Rijksoverheid logo
Nationaal Cyber Security CentrumMinisterie van Justitie en Veiligheid

Welkom bij de vernieuwde website van het versterkte NCSC

Jouw helpende hand in cybersecurity. Kijk gerust rond of lees meer over de vernieuwde cybersecurityorganisatie.

Omgaan met risico's in de toeleveringsketen

Publicaties en rapporten
Toeleveringsketen (supplychain)
Groeien
Producten en diensten over de hele wereld bereiken Nederlandse organisaties, maar cybersecurity risico's in de toeleveringsketen zijn lastig om zicht en grip op te krijgen. Het is dan ook van belang om inzicht krijgen op de afhankelijkheid van toeleveranciers binnen een organisatie en de eventuele cybersecurity risico's. In samenwerking met private- en publieke organisaties geeft het NCSC enkele handvatten over het omgaan met risico's in de toeleveringsketen.
Risicos_in_de_toeleveringsketen2023 (PDF, 210 kB, 28-11-2025)
Download

Inleiding

Uitdagend. Dat is zicht en grip houden op cybersecurity risico’s in de toeleveringsketen zeker. Maar hoe doe je dat? Producten en diensten bereiken Nederlandse organisaties immers vanuit de hele wereld. Deze internationale verwevenheid komt met kansen én risico’s.

Onlangs sprak het NCSC met Nederlandse publieke en private organisaties over de vraag: “Hoe gaat u om met cybersecurity risico’s uit uw toeleveringsketen?" Dit document geeft concrete handvatten als antwoord op die vraag.

Verschillende perspectieven en de gehanteerde definitie
Het NCSC heeft op 11 april 2023 een workshop uitgevoerd met afgevaardigden van publieke en private organisaties om good practices ten aanzien van omgaan met risico’s in de toeleveringsketen te delen. De toeleveringsketen kan uit verschillende perspectieven worden bekeken. TNO heeft in opdracht van het NCSC deze verschillende perspectieven in kaart gebracht. Bij de workshop is de volgende definitie aangehouden: “Het potentieel voor schade of compromittatie dat kan voortvloeien uit leveranciers, hun toeleveringsketens, hun producten of hun diensten”.

Lessen uit Log4j
Toeleveringsketens zijn technisch complex en het is lastig om zicht te houden op afhankelijkheden. Dit bleek toen een ernstige kwetsbaarbaarheid werd gevonden in Log4j. Log4j bleek het digitale equivalent van zout te zijn, het aantal applicaties waar Log4j-componenten in zaten bleek uitzonderlijk groot. Kwetsbaarheden in Log4j werden vervolgens snel misbruikt door cybercriminelen en statelijke actoren.

Geopolitieke ontwikkelingen
Ook geopolitieke ontwikkelingen kunnen zorgen voor nieuwe risico’s in de toeleveringsketens van Nederlandse organisaties.
Zo kan een internationaal conflict invloed hebben op de veiligheid van een toeleveringsketen. Producten zijn mogelijk niet verkrijgbaar door sancties of exportrestricties, en ook kunnen internationale toeleveringsketens het doelwit worden van politiek gemotiveerde digitale aanvallen.

Formulier
Heeft deze pagina je geholpen?