De cyberaanvallen op grote Britse retailers zoals Marks & Spencer, Co-op en Harrods van halverwege dit jaar, die honderden miljoenen aan schade veroorzaakten, benadrukken hoe kwetsbaar supply chains inmiddels zijn. Hoewel deze incidenten zich in het Verenigd Koninkrijk afspeelden, is dit ook iets dat organisaties in Nederland en de bredere Benelux kan treffen. Cybercriminelen richten hun pijlen steeds vaker op het hele ecosysteem rond een organisatie. Ze breken niet langer in via de voordeur, maar via de achteringang van leveranciers, dienstverleners of andere derde partijen die toegang hebben tot kritieke systemen. De realiteit is dat één zwakke schakel in de keten voldoende kan zijn om grote schade aan te richten.
NIS2 legt nadruk op ketenverantwoordelijkheid
Deze verschuiving krijgt in onze regio extra gewicht door de invoering van NIS2. Deze Europese richtlijn verplicht bedrijven in vitale sectoren zoals energie, zorg, transport en digitale infrastructuur om ook de cyberweerbaarheid van hun leveranciers aantoonbaar te garanderen. Het tijdperk waarin je enkel je eigen security op orde hoefde te hebben, is definitief voorbij. NIS2 vereist dat organisaties precies weten wie toegang heeft tot hun systemen, welke rechten deze partijen hebben en op welke manier die toegang wordt beveiligd. In de praktijk blijkt dit voor veel bedrijven een uitdaging: vaak ontbreekt het aan overzicht, monitoring en duidelijke afspraken.
Verborgen dreigingen blootgelegd
Uit het 2025 Arctic Wolf Trends Report blijkt dat er bij nieuwe klanten in 62% van de gevallen sprake is van latente dreigingen: ongeautoriseerde toegangsrechten, verouderde software of afwijkende netwerkactiviteit die eerder onopgemerkt bleef. Deze kwetsbaarheden ontstaan vaak niet door directe aanvallen, maar door de verbonden systemen van externe partijen. Een recent voorbeeld uit Nederland onderstreept dit risico: in november 2024 werden onder andere Jumbo en HEMA getroffen door verstoringen in hun logistieke processen als gevolg van een ransomware-aanval op softwareleverancier Blue Yonder. Deze leverancier beheert de supply chain-systemen van diverse retailers en de aanval maakte pijnlijk duidelijk hoe afhankelijk bedrijven zijn van de digitale weerbaarheid van hun partners. De kwetsbaarheid zat niet in de systemen van Jumbo of HEMA zelf, maar ze ondervonden er wel direct de gevolgen van.
Ketenrisico’s nemen toe door AI-gestuurde aanvallen
Nieuwe technologie, zoals generatieve AI, vergroot deze ketenafhankelijkheid nog verder. Waar aanvallers via partners vaak ongemerkt binnenkomen, maakt AI het voor aanvallers makkelijker dan ooit om overtuigend over te komen. Phishingmails worden steeds overtuigender, stemmen en gezichten kunnen via deepfake-tools worden nagebootst, en social engineering-aanvallen zijn nauwelijks nog van echt te onderscheiden. Vooral afdelingen die veel op afstand werken, zoals IT-helpdesks, financiële afdelingen en externe leveranciers, lopen hierdoor extra risico om misleid te worden, met mogelijk dezelfde ontwrichtende gevolgen als bij incidenten via kwetsbare partnersystemen.
Van basisbeveiliging naar ketenstrategie
Hoewel klassieke securitymaatregelen zoals multi-factor authenticatie, netwerksegmentatie en regelmatige pentests nog altijd belangrijk zijn, vormen ze slechts het fundament. Wat nodig is, is een fundamenteel andere kijk op verantwoordelijkheden binnen de keten. Organisaties moeten actief beleid ontwikkelen waarin niet alleen wordt vastgelegd welke toegang externe partijen krijgen, maar ook onder welke voorwaarden, hoe deze toegang wordt gecontroleerd, hoe afwijkend gedrag kan worden gedetecteerd en welke maatregelen in dat geval worden getroffen. Daarbij is het cruciaal dat organisaties zelf eerst begrijpen en vastleggen wat ‘normaal gedrag’ is binnen hun digitale omgeving; zonder een goed beeld van die baseline vallen afwijkingen immers nauwelijks op.
Transparantie en samenwerking verplicht
Daarnaast vormen toezicht, transparantie en samenwerking de kern van een toekomstgerichte aanpak. Contracten met leveranciers moeten duidelijke securityeisen bevatten, inclusief het verplicht uitvoeren van audits, het delen van incidentinformatie en het naleven van uniforme standaarden voor toegangsbeheer, encryptie en updates. Tegelijkertijd moeten organisaties real-time inzicht krijgen in wie er op hun systemen actief is, zowel intern als extern. Zonder dat inzicht blijft de dreiging onzichtbaar tot het te laat is.
Bestuurders persoonlijk aansprakelijk
Wat hierbij hopelijk helpt, is dat bestuurders onder NIS2 persoonlijk verantwoordelijk zijn voor het cybersecuritybeleid. Niet voldoen aan de verplichtingen betekent dan niet alleen reputatieschade of operationele onderbrekingen, maar ook eventuele juridische consequenties. De urgentie is hoog en uitstel is geen optie. Organisaties moeten hun volledige securityaanpak nu herzien: van toegang en monitoring tot afspraken met derde partijen. Alleen als we cybersecurity gaan zien als een gezamenlijke verantwoordelijkheid kunnen we de weerbaarheid van het digitale ecosysteem versterken. Want in een tijd waarin alles met elkaar verbonden is, is niemand veilig als de keten dat niet is.
Dit is een ingezonden bijdrage van Arctic Wolf. Via deze link vind je meer informatie over de mogelijkheden van het bedrijf.