Samen Digitaal Veilig is een initiatief van MKB-Nederland en VNO-NCW

Veilig samenwerken
in de keten

Waarom grote bedrijven basis cyberhygiëne opleggen aan alle leveranciers?

Cyberhygiëne opleggen aan leveranciers

In de moderne zakelijke wereld is cybersecurity een cruciale pijler geworden. Met de toename van cyberaanvallen en datalekken is het van groot belang dat bedrijven niet alleen hun eigen systemen beveiligen, maar ook de systemen van hun leveranciers. In dit kader wordt steeds vaker een minimum aan basis cyberhygiënemaatregelen geëist van alle leveranciers. Het NIS2 QM-10 certificaat is hierbij een vaak gehanteerde standaard.

Het belang van cyberhygiëne

  1. Voorkomen van risico: Als grote bedrijven werken met mkb-bedrijven die voor hen een potentieel risico bevatten, zoals het feit dat het lastig is om direct een andere leverancier te werven, dan is het certificering eisen een standaard geworden. Wie wil er nu nog samenwerken met leveranciers die hun basisveiligheid niet aantoonbaar op orde hebben? Niemand. Het is gewoon niet meer logisch om hier niet naar te kijken bij de selectie van leveranciers.
  2. Naleving van regelgeving: In veel sectoren wordt cybersecurity steeds vaker gereguleerd, denk aan NIS2, DORA, CER, CRA, de zorg en de overheid. Het naleven van basis cyberhygiënemaatregelen helpt NIS2-bedrijven om te voldoen aan wettelijke vereisten en voorkomt boetes en sancties. Het eisen van basis cyberhygiëne wordt een gebruikelijke standaard voor digitale veiligheid voor zakelijk Nederland.
  3. Bescherming tegen cyberaanvallen: Leveranciers vormen vaak een zwakke schakel in de keten. Een succesvolle aanval op een leverancier kan desastreuze gevolgen hebben voor het gehele netwerk. We zien tegenwoordig vaak hacks die de productie van andere ketenpartners stilleggen of datachantage van zeer vertrouwelijke informatie. Basis cyberhygiëne helpt bij het verminderen van deze risico’s door fundamentele beveiligingsmaatregelen te implementeren.
  4. Grote schade en kostenbesparing op de lange termijn: De financiële impact van een cyberaanval kan enorm zijn. Dit omvat niet alleen de directe kosten van herstel, maar ook de kosten van reputatieschade en juridische consequenties. Ook bij verkoop van een bedrijf is een hack soms de oorzaak van het stopzetten van het hele M&A-traject. Door een minimum aan basis cyberhygiëne te eisen, kunnen bedrijven deze risico’s aanzienlijk verkleinen en op de lange termijn kosten besparen.
  5. Vertrouwen en reputatie: Bedrijven die strenge cyberhygiëne-eisen aan hun leveranciers opleggen, bouwen vertrouwen op bij hun klanten en partners. Dit zorgt tot een betere reputatie en kan een concurrentievoordeel opleveren.
  6. Integratie in tenders en overheidsaanbestedingen: Steeds meer overheidsinstanties en grote projecten vereisen dat alle betrokken partijen een minimum aan basis cyberhygiëne hebben geïmplementeerd. Dit wordt vaak vastgelegd in de voorwaarden van tenders en aanbestedingen.
  7. Toepassing als eis in de breedte als standaard: Grote bedrijven willen liever geen tijd en geld besteden aan het controleren van hun leveranciers. Het is gebruikelijk geworden om aan leveranciers een certificering te vragen als minimumeis voor samenwerking. Elke leverancier een set vragenlijsten sturen is duur, inefficiënt en onvoldoende, omdat je dan de individuele antwoorden van alle leveranciers moet controleren en behandelen bij afwijkingen. Bovendien is het voor de leverancier veel efficiënter om een norm te halen dan tientallen vragenlijsten van diverse klanten te beantwoorden met alle discussie die daarover kan plaatsvinden.

