Jouw probleem, jouw risico: het besturen van ketenrisico’s.
Wie is binnen jouw organisatie verantwoordelijk voor de risico’s die leveranciers meebrengen? Binnen jouw organisatie werk je met een mix van leveranciers, van software-as-a-service (SaaS)-oplossingen tot specifieke hardware. Deze leveranciers hebben direct of indirect toegang tot jouw gevoelige informatie, of zelfs tot jouw systemen en processen. Dit is fundamenteel voor het functioneren van de organisatie. Dat brengt risico’s met zich mee: als er wat gebeurt met deze leveranciers dan kan jouw organisatie een onaanvaardbaar probleem hebben. Dus is het belangrijk om te weten: wie binnen de organisatie heeft welke verantwoordelijkheid? Hoe geef je invulling aan het beheren van zulke risico’s? En wat mag je van leveranciers verwachten? Als je op deze vragen niet direct antwoord hebt, dan is de kans groot dat er voor jouw organisatie werk aan de winkel is.
Dit artikel biedt inzicht in de elementen van goede governance van ketenrisico’s. Voor jou als verantwoordelijke is het belangrijk te weten welke processen altijd relevant zijn en hoe je daarmee om kunt gaan. Daarom lopen we in dit artikel de volledige levenscyclus van het contract met een leverancier door en geven per fase concreet handelingsperspectief. Dit artikel hebben we opgesteld in samenwerking met volwassen partijen uit het bedrijfsleven zodat de voorbeelden aansluiten op de praktijk.
Het goed besturen van ketenrisico’s is ook onderdeel van wetgeving. Dit artikel helpt jou om invulling te geven aan deze wettelijke verplichtingen. Een greep uit de relevante wetten:
- Bekijk Cyberbeveiligingswet om te bepalen of jij aan deze wetgeving moet voldoen.
- Algemene Beveiligingseisen Rijksoverheid Opdrachten (ABRO).
- Wet weerbaarheid kritieke entiteiten (Wwke).
- Network code on cybersecurity (Netcode)
- Digital Operational Resilience Act (DORA)
En mogelijk andere wetgeving. Sta in contact met jouw juridisch adviseur om bij twijfel te bepalen welke wetgeving voor jou van toepassing is.
Doelgroep
Dit artikel geeft risico-eigenaren praktische handvatten om grip te krijgen op de governance van ketenrisico’s. Denk hierbij aan inkopers, contractmanagers en projectleiders. Ook is dit zeer relevant voor managers en teamleiders: zij die knelpunten gaan ervaren als er een probleem is met een leverancier. In dit artikel worden zij gezamenlijk aangeduid als risico-eigenaar. Vervul jij binnen jouw organisatie deze strategische, tactische of operationele rol? Dan is deze publicatie voor jou.
In samenwerking met:
- VTTI (Energie-infrastructuurbedrijf)
- Van Oord (Maritieme dienstverlener)
- bp (Olie- en gasbedrijf)
- Risico-eigenaar: persoon of entiteit die de verantwoordelijkheid en bevoegdheid heeft om risico’s te beheren.
- Risicobereidheid: de hoeveelheid risico die een organisatie wil accepteren om haar doelen te bereiken.
- Leveranciersrisico’s: risico’s die ontstaan door samenwerking met directe externe partijen die producten of diensten leveren aan een organisatie.
- Supplychainrisico’s: risico’s die ontstaan in de bredere toeleveringsketen. Dit gaat verder dan directe leveranciers en omvat ook onderaannemers, derde partijen en zelfs vierde partijen die indirect bijdragen aan de dienstverlening.
- Ketenrisico’s: de combinatie van leveranciersrisico’s en risico’s in de toeleveringsketen. Het verwijst naar alle risico’s die ontstaan door afhankelijkheid van externe partijen binnen het netwerk van samenwerking.
- Tier 1 (T1) leverancier: directe leveranciers die een product of dienst leveren en waarmee je een contractuele relatie hebt.
