Bijna de helft van de organisaties die vitale infrastructuur beheren, heeft onvoldoende zicht op cybersecuritykwetsbaarheden in hun supply chain.
Dat blijkt uit onderzoek van DNV Cyber onder meer dan 1.150 professionals in kritieke sectoren.Het onderzoek toont aan dat dreigingsactoren zoals cybercriminelen en staathackers zich steeds vaker richten op digitale kwetsbaarheden in de supply chain van vitale infrastructuur. Slechts 49 procent van de Nederlandse respondenten denkt volledig zicht te hebben op deze kwetsbaarheden, terwijl 29 procent vermoedt dat hun supply chain mogelijk al is geïnfiltreerd zonder dat leveranciers dit hebben gemeld.
Gevolgen van supply chain-aanvallen
Supply chains vormen een aantrekkelijk doelwit omdat ze toegang kunnen bieden tot meerdere organisaties en systemen tegelijk. Bekende voorbeelden zijn de SolarWinds-aanval in 2020, waarbij de Russische inlichtingendienst toegang kreeg tot duizenden klantnetwerken, en de MOVEit-inbraak in 2023 die leidde tot gegevensdiefstal bij duizenden organisaties wereldwijd.
Een recenter voorbeeld is de ransomware-aanval op Synnovis, een Britse leverancier van pathologiediensten, die in 2024 direct impact had op verschillende ziekenhuizen en leidde tot uitstel van duizenden afspraken. Volgens DNV Cyber is de zorgsector in Nederland het vaakst doelwit van cyberaanvallen.
Versterking van cybersecurity in de supply chain
“Je kunt niet beveiligen wat je niet kent,” stelt Auke Huistra, Directeur Industriële en OT-cybersecurity bij DNV Cyber. “Organisaties moeten meer inzicht krijgen in de kwetsbaarheden van hun supply chain.”
Hoewel organisaties meer investeren in cybersecurity voor hun eigen IT- en OT-systemen, waarschuwt DNV dat dit weinig verschil maakt als de beveiliging van de supply chain niet op hetzelfde niveau wordt gebracht. Positief is dat 75 procent van de respondenten aangeeft dat hun organisatie cybersecurity integreert in de eerste fasen van nieuwe infrastructuurprojecten.
Regelgeving als aanjager
Volgens het onderzoek is regelgeving de grootste drijfveer voor investeringen in cybersecurity van vitale infrastructuur. De Europese NIS2-richtlijn, die in Nederland wordt omgezet in de nieuwe Cyberbeveiligingswet, richt zich specifiek op risico’s binnen de supply chain. Ook de Europese Cyber Resilience Act stelt strengere eisen aan leveranciers van producten met ‘slimme’ elementen.
Samenwerking blijkt essentieel in de strijd tegen cyberdreigingen. Maar liefst 92 procent van de Nederlandse professionals binnen de kritieke infrastructuur is het eens dat er meer moet worden samengewerkt voor een gecoördineerde aanpak van cybersecurity.
Tip: Energiebedrijven verhogen investeringen in cybersecurity vanwege toenemende risico’s