Ketenbeveiliging Fase 2 - Keteninventarisatie
2.1 Ga na of de keten al in kaart is gebracht
Mogelijk is er al een keteninventarisatie gemaakt die een goede basis vormt. Zo kan bijvoorbeeld AVG-wetgeving al geleid hebben tot verwerkersregisters of een leverancierslijst. Raadpleeg ook de afdeling Inkoop die - mogelijk met een ander doel - een leverancierslijst hebben opgesteld.
2.2 Prioriteer op basis van risico's
Is er nog geen keteninventarisatie? Maak het dan jezelf niet te moeilijk. Begin dan bij de belangrijkste processen en breng de leveranciers van deze processen in kaart. De BIV-classificatie (vanuit de eerder uitgevoerde risicoanalyse) kun je hierbij gebruiken als basis.
2.3 Ga op zoek naar leveranciers met een collectief belang in jouw sector
Binnen sommige sectoren kan het voorkomen dat een toeleverancier niet alleen voor jouw organisatie belangrijk is, maar ook voor (veel) andere organisaties in de sector. In gesprek gaan met de betreffende toeleverancier vanuit meerdere ketenpartijen, kan efficiënt zijn. Je kunt het collectieve belang bij continuïteit en veiligheid bespreken en aansturen op uniforme afspraken hierover.
2.4 Classificeer je leveranciers
Classificeer je toeleveranciers op een beperkt aantal niveaus. Bijvoorbeeld:
- Kritiek voor bedrijf
- Belangrijk voor de bedrijfsvoering
- Niet van belang voor kritieke processen
Maak het jezelf niet te complex door een groot aantal classificatieniveaus op te stellen. Per classificatieniveau bepaal je welke afspraken gemaakt moeten worden. Hoe belangrijker de leverancier, hoe hoger de cybersecurity-eisen zullen zijn vanuit jouw organisatie. Een bedrijfsimpactanalyse (BIA) biedt een basis om vervolgens de toeleveranciers daadwerkelijk te classificeren. Daarnaast kun je de BIV-classificatie ook voor deze good practice gebruiken.
Het classificeren kan ook op procesniveau. Je zou kunnen bepalen dat alle leveranciers in een proces zich moeten houden aan een bepaald classificatieniveau.