De SolarWinds-aanval in 2020, de Kaseya-aanval in 2021, de MOVEit-kwetsbaarheid in 2023, en talloze kleinere incidenten hebben een patroon blootgelegd: aanvallers richten zich steeds vaker op de zwakste schakel in de keten. Een organisatie kan zelf uitstekend beveiligd zijn, maar als een leverancier wordt gecompromitteerd, kan de schade desondanks groot zijn.
Dit besef is doorgedrongen tot de wetgever. De Cyberbeveiligingswet (Cbw) noemt de beveiliging van de toeleveringsketen als een van de tien verplichte maatregelen. ISO 27001:2022 heeft supply chain security sterker verankerd in de controls. En de EU AI Act stelt eisen aan de hele waardeketen van AI-systemen. Ketenbeveiliging is niet langer een nice-to-have, het is een wettelijke verplichting.
Het dreigingslandschap van de keten
Supply chain aanvallen zijn effectief omdat ze het vertrouwen misbruiken dat organisaties in hun leveranciers stellen. Er zijn drie hoofdtypen. Bij een software supply chain aanval compromitteert de aanvaller een leverancier van software die door veel organisaties wordt gebruikt. Via een update of patch wordt malware verspreid naar alle klanten van die leverancier. SolarWinds is het bekendste voorbeeld.
Bij een service provider aanval richt de aanvaller zich op een managed service provider (MSP) of IT-leverancier die toegang heeft tot de systemen van zijn klanten. Via de leverancier krijgt de aanvaller toegang tot meerdere organisaties tegelijk. De Kaseya-aanval werkte op deze manier.
Bij een data supply chain aanval maakt de aanvaller misbruik van een bestandsuitwisselingsplatform of een andere dienst waarmee organisaties gegevens delen. De MOVEit-kwetsbaarheid is hiervan het voorbeeld bij uitstek.
Raamwerk voor ketenbeveiliging
Een effectief supply chain security programma bestaat uit vier pijlers. De eerste pijler is leveranciersinventarisatie en classificatie. Je kunt niet beveiligen wat je niet kent. Begin met een compleet overzicht van alle leveranciers die toegang hebben tot je systemen, data verwerken namens jou, of software leveren die je in je omgeving inzet. Classificeer elke leverancier op basis van het risico dat een compromittering bij die leverancier voor jou zou opleveren.
De tweede pijler is due diligence bij selectie. Voordat je een leverancier contracteert, beoordeel je hun beveiligingsniveau. Dit kan via een vragenlijst, een beoordeling van hun certificeringen (ISO 27001, SOC 2), een review van hun pentestrapporten, of een combinatie van deze methoden. De diepgang van de due diligence moet evenredig zijn aan het risico.
De derde pijler is contractuele borging. Beveiligingseisen moeten contractueel worden vastgelegd. Dit omvat minimale beveiligingsstandaarden, het recht op audit, meldplichten bij incidenten, eisen aan subverwerkers en exit-bepalingen. Zonder contractuele basis kun je geen eisen afdwingen.
De vierde pijler is doorlopend toezicht. Een eenmalige beoordeling bij contractering is onvoldoende. Leveranciers moeten periodiek worden herbeoordeeld. Dit kan via jaarlijkse vragenlijsten, het opvragen van actuele certificaten en auditrapporten, het monitoren van security ratings, en het evalueren van incidenten.
De audit van ketenbeveiliging
Bij het auditen van supply chain security beoordelen wij de volgende aspecten. Is er een compleet en actueel leveranciersregister? Zijn leveranciers geclassificeerd naar risico? Is er een due diligence proces dat consequent wordt toegepast? Zijn de contracten voorzien van adequate beveiligingsclausules? Is er een proces voor periodieke herbeoordeling? Is er een procedure voor het afhandelen van incidenten bij leveranciers?
Veelvoorkomende tekortkomingen zijn het ontbreken van een compleet leveranciersoverzicht (schaduw-IT via de business), het ontbreken van beveiligingsclausules in bestaande contracten, en het ontbreken van periodieke herbeoordeling na de initiële selectie.
Secure Audit helpt organisaties bij het opzetten en auditen van hun supply chain security programma. Van leveranciersinventarisatie en risicoanalyse tot contractreview en periodieke beoordelingen. Neem contact op voor een ketenbeveiliging assessment.
Lees ook
Hoe beoordeel je de risico's van leveranciers en uitbestedingspartners? Een praktische gids voor TPRM in de Nederlandse context.
De Cyberbeveiligingswet is de Nederlandse vertaling van de Europese NIS2 richtlijn. Op 15 april 2026 aangenomen door de Tweede Kamer, met inwerkingtreding per 1 juli 2026. Dit artikel legt uit wat de wet inhoudt, wie eronder valt en wat je nu moet regelen.
De NIS2-richtlijn is van kracht en de Nederlandse implementatiewet nadert. Veel organisaties weten dat ze iets moeten doen, maar niet wat. Dit artikel beschrijft de concrete stappen die organisaties nu moeten nemen om compliant te worden.
Over de auteur
Partner | IT-auditor