Diensten voor Supply Chain Security

De kwetsbaarheid van één enkele leverancier kan de veiligheid van uw organisatie in gevaar brengen. Met de Supply Chain Security diensten van Bureau Veritas Cybersecurity kunt u risico's beoordelen, bedreigingen monitoren en voldoen aan de vereisten van Eu-regelgeving, zoals NIS2 en DORA.

> Governance, processen en procedures > Supply Chain Security diensten

Waarom de beveiliging van de toeleveringsketen belangrijk is

We herinneren ons allemaal het SolarWinds incident in 2020, waarbij aanvallers de toeleveringsketen infiltreerden om toegang te krijgen tot duizenden organisaties, waaronder grote bedrijven en overheidsinstellingen. Hieruit bleek hoe één zwakke schakel uw beveiligingen kan ondermijnen, met operationele en gegevensrisico's tot gevolg.

Beveiliging van de toeleveringsketen is een belangrijk onderdeel van elke grote cybersecuritystandaard of raamwerk, zoals IEC62443, ISO27001, NIST CSF of UK Cyber Essentials. Veel regelgeving op het gebied van cybersecurity, zoals NIS2 en DORA, vereist ook actie op dit gebied.

Image in image block

Uw uitdagingen: leveranciers beheren en classificeren

De grootste uitdaging bij de beveiliging van de toeleveringsketen is het beheren van een enorm aantal leveranciers. Een groot bedrijf kan duizenden leveranciers hebben. Het kan een hele uitdaging zijn om ze op te sporen en hun risico's te beoordelen. Andere vragen die onze klanten ons stellen zijn

  • Hoe classificeer ik leveranciers? Waarop moet de classificatie gebaseerd zijn?
  • Welke eisen kunnen redelijkerwijs aan leveranciers worden gesteld op basis van deze classificatie?
  • Wat is een haalbare strategie om deze vereisten te controleren?
  • Ik heb een beperkt budget; hoe geef ik prioriteit aan leveranciersbeheer?
  • Hoe ga ik om met uitzonderingen?
Image in image block

Risicobeheer is de sleutel

Effectieve beveiliging van de toeleveringsketen begint met risicobeheer. Wij adviseren onze klanten om te beginnen met een Bedrijfsimpactanalyse (BIA), om kritieke systemen en gegevens te identificeren en om leveranciers vervolgens in te delen op basis van risiconiveau en het belang van de assets waartoe zij toegang hebben. Stel vervolgens duidelijke verwachtingen op voor de zekerheid en plan audits om de naleving te controleren. Neem een uitzonderingsbeleid op om niet-naleving aan te pakken. Om ervoor te zorgen dat deze stappen uitvoerbaar en controleerbaar zijn, moet u een solide kader voor governance hebben, met een gedefinieerde strategie, plan en processen. Wij kunnen u bij al deze stappen helpen.

Hoe wij u ondersteunen: strategisch en operationeel

Bureau Veritas Cybersecurity heeft uitgebreide ervaring in risicobeheer voor cybersecurity. Wij helpen grote organisaties over de hele wereld bij het aanpakken van uitdagingen op het gebied van de beveiliging van de toeleveringsketen. Onze diensten richten zich op twee niveaus van uw bedrijfsprocessen: strategisch en operationeel. Wij bieden strategische begeleiding, zoals het ontwikkelen van beleid en kaders, en aan de operationele kant kunnen wij u helpen met diensten als leveranciersbeoordelingen en assessments.

Bovendien kunnen wij het beheer van uw toeleveringsketen op het gebied van cyber security volledig van u overnemen en u ondersteunen bij het volledige inkoopproces: van de onboarding van uw leveranciers tot regelmatige monitoring.

Hieronder vindt u een gedetailleerd overzicht van onze diensten.

Image in image block

Onze Supply Chain Security diensten:

01

Supply Chain Management (strategisch)

Beheer van de toeleveringsketen omvat het opstellen van duidelijke beleidsregels en procedures om de risico's van cybersecurity aan te pakken; het is de eerste essentiële stap in het beheersen van de risico's van uw toeleveringsketen. Cybersecurity in de toeleveringsketen moet worden geïntegreerd in het volledige proces, vanaf de eerste aanname van de leveranciers.

Een ander essentieel onderdeel van supply chain management is het monitoringproces; cybersecurity is geen eenmalige activiteit, het moet diep in het volledige inkoopproces worden geïntegreerd. Supply chain management omvat het classificeren van leveranciers op basis van risico, het definiëren van beveiligingseisen, het monitoren van de naleving en auditpraktijken. Het resultaat is een gestructureerd kader om kwetsbaarheden in de hele toeleveringsketen te beheren en te verminderen.

