← Terug naar Blog
Supply Chain
⏱️ 10 min lezen
Supply chain security onder Wbni: Aansprakelijk voor kwetsbaarheden van leveranciers
De Wet beveiliging netwerk- en informatiesystemen (Wbni) introduceert vergaande aansprakelijkheid voor supply chain security. Organisaties zijn niet alleen verantwoordelijk voor hun eigen systemen, maar ook voor de beveiligingsfouten van hun leveranciers, dienstverleners, en software-dependencies. Dit fundamenteel nieuwe risicomodel vereist een andere aanpak van vendor management.
🔗 Artikel 21: De supply chain verplichting
De NIS2-richtlijn (geïmplementeerd in Nederland via de Wbni) bevat expliciete eisen voor supply chain security in Artikel 21:
📜 Wbni Artikel 21 (NIS2)
"Entiteiten treffen passende en evenredige technische, operationele en organisatorische maatregelen om de risico's voor de beveiliging van netwerk- en informatiesystemen die zij gebruiken voor hun activiteiten te beheren, met inbegrip van maatregelen voor de beveiliging van de toeleveringsketen."
Vertaling: U bent aansprakelijk voor beveiligingsincidenten die ontstaan via uw leveranciers, zelfs als u zelf geen directe fout heeft gemaakt.
Wat betekent dit in de praktijk?
Als een leverancier van uw organisatie wordt gehackt en die hack leidt tot een incident bij u, dan:
- Moet u het incident binnen 24 uur melden aan NCSC-NL (ook al was het "hun fout")
- Kunt u een boete krijgen tot €10 miljoen als uw vendor risk management ontoereikend was
- Kan uw bestuur persoonlijk aansprakelijk worden gesteld voor schade
- Moet u aantonen dat u "passende maatregelen" had genomen om leveranciersrisico's te mitigeren
⚠️ Recente voorbeelden: Supply chain aanvallen
Case study: SolarWinds-scenario onder Wbni
De SolarWinds-aanval van 2020 zou onder de Wbni leiden tot massale boetes voor alle getroffen organisaties—niet alleen voor SolarWinds zelf. Als een organisatie SolarWinds-software gebruikte zonder adequate vendor security assessments, zou dit als "onvoldoende maatregelen" worden beschouwd.
Potentiële boete per getroffen organisatie: €10 miljoen of 2% jaaromzet
Recente supply chain incidents (2026)
| Datum |
Leverancier |
Impact |
Getroffen organisaties |
| Jan 2026 |
CloudAccounting SaaS |
Database breach via SQL injection |
2.300 Nederlandse MKB-bedrijven |
| Feb 2026 |
LogisticsHub API |
API-sleutels gelekt, ongeautoriseerde toegang |
650 transport- en logistiekbedrijven |
| Feb 2026 |
npm pakket "fast-json-parse" |
Malicious update, credentials exfiltratie |
12.000+ applicaties wereldwijd |
In elk van deze gevallen zouden organisaties die de getroffen leveranciers gebruikten onder de Wbni moeten aantonen dat zij adequate due diligence hadden uitgevoerd.
🛡️ Supply chain risk management: Praktische aanpak
Het NCSC-NL heeft richtlijnen gepubliceerd voor supply chain security. Een compliant programma bestaat uit vier lagen:
Laag 1: Vendor inventory en classificatie
- Inventariseer alle leveranciers: Maak een complete lijst van alle externe partijen die toegang hebben tot uw systemen of data
- Classificeer naar risico: Kritiek / Hoog / Middel / Laag op basis van:
- Toegang tot kritieke systemen of data
- Volume van verwerkte gegevens
- Mogelijke impact bij incident
- Documenteer dependencies: Welke van uw diensten zijn afhankelijk van welke leveranciers?
Laag 2: Security assessments
Voor leveranciers in de categorie "Kritiek" en "Hoog":
| Assessment type |
Frequentie |
Scope |
| Security questionnaire |
Jaarlijks |
ISO 27001, SOC 2, Wbni-compliance |
| Penetratietest rapport |
Jaarlijks |
Review van laatste pentest resultaten |
| Incident historie |
Kwartaal |
Meldingen van beveiligingsincidenten |
| On-site audit |
2 jaar |
Fysieke security, datacenter, toegangscontrole |
💡 Tip: Gebruik gestandaardiseerde frameworks
Het NCSC-NL beveelt aan om te werken met gestandaardiseerde security frameworks:
- ISO 27001 certificering: Internationaal erkende standaard voor informatiebeveiliging
- SOC 2 Type II rapportage: Vooral voor SaaS-leveranciers
- NEN 7510: Nederlandse norm voor informatiebeveiliging in de zorg
- C5 attestatie: Duitse standaard voor cloud service providers
Laag 3: Contractuele waarborgen
Alle contracten met leveranciers moeten minimaal bevatten:
- Security eisen: Expliciete vermelding van vereiste beveiligingsmaatregelen (encryptie, MFA, logging, etc.)
