‘Cybersecurity moet niet alleen een inkoopvoorwaarde zijn’

“Je kunt niet van elk mkb-bedrijf verwachten dat ze een volwassen cybersecuritysysteem inrichten. Toch stellen we eisen die zelfs voor grotere organisaties lastig zijn. Dat leidt tot schijnzekerheid: er staan mooie afspraken op papier, maar de feitelijke weerbaarheid ontbreekt.”

Dat zegt Matthijs van der Wel-ter Weel, strategisch adviseur bij Orange Cyberdefense. Veel organisaties behandelen ketenbeveiliging nog als een administratieve taak: “Maar wie zich daarachter verschuilt, bouwt alleen maar schijnzekerheid op.”

Hij pleit voor een drastische omslag in het denken over cybersecurity: van beveiligingseisen per contract naar echte ketensamenwerking. “Organisaties die nu niet transparant en realistisch worden over hun leveranciersrisico’s, nemen onaanvaardbare risico’s.”

Nieuwe regelgeving zoals NIS2 verplicht organisaties niet alleen hun eigen digitale weerbaarheid op orde te brengen, maar ook die van hun leveranciers kritisch te toetsen. In de praktijk blijkt dat nog een flinke uitdaging. Uit onderzoek van ENISA blijkt bijvoorbeeld dat supply-chainsecurity het zwakste onderdeel vormt van de NIS2-voorbereiding, met een readiness-score van slechts 37 procent.

Illusie van juridische controle

Grote organisaties proberen hun cybersecurityrisico’s in te dammen met contractuele bepalingen, certificeringsplicht en beleidsclausules. Ze geven vaak het recht deze te (laten) auditen, maar daar komt in de praktijk doorgaans weinig van terecht. Zonder begeleiding, tooling, daadwerkelijke controle of gezamenlijke aanpak leveren die garanties zelden échte vooruitgang op. “Het idee dat je risico’s kunt afdekken met juridische teksten is hardnekkig, maar misleidend”, aldus Van der Wel-ter Weel.

Koerswijziging noodzakelijk

Van der Wel-ter Weel vindt het tijd voor een koerswijziging: van contractbeveiliging naar ketensamenwerking. “Cybersecurity moet niet alleen een inkoopvoorwaarde zijn, maar een gedeeld belang. De vraag is niet óf je eisen stelt, maar hoe je zorgt dat leveranciers die ook daadwerkelijk kunnen naleven.”

Drie adviezen voor organisaties die hun keten echt weerbaarder willen maken:

1. Stel eisen die je kunt toetsen en ondersteunen
   Organisaties moeten beginnen bij de vraag: zijn onze eisen realistisch voor de leveranciers waarmee we werken? Veel mkb’ers hebben geen CISO (Chief Information Security Officer) geen securityteam en geen budget voor ISO-certificering. Juist grote organisaties kunnen hier het verschil maken, door hun rol als opdrachtgever actief te benutten. Zorg voor duidelijke, behapbare eisen die je kunt uitleggen en controleren. Bied ondersteuning waar nodig.
2. Vertaal beleid naar controleerbare praktijk
   Contractteksten vol abstracte normen bieden weinig houvast. Wat betekent ‘passende maatregelen nemen’ in de praktijk? Vraag in plaats daarvan om concrete, verifieerbare informatie: hoe krijgt een leverancier toegang tot jouw systemen? Hoe snel worden patches uitgerold? Zijn medewerkers getraind in phishingherkenning? Maak die vragen werkbaar door leveranciers te helpen met formats, eenvoudige zelfscans of verantwoordingstemplates.
3. Neem ketenbeveiliging structureel op in je programma en begroting
   Organisaties investeren miljoenen in hun eigen cybersecurity; van SOC’s (Security Operations Center) en SIEM-tools (Security Information and Event Management)tot threat intelligence en incident response. Maar de voor de corebusiness essentiële leveranciers die via API’s of remote access verbonden zijn met kernsystemen, vallen vaak buiten beeld. Dat is niet alleen inconsequent, maar ook gevaarlijk.

Organisaties investeren miljoenen in hun eigen cybersecurity; van SOC’s en SIEM-tools tot threat intelligence en incident response. Maar de voor de core business essentiële leveranciers die via API’s of remote access verbonden zijn met kernsystemen, vallen vaak buiten beeld. Dat is niet alleen inconsequent, maar ook gevaarlijk.

Maak ketenweerbaarheid een structureel onderdeel van je securitystrategie. Reserveer budget voor gedeelde tooling (zoals kwetsbaarheidsscans of log-monitoring), awareness-campagnes, phishing-tests of security-as-a-service voor de meest risicovolle leveranciers. Deel waar mogelijk je eigen dreigingsinformatie, formats of trainingstrajecten. Niet als gunst, maar als strategische investering in je digitale ecosysteem.