Schrijver: Jurriaan Vogel, IT Security Consultant
Cyberaanvallen vormen al jaren een groeiend risico voor organisaties. Steeds vaker komen deze aanvallen niet rechtstreeks binnen, maar via leveranciers, IT dienstverleners of andere ketenpartners. Juist om die reden stelt de NIS2 richtlijn strengere eisen aan hoe organisaties omgaan met cyberrisico’s en ketenveiligheid. Volgens het Cybersecuritybeeld Nederland (CSBN) ondervindt Nederland steeds vaker impact van cyberaanvallen die doorwerken via het digitale ecosysteem: leveranciers, cloud providers en softwareketens. Deze keteneffecten vergroten het risico op maatschappelijke ontwrichting.
NIS2 betekent geen puur technische verplichting, maar een bredere verantwoordelijkheid voor digitale weerbaarheid.
Veel moderne cyberaanvallen maken gebruik van de zwakste schakel in een keten. Denk aan een IT leverancier met verouderde beveiliging, een softwareleverancier zonder goed patchbeleid of een externe beheerpartij met te brede toegangsrechten.
In de praktijk leidt dit tot situaties waarbij ransomware binnenkomt via een leverancier, vertrouwelijke data uitlekt door onvoldoende beveiligde koppelingen of bedrijfsprocessen stilvallen door een aanval op een derde partij.
NIS2 speelt hierop in door organisaties expliciet verantwoordelijk te maken voor het beheersen van cyberrisico’s in de keten. Beveiliging stopt dus niet bij de eigen organisatiegrenzen.
Dit betekent vooral: bewust zijn van de afhankelijkheden die doorwerken in de keten en deze structureel meenemen in het maatregelen.
Een middelgrote organisatie maakt gebruik van een externe IT beheerpartij. Deze leverancier heeft toegang tot meerdere klantomgevingen, maar hanteert zwakke authenticatie. Na een phishingaanval bij de leverancier krijgen cybercriminelen toegang tot de systemen van meerdere klanten tegelijk. Gevolg: systemen onbereikbaar, data versleuteld en bedrijfsprocessen dagenlang verstoord.
In april 2026 werd het Nederlandse softwarebedrijf ChipSoft, leverancier van elektronische patiëntendossiers (EPD’s) voor een groot aantal van de Nederlandse ziekenhuizen, getroffen door een ransomware aanval. Als voorzorgsmaatregel verbraken ziekenhuizen massaal de verbindingen met ChipSoft systemen, patiëntportalen gingen tijdelijk offline en er werden datalekmeldingen gedaan. Patiëntgegevens zijn mogelijk gestolen. Hoewel de zorgverlening grotendeels kon doorgaan, kwam de zorgcontinuïteit aantoonbaar onder druk te staan.
Dit incident onderstreept het risico van afhankelijkheid van een dominante leverancier in de zorgketen. Een aanval op de leverancier had directe gevolgen voor tientallen zorginstellingen tegelijk en maakte zichtbaar hoe digitale kwetsbaarheden bij één schakel zich snel kunnen vertalen naar sectorbrede verstoringen.
Bij Jaguar Land Rover (JLR) werd duidelijk hoe een cyberaanval bij een derde partij direct gevolgen kan hebben voor de hele keten. Aanvallers kregen via een externe leverancier toegang tot data en systemen die ook door JLR werden gebruikt. Daardoor werd gevoelige bedrijfs‑ en mogelijk ook klantinformatie buitgemaakt en moest JLR onderzoeken welke processen en data geraakt waren. Productielijnen werden stilgelegd, klanten moesten langer wachten en leveranciers kwamen in financiële problemen. De hack van Jaguar Land Rover kostte de Britse economie naar schatting 2,5 miljard dollar en is bestempeld als de meest schadelijke cyberaanval in de Britse geschiedenis.
Hoewel de kernsystemen van JLR zelf grotendeels operationeel bleven, liet het incident zien hoe afhankelijk zowel de kernorganisatie als de rest van de keten zijn van de beveiliging elders in de keten.
De recente incidenten bij Odido, Basic Fit en Booking laten zien dat cyberaanvallen en datalekken in de praktijk steeds vaker twee kanten van dezelfde medaille zijn. Een cyberaanval (bijvoorbeeld via phishing, misbruik van accounts of een kwetsbaar extern systeem) leidt steeds vaker direct tot grootschalige datalekken, omdat organisaties en hun leveranciers grote hoeveelheden persoonsgegevens digitaal verwerken. Bij Odido resulteerde een cyberaanval begin 2026 in het uitlekken van gegevens van 6,2 miljoen (oud )klanten. Ook bij ChipSoft, Basic Fit en Booking werden persoonsgegevens buitgemaakt na beveiligingsincidenten waarbij externe IT diensten en verwerkers een mogelijk belangrijke rol speelden.
Deze voorbeelden illustreren dat security en privacy risico’s zich niet beperken tot de eigen organisatie, maar ontstaan in de keten, bij ICT leveranciers, cloudplatforms en uitbestede klantprocessen. Leveranciers verwerken vaak persoonsgegevens voor meerdere klanten tegelijk, waardoor één succesvolle aanval direct gevolgen heeft voor een groot aantal organisaties en betrokkenen.
Om die reden heeft de Autoriteit Persoonsgegevens (AP) aangekondigd ICT leveranciers preventief te gaan controleren. De toezichthouder wil hiermee eerder ingrijpen en voorkomen dat cyberaanvallen uitmonden in grootschalige datalekken. De AP richt zich daarbij onder meer op de beveiliging van servers, patchmanagement en dataminimalisatie, juist omdat een datalek bij een leverancier al snel grote maatschappelijke impact heeft. Deze stap onderstreept dat ketenveiligheid niet langer vrijblijvend is: organisaties blijven eindverantwoordelijk voor de bescherming van persoonsgegevens, ook wanneer verwerking is uitbesteed aan leveranciers.
Wil je weten waar jouw organisatie staat, welke risico’s je loopt en welke stappen je nu al kunt zetten? Hulp nodig bij het aantoonbaar voldoen aan de NIS2-vereisten middels een ISO 27001-certificaat of NIS2 Supply Chain keurmerk? Neem gerust contact op. Samen zorgen we ervoor dat jouw organisatie klaar is voor NIS2 zonder onnodige complexiteit, maar met maximale impact.
Neem voor meer informatie contact op met Eberly Haalboom, Manager IT Security Consultants, ehaalboom@dignitas.nl, 06-52044763.
Deel dit artikel