Siemens voert een nieuwe aanpak in voor het melden van beveiligingslekken met “leverancier-ADP”. Het technologiebedrijf wil zo duidelijker laten zien welke partij bij een kwetsbaarheid betrokken is en wat klanten kunnen doen. De maatregel geldt voor industriële en digitale producten die wereldwijd worden gebruikt, ook in Nederland en de EU. Het doel is sneller herstel, minder uitvaltijd en betere naleving van Europese regels.
Siemens scherpt advisering aan
Met leverancier-ADP maakt Siemens in zijn beveiligingsadviezen explicieter of een fout in software of hardware afkomstig is van een toeleverancier. Klanten zien zo sneller welke component geraakt is en wie een patch levert. Dit helpt bij het plannen van onderhoud, zeker in fabrieken en energiecentrales waar stilstand duur is.
De aanpak komt bovenop bestaande meldingen met CVE-nummers en risicoscores zoals CVSS, die de ernst van een lek aangeven. Door de herkomst te benoemen, wordt het voor beheerders duidelijker waar zij moeten beginnen. Dat verkort de tijd tussen ontdekking en oplossing.
Voor organisaties met veel leveranciers en versies vermindert dit ruis. Beheerders hoeven minder te zoeken naar welke module of bibliotheek precies kwetsbaar is. Dat maakt rapportages en audits overzichtelijker.
Ketenrisico’s beter zichtbaar
Digitale producten bevatten vaak onderdelen van derden, zoals open-sourcelibraries of externe firmware. Een fout in zo’n onderdeel kan doorwerken in talloze apparaten. Met leverancier-ADP markeert Siemens dit ketenrisico expliciet in zijn adviezen.
Zo’n vermelding geeft ook aan wie verantwoordelijk is voor een oplossing, en of er al een update, tijdelijke maatregel of omweg bestaat. Dit is belangrijk voor operationele technologie (OT), waar updates vaak alleen in vensters met geplande stilstand kunnen worden uitgevoerd. Duidelijkheid voorkomt noodgrepen die de veiligheid kunnen schaden.
Voor Nederlandse en Europese klanten in sectoren als maakindustrie, water, mobiliteit en energie is dit praktisch. Zij kunnen hun patchbeleid richten op de leverancier die de snelste of meest betrouwbare fix heeft. Dit sluit aan bij maatregelen om aanvalsoppervlak en hersteltijd te verkleinen.
Aansluiting op EU-wetgeving
De aanpak past bij Europese regels die transparantie en veilig productontwerp verplichten. De NIS2-richtlijn eist van essentiële en belangrijke entiteiten sterkere beveiliging en sneller incidentbeheer. Duidelijke kwetsbaarheidsinformatie helpt om daaraan te voldoen.
Ook de Cyber Resilience Act (CRA) verplicht fabrikanten, op het moment van schrijven, tot een beleid voor het melden en verhelpen van kwetsbaarheden gedurende de levenscyclus. Leverancier-ADP maakt zichtbaar dat dit beleid ook de toeleveringsketen dekt. Dat ondersteunt CE-conformiteit en auditsporen.
Voor organisaties die onder de AVG vallen, verkleint sneller herstel het risico op datalekken door misbruik van bekende fouten. Heldere advisering helpt bovendien bij dataminimalisatie in noodmaatregelen, omdat gerichte workarounds minder ingrijpen op systemen en data.
Praktische gevolgen voor bedrijven
Beveiligingsteams kunnen hun patchmanagement koppelen aan leverancier-ADP, bijvoorbeeld door tickets automatisch toe te wijzen aan het team of de partner die het juiste component beheert. Dit versnelt triage en uitvoering. Het helpt ook bij rapportages aan directie en toezichthouders.
Organisaties die met een software-stuklijst (SBOM) werken, herkennen sneller of zij het getroffen onderdeel gebruiken. Een SBOM is een overzicht van alle softwarecomponenten in een product. In combinatie met duidelijke advisering verkort dit de tijd om te bepalen of actie nodig is.
Voor Nederlandse overheden en vitale aanbieders is dit relevant bij aanbestedingen en contractbeheer. Zij kunnen eisen dat leveranciers kwetsbaarheden met herkomstinformatie melden, in lijn met NIS2 en de CRA. Dat verhoogt vergelijkbaarheid tussen aanbieders.
Grenzen en aandachtspunten
Transparantie versnelt niet automatisch elke oplossing. Als een toeleverancier nog geen patch heeft, blijft het risico bestaan. Siemens kan dan wel tijdelijke maatregelen adviseren, maar organisaties moeten zelf afwegen wat dit betekent voor veiligheid en continuïteit.
Uniforme termen en formats blijven nodig om advisering leesbaar te houden. Zonder eenduidige benamingen voor modules en versies kan verwarring toch ontstaan. Integratie met standaarden zoals CVE en CVSS blijft daarom essentieel.
Tot slot vraagt dit om actuele configuratiebeheer en assetlijsten bij de klant. Zonder zicht op welke systemen draaien en welke versies, helpt extra informatie maar beperkt. Investeren in inventarisatie en testprocedures blijft nodig.
Een kwetsbaarheid is een fout in software of hardware die misbruik mogelijk maakt. Hoe sneller je weet waar die zit en wie de patch levert, hoe kleiner het risico.
Wat dit betekent in Nederland
Voor Nederlandse industrie, energie en zorg verkort leverancier-ADP de tijd tot mitigatie. Dat helpt bij verplichte risicobeoordelingen en meldplichten onder NIS2. Het maakt ook communicatie met het Nationaal Cyber Security Centrum (NCSC) concreter.
Aanbestedende diensten kunnen expliciet vragen om advisering met herkomstlabels en SBOM’s. Dat vergemakkelijkt toetsing op naleving en lifecycle-onderhoud. Leveranciers die dit niet bieden, lopen achter in audits en certificeringen.
Op het moment van schrijven bereiden veel organisaties zich voor op strengere Europese eisen. Een duidelijke ketentransparantie, zoals met leverancier-ADP, verlaagt implementatierisico’s. Het maakt cybersecurity meetbaarder en beter te sturen.
