Hoe breng ik mijn rechtstreekse leveranciers in kaart?

Kennisartikelen

Leestijd:

Toeleveringsketen

Beginnen

Ook jouw organisatie is afhankelijk van leveranciers. Als één van je leveranciers getroffen wordt door een cyberaanval kan dat grote gevolgen hebben voor jouw organisatie. Ga daarom bewust om met de risico’s uit de leveranciersketen. Een eerste stap hiervoor is het in kaart brengen van jouw leveranciers.

Doelgroep
Dit artikel is bedoeld voor security-personeel dat een eerste stap wil zetten in leveranciersmanagement.

Definitie
Rechtstreekse leveranciers zijn de leveranciers waar de organisatie een contractuele relatie mee heeft.

Achtergrond

Sinds 2020 is er vanuit de Europese Unie gewerkt aan de Network and Information Security (NIS2) directive. Deze richtlijn is gericht op verbeteren van de digitale en economische weerbaarheid van Europese lidstaten. In Nederland wordt de NIS2-richtlijn geïmplementeerd in de vorm van de Cyberbeveiligingswet (Cbw).

De Rijksoverheid adviseert organisaties om niet af te wachten totdat de wet- en regelgeving volledig duidelijk zijn. De risico’s die organisaties en systemen lopen, zijn er immers nu ook al. Door nu al in actie te komen beveilig je jouw organisatie niet alleen tegen deze bestaande risico’s, maar ben je straks ook beter voorbereid op de komst van de nieuwe wetgeving.

Wie zijn jouw rechtstreekse leveranciers?

Vaak is het aantal leveranciers groot, hierdoor ben je het overzicht al snel kwijt. Maak dus een leveranciersoverzicht en bepaal vervolgens wat de belangrijkste leveranciers zijn voor jouw organisatie. In dit artikel richten we ons specifiek op de rechtstreekse leveranciers. In het geval dat duidelijk is dat er grote risico’s zijn bij de leveranciers van jouw rechtstreekse leveranciers, is van het belang om deze leveranciers ook mee te nemen in het leveranciersoverzicht.

Stap 1: Maak een leveranciersoverzicht

Om zicht te krijgen op jouw leveranciers heb je een overzicht nodig. Hiervoor zijn tenminste drie opties:

Optie 1: een bestaand leveranciersoverzicht gebruiken

Ook andere afdelingen binnen jouw organisatie hebben een belang bij een leveranciersoverzicht. Daarom is de kans groot dat er al zo’n overzicht is binnen de organisatie. In de meeste gevallen gaat het hier om de inkoopafdeling. Andere benamingen van deze afdeling zijn purchasing of procurement. Deze afdeling is doorgaans verantwoordelijk voor het proces en de coördinatie van de inkoop van externe producten en diensten. Daardoor is de kans groot dat hier een leveranciersoverzicht aanwezig is.

Optie 2: op basis van financiële gegevens een leveranciersoverzicht maken

Mocht er geen leveranciersoverzicht zijn en deze ook niet binnenkort beschikbaar zijn, is er ook een meer indirecte manier om een overzicht te krijgen. De meeste leveranciers sturen een factuur nadat een dienst of product geleverd is. Vervolgens worden deze facturen door jouw organisatie betaald. Dit gebeurt vaak door de financiële- of crediteurenafdeling. Een deel van de uitgaande gelden zijn betalingen van facturen van toeleveranciers. Door de betalingen van het afgelopen jaar te analyseren, kun je in kaart brengen wie jouw leveranciers zijn.

Optie 3: op basis van assets een leveranciersoverzicht maken

Een andere manier om jouw leveranciers in kaart te brengen is aan de hand van een overzicht van de producten en diensten die jouw organisatie gebruikt. Dit worden ook wel assets genoemd. Een overzicht van je assets vind je bijvoorbeeld in een asset managementsysteem of een Configuration Management Database (CMDB). Op basis van deze overzichten kun je vervolgens in kaart brengen welke leveranciers bepaalde assets leveren en zo tot een leveranciersoverzicht komen.

Mocht er geen overzicht van de assets zijn, dan is het een belangrijke stap om deze alsnog in kaart te brengen. Doe dit samen met andere teams binnen de organisatie die hier inzicht in hebben. Je kunt dit bijvoorbeeld doen aan de hand van workshops of door het gebruik van bepaalde tools.

Stap 2: Maak afspraken over het actueel houden van het leveranciersoverzicht

Maak duidelijke afspraken over de verantwoordelijkheden voor het leveranciersoverzicht. Hoe de verschillende verantwoordelijkheden uiteindelijk worden verdeeld hangt sterk af van de cultuur en structuur van jouw organisatie. Je kunt dit doen aan de hand van een RA(S)CI-matrix.

RASCI staat voor Responsible, Accountable, Supporting, Consulted en Informed. Het RASCI-model is een matrix die gehanteerd wordt om de rollen en verantwoordelijkheden weer te geven.

Belangrijk is dat er uiteindelijk één persoon accountable en één persoon responsible is. Vaak is de collega die verantwoordelijk is voor security niet diegene die het leveranciersoverzicht onderhoudt, maar wel een belang heeft bij een dergelijk goed overzicht. In veel gevallen zal een directeur (van de inkoop- of financiële afdeling) accountable zijn voor het leveranciersoverzicht; is een medewerker (van de inkoop of financiële afdeling) responsible; en zal risicomanager of security verantwoordelijke consulted worden voor het security-aspect van het leveranciersoverzicht. Zoals eerder benoemd, zullen de verantwoordelijkheden niet bij elke organisatie hetzelfde zijn verdeeld. Dit hangt sterk af van de cultuur en structuur van de organisatie en is dus overal anders.

