In de moderne GRC-strategie eindigt uw verantwoordelijkheid niet bij uw eigen voordeur. Of u nu werkt volgens ISO 27001 of u voorbereidt op de naderende NIS2-wetgeving: u bent direct aansprakelijk voor de weerbaarheid van uw gehele keten. Een datalek bij een SaaS-leverancier, een hack bij uw IT-beheerder of een storing bij een kritieke partner wordt in de bestuurskamer en in de media gezien als uw incident.
De strategische vraag voor de GRC-professional is niet langer of u leveranciersrisico’s moet managen, maar hoe u dit doet zonder te verdrinken in een zee van administratie en vragenlijsten.
De valstrik van de jaarlijkse vragenlijst
Veel organisaties bevinden zich nog in de fase van ‘schijnveiligheid’. Het proces is bekend: jaarlijks wordt er een Excel-lijst met 50 tot 100 vragen naar de leveranciers gestuurd. De leverancier vinkt alles plichtsgetrouw aan, u slaat het bestand op in een mapje en de audit-vink is gezet.
Dit is geen risicomanagement, dit is bureaucratie.
Een statische vragenlijst geeft geen enkel inzicht in de actuele operationele status van een leverancier. Het is een momentopname die verouderd is op het moment dat u op ‘opslaan’ klikt. Bovendien zegt een ‘ja’ in een Excel-sheet niets over de daadwerkelijke effectiviteit van een maatregel.
Strategische Regie: De risico-gebaseerde aanpak
Om echt ‘in control’ te zijn over uw supply chain (Third-Party Risk Management), moet u de overstap maken van passief informeren naar actief monitoren en classificeren. Dit vereist een aanpak waarbij u uw schaarse tijd en middelen slim inzet:
1. Classificatie op Impact (Tiering) Niet elke leverancier is even kritiek. Stop met het sturen van dezelfde zware security-eisen naar de cateraar als naar uw cloud-hosting partij.
- Tier 1 (Kritiek): Leveranciers die direct toegang hebben tot gevoelige data of cruciale bedrijfsprocessen ondersteunen. Hier is diepgaande monitoring vereist.
- Tier 2 & 3: Leveranciers met beperkte invloed. Hier volstaat een lichtere toetsing. Door te differentiëren, voorkomt u dat uw GRC-team vastloopt in nutteloze details.
2. Van Vragenlijst naar Validatie Voor uw Tier 1-leveranciers is een eigen verklaring niet genoeg. Eis validatie. Vraag om onafhankelijke assurance-rapporten zoals een ISAE 3402 (Type II) of een actueel ISO 27001-certificaat inclusief de Verklaring van Toepasselijkheid (SoA). Dit verschuift de bewijslast naar de leverancier en geeft u betrouwbare data zonder dat u zelf hoeft te auditen.
3. Contractuele Borging Compliance begint aan de voorkant, bij de inkoop en juridische vastlegging. Zorg dat het recht op audit, strakke incidentmeldingstermijnen (conform AVG en NIS2) en specifieke security-KPI’s niet slechts in een bijlage staan, maar harde eisen zijn in de SLA. Zonder contractuele hefboom bent u bij een incident machteloos.
Conclusie: Van administratie naar regie
Supply Chain Risk Management is geen administratief ‘moetje’ voor de auditor; het is een essentieel onderdeel van uw bedrijfscontinuïteit. Wie de controle over zijn keten uitbesteedt aan het ‘goede vertrouwen’ van leveranciers, speelt met de toekomst van de eigen organisatie.
Echt eigenaarschap betekent dat u eisen stelt, controleert op basis van risico en direct bijstuurt waar nodig. Alleen dan bent u niet alleen compliant op papier, maar ook weerbaar in de praktijk.
Over de auteur: Christian Boertje CISM Christian is CEO van BOEM Cybersecurity en een ervaren specialist in het snijvlak van Governance, Risk en Compliance. Met zijn CISM-certificering en een scherpe visie op weerbaarheid, helpt hij directies om cybersecurity te transformeren van een technisch hoofdpijndossier naar een strategisch voordeel.