- Tier 2 (T2) of Tier N (Tn) leverancier: een leverancier van jouw leverancier. Hiermee heb je normaliter geen contractuele relatie: het is een aanbieder aan jouw aanbieder.
Achtergrond
Het is belangrijk om als organisatie door te blijven ontwikkelen en daar hoort bij dat er nieuwe behoeftes ontstaan. Zo kan een afdeling in jouw organisatie een specifieke nieuwe vraag hebben, of een tool aangeboden krijgen die een stuk beter is dan die ze nu gebruiken. Maar hoe ga je daarmee om? Het NCSC ontvangt hierover regelmatig vragen. Wanneer de business zelf zo’n tool inkoopt zonder dat er een security assessment van heeft plaatsgevonden, ontstaan er direct risico’s. Niet iedereen in jouw organisatie is ten slotte ook automatisch expert in informatiebeveiliging.
We nemen als voorbeeld een HR-afdeling van een zorgorganisatie die een tool inkoopt. HR-collega’s voeren, als dit niet is meegenomen in het inkoopproces, vaak geen uitgebreide risicobeoordeling uit voordat ze een tool inkopen. Dat is vaak geen onwil, het is immers niet hun expertise. Ze tekenen het contract en beginnen langzamerhand personeelsinformatie in te voeren. Het systeem doet wat het beloofde te doen en dat leidt tot de gewenste efficiëntieslag. Na ruim een jaar tijd verandert jouw organisatie. De externe tool moet eigenlijk gekoppeld worden aan jullie Enterprise Resource Planning (ERP)-systeem om processen verder te verbeteren. De business regelt dit opnieuw zelf waardoor het contract niet wordt herzien en er niet naar de risico’s van informatiebeveiliging wordt gekeken. Even later wordt de leverancier van het SaaS-platform geraakt door een cyberaanval. Hierdoor zorgt de verbinding met het ERP-systeem ervoor dat de eigen organisatie ook slachtoffer wordt van een ransomware-aanval
Dit voorbeeld onderstreept dat het beheren van jouw ketenrisico’s begint bij goede governance: wie is verantwoordelijk voor welk onderdeel van de informatiebeveiliging in het proces van omgaan met leveranciers? Er is geen oplossing beschikbaar die voor elke organisatie altijd toepasbaar is. Toch zijn er elementen die voor elke organisatie gelden. Zo is het belangrijk dat in de levenscyclus van jouw contract met een leverancier er continu een risico-eigenaar is. Deze eigenaar moet geholpen worden door specifieke competenties uit de organisatie om op die manier een passend niveau van digitale weerbaarheid van jouw organisatie te bewaken.
1. Waar en hoe begin ik?
Om te begrijpen hoe je goed om kunt gaan met het besturen van ketenrisico’s, moet je weten hoe jouw organisatie is ingericht. Start daarom met het vaststellen van de context. Zorg dat je zicht hebt op de doelstellingen van jouw organisatie en hoe de informatiebeveiliging georganiseerd is. Pas dan kun je de juiste onderdelen van de organisatie betrekken. We onderkennen daarbij verschillende modellen:
Informatiebeveiliging als onderdeel van enterprise risk management.
De kenmerken hiervan zijn:
- De Chief Financial Officer (CFO) of een andere financiële eindverantwoordelijke beheert de bedrijfsrisico’s.
- De Chief Information Security Officer (CISO) rapporteert aan de CFO en adresseert risico’s rond informatiebeveiliging.
Informatiebeveiliging als zelfstandige functie.
De kenmerken hiervan zijn:
- De Chief Information Officer (CIO) of Chief Technology Officer (CTO) beheert de bedrijfsrisico’s binnen hun domein.
- De Chief Information Security Officer (CISO) rapporteert aan de CIO of CTO en adresseert risico’s rondom informatiebeveiliging.
- Een gemengde vorm, waarbij de CISO zowel aan de CFO als aan de CIO/CTO rapporteert. Deze hybride variant kent verschillende vormen.
