Recente cyberaanvallen op onderaannemer Collins Aerospace hebben geleid tot verstoringen bij meerdere Europese luchthavens, waaronder Brussels Airport, London Heathrow en Berlin Brandenburg. Vluchten werden vertraagd of geannuleerd en reizigers moesten handmatig inchecken. Dit incident illustreert hoe kwetsbaar digitale toeleveringsketens zijn en hoe een aanval op een leverancier grote impact kan hebben op essentiële processen.

De Belgische implementatie van de NIS2-richtlijn verplicht essentiële bedrijven om hun volledige toeleveringsketen actief te controleren en beveiligen. Dit gaat verder dan technische maatregelen en omvat governance, transparantie en controle over partners, leveranciers en subcontractors. Organisaties moeten risicoanalyses uitvoeren, leveranciers auditen en ervoor zorgen dat ook externe partijen voldoen aan cybersecuritynormen. Cyberveiligheid kan volgens deze wetgeving niet langer worden uitbesteed, maar vereist een cultuurverandering binnen organisaties.

Thomas Stubbings, leider van de werkgroep trusted supply chain implementation bij ECSO, benadrukt dat beveiliging niet stopt bij de perimeter van een organisatie. Leveranciers van IT-hardware, software en diensten vormen potentiële toegangspoorten voor kwaadwillenden. Het huidige dreigingslandschap richt zich niet alleen op grote organisaties, maar maakt ook systematisch misbruik van kleinere leveranciers en softwarecomponenten om hele waardeketens te compromitteren.

Volgens Stubbings is het gebrek aan inzicht in de beveiligingsstatus van leveranciers het kernprobleem. Transparantie is essentieel en moet een integraal onderdeel zijn van inkoop- en leveranciersbeheerprocessen. Organisaties die hier niet aan voldoen, komen niet in aanmerking als partner. Risicobeheer van de toeleveringsketen moet daarom op de managementagenda staan, ongeacht sector of omvang van het bedrijf.

Huidige benaderingen van supply chain security, zoals vragenlijsten en individuele beoordelingen, hebben beperkingen doordat ze vaak niet reproduceerbaar zijn en eigendom van een partij blijven. Dit onderstreept de noodzaak voor een meer gestructureerde en transparante aanpak van risicobeheer binnen toeleveringsketens.