Wij gebruiken vereisten van bestaande raamwerken, zoals ISO 27001, NIST CSF en IEC 62443 en stellen relevante vragenlijsten op die verder kunnen worden geïntegreerd met bestaande tools die voor de toeleveringsketen worden gebruikt.

Op basis van het toegewezen risiconiveau voeren wij leveranciers assessments uit voor leveranciers met een hoog risico en leveranciers reviews voor leveranciers met een laag risico, met behulp van voorbereide vragenlijsten. Het grootste verschil is de diepgang van de beoordeling; leveranciers met een hoger risico moeten dieper beoordeeld worden.

02

Leveranciers Assessment (operationeel)

Een assessment van leveranciers richt zich op het evalueren van de cybersecuritypraktijken van een individuele leverancier en de naleving van de vereisten. De focus ligt op het analyseren van alle relevante vereisten voor cyber security en het beoordelen van het geleverde bewijs van naleving. Het resultaat is een gedetailleerd rapport met een samenvatting van de beoordelingsresultaten voor die specifieke leverancier, waarin eventuele risico's of verbeterpunten worden benadrukt. Deze dienst is gericht op leveranciers met een hoog risico.

03

Leveranciersbeoordeling (operationeel)

Bij een leveranciersbeoordeling worden leveranciers met een laag risico beoordeeld aan de hand van gedefinieerde cybersecurity-criteria, waarbij hun naleving en potentiële risico's worden beoordeeld. De nadruk ligt op de beoordeling van de verstrekte nalevingsstatus; bewijsmateriaal wordt slechts steekproefsgewijs beoordeeld. Het proces wordt afgesloten met een gecombineerd rapport waarin de beoordelingsresultaten voor alle leveranciers worden samengevat, zodat u een duidelijk inzicht krijgt in de beveiliging van uw toeleveringsketen.

04

Beveiligde SDLC Assessment

Wij kunnen ook de levenscyclus van softwareontwikkeling (SDLC) van uw externe leveranciers evalueren. Wij beoordelen hoe veilige ontwikkeling is ingebed in hun processen, van ontwerp en codering tot testen en vrijgave. De focus ligt op het identificeren van zwakke plekken die risico's kunnen introduceren in uw organisatie via onveilige code, slecht gebruik van bibliotheken van derden of ontbrekende validatiestappen.

We onderzoeken belangrijke gebieden zoals veilige ontwerppraktijken, Threat Modeling, beleid voor code review, statisch en dynamisch testen en afhankelijkheidsbeheer. De bevindingen worden getoetst aan de normen voor veilige ontwikkeling. U ontvangt een gestructureerd rapport met risicoclassificaties, bruikbare inzichten en leverancierspecifieke aanbevelingen. Dit helpt u om inzicht te krijgen, de risico's van de softwareleveringsketen te verminderen en te voldoen aan de vereisten van regelgeving zoals DORA en NIS2.

World

Wereldwijd bereik

Inspiration Idea

Gespecialiseerde kennis

People and technology together

Geïntegreerde aanpak

Onze expertise

Bureau Veritas Cybersecurity is de vertrouwde partner voor de beveiliging van de toeleveringsketen voor toonaangevende fabrikanten over de hele wereld. Onze compliance-expertise in NIS2, DORA en industrienormen helpt onze klanten om aan de wettelijke vereisten te voldoen. Wij ontwikkelen praktische strategieën om uw risico's voor derden te verminderen en uw cyberweerbaarheid te versterken.

Bekijk webinar

Image in image block

Bekijk de herhaling van ons webinar over hoe u NIS2-leveranciersnaleving in complexe toeleveringsketens effectief kunt beheren.

Bekijk hier het webinar

Neem contact met mij op

Wilt u meer weten over hoe onze Supply Chain Security diensten u kunnen helpen? Vul het formulier in en wij nemen binnen één werkdag contact met u op.

USP

Waarom kiezen voor Bureau Veritas Cybersecurity

Bureau Veritas Cybersecurity is uw specialist op het gebied van digitale veiligheid. Wij ondersteunen organisaties bij het in kaart brengen van risico’s, het verbeteren van hun verdediging en het naleven van wet- en regelgeving. Onze dienstverlening bestrijkt mens, proces en technologie: van awareness-trainingen en social engineering tot advies, compliance en technische beveiligingstests.

We werken in IT-, OT- en IoT-omgevingen en ondersteunen zowel digitale systemen als verbonden producten. Met ruim 300 cybersecurity-specialisten wereldwijd combineren we diepgaande technische kennis met internationale slagkracht. Bureau Veritas Cybersecurity is onderdeel van Bureau Veritas Group, wereldwijd actief in testen, inspectie en certificering.