Rijksoverheid logo
Nationaal Cyber Security CentrumMinisterie van Justitie en Veiligheid

Welkom bij de vernieuwde website van het versterkte NCSC

Jouw helpende hand in cybersecurity. Kijk gerust rond of lees meer over de vernieuwde cybersecurityorganisatie.

Ketenrisico's - next steps

Kennisartikelen
Leestijd:
Toeleveringsketen (supplychain)
Beginnen
Naarmate je organisatie groeit, meer afhankelijkheden kent, of in een complexere omgeving opereert, is het van belang om het mitigeren van ketenrisico’s verder te optimaliseren. We gaan hier in op welke vervolgstappen jij kunt zetten om meer grip te krijgen op de ketenrisico’s in jouw organisatie.

De basis is gelegd. Je hebt een eerste indruk van de ketenrisico’s en al eerste stappen gezet tot het mitigeren van deze risico’s. Naarmate je organisatie groeit, meer afhankelijkheden kent, of in een complexere omgeving opereert, is het van belang om het mitigeren van ketenrisico’s verder te optimaliseren. We gaan hier in op welke vervolgstappen jij kunt zetten om meer grip te krijgen op de ketenrisico’s in jouw organisatie. Past deze omschrijving (nog) niet bij jouw organisatie? Check dan de basis van ketenrisico's en vind daar de stap die bij jouw organisatie past. 

Integratie in bedrijfsprocessen

De betrokkenheid in de organisatie neemt toe en daarom is het van belang om de omgang met ketenrisico’s te integreren in bedrijfsprocessen. Digitale risico’s bij leveranciers neem je mee in inkoopprocessen, het managen van assets (assetmanagement) wordt opgetuigd en in patchmanagement hou je niet louter rekening met jouw eigen systemen, maar ook die van de leveranciers. Ook zet je eerste stappen in incidentresponse en businesscontinuitymanagement en hoe deze zich verhouden tot de ketenrisico’s. Welke vervolgstappen kan ik zetten om de governance van ketenrisico’s te verbeteren?

  • Neem ketenrisico’s mee in inkoopprocessen.
  • Beheer en manage je assets en betrek ketenrisico’s hier integraal bij.
  • Identificeer en verhelp kwetsbaarheden als onderdeel hiervan. Ook kwetsbaarheden die zich kunnen voordoen bij leveranciers neem je mee.
  • Heb in je incidentresponse- en businesscontinuityplannen aandacht voor ketenrisico’s en hoe deze te verhelpen als nodig. 

Ketenrisico's integraal meenemen

Ketenrisico’s neem je integraal mee in risicoanalyses zodat er steeds meer zicht komt op welke risico’s niet alleen binnen de context van de eigen organisatie optreden, maar ook daarbuiten. Hierdoor worden afhankelijkheden steeds beter zichtbaar. Organisaties die al stappen hebben gezet werken actief aan inzicht in software en diensten die bij leveranciers worden afgenomen. Kritieke belangen, processen en producten identificeer je en risicoanalyses voer je periodiek herhaald en geactualiseerd uit. Er is steeds meer aandacht voor scenario’s waar uitval van diensten van leveranciers zorgen voor uitval in de eigen organisatie. Organisaties in deze stap weten we steeds beter welke processen stil komen te liggen als een leverancier uitvalt. 

Deze vervolgstappen kun je zetten:

  • Neem ketenrisico’s integraal mee in periodieke risicoanalyses.
  • Weet de afhankelijkheden tussen leveranciers, producten en diensten van leveranciers en eigen processen.
  • Krijg inzicht in kritieke belangen, afhankelijkheden en processen. Krijg ook inzicht in hoe digitale assets daarmee verweven zijn.

Verwerk de ketenrisico's in afspraken met leveranciers

Op dit punt heb je steeds beter zicht welke afhankelijkheden in hard- en software in je eigen organisatie bestaan. In Service Level Agreements (SLA’s) met leveranciers richt je je op prestatieafspraken (beschikbaarheid, responstijden, hersteltermijnen) en de continuïteit van de dienstverlening. Hiervoor gebruik je de uitkomsten uit de risicoanalyse als input. Dit is een belangrijke eerste stap. Daarnaast is soms nodig om in aanvullende clausules afspraken te maken over maatregelen die de digitale weerbaarheid verhogen. Je implementeert back-upstrategieën in jouw eigen organisatie en neemt ketenrisico’s structureel mee als onderdeel van het inkoopproces. Stappen die je kunt zetten:

  • Stel SLA’s op met leveranciers met oog voor continuïteit, hersteltermijnen, beschikbaarheid en mogelijk aanvullende eisen ten aanzien van het verhogen van de digitale weerbaarheid.
  • Heb businesscontinutitymanagement- en back-upstrategieën binnen de eigen organisatie.
  • Maak cybersecurity en ketenrisico’s onderdeel van het inkoopproces

Monitoren van ketenrisico's

Afspraken zijn belangrijk, maar hoe houd je zicht op naleving en prestaties? Monitoring van ketenrisico’s wordt, naarmate afhankelijkheden toenemen, complexer maar tegelijkertijd belangrijker. Met Key Risk Indicators (KRI’s) wordt het mogelijk om ketenrisico’s tastbaarder te maken. KRI’s zijn indicatoren die helpen om abstracties, zoals ketenrisico’s, inzichtelijker te maken waardoor het mogelijk wordt deze te meten. Denk aan patching compliancy van leveranciers, of resultaten van pentesten. Het auditen van leveranciers is daarnaast een krachtig instrument om te weten waar je staat en elkaar scherp te houden. Het opbouwen en inrichten van continue monitoring op ketenrisico’s is een belangrijke vervolgstap. Hoe kom ik verder met het monitoren van ketenrisico’s?

  • Identificeer Key Risk Indicators (KRI’s) die kunnen helpen ketenrisico’s tastbaar te maken.
  • Richt monitoring in op KRI’s.
  • Bepaal of en welke audits nodig zijn op jouw leveranciers en laat deze uitvoeren.
  • Investeer continu in de relatie met jouw leveranciers. Kort nadat je in zee bent gegaan, weet je waarschijnlijk wie je moet bellen als er wat speelt. Maar is dat twee, of drie jaar later ook nog het geval? Hou daarom deze contacten warm.

Voor deze stap raden we het volgende artikel aan:

Formulier
Heeft deze pagina je geholpen?