Geen van deze structuren is per definitie beter. Het is belangrijk dat jij weet hoe het binnen jouw organisatie geregeld is.
Lees hier ook over in het artikel Hoe stuur je op effectieve informatiebeveiliging.
Zodra je bovenstaand inzichtelijk hebt dan kun je de rapportagelijn volgen om de volgende stappen te zetten:
- Betrek de strategische leiding en vraag om richting: zij bepalen welke risico’s prioriteit hebben
- Zorg dat de risicobereidheid van jouw organisatie bekend is: volledige veiligheid is niet haalbaar. Daarom is het voor jou als risico-eigenaar essentieel om te weten wanneer iets goed genoeg is.
Door deze stappen te volgen verkrijg je als risico-eigenaar het mandaat dat je nodig hebt om ketenrisico’s te beheren. Zorg dat dit mandaat wordt vastgelegd in het beleid van jouw organisatie.
Hierin moet staan:
- wie risico's mag accepteren
- wie besluiten mag nemen over de behandeling van risico's en inzet van middelen
- wie verantwoording aflegt aan de verantwoordelijke (normaliter de CFO / CIO / CTO) en hoe dit gebeurt.
Met dit fundament kun je de governance-uitgangspunten toepassen op ketenrisico’s.
Een zorgorganisatie is zich ervan bewust dat het tal van leveranciers heeft waar zij van afhankelijk is en wil als gevolg hiervan haar digitale ketenrisico’s beter beheren. Binnen de zorgorganisatie is informatiebeveiliging onderdeel van enterprise risk management: de CISO rapporteert aan de CFO en adresseert de cyberrisico’s. Het belangrijkste doel van de zorgorganisatie is het continu kunnen leveren van kwalitatief hoogwaardige zorg. De digitale diensten die de zorgorganisatie afneemt bij leveranciers moeten hieraan bijdragen.
2. Mijn organisatie wil een nieuwe leverancier. Wat nu?
Wanneer een onderdeel van jouw organisatie een nieuwe dienst of product af wil gaan nemen, is de eerste stap om te bepalen hoe kritisch de (nieuwe) leverancier gaat zijn. Vanaf dit punt wil je dat er een duidelijke eigenaar is van het proces en dus ook van het bijbehorende risico.
Het NCSC adviseert je om de inkoopafdeling of leveranciersmanagement dit proces te laten leiden en hier ook verantwoordelijkheid voor te laten dragen. Zorg dat je dit in het beleid van jouw organisatie vastlegt zodat het voor alle medewerkers duidelijk is waar ze terecht kunnen. Dat betekent niet dat de desbetreffende afdeling de gehele uitvoering op zich moet nemen. Leveranciersmanagement moet een multidisciplinair team samenstellen met ten minste de volgende expertisegebieden:
- Inkoop
- Juridisch (contractmanagement)
- Business
- Informatiebeveiliging.
Deze rollen beoordelen de leverancier vanuit hun eigen vakgebied. Wij richten ons in dit onderdeel op informatiebeveiliging, maar geven één belangrijke tip: teken geen contract voordat je de noodzakelijke risicobeoordelingen uitgevoerd hebt! Na het tekenen van het contract verlies je namelijk invloed om aanvullende eisen te stellen.
Vanuit informatiebeveiliging werk je vervolgens binnen het inkoopproces verder. Het belangrijkste dat je hier uit wil voeren is een risicobeoordeling. Voor de leveranciersrelaties benoemen we enkele specifieke aandachtspunten:
- Richt je beoordeling op de directe leverancier (Tier 1), tenzij wetgeving vereist dat je ook naar leveranciers verder in de keten kijkt (Tier 2+). Het aantal partijen stijgt anders snel en dit is meestal niet proportioneel en in de praktijk moeilijk te beheren.
- Overweeg gebruik te maken van de Kraljic-matrix om leveranciers te prioriteren.
Traditioneel gezien bepaal je het belang van een leverancier door jezelf af te vragen: hoe kritiek is deze leverancier voor de realisatie van mijn bedrijfsdoelstelling?
