Dit document biedt een overzicht van inspectiepunten rond leveranciersketenmanagement, gericht op het beoordelen van hoe Aanbieders van Essentiële Diensten (AED’s) omgaan met cybersecurityrisico’s bij uitbesteding. De inspectie kijkt naar vijf hoofdonderwerpen: risico-inzicht, contractmanagement, inhoud van contractuele afspraken, naleving en opvolging.
Doel is om te toetsen of AED’s hun leveranciers op een risicobewuste en controleerbare manier inzetten, en zo bij te dragen aan hun digitale weerbaarheid.
1. Beoordeling van derde partijen (risico’s van uitbesteding)
a. Heeft de AED inzicht in de cybersecurity-risico’s die zij loopt als zij onderdelen van de essentiële dienstverlening uitbesteedt (in algemene zin)?
b. Heeft de AED inzicht in de risico’s die de keuze voor een specifieke leverancier met zich meebrengt voor deze uitbesteding?
2. Contractmanagement (overzicht)
Heeft de AED inzicht in de aanwezige leveranciers?
3. Contractuele overeenkomsten (inhoud)
a. Zijn de verantwoordelijkheden m.b.t. cybersecurity duidelijk gemaakt?
b. Welke security-eisen zijn overeengekomen met de leveranciers?
c. Zijn security-eisen risico-gebaseerd tot stand gekomen (oftewel, cf. risico’s zoals onder punt 1 bepaald)?
d. Gelden de security-eisen ook voor onderleveranciers?
e. Wat is afgesproken over het melden van cyber security-incidenten die zich voordoen bij de leverancier?
f. Is er een exitstrategie (overeengekomen), om het risico van leveranciersafhankelijk
4. Monitoring en auditing (naleving)
Hoe beoordeelt de AED of de cybersecurity-eisen die zijn afgesproken ook worden nageleefd?
5. Opvolging
Als de AED merkt dat cybersecurity-afspraken niet worden nagekomen of niet meer passend zijn, hoe mitigeert ze dan deze risico’s?