Hoe breng ik mijn rechtstreekse leveranciers in kaart?

Ook jouw organisatie is afhankelijk van leveranciers. Als één van de leveranciers getroffen wordt door een cyberaanval kan dat grote gevolgen hebben voor jouw organisatie. Het is daarom van belang om bewust om te gaan met de risico’s uit de leveranciersketen. Een eerste stap is het in kaart brengen van jouw leveranciers.

Deze handreiking helpt je om een overzicht te maken van jouw leveranciers en vervolgens te analyseren welke leveranciers het belangrijkst zijn voor jouw organisatie. Dit is een eerste stap in beheersen van risico’s uit de leveranciersketen. Ben je al wat verder gevorderd dan raden we aan het document “Omgaan met risico’s in de toeleveringsketen” te lezen waar good practices van Nederlandse organisaties zijn verzameld.

Doelgroep: Deze publicatie richt zich op organisaties die onder de NIS2-richtlijn vallen en is geschreven voor personen die binnen deze organisaties een rol hebben bij security aspecten van leveranciersmanagement in het kader van de zorgplicht onder de NIS2-richtlijn.   

Dit kennisproduct is tot stand gekomen uit een samenwerking: met Nederlandse Spoorwegen (NS), Digital Trust Center (DTC), Siemens, Ministerie van Infrastructuur en Waterstaat (I&W), Rijksinspectie Digitale Infrastructuur (RDI) en Stichting Z-Cert.

Achtergrond

De afgelopen jaren zien we dat diverse ontwikkelingen in toenemende mate de veiligheid van onze maatschappij en economie onder druk zetten. Denk daarbij aan COVID-19, de oorlog in Oekraïne en cyberdreigingen. In het licht van deze ontwikkelingen is er sinds 2020 vanuit de Europese Unie gewerkt aan de Network and Information Security (NIS2) directive. Deze richtlijn is gericht op een verbetering van de digitale en economische weerbaarheid van Europese lidstaten. In Nederland zal de NIS2-richtlijn geïmplementeerd worden in de vorm van de Cyberbeveiligingswet.

De Rijksoverheid adviseert organisaties om niet af te wachten totdat de wet- en regelgeving volledig duidelijk is. De risico’s die organisaties en systemen lopen, zijn er immers nu ook al. Organisaties die nu al in actie komen beveiligen zich niet alleen tegen deze bestaande risico’s, maar zijn straks ook beter voorbereid op de komst van de nieuwe wetgeving.

Deze publicatie maakt onderdeel uit van een publicatiereeks en biedt praktische handvatten voor het uitvoeren van een risicoanalyse in het kader van de NIS2-richtlijn. Het doel van deze publicatie is om jouw organisatie te ondersteunen bij de voorbereiding op de NIS2-richtlijn. Deze publicatie biedt geen officiële of juridische basis voor jouw organisatie om aan de NIS2-richtlijn te voldoen.

NIS2
De (toeleverings-)keten komt duidelijk naar voren in de NIS 2NIS2-wetgeving schrijft voor dat organisaties die onder deze wet vallen “passende en evenredige technische, operationele en organisatorische maatregelen nemen”  o.a. voor “de beveiliging van de toeleveringsketen, met inbegrip van beveiligingsgerelateerde aspecten met betrekking tot de relaties tussen elke entiteit en haar rechtstreekse leveranciers of dienstverleners”

Stap 1. Maak een leveranciersoverzicht

Rechtstreekse leveranciers zijn de leveranciers waar de organisatie een contractuele relatie mee heeft. Vaak is het aantal leveranciers groot, hierdoor kan het overzicht al snel kwijt zijn. Het is van belang om een leveranciersoverzicht te maken en vervolgens te bepalen wat de belangrijkste leveranciers zijn voor de organisatie. Belangrijk is om hierbij zo veel mogelijk aansluiten bij bestaande processen (als deze bestaan). Voorbeelden van zulke processen zijn risicomanagement en leveranciersmanagement. In deze publicatie richten we ons specifiek op de rechtstreekse toeleveranciers. In het geval dat het duidelijk is dat er grote risico’s zijn bij de toeleveranciers van jouw rechtstreekse leveranciers, is van het belang om deze leverancier ook mee te nemen in het leveranciersoverzicht. 

Om zicht te krijgen op jouw rechtstreekse toeleveranciers, heb je een overzicht nodig. Er zijn tenminste drie opties om tot zo’n leveranciersoverzicht te komen:

Stap 2. Maak afspraken over het actueel houden van het leveranciersoverzicht

Maak duidelijke afspraken over de verantwoordelijkheden voor het leveranciersoverzicht. Hoe de verschillende verantwoordelijken uiteindelijk worden verdeeld hangt sterk af van de cultuur en structuur van de organisatie. Je kan dit doen aan de hand van een RASCI-matrix.