- Hoe afhankelijk ben ik van deze leverancier?
Bepaal hoe snel je kunt overstappen en hoeveel impact dit heeft. Gebruik deze inzichten om passende contractuele afspraken te maken.
- Wat is de risicobereidheid van de leverancier?
Vergelijk deze met die van jouw organisatie. Als die erg verschillen, dan heb je in potentie een probleem. Een startup heeft bijvoorbeeld vaak een hogere risicobereidheid omdat de middelen ontbreken om zwaar in informatiebeveiliging te investeren. Dit kan jouw risico vergroten.
- Wat is de veiligheidscultuur van de leverancier?
Leg jouw doelen en verwachtingen uit, benoem de mogelijke gevolgen van incidenten en verduidelijk dat samenwerking en informatiebeveiliging in het belang zijn van beide organisaties.
- Welke informatie wissel ik uit met de leverancier, en wat is de criticaliteit van die informatie voor mijn organisatie? Je wisselt met jouw leverancier gegevens uit zoals contractafspraken, bestellingen en soms vertrouwelijke bedrijfsinformatie. De criticaliteit daarvan hangt af van hoeveel invloed die informatie heeft op de continuïteit en veiligheid van jouw organisatie, bijvoorbeeld of leveringen doorgaan of gevoelige data beschermd blijven. Lees hiervoor ook het artikel Hoe krijg ik zicht en grip op mijn belangrijkste data?
Door bovenstaande stappen te doorlopen, komt jouw informatiebeveiligingsafdeling tot een advies. Tijdens het bepalen van de randvoorwaarden heb je vastgesteld wie welk mandaat heeft.
Op dit moment zijn er twee mogelijkheden:
- De informatiebeveiligingsafdeling heeft het mandaat om zelf een besluit te nemen, zoals het blokkeren of juist goedkeuren van de inkoop.
- De informatiebeveiligingsafdeling heeft een adviserende rol. In dat geval beslist de risico-eigenaar op basis van het gekregen advies.
Op basis van dit besluit neem je vervolgstappen. De leverancier moet mogelijk nog ontwikkelstappen zetten om aan jouw eisen te voldoen. Leg deze allemaal vast in het contract.
- Hoe de leverancier omgaat met jouw data
- Wat de risicobereidheid is van de leverancier en van jouw organisatie
- Hoe wordt omgegaan met wijzigingen, zowel technisch als proces- en personeelsmatig
- Wie waarvoor verantwoordelijk is als er iets misgaat, hoe je samenwerkt tijdens een incident en welke ondersteuning je van de leverancier mag verwachten
- Hoe de beëindiging van het contract wordt geregeld, inclusief offboarding, overdracht en het verwijderen van (gevoelige) informatie en data van jouw organisatie.
Zodra je dit proces doorlopen hebt, moet je deze informatie vastleggen in jouw Information Security Management System (ISMS) of in een vergelijkbaar systeem zoals een vendor risk management system. Zorg ervoor dat er een duidelijke eigenaar is van de informatie in het ISMS en dat het duidelijk is wie verantwoordelijk is voor het vastleggen van deze afspraken in het ISMS en onderhouden van afspraken.
De zorgorganisatie wil een nieuwe leverancier voor de opslag van medische scans. Eerst wordt bepaald hoe kritisch deze leverancier is: de leverancier verwerkt gevoelige patiëntgegevens wat aanzienlijke risico’s met zich meebrengt. Hierdoor kan de leverancier als kritisch worden beschouwd. Vanaf dit moment wordt een duidelijke risico-eigenaar aangewezen die verantwoordelijk is voor het proces. Zo wordt voorkomen dat de verantwoordelijkheid versnipperd raakt en kan de leverancier zorgvuldig worden geselecteerd
3. Hoe beleg ik de verantwoordelijkheid rondom het beheer van de leverancier in mijn organisatie?
Via de eerdere stappen uit dit artikel, heb je vooral de verantwoordelijkheden van jouw leverancier vastgelegd en duidelijk gekregen hoe jouw eigen organisatie op strategisch niveau omgaat met ketenrisico’s.