Nadat de verantwoordelijkheden zijn vastgesteld, moet je afspraken maken over het proces van onderhoud van het leveranciersoverzicht. Bijvoorbeeld jaarlijks een update van het leveranciersoverzicht uitvoeren door diegene die responsible is.

Een volgende stap is om alle afspraken te formaliseren door deze te laten goedkeuren door een directeur of directieteam. Zorg ervoor dat dit schriftelijk wordt vastgelegd

LET OP!

In stap 2 hebben we het over de verantwoordelijkheden over het leveranciersoverzicht en niet over de verantwoordelijkheden over het bredere leveranciersmanagement.

Leveranciersmanagement gaat niet alleen over het maken en onderhouden van een overzicht, maar bijvoorbeeld ook over het selecteren van een leverancier en het onderhouden van de relatie. Doorgaans is de business hier accountable aangezien zij de gebruiker zijn en over de inhoudelijke kennis beschikken om tot een goede behoeftestelling te komen. De inkoopafdeling heeft hier vaak een rol als procesbegeleider en coördinator. Al verschilt dit uiteraard weer per organisatie.

Stap 3: Classificeer en prioriteer jouw leveranciers

Een lange lijst met alle leveranciers biedt overzicht, maar nog geen inzicht in welke leveranciers het belangrijkst zijn voor jouw organisatie. Daarom is de volgende stap om de leveranciers te classificeren en te prioriteren op basis van het belang voor jouw organisatie. Dit kun je doen op basis van de volgende factoren:

Als onderdeel van het risicomanagementproces heeft de organisatie in kaart gebracht wat de te beschermen belangen (TBB) zijn. Is dat nog niet gedaan of is het onduidelijk wat de TBB’s zijn? Lees dan eerst het artikel hierover.
Bepaal vervolgens voor de 10 belangrijkste TBB’s welke leveranciers hier belangrijk voor zijn. Dit kan bijvoorbeeld een SaaS-applicatie voor voorraadbeheer zijn of bepaalde software die jij gebruikt in jouw productieproces of kantoorautomatisering. Wees je ervan bewust dat leveranciers die geen netwerk- of informatiesystemen leveren, mogelijk ook van groot belang zijn voor de continuïteit van het primaire proces en het beschermen van jouw TBB’s.
Denk ook na over leveranciers die toegang hebben tot vertrouwelijke systemen en/of data: bepaalde leveranciers leveren een niet kritieke dienst of product aan de organisatie, maar hebben wel toegang tot vertrouwelijke systemen en/of data. Neem hier ook leveranciers mee waar jouw organisatie zelf vertrouwelijke data naar stuurt omdat zij een dienst voor jou verrichten.
Leveranciers met een slechte reputatie: over welke leveranciers maak je je zorgen vanwege een slechte reputatie? Deze leveranciers verdienen mogelijk extra aandacht omdat er binnen de organisatie, of bij jouw partners, slechte ervaringen mee bestaan. Ook als een leverancier betrokken is bij een informatiebeveiligingsincident zoals een datalek kan dat een aanleiding zijn om deze leverancier te prioriteren.

80-20 regel

Voor organisaties die nog geen of beperkt zicht hebben op hun leveranciers en de risico’s die daaruit voortkomen, is het zaak om in deze eerste inventarisatie niet te hoge eisen te stellen aan het leveranciersoverzicht. Een eerste lijst met leveranciers die op basis van bovenstaande drie aspecten is geïnventariseerd, is in deze eerste stap een prima resultaat en een goede basis voor verdere aanvullingen. Waarschijnlijk is hiermee al 80 procent van de hoog risico-leveranciers inzichtelijk gemaakt. Vergeet vervolgens niet om ook de laatste 20 procent in kaart te brengen. Ook hier kan nog een significant risico uit voorkomen.

Stap 4: Onderhouden van de classificering en prioritering van leveranciers

Ook de classificering en prioritering van het leveranciersoverzicht (zoals beschreven in stap 3) kan veranderen. De volgende twee redenen kunnen daar aanleiding voor zijn:

Een verandering in het leveranciersoverzicht, bijvoorbeeld door een faillissement, waardoor een leverancier weg valt. Een ander voorbeeld is het contracteren van een nieuwe leverancier, waardoor er een leverancier bijkomt.
Een verandering in de context rondom de organisatie, waardoor er nieuwe of veranderende risico’s zijn. Een voorbeeld zijn de geopolitieke spanningen waardoor banden met leveranciers uit bepaalde landen worden heroverwogen.

Probeer bij eventuele veranderingen in het leveranciersoverzicht zoveel mogelijk aan te sluiten bij het ritme en de frequentie van gerelateerde processen, zoals het risicomanagementproces. Dit gebeurt doorgaans ten minste één keer per jaar. Soms geven actuele ontwikkelingen aanleiding om dit vaker te doen.

Als laatste helpt het om een warme band met de inkoopafdeling te onderhouden. Zij kunnen de rest van de organisatie tijdig informeren over eventuele veranderingen van leveranciers. Hierdoor heeft de organisatie voldoende tijd om zich hierop voor te bereiden.

Meer weten?

Wil je meer weten of ben je al toe aan een volgende stap om meer in detail de leveranciersrisico’s te analyseren? Kijk dan ook eens naar vervolgartikelen, waaronder artikelen van onze kennispartners:

In samenwerking met:
Nederlandse Spoorwegen (NS), Siemens, Ministerie van Infrastructuur en Waterstaat (I&W), Rijksinspectie Digitale Infrastructuur (RDI) en Stichting Z-Cert.