De zwakste schakel zit niet bij jouw leverancier, maar bij die van hem

We controleren onze directe leveranciers goed. We vragen om ISO 27001-certificaten, laten verwerkersovereenkomsten opstellen, en voeren DPIA’s uit. Maar zodra een leverancier een subverwerker inschakelt, houden we op met kijken. We nemen aan dat zij hun keten op orde hebben. Dat vertrouwen blijkt vaak ongegrond. En dat is precies het probleem dat een nieuw paper aanhaalt.

Het model heet Fortress and Gatekeeper. Het beschrijft hoe organisaties hun toeleveringsketen beveiligen alsof ze een burcht bewaken. De muren zijn hoog, de poort wordt streng bewaakt. Maar zodra een leverancier toegang heeft, krijgt hij vrij spel. Inclusief de ruimte om zijn eigen derde partijen mee te nemen, zonder dat de poortwachter dat nog controleert. Dat is transitief vertrouwen. Jij vertrouwt je leverancier. En daarmee vertrouw je automatisch iedereen die hij vertrouwt. In cybersecurity-termen is dat een risico.

Ik zag dit onlangs bij een zorginstelling waar ik meebetrokken was bij een DPIA voor een nieuw patiëntportaal. De leverancier had een strakke verwerkersovereenkomst, leverde SOC2-rapportage en liet periodiek pentesten uitvoeren. Alles leek goed. Tot we doorvroegen over de authenticatiedienst. Die draaide op een platform van een derde partij. Die partij gebruikte op zijn beurt weer een externe identiteitsprovider. In de keten van drie partijen was de zwakste schakel een niet nader genoemde startup. Zonder certificering. De BIO2-eisen waren keurig ingevuld voor de directe leverancier. Maar niemand had ooit gekeken naar die startup. En dat is waar het fout gaat.

Het Fortress and Gatekeeper-model

Het paper Fortress and Gatekeeper: Transitive Trust in Third-Party Cybersecurity Risk Governance (arXiv:2606.26822) bekijkt hoe organisaties omgaan met risico’s die verder reiken dan de eerste schil van leveranciers. De metafoor is duidelijk. De meeste securityafdelingen fungeren als een poortwachter. Die controleert wie er direct naar binnen mag. Alles daarna, subleveranciers, vierde partijen, API-diensten die weer andere API’s gebruiken, komt ongemerkt binnen.

De auteurs tonen aan dat transitive trust in de praktijk leidt tot blinde vlekken. Ze benoemen drie patronen:

1. Vertrouwensassumptie: organisaties nemen aan dat hun leveranciers dezelfde securitystandaarden hanteren voor hun eigen keten.
2. Contractuele illusie: clausules over subverwerkers in verwerkersovereenkomsten worden zelden echt gecontroleerd.
3. Ketenopaciteit: hoe dieper je in de keten kijkt, hoe minder zicht je hebt op de afhankelijkheden.

Het paper is geen theoretisch verhaal. Het baseert zich op interviews met CISO’s en securitymanagers uit de publieke sector. Het legt helder de kloof bloot tussen compliance op papier en de werkelijkheid in de praktijk.

Waarom dit nu relevant is

De timing is geen toeval. Met de invoering van NIS2 in Nederland moeten essentiële en belangrijke entiteiten supply chain-risico’s beheersen. Artikel 21 lid 2(d) van de NIS2-richtlijn stelt dat organisaties maatregelen moeten nemen voor “de beveiliging van de toeleveringsketen, met inbegrip van beveiligingsaspecten betreffende de relaties tussen elke entiteit en haar rechtstreekse leveranciers of dienstverleners”. Let op: “rechtstreekse leveranciers”. Dat suggereert een beperking tot de eerste schil. Maar de overwegingen bij de richtlijn benadrukken dat risico’s zich over de hele keten kunnen uitstrekken. De praktijk leert dat toezichthouders steeds vaker doorvragen naar subverwerkers.

De BIO2 (Baseline Informatiebeveiliging Overheid) kent maatregel 12.1.4: “Leveranciersmanagement”. Die stelt dat overheidsorganisaties risico’s van leveranciers moeten beoordelen en beheersen. Maar de BIO2 zegt niets over hoe diep die beoordeling moet gaan. In de praktijk blijft het vaak bij de directe contractpartij. En dat is precies de blinde vlek die het paper blootlegt.