Leveranciersrisico

Leveranciersmanagement: het vergeten risico in je organisatie

Waarom jouw grootste kwetsbaarheid misschien buiten je eigen muren zit

#leveranciersrisico

Leveranciersmanagement. Voor veel ondernemers voelt dat als iets voor grote corporates met dikke contracten en nog dikkere inkoopafdelingen. In de praktijk heeft vrijwel iedere organisatie – ook in het MKB – meerdere leveranciers die direct of indirect invloed hebben op de continuïteit van de business. En dus op je risico’s.

In eerdere blogs had ik het over risico’s, kans x impact, en over het bepalen van je risk appetite. Vandaag voeg ik daar een belangrijke categorie aan toe: risico’s die je niet zelf veroorzaakt, maar die via je leveranciers je organisatie binnenkomen.

Waarom leveranciersmanagement onderdeel is van risicomanagement

Vrijwel geen enkele organisatie draait nog volledig op eigen systemen en eigen mensen. We gebruiken:

  • cloudsoftware voor boekhouding of CRM
  • een IT-dienstverlener voor beheer
  • een salarisverwerker
  • een marketingbureau met toegang tot klantdata
  • een hostingpartij
  • een beveiligingsbedrijf met cameratoegang

Al deze partijen verwerken informatie van of namens jou. En daarmee worden zij onderdeel van jouw risicoprofiel.

Als één van hen een datalek heeft, een ransomware-aanval ondergaat of simpelweg zijn zaakjes niet op orde heeft, dan is de kans groot dat jij daar ook last van krijgt. De impact kan variëren van vervelend tot bedrijfskritisch.

Het voelt soms oneerlijk (“zij maken de fout, waarom heb ik het probleem?”), maar toezichthouders en wetgevers kijken daar anders naar. Jij blijft verantwoordelijk voor de keuzes die je maakt. Dus ook welke leverancier je kiest en of je scherp bent geweest bij het selecteren van je leveranciers.

En daarmee komen we bij wetgeving.

De AVG: jij blijft verwerkingsverantwoordelijke

De meeste ondernemers kennen de AVG inmiddels wel. Maar in de praktijk zie ik nog vaak dat leveranciersmanagement onderbelicht blijft.

Werk je met een partij die persoonsgegevens verwerkt namens jou? Dan ben jij in veel gevallen de verwerkingsverantwoordelijke en zij de verwerker. Dat betekent:

  • je moet een verwerkersovereenkomst afsluiten
  • je moet beoordelen of de partij passende beveiligingsmaatregelen heeft
  • je moet kunnen aantonen dat je die beoordeling hebt gedaan

Dus niet: “Ze zeiden dat het veilig was.”Maar: “We hebben beoordeeld dat hun maatregelen passen bij het risico.”

Heb je bijvoorbeeld een HR-systeem in de cloud waar salarisgegevens en BSN’s in staan? Dan mag je verwachten dat die leverancier meer doet dan alleen een wachtwoord op de loginpagina zetten. Denk aan encryptie, logging, toegangsbeheer, back-ups.

En nee, je hoeft als MKB’er geen volledige audit te doen. Maar je moet wel bewust kiezen.

De NIS2-richtlijn: ook indirect relevant

Sinds de komst van Europese NIS2-richtlijn (ofwel in Nederland de Cyberbeveiligingswet) is leveranciersmanagement nog belangrijker geworden. Deze richtlijn is bedoeld voor essentiële en belangrijke entiteiten, maar heeft een keteneffect.

Val je zelf onder NIS2? Dan ben je verplicht om risico’s in je toeleveringsketen te beheersen. Dat betekent dat je actief moet kijken naar de cybersecurity van je leveranciers.

Val je er niet onder? Dan is de kans groot dat jouw klant er wel onder valt. En dan krijg jij vragenlijsten. Of contractuele eisen. Of audits.

Leveranciersmanagement is daarmee niet alleen een beveiligingsvraagstuk, maar ook een commerciële realiteit.

De Cyber Resilience Act (wat eraan komt)

De Europese Cyber Resilience Act verplicht fabrikanten om digitale producten veiliger te ontwerpen en langer te ondersteunen met updates. Dat is goed nieuws voor organisaties die afhankelijk zijn van hard- en software. Je krijgt zo meer zekerheden over de kwaliteit van de producten die je koopt.

Maar: tot die volledig van kracht is, blijf je als organisatie zelf verantwoordelijk voor wat je inkoopt en hoe lang je het blijft gebruiken.

Een goedkope router uit de elektronicazaak zonder updatebeleid kan op korte termijn aantrekkelijk zijn. Op lange termijn kan het een risico vormen dat je niet meer kunt patchen – met alle gevolgen van dien.

Leveranciersmanagement begint dus al bij de inkoop.

Wat betekent dit concreet voor jou?

Leveranciersmanagement hoeft niet ingewikkeld te zijn. Maar het moet wel bewust gebeuren. Een paar praktische stappen:

  1. Maak een overzicht van je kritieke leveranciersWelke partijen hebben toegang tot gevoelige informatie of zijn essentieel voor je primaire proces?
  2. Bepaal per leverancier het risicoWat is de impact als deze partij uitvalt? Of een datalek heeft? Of gehackt wordt?
  • Is er een contract?
  • Is er een verwerkersovereenkomst (indien nodig)?
  • Zijn er afspraken over beveiliging en incidentmelding?
  • Is duidelijk hoe lang systemen ondersteund worden?
  1. Leg vast waarom je een keuze maaktSoms kies je bewust voor een iets minder volwassen partij omdat ze goedkoper zijn. Dat mag. Maar maak het een bewuste keuze, geen toeval.
  2. Evalueer periodiekLeveranciers veranderen. Jij verandert. Wetgeving verandert. Wat vorig jaar acceptabel was, kan dit jaar onder je risk appetite zakken.

Tot slot

Leveranciersmanagement is geen papieren exercitie voor auditors. Het is een essentieel onderdeel van risicomanagement.

Want hoe goed je je eigen zaken ook op orde hebt: als de zwakste schakel in je keten het laat afweten, voel jij dat ook.

De vraag is dus niet óf je afhankelijk bent van leveranciers. Dat ben je.De vraag is: weet je van welke risico’s je afhankelijk bent – en heb je daar bewust voor gekozen? In een volgende blog duik ik graag dieper in hoe je leveranciers concreet kunt beoordelen zonder dat het een fulltime baan wordt.

Klaar met lezen?

CISO Essentials helpt je je gedachten te vertalen naar een concrete aanpak — zonder dure tools of een fulltime CISO.

Intake aanvragen
Alle artikelen