Tegelijkertijd wil je ook vanuit jouw eigen organisatie de passende mechanismes activeren om digitaal weerbaar te blijven. We geven je daarom dit motto mee: “jouw probleem, jouw risico”. Zo kun je bijvoorbeeld besproken hebben dat jouw leverancier ervoor zorgt dat alle technische verbindingen voldoende worden beveiligd. Als echter blijkt dat er toch wat misgaat, dan kan jouw organisatie alsnog geraakt wordt. Formeel, of juridisch, heb je dan wellicht geen verantwoordelijkheid hiervoor, maar in de praktijk zal dit zowel binnen jouw organisatie als daarbuiten leiden tot een flinke impact. Als je daarom een (ontoelaatbaar) probleem krijgt als er wat misgaat, dan is het simpelweg ook jouw risico.
Om dit probleem te adresseren, is de eerste stap om een risico-eigenaar te identificeren binnen jouw eigen organisatie. In het risicobeoordelings- en inkoopproces heb je ervoor gezorgd dat je zicht hebt gekregen op deze risico’s. Het is daarna aan de risico-eigenaar om passende maatregelen te (laten) nemen binnen jouw eigen organisatie. Maar hoe weet je wie dat is? Als vuistregel raden we je aan om dat te bepalen door de volgende vraag te beantwoorden:
- Wie (welke functie/rol) in jouw organisatie heeft het meest aan het product of dienst dat de leverancier gaat leveren?
Zorg daarom voor een goede overdracht van het inkoopproces naar deze risico-eigenaar. Zorg dat deze risico-eigenaar weet welke verantwoordelijkheid hoort bij deze functie. Richt procesmatig in dat de risico-eigenaar hier ook de kennis voor heeft, of weet welke kennis ingezet kan worden. Gebruik hiervoor bijvoorbeeld een RA(S)CI-model. Ten slotte is het van cruciaal belang om de overgebleven risico’s in jouw risk registry, of risicoregister, op te nemen.
De leverancier begint met het leveren van de dienst. De risico-eigenaar binnen de afdeling informatiebeveiliging krijgt formeel de taak om de leverancier te monitoren. Hij rapporteert periodiek aan de CFO en CISO, zodat cyberrisico’s structureel op het hoogste niveau besproken worden. Dit borgt dat er altijd een aanspreekpunt is bij incidenten en dat de governance helder is. Heel af en toe gaat er wat mis bij de leverancier, maar door de van tevoren gemaakte afspraken heeft de zorgorganisatie hier geen last van. Wel is het dus zaak dat monitoring structureel plaatsvindt.
4. Hoe behoud ik vervolgens controle over mijn leverancier?
Op dit punt heb je passende maatregelen genomen en is alles contractueel goed georganiseerd. Je bent dus in control. Maar hoe zorg je dat je grip houdt? Ook hier is governance cruciaal. De risico-eigenaar moet aansluiten bij bestaande processen of hier zelf processen voor initiëren. We onderscheiden hier twee types van het houden van grip: tijdgedreven en incidentgedreven.
Je wil periodiek (wellicht versneld) opnieuw beoordelen of jouw leverancier nog aan jouw standaarden voldoet. Oftewel, je wil opnieuw bekijken of de governance en randvoorwaarden goed zijn. Is de risicobereidheid van jouw organisatie nog hetzelfde? Heb je nog het mandaat van jouw strategische leiding? Is jouw leverancier bijvoorbeeld nog steeds gecertificeerd op basis van de eisen die je stelt?
Tip: beleg dit bij jouw leveranciersmanagementafdeling als je die hebt. Zij beheren de contracten en kunnen dus periodiek, bijvoorbeeld jaarlijks, dit proces in gang zetten. Ze beheren ook het on- en offboardingsproces en zijn dus bekend met de multidisciplinaire teams die betrokken moeten worden. Heb je geen leveranciersmanagementafdeling? Ga dan op zoek naar de collega die zich bezighoudt met het beheren van contracten en probeer hem of haar te betrekken.
