Risico cyberaanval stijgt enorm: bijna de helft van organisaties die vitale infrastructuur beheren mist zicht op supply chain

Amsterdam, 27 maart 2025 – Sectoren die als essentieel worden beschouwd voor het functioneren van de Nederlandse maatschappij bevinden zich in een escalerende strijd tegen cyberdreigingen. Onderzoek van DNV Cyber toont aan dat dreigingsactoren, zoals cybercriminelen en nationale staten, zich richten op digitale kwetsbaarheden van supply chains die met hen verbonden zijn. Daarnaast wordt de regelgeving voor het bestrijden van deze snelgroeiende dreiging rondom cybersecurity in de supply chain strenger. Voor het bestrijden van deze situatie en voor het garanderen van veerkracht is het noodzakelijk dat organisaties hun bekwaamheid verbeteren.

Bijna de helft (49%) van de Nederlandse respondenten die werken in de vitale infrastructuur denkt dat hun organisatie volledig zicht heeft op cybersecuritykwetsbaarheden in de supply chain van hun organisatie. Dit verhoogt het risico op cyberaanvallen via gekoppelde netwerken, componenten, software en externe serviceleveranciers.

DNV Cyber heeft onderzoek uitgevoerd onder meer dan 1.150 professionals die werkzaam zijn in vitale infrastructuursectoren zoals energie, maritiem, de maakindustrie en de gezondheidszorg. Hieruit blijkt dat 29% van de ondervraagden denkt dat cyberaanvallers hun supply chain mogelijk hebben geïnfiltreerd zonder dat leveranciers dit hebben gemeld.

“Je kunt niet beveiligen wat je niet kent. Organisaties moeten meer inzicht krijgen in de kwetsbaarheden van hun supply chain. Verder moeten zij aan de slag met een aanpak die meer zicht houdt op wat de leveranciers binnen brengen en de activiteiten die ze verrichten. Voor het versterken van de cybersecurity in de supply chain doen organisaties er verstandig aan om de cybersecurityeisen op te nemen in de inkoop- en leverancierscontracten. Daarnaast is het raadzaam om meer en eerder aandacht te besteden aan security bij het ontwerp van installaties, bedrijfsprocessen, -middelen en het trainen van de teams die zich bezighouden met de operatie, dus niet alleen de cybersecurityteams, maar vooral de operators, de engineers en bijvoorbeeld de inkoopafdelingen. Het stellen van eisen is onvoldoende. Bedrijven moeten voortdurend blijven testen om risico’s inzichtelijk te houden. Daarnaast is het noodzakelijk om een goede detectie- en responscapaciteit te hebben, waarbij de partijen uit de supply chain vaak een essentiële rol spelen. Hierover dienen vroegtijdig afspraken te worden gemaakt en moet er ook geoefend worden”, zegt Auke Huistra, Directeur Industriële en OT-cybersecurity bij DNV Cyber.

Supply chains zijn een aantrekkelijk doelwit voor cyberaanvallen, omdat ze een mogelijke toegang vormen tot meerdere organisaties en systemen, waaronder vitale infrastructuren. Aanvallers passen hun aanpak continu aan en ontwikkelen steeds geavanceerdere tactieken die moeilijk te detecteren zijn. Zo is 71% van de Nederlandse professionals van mening dat cybersecuritytraining van de medewerkers in hun organisatie onvoldoende is om personeel voor te bereiden op geavanceerde dreigingen.

Een voorbeeld van een aanval via de supply chain is de geraffineerde cyberaanval SolarWinds in 2020. Volgens de Amerikaanse overheid kraakte de Russische Foreign Intelligence Service (SVR) de software van het IT-monitoringsbedrijf. Hierdoor kregen hackers toegang tot de netwerken, systemen en data van duizenden klanten, waaronder overheden en kritieke infrastructuurorganisaties.

In 2023 leidde een inbraak in bestandsoverdrachtsprogramma MOVEit tot diefstal van gegevens van duizenden organisaties wereldwijd. Onder de slachtoffers zaten kritieke infrastructuursectoren zoals de energie- en healthcare sector.

Een recenter voorbeeld is de aanval op een van de grootste zorgverleners in het Verenigd Koninkrijk vorig jaar. Een ransomware aanval op Synnovis, een leverancier van pathologiediensten, in 2024 had direct impact op verschillende ziekenhuizen die hier gebruik van maakten. Dit veroorzaakte vertragingen bij dringende en spoedeisende zorg. Uiteindelijk leidde dit tot uitstel van duizenden poliklinische afspraken en keuzeprocedures. Ander onderzoek toont aan dat de Nederlandse zorgsector de meeste cyberaanvallen te verwerken krijgt. Dat ziekenhuizen en zorginstellingen beter voorbereid moeten zijn, wordt inmiddels ook beaamd door de Europese Commissie. Zij komen namelijk met een actieplan rondom de cyberveiligheid van ziekenhuizen.

