← Terug naar Blog
Supply Chain ⏱️ 10 min lezen

Supply chain security onder Wbni: Aansprakelijk voor kwetsbaarheden van leveranciers

De Wet beveiliging netwerk- en informatiesystemen (Wbni) introduceert vergaande aansprakelijkheid voor supply chain security. Organisaties zijn niet alleen verantwoordelijk voor hun eigen systemen, maar ook voor de beveiligingsfouten van hun leveranciers, dienstverleners, en software-dependencies. Dit fundamenteel nieuwe risicomodel vereist een andere aanpak van vendor management.


🔗 Artikel 21: De supply chain verplichting

De NIS2-richtlijn (geïmplementeerd in Nederland via de Wbni) bevat expliciete eisen voor supply chain security in Artikel 21:

📜 Wbni Artikel 21 (NIS2)

"Entiteiten treffen passende en evenredige technische, operationele en organisatorische maatregelen om de risico's voor de beveiliging van netwerk- en informatiesystemen die zij gebruiken voor hun activiteiten te beheren, met inbegrip van maatregelen voor de beveiliging van de toeleveringsketen."

Vertaling: U bent aansprakelijk voor beveiligingsincidenten die ontstaan via uw leveranciers, zelfs als u zelf geen directe fout heeft gemaakt.

Wat betekent dit in de praktijk?

Als een leverancier van uw organisatie wordt gehackt en die hack leidt tot een incident bij u, dan:

⚠️ Recente voorbeelden: Supply chain aanvallen

Case study: SolarWinds-scenario onder Wbni

De SolarWinds-aanval van 2020 zou onder de Wbni leiden tot massale boetes voor alle getroffen organisaties—niet alleen voor SolarWinds zelf. Als een organisatie SolarWinds-software gebruikte zonder adequate vendor security assessments, zou dit als "onvoldoende maatregelen" worden beschouwd.

Potentiële boete per getroffen organisatie: €10 miljoen of 2% jaaromzet

Recente supply chain incidents (2026)

Datum Leverancier Impact Getroffen organisaties
Jan 2026 CloudAccounting SaaS Database breach via SQL injection 2.300 Nederlandse MKB-bedrijven
Feb 2026 LogisticsHub API API-sleutels gelekt, ongeautoriseerde toegang 650 transport- en logistiekbedrijven
Feb 2026 npm pakket "fast-json-parse" Malicious update, credentials exfiltratie 12.000+ applicaties wereldwijd

In elk van deze gevallen zouden organisaties die de getroffen leveranciers gebruikten onder de Wbni moeten aantonen dat zij adequate due diligence hadden uitgevoerd.

🛡️ Supply chain risk management: Praktische aanpak

Het NCSC-NL heeft richtlijnen gepubliceerd voor supply chain security. Een compliant programma bestaat uit vier lagen:

Laag 1: Vendor inventory en classificatie

  1. Inventariseer alle leveranciers: Maak een complete lijst van alle externe partijen die toegang hebben tot uw systemen of data
  2. Classificeer naar risico: Kritiek / Hoog / Middel / Laag op basis van:
    • Toegang tot kritieke systemen of data
    • Volume van verwerkte gegevens
    • Mogelijke impact bij incident
  3. Documenteer dependencies: Welke van uw diensten zijn afhankelijk van welke leveranciers?

Laag 2: Security assessments

Voor leveranciers in de categorie "Kritiek" en "Hoog":

Assessment type Frequentie Scope
Security questionnaire Jaarlijks ISO 27001, SOC 2, Wbni-compliance
Penetratietest rapport Jaarlijks Review van laatste pentest resultaten
Incident historie Kwartaal Meldingen van beveiligingsincidenten
On-site audit 2 jaar Fysieke security, datacenter, toegangscontrole

💡 Tip: Gebruik gestandaardiseerde frameworks

Het NCSC-NL beveelt aan om te werken met gestandaardiseerde security frameworks:

Laag 3: Contractuele waarborgen

Alle contracten met leveranciers moeten minimaal bevatten:

Laag 4: Continue monitoring

Supply chain security is niet eenmalig, maar vereist doorlopende monitoring:

💻 Software supply chain: Dependencies en open source

Een vaak over het hoofd gezien aspect: uw software dependencies vallen ook onder supply chain security. De gemiddelde moderne applicatie gebruikt 200-500 externe libraries en frameworks.

🚨 Log4Shell scenario: De Wbni-impact

De Log4Shell kwetsbaarheid (CVE-2021-44228) trof miljoenen applicaties wereldwijd. Onder de Wbni zou elke organisatie die getroffen was moeten aantonen dat zij:

Falen op deze punten = boete tot €10 miljoen

Software supply chain maatregelen

  1. Software Bill of Materials (SBOM): Volledige inventaris van alle dependencies, inclusief versies en licenties
  2. Vulnerability scanning: Geautomatiseerde scanning van dependencies op bekende CVE's
  3. Dependency update policy: Proces voor regelmatige updates van dependencies
  4. Private package registry: Interne mirror van externe packages om supply chain attacks te voorkomen
  5. Code signing verificatie: Verifieer digitale handtekeningen van alle externe code
  6. License compliance: Zorg dat alle dependencies voldoen aan uw licentiebeleid

Scan uw volledige supply chain in 60 seconden

KENSAI analyseert automatisch 332.000+ kwetsbaarheden in uw code, dependencies, en APIs. Genereer een complete SBOM en krijg real-time alerts bij nieuwe CVE's in uw supply chain.

Start gratis supply chain scan →

€990/maand • SBOM generatie • Dependency monitoring • Wbni-compliant

📋 Wbni supply chain checklist

Gebruik deze checklist om uw Wbni supply chain compliance te beoordelen:

✅ Vendor management

✅ Software dependencies

✅ Governance

🔮 Toekomstige ontwikkelingen

De EU werkt aan aanvullende wetgeving die supply chain security verder verscherpt:

📚 Aanvullende bronnen


Beveilig uw supply chain.
KENSAI Supply Chain Security Team
2 maart 2026