In een tijd waarin toeleveringsketens steeds complexer en digitaler worden, neemt ook de kwetsbaarheid van bedrijven voor cyberrisico’s exponentieel toe. De Europese Unie heeft de Digital Operational Resilience Act (DORA) in het leven geroepen als een essentiële wetgeving om de weerbaarheid van financiële instellingen tegen cyberdreigingen te vergroten. De wet vraagt organisaties om meer robuuste controles en processen te implementeren, niet alleen voor interne systemen maar ook binnen de bredere toeleveringsketen. Dit artikel gaat in op de impact van DORA op Supply Chain (Risk) Management en het beheer van derdepartijrisico’s en biedt inzichten in hoe organisaties zich kunnen voorbereiden op deze nieuwe vereisten.
DORA en de druk op toeleveringsketens
DORA is ontworpen om de veerkracht van de Europese financiële sector te versterken door strikte eisen te stellen aan digitale operationele weerbaarheid. Dit betekent dat organisaties nu moeten bewijzen dat zij niet alleen voorbereid zijn op verstoringen, maar ook in staat zijn om zich snel te herstellen. Een belangrijk aspect hiervan is het beheer van risico’s die ontstaan bij derde partijen en toeleveranciers, aangezien kwetsbaarheden bij deze externe partijen juist impact kunnen hebben op de organisatie zelf.
De verplichting onder DORA om derdepartijrisico’s in kaart te brengen, sluit nauw aan bij de bredere trend van versterkt Supply Chain Risk Management. Deze wet stelt dat organisaties nu een volledige risico-inventarisatie moeten uitvoeren voor elk aspect van hun digitale keten en moet de informatie continu bijwerken. Dit vereist een pragmatische, maar uitgebreide aanpak die tot dusver door veel bedrijven niet volledig geïmplementeerd was.
De vier kernpijlers van DORA binnen Supply Chain Risk Management
DORA legt vooral nadruk op vier hoofdgebieden die essentieel zijn voor effectieve cyberweerbaarheid binnen de toeleveringsketen:
- Risicoanalyse en monitoring van derde partijen: Onder DORA moeten financiële instellingen een grondige risicoanalyse uitvoeren van derde partijen in de toeleveringsketen, inclusief IT-dienstverleners, datacenterleveranciers en leveranciers van cloudoplossingen. Het doel is om inzicht te krijgen in de specifieke kwetsbaarheden en potentiële risico’s die deze externe partijen vormen voor de organisatie zelf. Dit vereist een gedetailleerde aanpak, waarbij continue monitoring en evaluatie van deze externe partijen van cruciaal belang zijn.
- Cyberincidentmanagement en herstelplannen: DORA eist dat organisaties een duidelijk gedefinieerd incidentresponsplan hebben voor mogelijke cyberaanvallen of digitale verstoringen die vanuit de keten ontstaan. Dit moet een praktische aanpak bevatten voor het identificeren, rapporteren, en herstellen van cyberincidenten. Het omvat ook het testen en evalueren van deze plannen, inclusief scenario’s die verschillende soorten toeleveringsketenrisico’s afdekken.
- Veerkrachtige en robuuste IT-systemen: Onder DORA moeten organisaties ervoor zorgen dat hun IT-infrastructuur niet alleen functioneel maar ook robuust is, zodat deze bestand is tegen externe risico’s. Dit gaat verder dan traditionele maatregelen zoals firewalls en antivirusprogramma’s; het vereist gelaagde beveiliging, waarin ook kwetsbaarheden in de keten in rekening worden gebracht. Dit betekent dat niet alleen de leveranciers, maar ook fincniele instellingen zelf maatregelen moeten nemen om continuiteit van kritische dienstverlening te kunnen garanderen bij het wegvallen van leveranciers.
- Compliance en rapportageverplichtingen: Een belangrijk aspect van DORA is de naleving van gedetailleerde rapportageverplichtingen. Bedrijven moeten niet alleen kunnen aantonen dat zij voldoen aan de wetgeving, maar ook de resultaten van hun evaluaties, incidenten en herstelmaatregelen documenteren. Dit vraagt om een gestroomlijnde documentatie- en rapportage-aanpak die de naleving van derde partijen ook onder de loep neemt.
Concrete stappen voor het implementeren van DORA in Supply Chain Risk Management
Om aan DORA te voldoen en risico’s in de keten effectief te beheren, moeten organisaties een aantal stappen ondernemen:
- Stel een centraal team aan voor toeleveringsketenbeheer: Creëer een dedicated team als onderdeel van het reguliere inkoop- en contract management dat zich richt op het monitoren en beoordelen van leveranciers, naast DORA zijn er ook talloze andere wetskaders van toepassing zoals onder andere GDPR en CSRD. Dit team kan ook dienen als centraal aanspreekpunt voor incidentmanagement en naleving.
- Voer continue risicobeoordelingen uit bij externe partijen: De risicobeoordelingen moeten verder gaan dan alleen het in kaart brengen van de partij zelf. Het is van belang om in detail te begrijpen hoe externe partijen omgaan met hun eigen leveranciers, zodat potentiële ketenrisico’s in een vroeg stadium kunnen worden geïdentificeerd. Een risico gebaseerde aanpak is hierbij het kernbegrip – waarbij leveranciers worden gescoped op basis van hoe kritisch ze zijn voor de bedrijfsvoering en de handhaving daarop wordt afgestemd.
- Standaardiseer en automatiseer voor rapportage en monitoring: Gezien de omvangrijke rapportageverplichtingen die DORA met zich meebrengt, kan automatisering en standaardisering waardevol zijn. Tools voor Third Party Risk Management kunnen helpen bij het stroomlijnen van zowel monitoring als documentatie, waardoor het gemakkelijker wordt om continu aan de wetgeving te voldoen. Een aantal financiële instellingen gebruikt bijvoorbeeld 3rdRisk . Hoewel dit in de praktijk nog maar langzaam van de grond komt, is er voor standaardisering veel ruimte om sector brede samenwerking op te zoeken.
- Test en update herstelplannen regelmatig: Herstelplannen moeten getest worden met scenario’s die specifiek zijn afgestemd op de ketenrisico’s. Regelmatige updates en oefeningen zorgen ervoor dat organisaties voorbereid blijven op nieuwe dreigingen. Het doel is hier just meer dan alleen papierwerk, maar draait om actief samen oefenen.
- Stimuleer transparantie en samenwerking in de keten: Open communicatie met betrokken partijen is essentieel. Door partners en leveranciers bewust te maken van de impact van DORA en gezamenlijk aan naleving te werken, kunnen zwakke punten effectiever worden aangepakt.
Vooruitkijken met DORA en Supply Chain Risk Management
Securing the supply chain according to the NIS2 directive can seem challenging, but with a pragmatic approach, it becomes a manageable task. The key to success lies in adopting a risk-based approach supported by a unified and consistent framework. It is also essential to clearly define ownership, clearly define roles and responsibilities, and use technology to automate time-consuming tasks. By bringing these elements together, you can not only meet NIS2 requirements, but also build a robust and resilient supply chain.