Organisaties die kritieke infrastructuur beheren, investeren meer in cybersecurity. Ook nemen zij stappen voor het beveiligen van IT en operationele technologie (OT). Verder worden systemen die fysieke apparaten en processen besturen extra bewaakt en bestuurt. Toch waarschuwt DNV in het recente onderzoek dat als de cybersecurity van de supply chain van organisaties niet op dezelfde manier wordt versterkt, dit weinig verschil maakt. Aanvallen op digitale technologieën hebben direct invloed op de ‘echte wereld’ van fysieke bedrijfsmiddelen en activiteiten. Cyberfysieke aanvallen vormen dus een toenemend probleem.

Desalniettemin vertrouwt bijna de helft (49%) van de professionals in de kritieke infrastructuur erop dat hun organisatie in staat is om cybersecurityverplichtingen op te nemen in nieuwe contracten met leveranciers. Daarbij geeft 75% van de respondenten aan dat hun organisatie cybersecurity integreert in de eerste fasen van nieuwe infrastructuurprojecten.

“De gevolgen van een cyberinbraak kunnen binnen kritieke infrastructuren en OT-omgevingen zeer ernstig zijn. Het kan invloed hebben op de nationale veiligheid, de samenleving en de economie. Het is dus cruciaal dat alle organisaties hun supply chain beveiligen”, zegt Huistra. “Leveranciers van systemen en diensten kunnen een doorslaggevende rol spelen bij het verbeteren van de security. Hierbij is het van belang dat de eigenaren van de vitale objecten eisen stellen aan hun leveranciers. Dit kunnen zij doen op basis van het risicoprofiel van hun organisatie en de vereisten die wet- en regelgeving aan hun organisatie stellen. Daarnaast is het controleren van de daadwerkelijke implementatie van de vereiste maatregelen essentieel. Samenwerking binnen heel de supply chain is cruciaal. Hieronder valt ook het delen van informatie over kwetsbaarheden en incidenten.”

Tijdig reageren op supply chaindreigingen met strengere regelgeving
Volgens het Cyber Priority onderzoek is regelgeving de grootste aanjager van investeringen in de cybersecurity van vitale infrastructuren. Het behoort tot een van de beste drijfveren voor het daadwerkelijk investeren in cybersecurity en het daarmee versterken van de cyberweerbaarheid.

Ook verschillende overheden scherpen regelgevingen aan. Zo gaat de Europese richtlijn Netwerk- en Informatiesystemen 2 (NIS2), die in Nederland wordt omgezet in de nieuwe Cyberbeveiligingswet, in op de risico’s binnen de supply chain en relaties met leveranciers. Verder vereist de Europese Cyber Resilience Act (CRA) dat leveranciers van producten met een ‘slim’ element’, inclusief industriële IoT-producten, voldoen aan de strengere cybersecuritynormen. Dit heeft gevolgen voor het ontwerp-, ontwikkelings- en implementatieproces, waarin cybersecurity meegenomen moet gaan worden.

Ook maakt regelgeving op sectorniveau een verschil. De International Association of Classified Societies (IACS) unified requirements (IACS UR-E26 en UR-E27) heeft in de maritieme sector verplichte cybersecurityeisen vastgesteld. Dit geldt voor schepen die na 1 juli 2024 worden gecontracteerd, maar ook voor systemen en apparatuur aan boord. Deze regelgeving heeft de implementatie van cybersecuritycontroles voor werven, ontwerpers, Original Equipment Manufacturers (OEM’s) en eigenaren tijdens het ontwerp en de exploitatie van schepen een enorme boost gegeven.

Samenwerking is sleutel tot versterking cybersecurity
Om de evoluerende dreigingen weerstand te bieden, moeten bedrijven regelgeving voorblijven. Dit kan bijvoorbeeld via gemeenschappelijke inspanningen. Een voorbeeld hiervan zijn de samenwerkingsverbanden in Nederland zoals de ISACs (Information Sharing and Analysis Centers) voor de vitale infrastructuren, die worden gehost door het Nationaal Cyber Security Center als ook diverse regionale initiatieven zoals in de Rotterdamse haven en Brainport Eindhoven. Het opstellen van voorbeelden voor cyberweerbaarheid binnen de maritieme- en energiesector zijn andere voorbeelden. Er is veel steun voor zo’n aanpak. Uit het Cyber Priority rapport blijkt namelijk dat 92% van de Nederlandse professionals binnen de kritieke infrastructuur het eens is dat er meer moet worden samengewerkt ter bevordering van een gecoördineerde aanpak van cybersecurity.

