Rijksoverheid logo
Nationaal Cyber Security CentrumMinisterie van Justitie en Veiligheid

Welkom bij de vernieuwde website van het versterkte NCSC

Jouw helpende hand in cybersecurity. Kijk gerust rond of lees meer over de vernieuwde cybersecurityorganisatie.

Ketenrisico's - in control blijven

Kennisartikelen
Leestijd:
Toeleveringsketen (supplychain)
Groeien
De organisatie beheerst ketenrisico’s professioneel door leveranciers- en toeleveranciersmanagement, erkent complexe afhankelijkheden en blijft daarom actief in control.

Het managen van ketenrisico’s is in jouw organisatie al professioneel ingericht. Met leveranciersmanagement krijg je grip op afhankelijkheden tussen jou en de leverancier. Je weet ook dat ketenrisico’s verder gaan dan het managen van je rechtstreekse leveranciers, ook toeleveranciers komen in beeld. Ketenrisico’s zijn complex want afhankelijkheden in soft- en hardware kunnen mogelijk een bedreiging vormen voor jouw belangen. De hele organisatie herkent deze afhankelijkheden en wil daarom in control blijven.  Past deze omschrijving (nog) niet bij jouw organisatie? Check dan de basis van ketenrisico's en vind daar de stap die bij jouw organisatie past. Voor bedrijven met een overzichtelijke keten van toeleveranciers is er een interactief template om te gebruiken voor ketenrisico-inventarisatie.

Strategisch risicomanagement

Organisaties die vooroplopen op het gebied van het beheren van ketenrisico’s betrekken diverse stakeholders in hun cybersecuritybeleid. Zij zijn zich sterk bewust van de risico’s van leveranciers en hun toeleveranciers. Het actief ondersteunen en aansturen van leveranciers met het beheersen van ketenrisico’s is de volgende stap. Zij zijn zich ervan bewust dat een incident bij een leverancier ook grote gevolgen kan hebben voor de bedrijfsvoering van hun organisatie. Actieve monitoring en respons op ketenrisico’s door middel van een SOC of een third-party riskteam leidt tot aanvullende controle. Cybersecurity maak je in deze stap integraal onderdeel van strategisch corporate risicomanagement. 

Enkele stappen om te zetten:

  • Maak cybersecurity en ketenrisico’s integraal onderdeel van integraal risicomanagement
  • Stel beleid op om leveranciers te helpen bij het mitigeren van ketenrisico’s
  • Optimaliseer en professionaliseer je SOC of het third-party riskteam zodat ketenrisico’s actief worden gemonitord.

Ga in gesprek met de leveranciers

Risicobeoordelingen voer je integraal uit waarbij je diverse stakeholders betrekt, zowel binnen de eigen organisatie als van leveranciers. Inzichten uit de risicobeoordeling, zoals impact van verstoringen bij toelevanciers op de uptime en downtime van producten en diensten, zet je systematisch om in SLA’s en aanvullende clausules. Dit helpt bij het aanscherpen van de herstelbehoefte als producten of diensten van leveranciers verstoord raken. Hierdoor krijg je inzicht in wat je kunt verwachten van jouw leveranciers en welke restrisico’s overblijven. Deze restrisico’s accepteer je of, als mogelijk, mitigeer je. Afhankelijkheden in hard- en software neem je eveneens mee in het beoordelen van risico’s.

Stappen om te zetten:

  • Betrek relevante stakeholders van zowel binnen als (indien mogelijk) buiten jouw organisatie bij het beoordelen van risico’s
  • Zet risico’s om in afspraken zoals SLA’s, clausules e.d., bepaal wie verantwoordelijk is en welke afspraken gemaakt kunnen worden om risico’s te mitigeren

Ga open het gesprek aan met de leveranciers. Hierdoor zullen leveranciers ook sneller hun zorgen met jou delen. 

Proactief ketenrisicobeheer

Het behandelen van risico’s krijgt een proactief karakter. Ketenrisico’s behandelen is meer dan preventie, ook proactieve maatregelen en het inzetten op detectie, respons en herstel zijn van groot belang. Om in te spelen op actuele dreigingen deel je dreigingsinformatie (threat intelligence) met jouw hoogvolwassen leveranciers. Je prioriteert leveranciers risicogebaseerd. Ketenrisico’s loop je samen met leveranciers door om zo te komen tot realistische scenario’s. Je hebt een vast proces om nieuwe leveranciers in te bedden in de manier van werken van jouw organisatie. Je documenteert inzichten in software- hardware en andere componenten (zoals cloud, open source componenten en firmware) via Bills of Materials (BOMs). Ook zorg je ervoor dat deze BOMs actief beheerd worden. Nieuwe kwetsbaarheden vind je snel, documenteer je en verhelp je zo snel mogelijk. 

Samengevat:

  • Behandel ketenrisico’s over de gehele keten van proactief, preventief, detectie, respons en herstel.
  • Maak afspraken met leveranciers over het uitwisselen van dreigingsinformatie
  • Zorg voor adequate onboardingsprocessen voor nieuwe leveranciers
  • Verkrijg inzicht in de componenten van soft- en hardware en andere componenten. Beheer deze lijsten en zet in op het verhelpen van mogelijke kwetsbaarheden.

Structurele ketengovernance

Je evalueert in deze fase ketenrisico’s regelmatig en onderneemt actie waar relevant. Je zorgt ervoor dat naleving van normen zoals ISO27001 en andere standaarden aantoonbaar zijn binnen de keten. 

Enkele stappen om te nemen:

  • Oefen periodiek met ketenpartners of de gemaakte risicobehandelingsplannen werken zoals ze horen te werken.
  • Zie toe op naleving van relevante normen bij leveranciers en toeleveranciers. Ondersteun leveranciers waar nodig om deze normen alsnog te behalen.
  • Houd zowel interne als externe wijzigingen bij. Als keten zorg je ervoor dat je zicht hebt op nieuwe wetgeving en bekijk je wat dit doet voor jouw geïnventariseerde risico’s.
  • De ketengovernance moet je in deze fase structureel op orde en functionerend hebben. Daarom moeten strategische besluitvormers periodiek, bijvoorbeeld eens per half jaar, elkaar spreken in het licht van digitale weerbaarheid. Risicobereidheid door de keten heen is een vast agendapunt.

 

 

Formulier
Heeft deze pagina je geholpen?