De risico’s van AI en e-mailbeveiliging

Met de opkomst van kunstmatige intelligentie (AI) ontstaan er nieuwe risico’s op het gebied van cybersecurity. AI kan worden gebruikt voor geavanceerde cyberaanvallen, zoals het automatisch genereren van overtuigende phishingmails en deepfake-aanvallen. Hierdoor wordt het voor cybercriminelen makkelijker om medewerkers en leveranciers te misleiden en gevoelige gegevens te verkrijgen. Vooral omdat er een vertrouwensband is met leveranciers, wordt die schakel veel gebruikt om een betaling naar een nieuw bankrekeningnummer te laten doen dat in handen is van criminelen.

Een ander specifiek probleem dat ook speelt, is de gebrekkige beveiliging van e-mailsystemen bij kleinere bedrijven. Veel bedrijven gebruiken onvoldoende beveiligde mailservers, waardoor het mogelijk is voor criminelen om e-mails te vervalsen (spoofing). Dit betekent dat een e-mail die afkomstig lijkt van een betrouwbare leverancier in werkelijkheid door een aanvaller kan zijn verzonden. Dit vergroot het risico op succesvolle phishingaanvallen en fraude binnen de supply chain. Recent onderzoek toonde aan dat 29% van de mkb-bedrijven hier geen detectiesysteem op heeft. Je kunt dus niet meer controleren of een mail wel van een bekende afkomstig is, want zelfs als het klopt, kan het “fake” zijn.

Daarom is het essentieel dat bedrijven niet blind vertrouwen op e-mailverkeer en aanvullende verificatiemechanismen inzetten, zoals:

  • Implementatie van DMARC, SPF en DKIM om e-mailverificatie te verbeteren.
  • MFA-verificatie voor kritieke communicatiekanalen.
  • Bewustwordingstrainingen voor medewerkers en leveranciers over de risico’s van phishing en AI-gestuurde aanvallen.

Het opleggen van basis cyberhygiëne

  1. Standaardisering in inkoopvoorwaarden: Grote bedrijven zijn al enige jaren geleden begonnen met het standaard opnemen van basis cyberhygiënemaatregelen in hun inkoopvoorwaarden. Dit betekent dat leveranciers moeten aantonen dat ze voldoen aan bepaalde beveiligingsstandaarden voordat ze een contract kunnen afsluiten.
  2. Gebruik van certificeringen: Het NIS2 QM-10 certificaat wordt vaak als basisvoorwaarde gehanteerd. Dit certificaat garandeert dat de leverancier voldoet aan een reeks cybersecuritystandaarden en best practices. Het gebruik van een dergelijk certificaat vereenvoudigt de beoordeling van leveranciers en zorgt voor een uniforme standaard.
  3. Onafhankelijke audits: Cybersecurityaudits uitgevoerd door onafhankelijke auditbedrijven met ervaring in cybersecurityaudits zorgen voor objectieve toetsing en naleving.

Conclusie

Het opleggen van een minimum aan basis cyberhygiëne aan alle leveranciers zal steeds minder een optie zijn, maar een noodzaak worden in de huidige digitale wereld. Een “license to operate” voor elk bedrijf van enige omvang, ongeacht soort bedrijf, sector of type activiteiten.

De risico’s en kosten van een mogelijke cyberaanval zijn te groot om te negeren. Door het verplichten van basis cyberhygiënemaatregelen via certificeringen zoals het NIS2 QM-10, kunnen grote bedrijven risico’s verkleinen, kosten besparen en hun reputatie beschermen. Het is een proactieve stap die de veerkracht en veiligheid van de gehele keten vergroot. Met de opkomst van AI en de kwetsbaarheid van e-mailsystemen bij kleinere bedrijven wordt het steeds urgenter om cybersecurity structureel te verankeren in de supply chain.

Branches schieten in actie met NIS2
Kleine en middelgrote bedrijven doelwit op darkweb
Inkoopvoorwaarden model addendum voor NIS2 (leveranciers)
Januari: 2.000 ransomware aanvallen en hacks wereldwijd, ook in Nederland
Blijf met onze nieuwsbrief op de hoogte van de laatste NIS2 ontwikkelingen