Er zijn verschillende relevante cybersecuritynormen, zoals bijvoorbeeld de IEC 62443 voor de security van operationele technologie (OT) in industriële besturingssystemen. Om deze gemakkelijk te implementeren, is het belangrijk om goede praktijkvoorbeelden te hebben over hoe deze daadwerkelijk te implementeren in iedere sector. Dit maakt de ook verwachting van de verschillende partijen in de supply chain inzichtelijk, aangezien zowel de eigenaren van de vitale infrastructuur als hun leveranciers een bijdrage aan het geheel moeten leveren.

Een voorbeeld hiervan is het Joint Industry Project voor OT Cybersecurity in de offshore windsector. Dit initiatief, opgezet door DNV en Siemens Energy, ontwikkelt een aanpak tegen cyberdreigingen in de offshore windsector. Verschillende grote spelers die een rol spelen in de supply chain werken hieraan mee. Dit is van essentieel belang, aangezien kritieke bedrijfsmiddelen sterk afhankelijk zijn van de leveranciers.

Supply chainsecurity moet beter
Uit het Cyber Priority onderzoek van DNV Cyber blijkt dat vitale infrastructuursectoren meer aandacht moeten hebben voor het cybersecurity in de supply chain. Dit is een belangrijk verbeterpunt om de beschikbaarheid van onze vitale infrastructuren hoog te houden.

Lees meer in de Cyber Priority rapporten:

Noot voor de redactie
Download hier voor afbeeldingen en grafieken.

Neem contact op met NLDNVCyber@axicom.com voor het inplannen van een aanvullend gesprek met Auke Huistra of voor meer informatie.

Over het Cyber Priority onderzoek
Het Cyber Priority onderzoek van DNV Cyber gaat in op de veranderende houding en aanpak ten opzichte van cybersecurity in belangrijke industriële sectoren. De nieuwste editie van het onderzoek voor 2024/2025 is gebaseerd op een cross-sector enquête onder meer dan 1.150 professionals en interviews met marktleiders. Het onderzoek is uitgevoerd tussen september 2024 en januari 2025.

Het rapport Energy Cyber Priority 2025: Addressing Evolving Risks, Enabling Transformationonderzoekt de meningen van 375 energieprofessionals die hebben gereageerd op de enquête, aangevuld met diepte-interviews en analyses van DNV Cyberexperts en marktleiders, onder andere van E-REDES, Siemens Energy, Fortified Technologies en Fortum.

Het rapport Maritime Cyber Priority 2024/25: Managing Cyber Risk to Enable Innovationonderzoekt de meningen van bijna 500 maritieme professionals die hebben gereageerd op de enquête, aangevuld met diepte-interviews en analyses van marktleiders en DNV Cyber-experts.

Over DNV Cyber
DNV Cyber is een toonaangevende cybersecurity dienstverlener die bedrijven met complexe behoeften in staat stelt veiliger en weerbaarder te worden. Een wereldwijd team van meer dan 500 experts breng meer dan 30 jaar ervaring in de IT- en industriële controlesystemen met zich mee om klanten in meerdere sectoren te helpen gemakkelijker te ademen en beter te presteren.

DNV Cyber identificeert, prioriteert en communiceert risico’s, navigeert bedrijven door regelgeving en stemt cybersecurity af op de bedrijfsdoelen van haar klanten. Uitgerust met effectieve technologie en inzichten in dreigingen, helpt de cybersecuritydienstverlener cyberinvesteringen veilig te stellen en kosteneffectieve securitymaatregelen te implementeren. DNV Cyber detecteert en reageert op dreigingen op de netwerken van haar klanten, wat zorgt voor continue verbetering en snel herstel. Door samen te werken en inzichten te delen, stellen de experts van DNV Cyber industriestandaarden vast en leveren ze best practices, waardoor kritieke assets worden beschermd en bedrijven kunnen floreren.

DNV Cyber is ontstaan door de fusie van Nixu, Applied Risk en DNV in 2024.

Over DNV
DNV is een onafhankelijke aanbieder van assurance- en risicomanagement, actief in meer dan 100 landen, met als doel het beschermen van leven, eigendommen en het milieu. Als vertrouwde stem voor veel van ‘s werelds meest succesvolle organisaties, helpt DNV bij het benutten van kansen en de risico’s aan te pakken die voortkomen uit wereldwijde transformaties. Met brede ervaring en diepgaande expertise om veiligheid en duurzame prestaties te bevorderen, stelt DNV industriestandaarden vast en inspireert en bedenkt het oplossingen.