Leveranciers in de keten zijn een aanzienlijk risico

De meeste organisaties die zich voorbereiden op een NIS2 Supply Chain audit zijn druk bezig met hun eigen maatregelen. Firewalls, back-ups, awareness-trainingen en incidentprocedures: intern wordt veel geregeld. Maar in audits zien we dat daar zelden het echte probleem zit. Dat zit bij leveranciers.

NIS2 gaat niet alleen over je eigen organisatie

Een van de belangrijkste onderdelen van NIS2 is de beveiliging van de toeleveringsketen. Om certificering te kunnen behalen, moet een organisatie kunnen aantonen dat zij haar leveranciersrisico’s beheerst.

Dat betekent concreet dat je als organisatie moet kunnen aantonen dat je:

Je leveranciers in kaart hebt gebracht
Per leverancier een risico-inschatting hebt gemaakt
Eisen hebt gesteld aan risicoleveranciers
Afspraken contractueel hebt vastgelegd
Controleert of leveranciers daadwerkelijk maatregelen hebben genomen
Dit proces periodiek herhaalt

In audits zien wij dat dit onderdeel vaak nog onvoldoende is ingericht.

De praktijk: vragenlijsten worden gezien als controle

Wat veel organisaties doen, is een vragenlijst naar leveranciers sturen en deze opslaan in een map. Daarmee denken ze dat de keten is afgedekt. Maar een vragenlijst is een zelfverklaring, geen verificatie. Vanuit auditperspectief is het verschil groot. NIS2 vraagt aantoonbaarheid. Organisaties moeten kunnen bewijzen dat leveranciers daadwerkelijk maatregelen hebben genomen, niet alleen dat ze zeggen dat ze het doen.

De scope is veel breder dan alleen IT

Een tweede punt dat in audits vaak misgaat, is de scope. Veel organisaties beoordelen alleen hun IT-leveranciers, terwijl de keten veel breder is.

Denk aan:

IT- en cloudleveranciers
OT- en machineleveranciers
Logistieke partners
Onderhoudsbedrijven
Accountants en payroll
HR- en marketingpartijen met data
Partijen met fysieke toegang tot gebouwen

De vraag die centraal moet staan is niet: is dit een IT-leverancier? De vraag is: kan deze leverancier impact hebben op onze continuïteit, data of systemen? Als het antwoord ja is, moet je met deze leverancier afspraken maken.

Wat auditors in de praktijk vragen

Bedrijven die NIS2 Supply Chain certificering willen behalen, krijgen in audits vrijwel altijd vragen over hun leveranciers. Dit zijn typische auditvragen:

Heeft u een volledige leverancierslijst?
Kunt u een actuele lijst tonen van al uw leveranciers, inclusief contactgegevens?
Heeft u per leverancier een risico-inschatting gemaakt?
Hoe heeft u bepaald welke leveranciers een risico vormen voor uw organisatie?
Welke leveranciers zijn als risicoleverancier aangemerkt?
Kunt u laten zien welke leveranciers een verhoogd risico hebben en waarom?
Welke eisen stelt u aan risicoleveranciers?
Welke cybersecurity-eisen gelden voor leveranciers met een verhoogd risico?
Hoe controleert u dat leveranciers deze maatregelen echt hebben genomen?
Is er aantoonbaar bewijs, zoals certificering of auditrapporten?
Heeft u cybersecurity-afspraken contractueel vastgelegd?
Zijn incidentmeldplicht, auditrecht en beveiligingseisen opgenomen in contracten of inkoopvoorwaarden?
Wat doet u als een leverancier niet wil meewerken?
Is er een procedure voor leveranciers die niet voldoen aan de eisen?

Deze vragen laten zien waar het in audits echt om draait: niet beleid op papier, maar aantoonbare beheersing van leveranciersrisico’s.

Proportioneel, maar niet vrijblijvend

Een belangrijk uitgangspunt van NIS2 Supply Chain Certificering is proportionaliteit. Niet elke leverancier hoeft aan dezelfde zware eisen te voldoen. Maar proportionaliteit betekent niet dat er geen controle hoeft plaats te vinden. Elke leverancier moet worden beoordeeld. Risicoleveranciers moeten aantoonbaar maatregelen nemen.
En dat moet controleerbaar zijn. Daar zit het verschil tussen beleid op papier en aantoonbare ketenbeheersing.