Heb je alles zelf goed geregeld, ga je alsnog nat door je leverancier…
NIS2 vereist dat alle schakels in de keten cyberveilig zijn!
Wat ons opvalt bij de cyberrisico-inventarisaties die we uitvoeren, is dat bedrijven zich heel erg richten op de eigen organisatie. Daar zijn vaak al de nodige maatregelen getroffen (van firewalls tot en met MFA), maar je zit niet op een eiland. Je hebt contact met de buitenwereld, met leveranciers etc. en daar zit veelal de zwakke schakel in de verdediging. Daar willen we graag met je over in gesprek. Er zijn namelijk cyberrisico’s die je niet zelf kunt oplossen, hoe goed je ook beveiligd bent. Zelfs als jouw verdediging staat als een huis, er is één plek waar jouw IT-afdeling niet bij kan en dat zijn jouw leveranciers. Via die route slaan aanvallers steeds vaker toe. Hoe?
Stap 1: Een leverancier wordt gehackt. Jij weet van niets. De aanvaller krijgt toegang tot hun mailsysteem en ziet wie er met jouw bedrijf communiceert.
Stap 2: Je ontvangt een e-mail van een bekende contactpersoon. Alles lijkt normaal, maar de mail is niet van je leverancier, hij is van de hacker en één simpele muisklik is voldoende …
Je eigen beveiliging kan dit onmogelijk tegenhouden
De aanval komt via e-mail en jij (of jouw medewerker) hebt erop geklikt. Helemaal niet raar, want de besmette mail komt van een bekend e-mailadres, is ondertekend door een bekende en geschreven in de herkenbare schrijfstijl van een vertrouwde leverancier.
Hackers krijgen zo via jouw leveranciers toegang tot jouw e-mailverkeer, jouw systemen, jouw facturen enz. Dit is niet iets wat jouw IT-afdeling voor je kan oplossen. Het is namelijk geen IT-probleem, het is een leveranciersprobleem en daarmee een directieprobleem.
De kans is groot dat niet al jouw leveranciers zaken als MFA, mailbeveiliging en monitoring net zo goed hebben geregeld als jij. Dat maakt hen tot een aantrekkelijk target en in de slipstream ben jij mogelijk het volgende slachtoffer.
NIS2 dwingt je naar de hele keten te kijken en blinde vlekken te voorkomen
De NIS2-wetgeving verplicht je om risico’s in je toeleveringsketen aantoonbaar in kaart te brengen. Niet elke leverancier hoeft aan dezelfde zware eisen te voldoen, maar je moet bewust keuzes maken en die kunnen onderbouwen. Wie zijn leveranciers niet meeneemt in zijn cybersecurity, houdt een blinde vlek en precies daar slaan aanvallers toe.
Ons advies aan directies: ga aan de slag met het NIS2 Supply Chain certificeringstraject en begin met een gesprek met een van de cybersecurity-adviseurs van Axoft. Het traject naar Supply Chain certificering duurt gemiddeld 4 maanden en de wet treedt al op 1 juli 2026 in werking, dus er is echt geen tijd te verliezen!
