Naar hoofdinhoud
THIRD-PARTY RISK MANAGEMENT

Het beoordelen kun je uitbesteden aan de leverancier. De verantwoordelijkheid niet.

Een ingevulde vragenlijst toetst het ontwerp op één moment, niet of het vandaag nog werkt. Gaat het bij je leverancier mis, dan sta jij voor de board.

NIST SP 800-161ISO 27001NIS2DORA
ControlsNIST SP 800-161 (C-SCRM), ISO 27001 A.15, NIS2 art. 21, DORA art. 28
Voor wieCISO, CIO, CFO, security operations, inkoop en vendor management
DoorlooptijdEerste kritieke leveranciers in beeld 2-4 weken, monitoringcyclus ingericht 6-10 weken

Kernuitdagingen

Het probleem is niet de vragenlijst. Het is wat de vragenlijst niet ziet.

Je stuurt de lijst, krijgt hem ingevuld terug, en legt het certificaat in de map. Daarmee toon je due diligence aan, niet of het vandaag werkt.

30%

van breaches komt via een derde partij

Steeds meer komt binnen via een leverancier

Het aandeel inbraken dat via een derde partij loopt, is in twee jaar verdubbeld. Je aanvalsoppervlak stopt niet bij je eigen rand, het loopt door bij partijen die je niet zelf beheert en die je maar een keer per jaar toetst.

Verizon DBIR 2025, van 15 naar 30 procent in twee jaar.

43%

gebruikt ratings om derden te volgen

Monitoring stopt bij de momentopname

De meeste organisaties verzamelen een certificaat of vragenlijst en stoppen daar. Slechts een minderheid volgt derden doorlopend; de rest mist wat er na de momentopname verandert: een verlopen control, een nieuw lek, een wijziging bij de leverancier.

ENISA NIS Investments 2024: 43 procent gebruikt security-rating-diensten; supply chain is de op één na grootste zorg (47 procent).

32%

krijgt securityrollen niet gevuld

Het werk loopt vast op onderbemanning

Securityrollen blijven structureel onvervuld en de bezetting daalt al jaren. Een leveranciersprogramma draait dan op een handvol mensen met handmatige opvolging, terwijl het aantal te volgen partijen groeit.

ENISA NIS Investments 2024-2025: 32 procent krijgt securityrollen niet gevuld; de security-FTE-ratio daalde naar 10,6 procent.

De vraag voor het bestuur

Zijn we via onze leveranciers blootgesteld?

Toezicht en bestuur vragen niet of er vragenlijsten zijn verstuurd. Ze vragen of aantoonbaar is welke kritieke leveranciers er zijn, dat ze worden gevolgd en dat de respons is belegd. Dat is het verschil tussen een control die op papier bestaat en een control die in de praktijk werkt.

Het verschil

Een ingevulde lijst, of getoetste werking.

Niet of de leverancier de vragenlijst invulde, maar welke leveranciers er echt toe doen, en of je het zou zien als een van hen afwijkt.

Klassieke aanpakMet Radian

Iedereen dezelfde lijst, dekking-eerst

Dezelfde vragenlijst naar honderden leveranciers. Volume zonder prioriteit, waarbij de leverancier die er echt toe doet evenveel aandacht krijgt als de koffieleverancier.

Reikwijdte

Kritikaliteit-eerst, lange staart afgebakend

We bepalen welke leveranciers werkelijk risico dragen en bakenen de rest scherp af. De aandacht gaat naar waar de blootstelling zit, niet naar het hele bestand tegelijk.

Wacht op de zelfrapportage

De leverancier vult de lijst zelf in. Je verzamelt wat hij op een moment claimt, en je wacht weken op accurate documentatie voordat je iets kunt beoordelen.

Bewijs

Bewijs uit bestaande documenten

We halen control-bewijs uit wat er al ligt: SOC 2-rapporten, ISO-certificaten, een SBOM. Niet wachten op een ingevulde lijst, maar lezen wat de leverancier al heeft aangetoond.

Een keer per jaar toetsen

De jaarlijkse cyclus loopt achter op de werkelijkheid. Een control verloopt, een exploit verschijnt binnen dagen, een leverancier zet AI op een platform, en de lijst komt pas over elf maanden terug.

