Hoe sterk is jouw beveiliging als één schakel in je keten faalt?

In december 2023 werd Coaxis, een Franse IT-dienstverlener, getroffen door een ransomware-aanval. Wat volgde, raakte 350.000 bedrijven. Accountantskantoren, medische laboratoria, advocatenfirma's: allemaal afgesneden van hun systemen, hun data, hun dagelijkse werk. Hoe snel zij konden herstellen, hing deels af van keuzes die ze vooraf al hadden gemaakt.

De meeste organisaties weten precies hoe hun eigen beveiliging er voorstaat. Maar hoe goed ken je de beveiliging van de organisaties waar jij van afhankelijk bent? Beveiliging voelt intern maar in werkelijkheid wordt ze gevormd door veel meer dan wat je zelf direct beheert. Wat begint bij één kwetsbare leverancier, blijft zelden beperkt tot die leverancier.

In de praktijk blijft ketenbeveiliging voor veel organisaties een administratieve taak. Contractuele bepalingen, certificeringsplicht, beleidsclausules. Er staat het recht in om te auditen maar zonder begeleiding, tooling of een gezamenlijke aanpak leveren die garanties zelden echte weerbaarheid op. Uit onderzoek van ENISA blijkt dat supply chain security het zwakste onderdeel vormt van de NIS2-voorbereiding met een readiness-score van slechts 37 procent. Terwijl nieuwe regelgeving zoals NIS2 organisaties niet alleen verplicht hun eigen digitale weerbaarheid op orde te brengen, maar ook die van hun leveranciers kritisch te toetsen.

Wie zich verschuilt achter papieren afspraken, bouwt schijnzekerheid op. Het idee dat je ketenrisico's kunt afdekken met juridische teksten is hardnekkig maar misleidend. Beter voorbereid zijn begint niet met meer contracten. Het begint met de juiste vragen stellen.

Hoe bescherm je je organisatie tegen supply chain risico's?

Ketenbeveiliging begint met eerlijk antwoord geven op vragen die de meeste organisaties nog niet scherp hebben. Hieronder de vier vragen die er het meest toe doen.

1. Welke leveranciers hebben impact op jouw kritische systemen of processen?

Niet alle leveranciers vormen een even groot risico. Begin bij partijen met toegang tot kritische systemen, partijen die gevoelige data beheren en partijen die essentieel zijn voor je operationele continuïteit. Breng in kaart welke externe partijen jouw kroonjuwelen raken, zoals de data, systemen of processen die cruciaal zijn voor je organisatie, en bepaal wat de impact is als zij uitvallen of worden gecompromitteerd.

2. Als een van je belangrijkste leveranciers morgen uitvalt, hoelang duurt het voordat jouw organisatie dat voelt?

Operationele afhankelijkheden zijn vaak pas zichtbaar als ze wegvallen. De organisaties die het snelst herstellen, hebben die afhankelijkheden vooraf in kaart gebracht. Wat is onze uitwijkoptie? Wie neemt welke beslissing? Hoe lang kunnen we functioneren zonder deze leverancier? Die vragen klinken eenvoudig. Maar de meeste organisaties hebben er geen antwoord op klaarliggen.

3. Heb je duidelijke afspraken over hoe een leverancier een incident bij jou meldt en hoe snel?

Een meldingsplicht staat in veel contracten. Maar wie belt wie, wanneer en met welke informatie? Als dat niet concreet is afgestemd en vastgelegd, wordt er in een crisis geïmproviseerd. En improvisatie onder druk leidt zelden tot goede beslissingen. Werkbare afspraken over melding en escalatie zijn de basis voor een gecontroleerde respons.

4. Weet je wat je doet als er iets misgaat bij een leverancier?

Dit is de vraag die het minst vaak wordt gesteld, maar het meest telt op het moment dat het misgaat.

Operationeel: heb je een uitwijkplan als een leverancier uitvalt of onbereikbaar is? Niet elke organisatie hoeft een volledig alternatief klaar te hebben, maar weten hoe lang je kunt doordraaien en wat de eerste stappen zijn is het minimum.

Communicatief: wie informeert wie, intern, naar klanten en naar toezichthouders? Crisiscommunicatie die niet vooraf is doorgedacht, leidt tot vertraging, tegenstrijdige boodschappen en onnodige reputatieschade. Klanten die begrijpen wat er speelt, kunnen zelf aanvullende maatregelen nemen. Klanten die niets horen, vullen het vacuüm met geruchten.

Beslissingsmatig: wie heeft de bevoegdheid om actie te ondernemen, op basis van welke criteria en binnen welk tijdsvenster? In een crisis is er geen tijd meer om die vraag te beantwoorden. De organisaties die het meest in control blijven, zijn niet degenen die het beste improviseren, maar degenen die hun beslissingen al hebben genomen voordat de druk oploopt.