De EU Cybersecurity Act verandert vendor risk fundamenteel

Leestijd
5 minuten

Categorie
Trends and Reports

Auteur
Yann Lazar

Samenvatting

De herziening van de EU Cybersecurity Act verandert wat vendor risk betekent.

Het gaat niet langer alleen over technische kwetsbaarheden.

Het gaat over wie controle heeft over het doen van updates. Wie toegang heeft tot je infrastructuur. En welke wetgeving je leveranciers kan dwingen tot medewerking.

In virtuele 5G-netwerken en digitaal aangestuurde energiesystemen ontstaat afhankelijkheid die na implementatie nog nauwelijks te herstellen is.

In een recente aflevering van Threat Talks licht Europarlementariër Bart Groothuis toe waarom supply chain security verschuift van interne risicobeheersing naar afdwingbare regulatory exposure.

Vendor risk ligt nu op bestuursniveau

Jarenlang betekende vendor risk vragenlijsten, certificeringen, pentesten en audits.

Met andere woorden: een technische checklist.

Die benadering ging ervan uit dat het risico vrijwel altijd in de code zat.

De aankomende herziening van de EU Cybersecurity Act verlegt die focus.

De vraag is niet meer óf een leverancier vandaag de dag beveiligd is – de vraag is wie er morgen updates, toegang en invloed beheerst. Dat is geen technische nuance. Dat is bestuurlijk risico.

Wat vendor risk nu betekent

Een moderne vendor risk assessment gaat verder dan alleen het reviewen van code.

Beoordeel ook:

  • Jurisdictie en intelligence legislation
  • Staatsinvloed op corporate governance
  • Remote maintenance en update authority
  • Structurele afhankelijkheid binnen kritieke systemen

De CSA-herziening integreert niet-technisch risico formeel in certificeringsbesluiten.

Dat is de verschuiving.

Wanneer een leverancier valt onder wetgeving die samenwerking met een buitenlandse staat verplicht stelt, wordt dat onderdeel van je risicoprofiel.

Vendor risk is niet langer puur technisch. Het is geopolitiek.

“Soft law” wordt afdwingbare verplichting

Europa werkte jarenlang met richtlijnen, toolboxes en risico-aanbevelingen. Dat model verandert. De CSA-herziening verplaatst leveranciersbeoordeling naar afdwingbare certificeringsstructuren.

In combinatie met NIS2 en de Cyber Resilience Act verscherpt dit supply chain security. Dit heeft één direct gevolg.

Inkoopbeslissingen kunnen regulatory exposure veroorzaken.
En die exposure ligt bij de CISO en CIO.

5G laat zien waarom afhankelijkheid het echte risico is

Het publieke debat ging vaak over verborgen backdoors. Daarmee wordt echter het structurele probleem gemist. Het doorslaggevende risico is niet of er vandaag kwaadaardige code aanwezig is, maar of die morgen via software-updates kan worden ingevoerd.

5G-architectuur is gevirtualiseerd.

Dat betekent:

  • Kernfuncties zijn gecentraliseerd
  • Segmentatie neemt af
  • Vervanging is kostbaar en complex

Je kunt huidige firmware inspecteren, maar toekomstige updates heb je niet in de hand.

Zodra afhankelijkheid eenmaal is ingebed, nemen de mogelijkheden om risico’s te beperken af.
Daarom draait vendor risk tegenwoordig vooral om controle.

Energie-infrastructuur maakt de impact concreet

Telecom is niet het enige voorbeeld. Energiesystemen digitaliseren in hoog tempo. Remote inverters, softwaregestuurde netbalancering en centrale controlepanelen sturen de energievoorziening aan.

Een productiedaling van 2,5GW veroorzaakte cascade-uitval in delen van Europa.

Het kernprobleem is concentratie van controle. Wanneer digitale beheerlijnen bij één leverancier liggen, schaalt structureel risico snel op. Structureel risico wordt dan systeemrisico.

Supply chain security is governance

De discussie rond de CSA maakt één punt helder: dit is risicogebaseerd.

