Naar hoofdnavigatieNaar hoofdinhoud

De Cyberbeveiligingswet treedt op 15 augustus 2026 in werking

Registreer je organisatie nu op MijnNCSC met eHerkenning of SSOnRijk. Meer over registreren

Hoe ga je om met incidenten bij leveranciers

  • Artikel
  • Leestijd:
  • Toeleveringsketen
  • Beginnen

Dit artikel bevat handvatten om jouw organisatie weerbaar(der) te maken voor incidenten bij leveranciers. Organisaties kunnen niet bestaan zonder leveranciers. Maar leveranciers zorgen ook voor risico’s, zeker als er een digitale connectie is. Daarmee is een van de meest gebruikte aanvalsvectoren die via de leveranciersketen. Gezien de hoeveelheid leveranciers die organisaties hebben, is het dan ook niet gek dat een leverancier van jouw organisatie getroffen wordt. Met maatregelen verklein je de risico’s, maar toch is een incident niet altijd te voorkomen.

Doelgroep

Dit artikel ondersteunt organisaties bij het verkleinen van de impact van incidenten die zijn bij leveranciers en biedt handvatten voor zowel de koude als de warme fase van een incident bij een leverancier.

Achtergrond

Om jouw organisatiedoelstellingen te behalen, maak je gebruik van verschillende processen en van netwerk- en informatiesystemen. Een deel daarvan ontwikkel en beheer je zelf, maar vrijwel elke organisatie koopt ook systemen en diensten in bij externe leveranciers. Dat creëert een afhankelijkheid — en helaas krijgen ook leveranciers te maken met cyberincidenten.

Incidenten bij leveranciers kunnen grote gevolgen hebben voor jouw organisatie, omdat verstoringen bij hen direct kunnen doorwerken in jouw eigen (kritieke) processen. De situatie wordt extra complex doordat je als afnemende organisatie vaak geen volledig inzicht hebt in de aard of omvang van het incident bij de leverancier.

Dit artikel biedt handvatten om de impact van incidenten bij leveranciers te verkleinen. We beginnen met wat organisaties kunnen doen in de pre‑incidentfase (de koude fase): de voorbereidingen die je treft voordat er iets misgaat. Daarna gaan we in op de acties die nodig zijn tijdens een incident, de warme fase. Tot slot bespreken we in de post‑incidentfase hoe je evalueert en leert van wat er is gebeurd.

Wil je eerst inzicht krijgen in wie jouw (kritieke) leveranciers zijn en waar de grootste risico’s in de keten zitten? Lees dan het artikel over ketenrisico’s.

1. Pre-incident fase (koude fase) 

Wat is echt belangrijk voor de organisatie?

Organisatiedoelstellingen geven aan waarom een organisatie bestaat en wat ze wil bereiken. Ze helpen om keuzes te maken en bepalen wat voor de organisatie echt belangrijk is. Met andere woorden: welke doelen móeten altijd gehaald worden om goed te kunnen blijven functioneren?

Aan de hand van deze doelstellingen kun je vervolgens bekijken welke processen en welke netwerk- en informatiesystemen daarbij horen. Zo wordt zichtbaar welke onderdelen cruciaal zijn om de doelen te behalen. Dit vormt een handig raamwerk om de te beschermen belangen (TBB’s) te bepalen. Dat zijn de ‘kroonjuwelen’ van de organisatie: de processen, systemen en informatie die je absoluut wilt beschermen om de organisatie draaiende en veilig te houden. 

Om jouw organisatie goed voor te bereiden op incidenten bij leveranciers is het belangrijk om te weten waar de TBB’s zich bevinden. Wanneer je inzicht hebt in welke TBB’s bij welke leverancier liggen en hoe belangrijk deze zijn voor jouw organisatie, ontstaat er een helder overzicht. Zo zie je direct welke leveranciers een cruciale rol spelen in jouw bedrijfsvoering.