Er zijn verschillende manieren om hier invulling aan te geven. De kern is dat iemand verantwoordelijk moet zijn om risico’s rondom leveranciers te monitoren. Dat kan de risico-eigenaar beleggen bij jouw SOC, account- of contractmanagement, CTI-afdeling of een andere afdeling met zulke expertise. Als er namelijk wat gebeurt bij jouw leverancier, dan wil je dat op tijd weten zodat je zelf passend actie kan ondernemen.
Het is zeer belangrijk om te weten wie het mandaat heeft om te reageren als er wat gebeurt bij jouw leverancier. Als jouw SOC bijvoorbeeld een signaal krijgt dat jouw leverancier gecompromitteerd is door een malafide actor, welk mandaat heeft het SOC dan? Heeft het SOC het mandaat om de API-verbindingen te verbreken, of moet het SOC de business adviseren deze mitigerende actie te ondernemen? Deze vragen wil je van tevoren vastgelegd hebben aangezien je daar ten tijde van zo’n incident geen tijd voor hebt. Ook kan de businessimpact van mitigerende maatregelen groot zijn. Er is geen gouden standaard hoe je hiermee om moet gaan, behalve dat je van tevoren ook deze mandaat- en eigenaarschapsvragen vastgelegd moet hebben in bedrijfsprocessen en -beleid.
Naast deze incidenten bij de leverancier, heb je ook te maken met normale wijzigingsprocessen die op incidentele basis plaatsvinden. Vooral als je infrastructuur gaat koppelen wordt het spannend, maar ook andere wijzigingen kunnen relevant zijn. Denk daarbij aan de vraag: wat doe je als jouw leverancier overgenomen wordt door een andere partij? Zo kun je in zee zijn gegaan met een Nederlandse organisatie die een IT-dienst levert. Deze leverancier kan op termijn overgenomen worden door een andere organisatie, die niet in Nederland gevestigd is. Wijzigingen in het echt zijn niet altijd wijzigingen op papier. Dus leiden ze niet tot contractuele wijzigingen. Je wil dit vaak wel in het contract opnemen. Denk aan het koppelen van infrastructuur: dat leidt tot nieuwe koppelvlakken en uitwisseling(en) van informatie. Daar wil je duidelijke afspraken over maken zodat je weet wie waarvoor verantwoordelijk is.
De contracten met de leverancier bevatten afspraken over beveiligingsstandaarden, rapportageverplichtingen en incidentrespons. De zorgorganisatie voert periodieke audits uit en bespreekt de resultaten met de leverancier. Governance wordt geborgd via een leveranciersoverleg waarin afspraken rond cyberveiligheid centraal staan. Zo blijft de organisatie grip houden op de samenwerking en de risico’s. Dit draagt bij aan een prettige relatie tussen leverancier en de zorgorganisatie.
5. Het beëindigen van een leveranciersrelatie
Ook bij het beëindigen van een leveranciersrelatie wil je dat de risico-eigenaar de rol goed invult. Het proces is vergelijkbaar met onboarding, maar dan andersom: offboarding. Ook hier adviseren we je om deze proces-eigenaarsrol bij de leveranciersmanagementafdeling te beleggen. Zij zijn proces-eigenaar en daarmee kunnen zij de juiste acties in gang zetten. Ook dit moet multidisciplinair opgepakt worden.
- Zijn alle verbindingen en accespoints (devices, accounts, etc.) verwijderd?
- Welke businessimpact verwacht je van het offboarden van de leverancier en hoe ga je daarmee om?
- Wie informeert alle stakeholders (intern) over deze wijziging?
- Hoe betrek je jouw financiële afdeling? Als jouw financiële afdeling niet weet dat de leveranciersrelatie beëindigd wordt, dan kan het zijn dat ze blijven betalen voor een dienst die niet meer geleverd wordt.