Maar risicogebaseerd betekent niet vrijblijvend, het betekent verantwoordelijkheid.

Besturen moeten nu duidelijke antwoorden krijgen:

  • Wie beheerst firmware-updates?
  • Onder welke wettelijke bevoegdheid?
  • Kun je deze leverancier vervangen als dat nodig is?
  • Wat gebeurt er bij geopolitieke escalatie?

Vendorstrategie is geen optimalisatie van inkoop meer.
Het is een besluit op bestuursniveau.

5 directe stappen voor cybersecurity leiders

In een recente aflevering van Threat Talks maakt Europarlementariër Bart Groothuis één punt heel duidelijk:

Wachten op handhaving is geen strategie.

CIOs en CISOs moeten nu vijf acties prioriteren:

  1. Breid je vendor risk model uit
    Voeg jurisdictie- en geopolitieke analyses toe aan bestaande frameworks.
  2. Identificeer structurele afhankelijkheden
    Breng leveranciers in kaart die verankerd zijn in telecom, energie, cloud control planes en remote managementsystemen.
  3. Classificeer kritieke blootstellingen
    Begin bij systemen waarvan uitval directe impact heeft op de bedrijfsvoering.
  4. Ontwikkel realistische transitieplannen
    Het uitfaseren van leveranciers kost jaren, geen kwartalen.
  5. Zorg dat inkoop aansluit bij de geldende regelgeving
    Leverancierskeuzes hebben directe gevolgen voor certificering en compliance.

Vendor risk stopt niet bij kwetsbaarheden

Vendor risk gaat niet meer alleen over vulnerability management.

Europarlementariër Bart Groothuis licht toe:

  • Waarom niet-technisch risico onderdeel moet zijn van certificering
  • Waarom virtualisatie het securitymodel verandert
  • Waarom energienetten afhankelijkheid versterken
  • Waarom vendor exposure regulatory exposure wordt

Bekijk de volledige aflevering hier:

Voor CISOs en CIO’s is dit geen beleidsdiscussie.

Het is een vendor managementplan.

Kernpunten

Geen tijd om dit allemaal op te pakken?
Dit zijn de belangrijkste punten:

  • De EU Cybersecurity Act verbreedt vendor risk tot meer dan alleen technische kwetsbaarheden
  • Jurisdictie en controle over updates bepalen het risicoprofiel
  • 5G en digitale energiesystemen vergroten structurele afhankelijkheid
  • Supply chain security wordt afdwingbaar regulatory risico
  • Vendorstrategie ligt op bestuursniveau

Conclusie

Vendor risk is geen checklist meer.
Het is een vraag over controle.

Het risico dat je voorkomt: langdurige beïnvloeding, regulatory sancties en systeemverstoring. De uitkomst die je bereikt: verdedigbare inkoop, meetbare weerbaarheid en bestuurlijke duidelijkheid.

Onder de EU Cybersecurity Act bepaalt vendor risk in feite wie je infrastructuur beheerst.

Organisaties die hun leverancierslandschap en structurele afhankelijkheden willen doorlichten, moeten dit expliciet meenemen in hun risicobeoordeling.

FAQ

De herziening integreert niet-technisch vendor risk in certificeringskaders.

Beoordeling gaat verder dan technische kwetsbaarheden en omvat jurisdictie en blootstelling aan geopolitieke risico’s.

Bij vendor risk assessments moet niet alleen naar de technische beveiliging worden gekeken, maar ook naar inlichtingenwetgeving, mogelijke staatsinvloed, controle over updates en structurele afhankelijkheden.

Nee. Het kader is expliciet risicogebaseerd.

Het doel is het zichtbaar maken van onaanvaardbare blootstelling in kritieke infrastructuren..

5G-virtualisatie centraliseert controle. Energienetten vertrouwen op digitale beheerlijnen. Na implementatie beperkt dit de mitigerende flexibiliteit.

De CSA-herziening adresseert leveranciers- en geopolitieke exposure binnen certificeringsstructuren.