Op basis van dit overzicht kun je leveranciers indelen op risico. Een leverancier die een kritieke applicatie beheert, vormt bijvoorbeeld een groter risico dan een leverancier die een minder belangrijk onderdeel levert. Een incident bij zo’n kritieke leverancier kan immers veel grotere gevolgen hebben voor jouw organisatie. Daarom is het essentieel om deze leveranciers goed in beeld te hebben en duidelijke afspraken met hen te maken.

Wil je weten hoe je zo’n overzicht opbouwt? In het artikel Hoe breng ik mijn rechtstreekse leveranciers in kaart vind je praktische handvatten om hiermee aan de slag te gaan.

Bedrijfsimpactanalyse (BIA)

Een effectieve manier om leveranciers risicogebaseerd te classificeren is het uitvoeren van een bedrijfsimpactanalyse (BIA). In een BIA breng je in kaart hoe verschillende bedrijfsafdelingen afhankelijk zijn van IT‑diensten en welke gevolgen bepaalde risico’s kunnen hebben — zowel voor het betreffende proces als voor andere bedrijfsactiviteiten.

De BIA geeft daarmee een helder beeld van welke leveranciers cruciaal zijn voor de continuïteit van jouw organisatie. In het artikel Hoe maak je een bedrijfsimpactanalyse (BIA)? vind je uitgebreide uitleg en praktische handvatten om zelf een BIA op te stellen.

Toegangsbeheer

Het is belangrijk dat medewerkers alleen toegang hebben tot informatie die zij écht nodig hebben voor hun werk. Dat is het principe van least privilege. Dit geldt niet alleen binnen je eigen organisatie, maar ook voor leveranciers. Per leverancier moet je daarom goed afwegen welke toegang zij nodig hebben om hun dienst of product te kunnen leveren — en welke toegang ze juist níet hoeven te hebben.

Daarnaast is het belangrijk om inzicht te krijgen in welke (kritieke) informatie een leverancier zelf in zijn systemen heeft. Vaak stuur je als organisatie gegevens naar een leverancier zodat zij hun dienst kunnen uitvoeren. Uit een risicoanalyse kan blijken dat dit in normale omstandigheden acceptabel is. Maar bij een incident wil je snel kunnen bepalen welke informatie bij de leverancier staat, wat de mogelijke impact is en of je (tijdelijk) moet stoppen met het delen van gegevens.

Door deze informatiestromen vooraf in kaart te brengen, kun je tijdens een incident veel sneller en beter onderbouwde beslissingen nemen.

Meer hierover lees je in Basisprincipe 4: Beheer toegang tot data en diensten

Multidisciplinair leveranciersmanagement

Leveranciersmanagement is geen taak van alleen het cybersecurityteam of de IT‑afdeling — het is een gezamenlijke verantwoordelijkheid van de hele organisatie. Denk aan afdelingen zoals legal, compliance, IT‑architectuur en de business/operatie. Zij spelen allemaal een rol in het beheersen van risico’s en het maken van goede afspraken met leveranciers. Wil je weten hoe je dit organisatiebreed aanpakt, lees dan het artikel over leveranciersmanagement.

Wanneer andere afdelingen zich bewust zijn van de risico’s die leveranciers met zich meebrengen, kunnen zij beter meedenken over passende maatregelen. Bovendien helpt dit bewustzijn om duidelijk te krijgen wie intern de contactpersoon is voor elke leverancier. Dat maakt het voor cybersecurityteams veel makkelijker om snel te schakelen wanneer er een incident plaatsvindt.

Wil je binnen jouw organisatie meer bewustzijn creëren over de cyberrisico’s van leveranciers? Bekijk dan het stappenplan voor het opzetten van een cyberbewustwordingscampagne.

Weerbaarheid van de leverancier

Helemaal voorkomen dat er cyberincidenten plaatsvinden is onmogelijk. Maar door de weerbaarheid te versterken, kun je de impact ervan wél aanzienlijk beperken. Dat geldt niet alleen voor jouw eigen organisatie, maar ook voor leveranciers. Hoe hoger hun niveau van digitale weerbaarheid, hoe kleiner de kans dat een incident bij hen gevolgen heeft voor jouw organisatie — en hoe beter jullie samen beschermd zijn.

