4min Security

Samenwerking met leveranciers: essentieel voor een veilige bedrijfsomgeving

Een vrouw met lang bruin haar, gekleed in een topje met patroon en een donkere blazer, lacht naar de camera tegen een effen grijze achtergrond.
Samenwerking met leveranciers: essentieel voor een veilige bedrijfsomgeving

Organisaties werken steeds meer, vaker en intensiever samen met externe leveranciers. Met een stijging in het aantal cyberincidenten dat plaatsvindt via toeleveranciers speelt de digitale veiligheid een steeds grotere rol. Een cyberincident bij een leverancier kan namelijk directe gevolgen hebben voor de dienstverlening van de eigen organisatie, zoals ongewenste toegang tot systemen en data of verstoring van essentiële processen. Naast digitaal crisismanagement is goed leveranciersmanagement essentieel, zodat het risico van incidenten in de keten beheersbaar blijft.

Verantwoordelijkheid en wetgeving

Organisaties blijven verantwoordelijk voor de bescherming van hun data, ook als deze worden verwerkt door externe partijen. Dit vraagt naast de naleving van wet- en regelgeving, zoals de NIS2-richtlijn (in Nederland de Cyberbeveiligingswet), ook om een strategische benadering van leveranciersmanagement. Het voldoen aan deze regelgeving is meer dan alleen een administratieve verplichting, het is een essentieel onderdeel voor het creëren van een veilige digitale bedrijfsomgeving. Daarbij moet de focus niet alleen liggen op snelle naleving van regels, maar ook op bredere beveiligingsdoelen om de continuïteit van de dienstverlening van een organisatie te waarborgen.

Stappen voor goed leveranciersbeheer

We geven hieronder een aantal stappen die je kan nemen om leveranciersmanagement te organiseren en te borgen binnen een organisatie.

  1. Begin met het in kaart brengen van alle leveranciers, van IT-dienstverleners, leveranciers van apparatuur tot facilitaire dienstverleners en logistieke partners.
  2. Stel vast hoe cruciaal een leverancier is voor de bedrijfsvoering van jouw organisatie. Hoe erg is het voor je organisatie als de dienst/product niet meer geleverd kan worden? Maak hierin minimaal 2 categorieën zodat je de kritische leveranciers scheidt van de reguliere leveranciers.  
  3. Stel vast welke maatregelen er gelden voor je leveranciers. Voor de kritische leveranciers zullen er meer maatregelen zijn. Aan bijvoorbeeld de leverancier van je firewalls stel je andere, strengere, eisen dan aan de leverancier van het fruit. In het opstellen van de maatregelen zal je daar ook rekening mee moeten houden. Daarom is de scheiding van de kritische leveranciers in stap 2 ook belangrijk.
  4. Maak inzichtelijk welke beveiligingsmaatregelen een leverancier of partner heeft genomen.
  5. Toets of de beveiligingsmaatregelen die een leveranciers heeft genomen ook in de praktijk worden toegepast/ werken.
  6. Borg dat het proces zo is ingericht dat er vooraf bij elke nieuwe leveranciers wordt bepaald onder welke categorie deze komt te vallen en welke maatregelen er van toepassing moeten zijn. Zo zorg je ervoor dat informatiebeveiliging bij je leverancier voldoet aan jouw standaarden. Wanneer je moet kiezen tussen twee partijen kan het niveau van informatiebeveiliging ook een rol spelen.

Tot slot is het advies om een richtlijn op te stellen voor leveranciersmanagement. In dit document staat duidelijk vastgelegd wat de eisen voor leveranciers zijn en aan welke voorwaarden voldaan moet worden. Door deze kaders vooraf vast te stellen zal het proces makkelijker doorlopen kunnen worden en wordt de kans op een incident verkleind.  

In dit document beschrijf je minimaal:

  1. Leveranciersselectie:  Waar moet een leverancier minimaal aan voldoen?
  2. Afhankelijkheden: Breng de afhankelijkheden tussen jouw organisatie en de leverancier in kaart. Daarmee bepaal je in welke categorie de leverancier ingeschaald wordt.
  3. Risicomanagement: Vaststellen van de risico’s die mogelijk ontstaan bij het in zee gaan met de leverancier.
  4. Evaluatie: Evalueer de prestaties van leveranciers regelmatig. Denk hierbij aan het reviewen van de certificaten zoals ISO27001 of NEN7510 voor zorginstellingen. Hierbij is het ook belangrijk om naar de verklaring van toepasselijkheid te kijken. Zo kan je zien welke elementen van de norm van toepassing zijn verklaard en waar ook op getoetst is met betrekking tot opzet, bestaan en werking.

Concrete afspraken vastleggen

Om de samenwerking met leveranciers verder te versterken, is het belangrijk om concrete afspraken contractueel vast te leggen. Denk aan:

  • Het hebben beveiligingscertificaten
  • Het aanbieden van verplichte cybersecuritytrainingen voor medewerkers van de leverancier
  • Meldplicht bij incidenten (houd rekening met de tijd die je organisatie nodig heeft om een melding te kunnen doen)
  • Het recht op audits

Spreek ook een exit-procedure af waarin je meeneemt hoe je afscheid neemt van elkaar, wat er met je data gebeurt en op welke termijn data wordt vernietigd. Deze afspraken zorgen ervoor dat de veiligheid van data ook bij leveranciers gewaarborgd blijft, zelfs wanneer zich incidenten voordoen.

Conclusie

Goed leveranciersmanagement levert een belangrijke bijdrage aan de digitale veiligheid van jouw organisatie. Door duidelijke afspraken te maken over cybersecurity, kan je niet alleen voldoen aan wet- en regelgeving zoals NIS2, maar en dat is minstens zo belangrijk, een robuuste digitale omgeving creëren. Dit beschermt zowel de data en systemen van jouw organisatie als de dagelijkse operatie, waardoor je de continuïteit van jouw kritische bedrijfsprocessen kan beschermen.