Belangrijk is dat er uiteindelijk één persoon “accountable” en één persoon “responsible” is. Dit zal vaak betekenen dat de security verantwoordelijk niet diegene is die het leveranciersoverzicht onderhoudt, wel heeft deze een belang bij een goed overzicht. In veel gevallen zal een directeur (van de inkoop of financiële afdeling) “accountable” zijn voor het leveranciersoverzicht; is een medewerker (van de inkoop of financiële afdeling) “responsible”; en zal risicomanager of security verantwoordelijke “consulted” worden voor het security aspect van leveranciersoverzicht. Zoals eerder benoemd, zullen de verantwoordelijkheden niet bij elke organisatie hetzelfde zijn verdeeld. Dit hangt sterk af van de cultuur en structuur van de organisatie en is dus overal anders.

Nadat de verantwoordelijkheden zijn vastgesteld, kunnen er afspraken worden gemaakt over het proces van onderhoud van het leveranciersoverzicht. Bijvoorbeeld dat er jaarlijks een update van het leveranciersoverzicht wordt uitgevoerd door diegene die “responsible” is.

Een volgende stap is om alle afspraken te formaliseren door deze te laten goedkeuren door een directeur of directieteam. Zorg ervoor dat dit schriftelijk wordt vastgelegd.

LET OP!
In stap 2 hebben we het over de verantwoordelijkheden omtrent het leveranciersoverzicht en niet over de verantwoordelijkheden omtrent het bredere leveranciersmanagement.

Leveranciersmanagement gaat niet alleen over het maken en onderhouden van een overzicht, maar bijvoorbeeld ook over het selecteren van een leverancier en het onderhouden van de relatie. Doorgaans is de business hier “accountable” aangezien zij de gebruiker zijn en over de inhoudelijke kennis beschikken om tot een goede behoeftestelling te komen. De inkoopafdeling heeft hier vaak een rol als procesbegeleider en coördinator. Al verschilt dit uiteraard weer per organisatie.

Stap 3. Classificeer en prioriteer de leveranciers

Een lange lijst met alle leveranciers biedt overzicht, maar nog geen inzicht in welke leveranciers het belangrijkst zijn voor jouw organisatie. Daarom is de volgende stap om te de leveranciers te classificeren en prioriteren op basis van het belang voor jouw organisatie. Dit kun je doen op basis van de volgende factoren:  

Documenteer deze risicogerichte analyse. Indien bij deze selectie ook al een aantal toeleveranciers van jouw rechtstreeks leveranciers in het vizier heeft, neem deze dan meteen mee in de analyse.

80-20 regel
Voor organisaties die nog geen of beperkt zicht hebben op hun leveranciers en de risico’s die daaruit voortkomen, is het zaak om in deze eerste inventarisatie niet te hoge eisen te stellen aan het leveranciersoverzicht. Een eerste lijst met leveranciers die op basis van bovenstaande drie aspecten zijn geïnventariseerd, is in deze eerste stap een prima resultaat en een goede basis voor verdere aanvullingen. Waarschijnlijk is hiermee al 80% van het hoog risico leveranciers inzichtelijk gemaakt. Vergeet vervolgens niet om ook de laatste 20% in kaart te brengen. Ook hier kan nog een significant risico uit voorkomen.

Stap 4: Onderhoud de classificering en prioritering van leveranciers

Ook de classificering en prioritering van het leveranciersoverzicht (zoals beschreven in stap 3) kan veranderen. De volgende twee redenen kunnen daar een aanleiding voor zijn:

  1. Een verandering in het leveranciersoverzicht, bijvoorbeeld door een faillissement, waardoor een leverancier weg valt. Een andere voorbeeld is het contracteren van een nieuwe leverancier, waardoor er een leverancier bijkomt.

  2. Een verandering in de context rondom de organisatie, waardoor er nieuwe of veranderende risico’s zijn. Een voorbeeld zijn de geopolitiek spanningen waardoor banden met leveranciers uit bepaalde landen worden heroverwogen.

Probeer bij eventuele veranderingen in het leveranciersoverzicht zoveel mogelijk aan te sluiten bij het ritme en de frequentie van gerelateerde processen, zoals het risicomanagement proces. Dit gebeurt doorgaans ten minste 1 keer per jaar. Mocht het nodig zijn dit vaker te doen is dit uiteraard ook mogelijk.

Als laatste helpt het om een warme band met de inkoopafdeling te onderhouden. Zij kunnen de rest van de organisatie tijdig informeren over eventuele veranderingen van leveranciers. Hierdoor heeft de organisatie voldoende tijd om zich hierop voor te bereiden.

Meer weten? 
Wil je meer weten of ben je al toe aan een volgende stap om meer in detail de leveranciersrisico’s  te analyseren? Kijk dan ook eens naar de kennisproducten van onze kennispartners:

NCSC-UK How to assess and gain confidence in your supply chain... - NCSC.GOV.UK
NCSC-UK Mapping your supply chain - NCSC.GOV.UK
ENISA Good Practices for Supply Chain Cybersecurity — ENISA (europa.eu)
Cyra Cyra - jouw route naar digitale weerbaar ondernemen (cyberrating.nl)
Stichting Z-CERT Kennisbank – Z-CERT
DTC Bescherm je organisatie tegen supply chain aanvallen | Digital Trust Center (Min. van EZK)
DTC Risicoklassenindeling Digitale Veiligheid Risicoklassenindeling Digitale Veiligheid (digitaltrustcenter.nl)