Veel organisaties besteden hun IT grotendeels uit. Van cloudhosting tot helpdesk en securitymonitoring: de afhankelijkheid van externe partijen is vandaag de dag enorm groot. Vaak is er een blind vertrouwen: “onze IT-partner regelt dat wel”. Maar wat als die partner zelf wordt geraakt door een cyberaanval, ransomware of faillissement?
Een goede cyber security strategie kijkt niet alleen naar interne processen en systemen, maar óók naar leveranciers. Zeker nu de NIS2 (Cyberbeveiligingswet) nis2 ketenverantwoordelijkheid nadrukkelijk meeneemt, is het tijd dat bestuurders en IT-managers dit serieus adressen in hun cyberstrategie.
Wat verstaan we onder een cyber security strategie?
Een cyber security strategie is meer dan firewalls, antivirus en wachtwoordbeleid. Het is een geïntegreerde aanpak die digitale risico’s verbindt aan bedrijfsdoelen en continuïteit.
Welke risico’s bedreigen onze digitale continuïteit?
Hoe zorgen we voor preventie, detectie én herstelvermogen?
Hoe verdelen we verantwoordelijkheden tussen bestuur, IT en leveranciers?
Hoe houden we toezicht en rapporteren we op voortgang en incidenten?
Een volwassen strategie bestaat uit:
Risicobeoordeling – waar liggen de kwetsbaarheden, intern én in de keten?
Beleid en governance – vastleggen wie waarvoor verantwoordelijk is (inclusief leveranciers).
Maatregelen – technisch, organisatorisch en mensgericht.
Incidentrespons – draaiboeken en crisisorganisatie (ook met partners).
Continue verbetering – meten, rapporteren en bijstellen.
Afhankelijkheid van IT-partners doorgaans groot
Veel bedrijven vertrouwen hun kroonjuwelen – data, processen, klanteninformatie – toe aan externe IT-partners. Maar:
Zij hebben óók kwetsbaarheden. Denk aan een IT-leverancier die zelf wordt geraakt door ransomware.
Hun incident is jouw incident. Als hun systemen uitvallen, sta jij stil.
Onvoldoende inzicht. Vaak weet de directie niet welke maatregelen de partner wel of niet heeft genomen.
Zo ontstaat een blinde vlek: je cyber security strategie is op orde voor je eigen omgeving, maar staat of valt met je leveranciers en de ketenverantwoordelijkheid.
NIS2 ketenverantwoordelijkheid: waarom dit nu urgent is
Regelgeving en inkoopvoorwaarden van grote klanten leggen nadruk op deze nis2 ketenverantwoordelijkheid: je moet aantonen dat ook je kritieke leveranciers passende beveiliging hebben. Concreet betekent dit:
Bestuurders blijven verantwoordelijk voor risicobeheersing in de héle keten.
Je toont aan dat leveranciers voldoen aan afgesproken normen.
Incidenten bij leveranciers raken jouw meld- en communicatieplichten.
Contracten, SLA’s en due diligence zijn strategische instrumenten, geen bijlagen.
Met andere woorden: het bestuur kan zich niet verschuilen achter “onze partner regelt het”.
Voorbeelden uit de praktijk
Ransomware bij een IT-dienstverlener
Een RMM oplossing die door veel MSP dienstverleners werd gebruikt, werd gegijzeld door ransomware. Klanten die via IT-partijen deze software gebruikten, werden allemaal slachtoffer van ransomware. Ze konden wekenlang niet bij hun data, of de data bleek door missende back-ups onherstelbaar beschadigd.Faillissement van een hostingpartij
Een webwinkel verloor data toen de hostingpartij failliet ging. Er was geen exit strategie en de back-ups stonden in hetzelfde datacenter bij de failliete hostingpartij.
Hoe neem je leveranciers op in je cyber security strategie?
1) Maak leveranciersrisico’s zichtbaar
Breng in kaart wie je kritieke IT-partners zijn.
Benoem welke processen/data via hen lopen.
Weeg de impact bij uitval of datalek.
2) Stel eisen en leg afspraken vast
Verwerk security-eisen in contracten en SLA’s.
Vraag naar certificeringen (bijv. ISO27001, SOC2) en relevante rapportages.
Leg meldtermijnen en verantwoordelijkheden vast.
3) Toets en monitor
Vraag periodieke rapportages op en bespreek bevindingen.
Plan gezamenlijke evaluaties en verbeteracties.
Oefen samen een incident (tabletop): wie doet wat, wanneer?
4) Bouw alternatieven in
Zorg voor een exit strategie: hoe migreer je bij problemen? Waar is de code opgeslagen en kan ik daar bij komen?
Beoordeel of je te afhankelijk bent van één leverancier.
Overweeg fallback-opties voor kritieke processen.
5) Betrek bestuur en RvC
Maak leveranciersrisico’s onderdeel van kwartaalrapportages.
Leg keuzes en prioriteiten bestuurlijk vast.
Geef de RvC inzicht in ketenverantwoordelijkheid en voortgang.
Bestuurlijke en toezichthoudende rol
Voor bestuurders en commissarissen draait het om regie en toezicht. Niet om firewalls, wel om de juiste vragen:
Welke IT-partners zijn voor ons cruciaal?
Hoe is hun weerbaarheid geborgd en getoetst?
Welke afspraken zijn contractueel vastgelegd (security, melding, exit)?
Hoe ziet ons exit plan eruit?
Is de ketenverantwoordelijkheid geborgd in onze cyber security strategie?
Checklist: leveranciers en jouw cyber security strategie
- Kritieke IT-partners in kaart gebracht
- Risico’s en impact benoemd (incl. ketenverantwoordelijkheid)
- Security eisen en meldplichten contractueel vastgelegd
- Certificeringen/rapportages inzichtelijk en beoordeeld
- Exit strategie gedefinieerd en getest
- Onderwerp besproken in bestuur en RvC
- Periodieke rapportage en toetsing ingericht
Conclusie
Een cyber security strategie die alleen naar de eigen organisatie kijkt, is incompleet. Juist de afhankelijkheid van IT-partners vormt vaak de grootste blinde vlek. Met nis2 ketenverantwoordelijkheid, is het moment daar om dit structureel te adresseren.
Voor bestuurders en IT-managers ligt hier een kans: van verplichting naar strategisch voordeel. Organisaties die hun keten onder controle hebben, zijn weerbaarder, betrouwbaarder en aantrekkelijker voor klanten en partners.