebruik sterke, unieke wachtwoorden (liefst met een wachtwoordmanager)

 

Waarom dit relevant is voor NIS2 en je digitale keten

Onder de NIS2-richtlijn zijn organisaties verantwoordelijk voor de digitale weerbaarheid van hun hele toeleveringsketen. Dat betekent dat ook leveranciers en dienstverleners die zelf misschien niet direct onder NIS2 vallen, tóch moeten aantonen dat zij basismaatregelen op orde hebben. Slecht beveiligde e-mailaccounts kunnen immers een ingang vormen voor cyberaanvallen die via de keten verder verspreiden.

Steeds meer grote bedrijven en instellingen nemen daarom cybersecurity-eisen op in hun inkoopvoorwaarden. Het hebben van NIS2-cybersecurity certificering is dan belangrijk. Oriënteer je op het halen van certificering. Neem deel aan onze kosteloze webinars.

Gerelateerde artikelen

Accountants krijgen een sleutelrol in NIS2 en de digitale keten

Allianz Risk Barometer 2026 bevestigt: cyber is grootste bedrijfsrisico

Europese toezichthouders scherpen toezicht op IT-leveranciers aan

Aanmeldingen geopend voor The State of Cyber Security in Amsterdam 2026

Europese certificering voor cybersecurity-diensten in voorbereiding
Interesse in dit onderwerp?

We houden je op de hoogte!

Terug naar overzicht