Datalek bij Advocaat Goldman Sachs Toont Urgente Ketenrisico’s
Het recente datalek bij een extern advocatenkantoor dat Goldman Sachs en andere financiële giganten raakte, is geen incident op zich. Het legt een fundamentele zwakte bloot: de digitale weerbaarheid van een organisatie is zo sterk als die van haar zwakste externe partner. Voor IT-beslissers in Nederland onderstreept dit de noodzaak om het beheer van cyberrisico’s in de toeleveringsketen niet langer als een secundaire zorg, maar als een strategische prioriteit te behandelen.
Luister naar dit artikel:
Van Risico naar Verplichting: Wat DORA Regelgeving Concreet Vereist
De Digital Operational Resilience Act (DORA) is het directe antwoord van de EU op deze ketenrisico's in de financiële sector. In de kern verplicht DORA instellingen om het ICT-risico van derde partijen, zoals cloudproviders of softwareleveranciers, actief te beheren. Een hoofdverplichting is het uitvoeren van een grondige risicobeoordeling vóór het aangaan van een contract en het contractueel vastleggen van heldere afspraken over databeveiliging, audits en exitstrategieën.
Praktische Stappen voor Effectief Third-Party Risk Management (TPRM)
Effectief leveranciersbeheer vraagt om een verschuiving van jaarlijkse vragenlijsten naar continue monitoring. Een concrete eerste stap is het gebruik van tools die geautomatiseerde security scorecards van leveranciers genereren, gebaseerd op hun externe digitale voetafdruk. Een tweede stap is het aanscherpen van contractuele clausules rondom incidentrespons, waarin exact wordt vastgelegd binnen hoeveel uur een leverancier een datalek moet melden en welke toegang uw team krijgt voor onderzoek.
Bouwen aan Digitale Weerbaarheid: Een Vraag voor Elke IT-Manager
Het beheren van ketenrisico’s is geëvolueerd van een compliance-oefening naar een essentieel onderdeel van de bedrijfscontinuïteit. Een proactieve aanpak, waarbij leveranciers als een verlengstuk van de eigen organisatie worden gezien, is de enige duurzame strategie. Dit leidt tot de fundamentele vraag die elke beslisser zich moet stellen: hoe beoordeel jij de cyberweerbaarheid van jouw meest kritieke toeleveranciers?