Leveranciersrelatie

Een goede relatie tussen jouw organisatie en de leverancier maakt niet alleen de eerdere stappen makkelijker, maar zorgt er ook voor dat je tijdens een incident sneller kunt handelen. Wanneer er vertrouwen is tussen beide partijen, verloopt de communicatie soepeler en weet iedereen sneller wat er moet gebeuren.

Zorg daarom dat beide partijen duidelijk weten wie de contactpersonen zijn. Als je tijdens een incident nog moet beginnen met een voorstelrondje, kost dat onnodig tijd. Bovendien laat het zien dat de leverancier niet goed weet wat voor jouw organisatie belangrijk is. Investeren in de relatie voorkomt dit.

Overweeg om regelmatig met je leveranciers in gesprek te gaan over cybersecurity. Hoe vaak je dit doet en met welke leveranciers, hangt af van hoe kritisch zij zijn voor jouw continuïteit. Door deze gesprekken bouw je aan vertrouwen, wederzijds begrip en een betere gezamenlijke voorbereiding op incidenten.

Incidentresponsplan 

Een incidentresponsplan (IRP) helpt om de impact van een incident te beperken. Het is een set duidelijke instructies die medewerkers ondersteunt bij het detecteren, aanpakken en herstellen van beveiligingsincidenten.

Een IRP beschrijft de aanpak op hoofdlijnen, maar incidenten kunnen in veel verschillende vormen voorkomen. Daarom is het verstandig om voor de belangrijkste soorten incidenten een gestandaardiseerde aanpak te maken. Dat kan met scenariokaarten: compacte kaarten die per type incident beschrijven welke stappen je moet nemen. In dit artikel lees je hier meer over. Het is daarbij zinvol om ook een scenariokaart specifiek voor incidenten bij leveranciers te maken. Die volg je wanneer een leverancier getroffen wordt door een incident.

Heb je nog geen IRP? Dan vind je in onze tips en adviezen om er één op te stellen.

Oefenen

Wanneer je een incidentresponsplan hebt, is het belangrijk om dit regelmatig te oefenen. Begin met oefeningen binnen de interne organisatie en betrek bij vervolgoefeningen ook de leveranciers. Dit vergroot de betrokkenheid van zowel medewerkers als leveranciers en zorgt ervoor dat iedereen beter weet wat er van hen wordt verwacht tijdens een echt incident.

Zorg ervoor dat deze oefeningen plaatsvinden in een veilige en open omgeving. Dat maakt het makkelijker om eerlijk te bespreken wat goed gaat en wat beter kan, en het versterkt het onderlinge vertrouwen. Wil je meer weten over hoe je zo’n oefening opzet, dan helpt dit artikel over het organiseren van een oefening je verder.

2. Incidentfase (warme fase)

Detecteren

Het detecteren van een incident bij een leverancier kan op verschillende manieren gebeuren. Soms ontdek je het als organisatie zelf, bijvoorbeeld doordat medewerkers melden dat een systeem niet werkt. Daarom is het belangrijk dat er een duidelijk meldpunt is waar medewerkers storingen kunnen doorgeven. Zo kun je snel actie ondernemen en het incident tijdig bij de leverancier melden — zeker omdat de leverancier zelf soms nog niet op de hoogte is.

Een andere manier is dat de leverancier het incident zelf meldt. Dit kun je vastleggen in de Service Level Agreement (SLA). Je kunt bijvoorbeeld afspreken dat de leverancier binnen een bepaalde tijd moet doorgeven dat er een incident is, inclusief de mogelijke impact op jouw organisatie. Zo weet je sneller waar je aan toe bent.

Tot slot kan het voorkomen dat je een incident ontdekt via nieuwsberichten, geruchten of informatiefeeds. Dat is niet ideaal, want hoe later je hoort dat een leverancier een probleem heeft, hoe groter de mogelijke schade. Vroege detectie blijft daarom essentieel.

