NIS2 dwingt je om al je leveranciers te screenen
Want als zij worden gehackt, heb jij een probleem!
Leveranciers heb je nodig, maar vormen helaas soms ook een risico. Dan hebben we het niet over het eventueel te laat leveren, maar over mogelijke cyberkwetsbaarheid. Als je zelf alles goed op de rit hebt staan dan kan je toch nog slachtoffer worden van cybercriminaliteit. De totale (lever)keten is namelijk zo sterk als de zwakste schakel. Er zijn dus cyberrisico’s die je NIET zelf kunt oplossen, hoe goed je ook beveiligd bent.
Stel je voor: Een leverancier waarmee je al lange tijd samenwerkt, wordt gehackt. Niet jij, maar zij. Hun mailaccount wordt overgenomen zonder dat ze daar weet van hebben. Alles lijkt normaal, de schrijfstijl klopt, de handtekening is vertrouwd etc.
Als nu een van je medewerkers een bericht krijgt: “We zijn onze website aan het vernieuwen, wil je even meekijken? Hier is de testlink.” Dan lijkt dat een logisch verzoek van een bekende leverancier waarmee vaker wordt gemaild. Maar nu is de link gemaakt door een hacker. Vanaf dat moment zijn jullie de pineut. Niet omdat jóuw bedrijf slecht beveiligd was, maar omdat hún beveiliging ontoereikend was.
Wat er daarna gebeurt … De hacker gebruikt nu het mailaccount van jouw medewerker om klanten nieuwe facturen te sturen met een ander bankrekeningnummer. De hacker kan interne gesprekken meelezen, documenten downloaden en onzichtbaar jullie systemen misbruiken. Dit is geen theoretisch doemscenario. Analyse van ruim 15.000 hacks wereldwijd laat zien dat in 40% van de gevallen de aanval begon via een leverancier.
Jij kiest zelf je leveranciers en dus mag je ook iets van ze verlangen
Jij selecteert je leveranciers en die zijn blij met je. Jij koopt bij hen, jij betaalt hen én je vertrouwt hen. Dan is het ook heel terecht om hen te vragen of ze de basis cyberhygiëne op orde hebben? Dat is geen overvragen, dat is in de huidige tijd van digitale list en bedrog heel plausibel en vanaf het moment dat NIS2 van kracht wordt (m.i.v. 1 juli) zelfs een vereiste.
Basis cyberhygiëne
De norm die hierbij past is NIS2-SC10: 17 praktische maatregelen, haalbaar voor elk bedrijf en aantoonbaar via een erkende audit. Zodat hun risico niet jouw probleem wordt. Je wilt immers graag hun producten of diensten, maar niet hun cyberrisico. Steeds meer organisaties stellen dit als ondergrens bij nieuwe contracten en inkooprondes.
Andersom geldt het ook. Ook jij wordt als bedrijf geacht te voldoen aan NIS2 en je cyberveiligheid op orde te hebben. Het traject naar certificering duurt gemiddeld 4 maanden, dus de tijd dringt als je nog niet bent gestart. Informeer in elk geval je leveranciers en schud ze wakker. Heb je zelf nog wat stappen te maken, of hulp nodig bij de ketencheck? Spar met de cybersecurity-experts van Axoft. Mail aan sales@axoft.nl en maak een afspraak.