Cyclus

Doorlopend de werking volgen

We richten een cyclus in die afwijking ziet: een verlopen certificaat, een technische anomalie, een wijziging, een incident bij de leverancier. Operating effectiveness, niet een momentopname.

De map bewijst zorgvuldigheid

Succes wordt gemeten in ingevulde lijsten en verzamelde certificaten. Of je zorgvuldig hebt gehandeld als het misgaat, blijft onbeantwoord tot het te laat is.

Verantwoordelijkheid

Een verdedigbaar spoor

We leggen de afweging vast: welke leverancier dragen we, waar grijpen we in, en op grond waarvan. Een spoor dat standhoudt voor de board en de toezichthouder.

Hoe het werkt

Van een map vol lijsten naar zicht dat standhoudt.

Links wat er binnenkomt over je leveranciers, in het midden de volgorde die kiest en volgt, rechts wat je overhoudt. Je bestaande contracten en certificaten blijven staan.

Je leveranciersbestand
Leverancierslijst en zakelijke kritikaliteit
Directe en indirecte datastromen
Bestaande compliance-documenten: SOC 2, ISO, SBOM
Externe, outside-in signalen
Wijzigings- en AI-meldingen
Incidentbewustzijn bij leveranciers
Sub-leveranciers en vierde-partijketen
normaliseert›››
Vijf stappen, doorlopend
Het kaderWelke leveranciers echt risico dragenWat je moet kunnen aantonen
01
Tier
Bepaal welke leveranciers er echt toe doen, op kritikaliteit, en baken de lange staart scherp af.
02
Oogst bewijs
Haal control-bewijs uit bestaande documenten: SOC 2, ISO, SBOM. Niet wachten op een ingevulde vragenlijst.
03
Volg de werking
Doorlopend de operating effectiveness: verlopen certificaat, technische anomalie, wijziging, AI-melding, incident bij de leverancier.
04
Breng de keten in kaart
De vierde-partij-blootstelling van je kritieke leveranciers: de sub-leveranciers achter de leverancier.
05
Beleg de respons
Een doorlopende cyclus: escalatie, het besluit tot herstellen of overstappen, en een spoor dat standhoudt.
Doorlopend
levert›››
Wat je overhoudt
Een leveranciersbestand op kritikaliteit getierd
Per kritieke leverancier een toets op werking
Doorlopende monitoring van afwijking
Een responsdraaiboek dat is belegd
Een spoor voor board en toezichthouder
Zicht op de vierde-partijketen
Tijd terug voor een team van 1 tot 2 FTE

Het onderscheid

Diagnose voor product

De scherpste zwakte van het gangbare programma: het meet dekking, hoeveel lijsten zijn ingevuld, en niet of het bij de leveranciers werkt die er echt toe doen.

Daarom begint Radian bij de diagnose: welke leveranciers dragen werkelijk risico, en waar zit de blootstelling. Niet een platform dat wordt uitgerold, maar een toets van waar je supply-chain-exposure zit, kritikaliteit-eerst en operating effectiveness boven attestatie.

Geen platform, maar de discipline eromheen

Je bestaande tools, ratings en certificaten blijven staan. Wij bepalen welke leveranciers er echt toe doen, oogsten het bewijs uit wat er al ligt en volgen of het werkt. Een middel is een middel, geen doel.

Een doorlopende dienst, geen project

Je krijgt onze expertise zonder zelf een team en een methode op te bouwen. Wij draaien de cyclus; de besluiten over dragen, herstellen of overstappen en het eigenaarschap blijven bij jou.

Onze seniors voeren ook uit

De markt levert een rapport en laat het lastige gesprek met de leverancier bij jou. Dezelfde senior die bepaalt wie er echt toe doet, voert dat gesprek en richt de monitoringcyclus in.

Aan de slag

Zou je het zien als een kritieke leverancier afwijkt?

Geen vendor-programma van honderd pagina's. Eén gesprek waarin we bepalen welke leveranciers in jouw bestand er echt toe doen, en of je nu zou zien wanneer een van hen verandert.

Plan een gesprek

30 minuten met een senior, geen pitch.

Gesprek aanvragenBel direct088 - 163 23 25