Welke risico’s voor de cyberbeveiliging brengen leveranciers en hun onderaannemers met zich mee voor jouw organisatie? Als jouw organisatie onder de Cyberbeveiligingswet (Cbw) valt, dan moet je aan de slag met deze vraag.

Ketenbeveiliging gaat over het beschermen van zowel bestaande als nieuwe leveranciers van jouw organisatie. Het is belangrijk dat jouw organisatie een beleid heeft voor de beveiliging van de toeleveringsketen. Dit beleid geeft richtlijnen voor het omgaan met afhankelijkheden van leveranciers die de veiligheid van de netwerk- en informatiesystemen kunnen beïnvloeden. Hierbij gaat het niet alleen om de digitale beveiliging. Het gaat ook om de fysieke beveiliging van de locatie waar de te beschermen systemen staan. Het beleid richt zich op bestaande leveranciers (via risicoanalyses) en nieuwe leveranciers (via het inkoopproces).

Risicoanalyse van processen en leveranciers

Met behulp van een risicoanalyse bepaal je van huidige leveranciers hoe groot de impact is op jouw eigen organisatie, als ze bijvoorbeeld wegvallen of worden gehackt. Welke processen en data hebben met leveranciers te maken? Welke risico’s en afhankelijkheden zijn er? Zo identificeer je jouw kritieke leveranciers met hun risico’s.

Handige hulpmiddelen hierbij zijn:

Gevolgen Cbw voor leveranciers

Leveranciers aan organisaties die onder de Cyberbeveiligingswet vallen, zullen indirect de gevolgen van de wet merken. Zo is de verwachting dat Cbw-organisaties aan hun leveranciers om extra maatregelen zullen vragen, zoals het hebben van bepaalde certificaten. Volgens de wet zijn de Cbw-organisaties immers verantwoordelijk voor voldoende beveiliging van de toeleveringsketen.

Meer informatie

Meer informatie voor de toeleveringsketen is te vinden via De Cyberbeveiligingswet en toeleveranciers (www.ncsc.nl)