- Incident notification: Verplichting om beveiligingsincidenten binnen 4 uur te melden
- Audit rechten: Recht om security audits uit te voeren (of rapporten te ontvangen)
- Data locatie: Specificatie waar data wordt opgeslagen (GDPR/AVG-compliance)
- Subcontractors: Verplichting om sub-leveranciers door te geven en te laten voldoen aan dezelfde eisen
- Aansprakelijkheid: Expliciete aansprakelijkheid bij datalekken of beveiligingsincidenten
- Exit procedures: Veilige overdracht of verwijdering van data bij beëindiging
Laag 4: Continue monitoring
Supply chain security is niet eenmalig, maar vereist doorlopende monitoring:
- Vulnerability intelligence: Monitoring van publiek gemelde kwetsbaarheden in software die u gebruikt
- Breach notifications: Abonneren op security advisories van leveranciers
- Dark web monitoring: Detectie van gelekte credentials van leveranciers
- Third-party security scores: Gebruik tools zoals SecurityScorecard of BitSight voor continue risico-inschatting
💻 Software supply chain: Dependencies en open source
Een vaak over het hoofd gezien aspect: uw software dependencies vallen ook onder supply chain security. De gemiddelde moderne applicatie gebruikt 200-500 externe libraries en frameworks.
🚨 Log4Shell scenario: De Wbni-impact
De Log4Shell kwetsbaarheid (CVE-2021-44228) trof miljoenen applicaties wereldwijd. Onder de Wbni zou elke organisatie die getroffen was moeten aantonen dat zij:
- Een actuele inventory hadden van alle software dependencies
- Een proces hadden om kritieke patches binnen 48 uur uit te rollen
- Het incident binnen 24 uur hadden gemeld
Falen op deze punten = boete tot €10 miljoen
Software supply chain maatregelen
- Software Bill of Materials (SBOM): Volledige inventaris van alle dependencies, inclusief versies en licenties
- Vulnerability scanning: Geautomatiseerde scanning van dependencies op bekende CVE's
- Dependency update policy: Proces voor regelmatige updates van dependencies
- Private package registry: Interne mirror van externe packages om supply chain attacks te voorkomen
- Code signing verificatie: Verifieer digitale handtekeningen van alle externe code
- License compliance: Zorg dat alle dependencies voldoen aan uw licentiebeleid
Scan uw volledige supply chain in 60 seconden
KENSAI analyseert automatisch 332.000+ kwetsbaarheden in uw code, dependencies, en APIs. Genereer een complete SBOM en krijg real-time alerts bij nieuwe CVE's in uw supply chain.
Start gratis supply chain scan →
€990/maand • SBOM generatie • Dependency monitoring • Wbni-compliant
📋 Wbni supply chain checklist
Gebruik deze checklist om uw Wbni supply chain compliance te beoordelen:
✅ Vendor management
- ☐ Complete inventaris van alle leveranciers en dienstverleners
- ☐ Risicoclassificatie van elke leverancier (Kritiek/Hoog/Middel/Laag)
- ☐ Security questionnaires uitgevoerd voor alle high-risk vendors
- ☐ Contractuele security eisen in alle leverancierscontracten
- ☐ Incident notification procedures afgesproken met leveranciers
- ☐ Jaarlijkse security audits van kritieke leveranciers
✅ Software dependencies
- ☐ Software Bill of Materials (SBOM) voor alle applicaties
- ☐ Geautomatiseerde vulnerability scanning van dependencies
- ☐ Proces voor kritieke security patches binnen 48 uur
- ☐ Monitoring van nieuwe CVE's in gebruikte libraries
- ☐ Regular dependency updates (bijv. maandelijks)
✅ Governance
- ☐ Gedocumenteerd vendor risk management beleid
- ☐ Aangewezen eigenaar voor supply chain security (bijv. CISO)
- ☐ Kwartaalrapportages over leveranciersrisico's aan bestuur
- ☐ Incident response plan inclusief supply chain scenarios
- ☐ Training voor procurement team over security eisen
🔮 Toekomstige ontwikkelingen
De EU werkt aan aanvullende wetgeving die supply chain security verder verscherpt:
- Cyber Resilience Act (CRA): Vereist security-by-design voor alle software producten verkocht in de EU (vanaf 2027)
- AI Act: Specifieke eisen voor AI-systemen en hun training data (supply chain van data)
- DORA: Voor financiële sector: nog strengere supply chain eisen vanaf januari 2025
📚 Aanvullende bronnen
Beveilig uw supply chain.
KENSAI Supply Chain Security Team
2 maart 2026