Ketenbeveiliging Fase 2 - Keteninventarisatie

Uit gesprekken met CISO's, ISO's en inkoopmanagers van bij het Digital Trust Center aangesloten cybervolwassen organisaties, komen de volgende tips en adviezen:

“Vaak is er al een overzicht van leveranciers vanwege andere wetgeving”

2.1 Ga na of de keten al in kaart is gebracht

Mogelijk is er al een keteninventarisatie gemaakt die een goede basis vormt. Zo kan bijvoorbeeld AVG-wetgeving al geleid hebben tot verwerkersregisters of een leverancierslijst. Raadpleeg ook de afdeling Inkoop die - mogelijk met een ander doel - een leverancierslijst hebben opgesteld.

2.2 Prioriteer op basis van risico's

Is er nog geen keteninventarisatie? Maak het dan jezelf niet te moeilijk. Begin dan bij de belangrijkste processen en breng de leveranciers van deze processen in kaart. De BIV-classificatie (vanuit de eerder uitgevoerde risicoanalyse) kun je hierbij gebruiken als basis.

2.3 Ga op zoek naar leveranciers met een collectief belang in jouw sector

Binnen sommige sectoren kan het voorkomen dat een toeleverancier niet alleen voor jouw organisatie belangrijk is, maar ook voor (veel) andere organisaties in de sector. In gesprek gaan met de betreffende toeleverancier vanuit meerdere ketenpartijen, kan efficiënt zijn. Je kunt het collectieve belang bij continuïteit en veiligheid bespreken en aansturen op uniforme afspraken hierover.

2.4 Classificeer je leveranciers

Classificeer je toeleveranciers op een beperkt aantal niveaus. Bijvoorbeeld:

  1. Kritiek voor bedrijf
  2. Belangrijk voor de bedrijfsvoering
  3. Niet van belang voor kritieke processen

Maak het jezelf niet te complex door een groot aantal classificatieniveaus op te stellen. Per classificatieniveau bepaal je welke afspraken gemaakt moeten worden. Hoe belangrijker de leverancier, hoe hoger de cybersecurity-eisen zullen zijn vanuit jouw organisatie. Een bedrijfsimpactanalyse (BIA) biedt een basis om vervolgens de toeleveranciers daadwerkelijk te classificeren. Daarnaast kun je de BIV-classificatie ook voor deze good practice gebruiken.

“Teveel verschillende classificaties is onoverzichtelijk. Durf hierin een keuze te maken om het aantal klein te houden”

Het classificeren kan ook op procesniveau. Je zou kunnen bepalen dat alle leveranciers in een proces zich moeten houden aan een bepaald classificatieniveau.

"De aandacht voor digitale dreigingen verschuift richting de bestuurder"

Bestuurders moeten met de inwerkingtreding van de Cyberbeveiligingswet de grotere risico's qua informatiebeveiliging kunnen beoordelen. "De ketenverantwoordelijkheid is de moeilijkste slag", vertelt Manager ICT en CISO Peter Baard in een interview. "Je moet jezelf voorstellen hoe en of je processen of diensten nog wel doordraaien als digitale diensten van jouw leveranciers wegvallen. Zou je snel kunnen switchen naar een andere leverancier? Heb je een niet-digitale terugvaloptie?"