De zwakste schakel telt

woensdag, 20 mei 2026 (18:17) - Computable

In dit artikel:

Enkele maanden geleden legde een cyberaanval op onderaannemer Collins Aerospace verwerking en check‑in systemen plat bij meerdere Europese luchthavens, waaronder Brussels Airport, London Heathrow en Berlin Brandenburg. Reizigers moesten handmatig inchecken, vluchten werden geannuleerd of vertraagd, en operationele processen kwamen onder grote druk te staan — een klassiek voorbeeld van een supply chain‑aanval waarbij een diep geïntegreerde leverancier de zwakste schakel bleek.

De aanval benadrukt dat wettelijke kaders zoals NIS2 (waarvan België een vroege omzetting heeft doorgevoerd) proberen organisaties te dwingen hun afhankelijkheden actief te beheersen. Onder die regels moeten vitale bedrijven aantonen dat ze hun hele toeleveringsketen monitoren en beveiligen: van risicoanalyses en leveranciersaudits tot het afdwingen van cybersecuritynormen bij subcontractors. Juridisch gezien kunnen getroffen organisaties zich niet eenvoudigweg achter leveranciers verschuilen.

Thomas Stubbings (leider van de werkgroep Trusted Supply Chain Implementation bij Ecso en actief in eigen adviespraktijk) waarschuwt dat beveiliging niet stopt bij de perimeter van één organisatie. Moderne dreigingen misbruiken juist kleinere leveranciers, softwarecomponenten en dienstverleners om hogerop in de keten schade te veroorzaken. Volgens hem ontbreekt het vaak aan inzicht en transparantie: wie kan garanderen dat álle leveranciers het juiste beveiligingsniveau hanteren? Daarom moet cyberveiligheid worden ingebed in inkoop- en leveranciersmanagement en op directieniveau landen als risicobeheerprioriteit.

Huidige aanpakken — veelal op zelfinvullende vragenlijsten gebaseerd — zijn inefficiënt en onbetrouwbaar. Stubbings pleit voor gestandaardiseerde methoden met vertrouwde derden die vragenlijsten valideren en resultaten delen, en voor opkomende Europese schema’s en vertrouwenskaders die transparantie vergroten zonder onnodige complexiteit.

Voor het mkb is er geen excuus: basisbeveiliging zoals tijdig patchen, back‑ups, testen en personeelstraining zijn haalbaar zonder grote investeringen en vormen de eerste verdedigingslinie. Uiteindelijk moet compliance hand in hand gaan met adequaat risicobeheer: regels alleen volstaan niet, maar vormen wel het instrument om een cultuurverandering naar meer transparantie en verantwoordelijkheid in de keten af te dwingen.

Stubbings hield hierover een keynote op Cybersec Europe, dat op 20–21 mei in Brussel plaatsvond.