Leveranciersmanagement

Daarom is het erg belangrijk om:

• te weten wie je belangrijkste leveranciers zijn; 
• te weten hoe weerbaar deze leveranciers zijn; 
• regelmatig met ze in gesprek te gaan over hun beveiliging en betrouwbaarheid. 

Schade aan de vertrouwelijkheid, beschikbaarheid of betrouwbaarheid van hun informatie, systemen of processen kan een bedreiging zijn voor het voortbestaan van jouw organisatie.

Leveranciersmanagement in de Cbw en Wwke

De Cyberbeveiligingswet (Cbw) verplicht organisaties om maatregelen te nemen tegen cybesecurityrisico’s in de toeleveringsketen. Artikel 21 lid 1 zegt dat er beleid moet zijn voor “de beveiliging van de toeleveringsketen, met inbegrip van beveiligingsgerelateerde aspecten met betrekking tot de relaties tussen de entiteit en haar rechtstreekse leveranciers of dienstverleners.”   

De Algemene Maatregel van Bestuur (AMvB) van de Cbw werkt dit verder uit in artikel 10 lid 1: “De essentiële entiteit of belangrijke entiteit heeft vastgesteld beleid over de beveiliging van de toeleveringsketen. De entiteit bepaalt in dat beleid haar omgang met afhankelijkheden van de producten en diensten van haar leveranciers en dienstverleners die invloed kunnen hebben op de beveiliging van haar netwerk- en informatiesystemen. De entiteit legt dat beleid schriftelijk vast en past dat beleid aantoonbaar toe.”  

De Wet weerbaarheid kritieke entiteiten (Wwke) gaat over de fysieke bescherming en beveiliging van kritieke organisaties. Artikel 7 stelt: “De kritieke entiteit identificeert haar rechtstreekse leveranciers en rechtstreekse dienstverleners en heeft vastgesteld beleid over de rol van deze rechtstreekse leveranciers en rechtstreekse dienstverleners ter beperking van de risico’s ten aanzien van de weerbaarheid en instandhouding van de essentiële dienst, op basis van de risicobeoordeling, bedoeld in artikel 3, tweede lid. De entiteit legt dat beleid schriftelijk vast en past dat beleid aantoonbaar toe.”  
En: “De kritieke entiteit houdt bij het uitvoeren van de risicobeoordeling, bedoeld in artikel 14 van de wet, rekening met de mate waarin de dienstverlening van haar rechtstreekse leveranciers en rechtstreekse dienstverleners een risico kan vormen voor haar eigen verlening van een essentiële dienst.”

Verschillende soorten ketens

Ook een vitaal proces is een keten. Dat betekent dat meerdere organisaties samen verantwoordelijk zijn voor de continuïteit van één vitaal proces. Ook binnen een organisatie bestaat een keten: verschillende systemen en onderdelen werken samen om het proces te laten doorgaan.  
 
Daarnaast zijn er vaak afhankelijkheden tussen meerdere vitale processen en vitale aanbieders van andere processen. We noemen dat een procesketen. Voor een procesketen is nog geen duidelijke definitie in wet- of regelgeving. Wel is duidelijk dat een procesketen iets anders is dan een toeleveringsketen of de relatie met rechtstreekse leveranciers (zoals beschreven in de wetten).  
 
Een ketenanalyse of ketensamenwerking is vooral nuttig als er een groot cybersecurityrisico en ketenprobleem is. Samenwerking is dan noodzakelijk: door cyberrisico’s samen aan te pakken, vergroten alle partijen hun weerbaarheid.

Zie ook de website van de cyberweerbaarheidsprogramma's.

Vergroot de weerbaarheid van je leveranciersketen

Wil je als organisatie werken aan de cyberweerbaarheid van je leveranciersketen? Het NCSC biedt hiervoor een aantal hulpmiddelen. Het versterken van digitale weerbaarheid vraagt meer dan alleen controleren of leveranciers zich aan regels houden (compliance). Compliance is belangrijk, maar niet genoeg. Het is minstens zo belangrijk om het gesprek aan te gaan, en de samenwerking en relatie met ze te versterken.

Meer weten? Kijk op de website van het Nationaal Cyber Security Centrum (NCSC): Hoe versterk je de weerbaarheid van leveranciers? | Wat kun je zelf doen?