Toeleveringsketen

Ketenbeveiliging gaat over het beschermen van zowel bestaande als nieuwe leveranciers van uw organisatie. Belangrijk dat uw organisatie een beleid heeft voor de beveiliging van de toeleveringsketen. Dit beleid geeft richtlijnen voor het omgaan met afhankelijkheden van leveranciers die de veiligheid van de netwerk- en informatiesystemen kunnen beïnvloeden. Hierbij gaat het niet alleen om de digitale beveiliging. Het gaat ook om de fysieke beveiliging van de locatie waar de te beschermen systemen staan. Het beleid richt zich op bestaande leveranciers (via risicoanalyses) en nieuwe leveranciers (via het inkoopproces).

Risicoanalyse van processen en leveranciers

Met behulp van een risicoanalyse bepaalt u van uw huidige leveranciers hoe groot de impact is op uw eigen organisatie, als ze bijvoorbeeld wegvallen of worden gehackt. Welke processen en data hebben met leveranciers te maken? Welke risico’s en afhankelijkheden zijn er? Zo identificeert u uw kritieke leveranciers met hun risico’s.

Handige hulpmiddelen hierbij zijn:

• Quickscan met enkele vragen die u helpen bij het starten met de beoordeling van uw leveranciersmanagement;
• Stappenplan voor het in kaart brengen van uw leveranciers;
• Keteninventarisatie: formulier waarin u afhankelijkheden, afspraken en alternatieven per leverancier kunt vastleggen;
• Ketenbeveiliging – Good Practices met informatie over hoe zes grote cybervolwassen organisaties de toeleveringsketen beveiligen.

Gevolgen Cbw voor leveranciers

Leveranciers aan organisaties die onder de Cyberbeveiligingswet vallen, zullen indirect de gevolgen van de wet merken. Zo is de verwachting dat Cbw-organisaties aan hun leveranciers om extra maatregelen zullen vragen, zoals het hebben van bepaalde certificaten. Volgens de wet zijn de Cbw-organisaties immers verantwoordelijk voor voldoende beveiliging van de toeleveringsketen.

Meer informatie

Meer informatie voor de toeleveringsketen is te vinden via De Cyberbeveiligingswet en toeleveranciers | Digital Trust Center (Min. van EZ).