Orange Cyberdefense: schijnzekerheid in ketenbeveiliging grootste risico

Veel organisaties behandelen ketenbeveiliging nog als een administratieve taak. “Maar wie zich daarachter verschuilt, bouwt alleen maar schijnzekerheid op”, waarschuwt Matthijs van der Wel-ter Weel, Strategic Advisor bij Orange Cyberdefense. Hij pleit voor een drastische omslag in het denken over cybersecurity: van beveiligingseisen per contract naar echte ketensamenwerking. “Organisaties die nu niet transparant en realistisch worden over hun leveranciersrisico’s, nemen onaanvaardbare risico’s.”

Nieuwe regelgeving zoals NIS2 verplicht organisaties niet alleen hun eigen digitale weerbaarheid op orde te brengen, maar ook die van hun leveranciers kritisch te toetsen. In de praktijk blijkt dat nog een flinke uitdaging. Uit onderzoek van ENISA blijkt bijvoorbeeld dat supplychainsecurity het zwakste onderdeel vormt van de NIS2-voorbereiding, met een readiness-score van slechts 37 procent.

“Je kunt niet van elk mkb-bedrijf verwachten dat ze een volwassen cybersecuritysysteem inrichten”, zegt Van der Wel-ter Weel. “Toch stellen we eisen die zelfs voor grotere organisaties lastig zijn. Dat leidt tot schijnzekerheid: er staan mooie afspraken op papier, maar de feitelijke weerbaarheid ontbreekt.”

De illusie van juridische controle
Grote organisaties proberen hun cybersecurityrisico’s in te dammen met contractuele bepalingen, certificeringsplicht en beleidsclausules. Ze geven vaak het recht deze te (laten) auditen, maar daar komt in de praktijk doorgaans weinig van terecht. Zonder begeleiding, tooling, daadwerkelijke controle of gezamenlijke aanpak leveren die garanties zelden échte vooruitgang op. “Het idee dat je risico’s kunt afdekken met juridische teksten is hardnekkig, maar misleidend”, aldus Van der Wel-ter Weel.

Koerswijziging noodzakelijk
Van der Wel-ter Weel vindt het tijd voor een koerswijziging: van contractbeveiliging naar ketensamenwerking. “Cybersecurity moet niet alleen een inkoopvoorwaarde zijn, maar een gedeeld belang. De vraag is niet óf je eisen stelt, maar hoe je zorgt dat leveranciers die ook daadwerkelijk kunnen naleven.”

Drie adviezen voor organisaties die hun keten echt weerbaarder willen maken:

1. Stel eisen die je kunt toetsen en ondersteunen
Organisaties moeten beginnen bij de vraag: zijn onze eisen realistisch voor de leveranciers waarmee we werken? Veel mkb’ers hebben geen CISO, geen securityteam en geen budget voor ISO-certificering. Juist grote organisaties kunnen hier het verschil maken, door hun rol als opdrachtgever actief te benutten.

Zorg voor duidelijke, behapbare eisen die je kunt uitleggen en controleren. Bied ondersteuning waar nodig, bijvoorbeeld met eenvoudige onboardingprogramma’s, gezamenlijke assessments, een kennisportaal of een helpdesk. Zo voorkom je dat eisen vrijblijvende formaliteiten blijven en bouw je aan een sterkere, betrouwbaardere keten.

2. Vertaal beleid naar controleerbare praktijk
Contractteksten vol abstracte normen bieden weinig houvast. Wat betekent ‘passende maatregelen nemen’ in de praktijk? Vraag in plaats daarvan om concrete, verifieerbare informatie: hoe krijgt een leverancier toegang tot jouw systemen? Hoe snel worden patches uitgerold? Zijn medewerkers getraind in phishingherkenning?

Maak die vragen werkbaar door leveranciers te helpen met formats, eenvoudige zelfscans of verantwoordingstemplates. Dat verlaagt de drempel, voorkomt ruis in de communicatie en maakt het makkelijker om risico’s te identificeren en te monitoren. Zo wordt ketenbeheer minder een juridische check en meer een gestructureerd verbeterproces.

3. Neem ketenbeveiliging structureel op in je programma en begroting
Organisaties investeren miljoenen in hun eigen cybersecurity; van SOC’s en SIEM-tools tot threat intelligence en incidentresponse. Maar de voor de corebusiness essentiële leveranciers die via API’s of remote access verbonden zijn met kernsystemen, vallen vaak buiten beeld. Dat is niet alleen inconsequent, maar ook gevaarlijk.

Maak ketenweerbaarheid een structureel onderdeel van je securitystrategie. Reserveer budget voor gedeelde tooling (zoals kwetsbaarheidsscans of logmonitoring), awarenesscampagnes, phishingtests of security-as-a-service voor de meest risicovolle leveranciers. Deel waar mogelijk je eigen dreigingsinformatie, formats of trainingstrajecten. Niet als gunst, maar als strategische investering in je digitale ecosysteem.

Facilitering cruciaal
“De zwakste schakel in je keten bepaalt uiteindelijk je risico”, stelt Van der Wel-ter Weel. “Als je die schakel negeert, of alleen aanspreekt zonder ondersteuning, vergroot je het probleem in plaats van het op te lossen. Organisaties die echt werk willen maken van ketenbeveiliging, moeten stoppen met afvinken en beginnen met faciliteren.”