Communiceren

Wanneer duidelijk is dat er een incident speelt, is het belangrijk om direct de juiste mensen te betrekken. Denk daarbij aan de proceseigenaren, de interne contactpersoon voor de leverancier en het eigen incidentresponsteam. Zij hebben ieder een andere rol en dus ook andere informatie nodig. Proceseigenaren willen vooral weten wat de impact is op hun processen, terwijl het incidentresponsteam juist behoefte heeft aan technische details.

Laat de communicatie met de leverancier altijd verlopen via de interne contactpersoon. Deze persoon heeft al een bestaande relatie met de leverancier, waardoor het contact sneller en soepeler verloopt. De leverancier weet dan bovendien al hoe jouw organisatie met incidenten omgaat en wat er van hen wordt verwacht.

Analyseren

Om ervoor te zorgen dat de juiste taken door de juiste mensen worden uitgevoerd, is het belangrijk om eerst goed te analyseren wat er aan de hand is. In de koude fase is al een Business Impact Analyse (BIA) uitgevoerd. Die BIA is een waardevol hulpmiddel in het gesprek met de proceseigenaren die afhankelijk zijn van de betreffende leverancier. In de BIA staat namelijk precies beschreven welke gevolgen het uitvallen van deze leverancier heeft voor de organisatie.

Daarnaast moet je als (C)ISO‑team beoordelen wat de mogelijke impact is op de rest van de IT‑omgeving. De BIA is een goed startpunt, maar soms is extra analyse nodig. Stel dat blijkt dat een leverancier administrateursrechten heeft op vrijwel alle systemen binnen de organisatie. Dan is het cruciaal om aan de proceseigenaren duidelijk te maken wat de risico’s zijn als je deze leverancier niet (tijdelijk) afsluit, ook al heeft dat gevolgen voor hun processen.

Door deze informatie helder te communiceren, kunnen proceseigenaren beter begrijpen waarom bepaalde maatregelen nodig zijn en welke risico’s worden voorkomen.

Incidentresponsplan uitvoeren

In de koude fase heb je al gewerkt aan een incidentresponsplan (IRP). Nu is het moment aangebroken om dat plan daadwerkelijk uit te voeren. De proceseigenaren hebben aangegeven welke maatregelen wel en niet toegestaan zijn, dus volg het IRP zoals afgesproken. Blijkt tijdens de uitvoering dat bepaalde maatregelen niet mogen worden genomen? Ga dan opnieuw in gesprek met de proceseigenaren om te kijken welke alternatieven wél mogelijk zijn.

Zoals eerder benoemd, lijkt een IRP voor een incident bij een leverancier vaak sterk op het plan dat je gebruikt voor interne incidenten. Toch is er één belangrijk verschil: bij een leverancier heb je minder controle. Je hebt meestal geen volledig inzicht in hun incidentresponsproces en je kunt hun keuzes niet sturen. Een leverancier kan besluiten nemen die ervoor zorgen dat jouw bedrijfsprocessen stilvallen — en dat gebeurt dan buiten jouw directe invloedssfeer.

Juist daarom is het belangrijk om goed voorbereid te zijn, duidelijke afspraken te hebben en flexibel te blijven in de maatregelen die je kunt nemen.

3. Post-incidentfase 

Evalueer

Wanneer een incident is afgerond, is het belangrijk om samen met de leverancier te evalueren. Deze stap wordt in de praktijk vaak overgeslagen, maar is juist cruciaal. Tijdens de evaluatie bespreek je wat goed ging, wat anders liep dan verwacht en waar verbeterpunten liggen. Zo breng je de verwachtingen van jouw organisatie en de leverancier weer op één lijn en werk je samen aan een hoger niveau van digitale weerbaarheid.

In samenwerking met

ING Bank, CRV, The Cyber Partners, De Heus en IJskoud B.V. 
 

Mogen we je wat vragen?