Hoe maak je je toeleveringsketen cyberveilig?
De keten is zo sterk als de zwakste schakel. Dit gezegde geldt ook in de wereld van cybersecurity. Bedrijven vertrouwen vaak op producten en diensten van leveranciers. Wanneer organisaties digitaal met elkaar verbonden zijn, wordt een kwetsbaarheid alleen maar vergroot: een beveiligingslek bij een leverancier kan namelijk grote gevolgen hebben voor jouw bedrijf. Daarom stelt de Europese NIS2-richtlijn dat ‘belangrijke’ en ‘essentiële’ bedrijven maatregelen moeten nemen om de beveiliging van hun toeleveringsketen te versterken.
Wat kan er misgaan in de keten?
Niet elk bedrijf of elke sector is even goed voorbereid op digitale dreigingen. Jij kunt je cybersecurity namelijk wel goed op orde hebben, maar alsnog risico lopen door kwetsbaarheden bij jouw leveranciers of IT-dienstverleners. Dit kan de beschikbaarheid, vertrouwelijkheid en integriteit van je bedrijfsprocessen en data in gevaar brengen – en daarmee je hele bedrijf.
Er zijn verschillende cyberrisico’s in de toeleveringsketen die je bedrijf kunnen treffen. Hier zijn drie veelvoorkomende scenario’s:
- Een leverancier kan niet meer leveren na een digitale aanval. Stel dat jouw meststofleverancier slachtoffer wordt van een ransomware-aanval en geen bestellingen meer kan verwerken. Dit kan leiden tot vertragingen in het bemesten van kassen, wat een directe impact heeft op de oogsttijd en de kwaliteit van je producten;
- Je IT-dienstverlener wordt gehackt, waardoor de aanvaller mogelijk toegang krijgt tot jouw systemen. Als jouw leverancier die de digitale toegang regelt wordt gehackt, kunnen kwaadwillenden via die software toegang krijgen tot jouw systemen. Dit kan ertoe leiden dat bijvoorbeeld de temperatuur in de kassen verkeerd wordt ingesteld, wat je gewassen kan beschadigen, of waarbij informatie wordt gestolen;
- Er wordt een kritieke kwetsbaarheid ontdekt in een product of dienst die jij gebruikt. Als er bijvoorbeeld een lek is ontdekt in een irrigatiesysteem, kan een hacker via dat lek toegang krijgen tot de machines en ze mogelijk saboteren of stilleggen. Dit kan resulteren in productieverlies en fysieke schade aan de locatie.
Kortom, je bent zo veilig als je minst beveiligde partner. Zorg dus dat je niet alleen je eigen systemen beschermt, maar ook die van je toeleveranciers goed in de gaten houdt.
Beleid voor de toeleveranciersketen
Het is niet eenvoudig om volledig inzicht en controle te krijgen op cybersecurityrisico’s in de toeleveringsketen. Wil je een sterke en cyberveilige keten, dan is een goed beleid essentieel. Hierin breng je de afhankelijkheidsrelaties met je directe leveranciers of dienstverleners in kaart en leg je de focus op de IT-toeleveringsketen om potentiële risico’s te beperken.
Beleidsplan voor de toeleveringsketen
Een strategisch beleidsplan voor je toeleveringsketen helpt je grip te krijgen op de risico’s. Het document bevat onder andere:
Eén van de belangrijkste onderdelen van NIS2 is het beheer van leveranciers. Zo vereist NIS2 dat je bij het afnemen van diensten of producten inzicht hebt in de volgende zaken:
- Kan een leverancier aantonen dat hij voldoet aan de cybersecurityspecificaties die jij aan ze stelt?
- Wat zijn de risicoclassificaties van de IT-diensten of producten die worden geleverd.
- Voer een gecoördineerde risicobeoordeling uit op je kritieke toeleveranciers.
Contractuele afspraken met leveranciers
Om controle te houden over risico’s en afhankelijkheden, is het essentieel om goede afspraken te maken met je leveranciers. Dit kan worden vastgelegd in een zogeheten Service Level Agreement (SLA). Hierin stel je de verwachte prestaties en responsniveaus vast. Voor de ketenbeveiliging kun je in de SLA afspraken opnemen over onder andere:
Heb je nog geen afspraken vastgelegd? Gebruik het gesprek met je IT-dienstverlener als startpunt voor duidelijke afspraken over cyberveiligheid.
Effectiviteit en herziening
Het beleidsplan voor de toeleveringsketen moet periodiek getoetst worden, bijvoorbeeld via een audit. Voor tuinbouwbedrijven betekent dit onder andere dat de cybersecurity van belangrijke apparatuur grondig wordt gecontroleerd, denk hierbij aan klimaatbeheersingssystemen, irrigatiesystemen en automatiseringssoftware. Ook moet het plan regelmatig herzien worden om rekening te houden met veranderingen. Zeker binnen de IT en cybersecurity worden vaak nieuwe technologieën geïntroduceerd. Ook kan er sprake zijn van een toename van cyberdreigingen die specifiek gericht zijn op de landbouwsector, zoals aanvallen op IoT-apparaten die de teelt aansturen.
Als NIS2-organisatie ben je verantwoordelijk voor het identificeren en beperken van de risico’s – ook die vanuit de toeleveringsketen. Voor onze sector kan dit betekenen dat je inzicht hebt in hoe goed de leveranciers van bijvoorbeeld je LED-verlichtingssystemen of geautomatiseerde transportsystemen beveiligd zijn. Het is daarom enorm belangrijk om heldere afspraken te maken met deze leveranciers, zoals een meldplicht voor cyberincidenten, en voortdurend zicht te houden op de risico’s die zij met zich meebrengen. Zo kun je ervoor zorgen dat potentiële dreigingen beperkt blijven tot een aanvaardbaar niveau en de continuïteit van je teeltprocessen gewaarborgd blijft.