Veel bedrijven stellen ons dezelfde vraag: “Waarom zou ik mijn leveranciers controleren? We hebben een goede relatie, en ik ben afhankelijk van hen.”
Die vraag is begrijpelijk. Niemand wil de indruk wekken dat je je partners niet vertrouwt. Maar als je naar de feiten kijkt, is er één antwoord dat boven alles uitsteekt: leveranciers zijn de grootste oorzaak van succesvolle hacks.
Hard bewijs: 40% van de hacks begint bij je leveranciers
Onderzoeksinstituut IVBB heeft de gegevens van 15.000 gedocumenteerde hacks uit de afgelopen vijf jaar onderzocht. Voor elk incident is gekeken naar de daadwerkelijke reden van de hack. Op basis van een zorgvuldige data-analyse, uitgevoerd door ervaren onderzoekers van IVBB, ontstond de volgende verdeling:
| Reden voor een hack | Percentage |
| 1. Leveranciers en toeleveringsketens | 40,1% |
| 2. Eigen techniek met kwetsbaarheden | 35,8% |
| 3. Eigen medewerkers (menselijke fouten) | 24,1% |
Dit betekent dat vier op de tien succesvolle hacks ontstaan via de leveranciers of de keten daaromheen. Dat zijn partijen waar je als bedrijf direct of indirect mee samenwerkt – denk aan IT-dienstverleners, softwareleveranciers, transportbedrijven, of zelfs je marketingbureau. Zij hebben vaak toegang tot je systemen of data, of raken jouw processen op een andere manier.
Leverancierscheck: van ongemak naar professionaliteit
Ja, het kan ongemakkelijk voelen om je leveranciers kritische vragen te stellen. Maar zie het als iets wat niet voortkomt uit wantrouwen, maar uit professionaliteit. Net zoals je een brandblusser in je pand hebt, terwijl je hoopt ‘m nooit nodig te hebben – zo werk je ook met leveranciers aan veiligheid.
Sterker nog: veel leveranciers waarderen het juist wanneer hun klanten serieuze eisen stellen. Het geeft hen de kans om te laten zien dat zij hun zaken op orde hebben, en het beschermt ook hén tegen schade, aansprakelijkheid en reputatieverlies.
Wat kun je doen?
Het controleren van leveranciers hoeft niet ingewikkeld te zijn. Met een paar heldere stappen ben je al een heel eind op weg:
- Maak afspraken: Leg contractueel vast wat je verwacht op het gebied van cybersecurity.
- Gebruik een norm of certificaat: Vraag om bewijs, zoals een NIS2-certificering of andere aantoonbare veiligheidsmaatregel.
- Wees eerlijk en open: Bespreek waarom je deze stappen neemt. Verwijs desnoods naar de cijfers hierboven: 40% is geen detail, het is een wake-up call.
NIS2: verplichting én kans
Vanaf 2025 moeten veel bedrijven voldoen aan de nieuwe Europese NIS2-wetgeving. Een belangrijk onderdeel daarvan is dat je als bedrijf verantwoordelijkheid draagt voor de cybersecurity van je hele keten. Dus ook die van je leveranciers.
Met de NIS2 Quality Mark wordt dit eenvoudig en concreet gemaakt: leveranciers tonen aan dat ze voldoen aan de eisen, jij kunt dit controleren, en beide partijen hebben zekerheid. Zo werkt de keten samen aan digitale veiligheid, zonder dat het te veel tijd of geld kost.
Kortom: het controleren van leveranciers is geen teken van wantrouwen, maar een noodzakelijke stap om jezelf én je keten te beschermen. Met duidelijke afspraken en heldere standaarden voorkom je dat jouw bedrijf het volgende slachtoffer wordt van een aanval die eigenlijk voorkomen had kunnen worden.