- Staan er clausules in het contract zodat de leverancier alle informatie verwijdert?
- Hoe controleer en verifieer je dat acties uitgevoerd zijn?
Je zou als organisatie niet de eerste en ook niet de laatste zijn die erachter komt dat de offboarding niet goed georganiseerd is. Denk hierbij aan legacy-systemen, waar we eerder over schreven. Daardoor kan het voorkomen dat jaren later jouw data alsnog op straat komt te liggen doordat jouw voormalige leverancier slachtoffer is geworden van een digitale aanval en nog over jouw data beschikte. Door de verantwoordelijkheden van de offboarding duidelijk te beleggen, verklein je deze kans.
Er zijn nog veel meer vragen die beantwoord moeten worden tijdens het offboarden maar dat is buiten scope van dit artikel. De kern is dat je weet wie waarvoor verantwoordelijk is.
Na enkele jaren besluit de zorgorganisatie de samenwerking te beëindigen omdat de leverancier onvoldoende blijkt te investeren in nieuwe beveiligingstechnologieën. De risico-eigenaar begeleidt het exit-proces: data wordt veilig gemigreerd, alle accounts en toegangsrechten worden ingetrokken, en er wordt gecontroleerd dat geen gevoelige informatie achterblijft. Door de rapportagelijn naar de CFO en CISO blijft de governance intact en wordt de beëindiging beheerst uitgevoerd.
Normenkaders
Tot slot bestaan er verschillende normenkaders/raamwerken die je kunnen helpen de governance van ketenrisico’s verder te professionaliseren. Je leest hierover meer in het artikel over het gebruik van risicomanagementraamwerken. Binnen de context van dit artikel raden we je de volgende raamwerken aan:
- ISO3700X-reeks. Deze reeks is niet specifiek voor informatiebeveiliging, maar omschrijft standaarden om governance in jouw organisatie verder te professionaliseren.
- ISO27005: deze ISO-norm helpt je bij het verder inrichten van jouw ISMS en informatiebeveiligingsstandaarden betreffende governance good-practices.
- ISO27036: deze ISO-norm is specifiek ontwikkeld om om te gaan met leveranciersmanagement en bijkomende risico’s. De omschreven standaarden kunnen je helpen om relevante acties in kaart te krijgen.
Afsluiting
Het beheren van ketenrisico’s begint en eindigt bij goede governance. We hebben je laten zien dat heldere verantwoordelijkheden, een aantoonbaar mandaat en een gestructureerde samenwerking tussen disciplines essentieel zijn zodat je beter grip kunt krijgen op afhankelijkheden van leveranciers.
Van het bepalen van de organisatiestructuur en risicobereidheid, tot het zorgvuldig doorlopen van het inkoopproces en het borgen van afspraken en contracten in het ISMS—alle stappen dienen één doel: het helpt je voorkomen dat ketenrisico’s voor je organisatie buiten beeld raken.
De rol van risico-eigenaar loopt als een rode draad door de levenscyclus van een leveranciersrelatie. Deze rol eindigt niet bij het selecteren van een leverancier; ook tijdens de looptijd en bij offboarding is actief eigenaarschap noodzakelijk zodat je voorkomt dat kleine afwijkingen uitgroeien tot grote incidenten. Daarbij geldt dat formele afspraken belangrijk zijn, maar praktische uitvoerbaarheid en tijdige signalering minstens zo zwaar wegen. Wanneer je periodiek toetst, incidentgedreven monitort en vooraf vastlegt wie mag handelen als het misgaat, blijft jouw organisatie wendbaar en weerbaar.
Ketenrisico’s verdwijnen nooit volledig—maar met duidelijke verantwoordelijkheden, multidisciplinaire samenwerking en een volwassen risicobenadering kun je ze wel effectief beheren. Daarmee creëer je niet alleen veiligheid, maar ook voorspelbaarheid, transparantie en vertrouwen binnen de hele keten.