De vijf controls van het leveranciersbeheer-cluster

In ISO 27001:2022 zitten vijf Annex A-controls die samen leveranciersbeheer regelen.

• A.5.19 Beveiliging in leveranciersrelaties — je hebt beleid waarin staat hoe jullie omgaan met leveranciers en welke beveiligingseisen je stelt. Het overkoepelende kader.
• A.5.20 Beveiliging in leveranciersovereenkomsten — wat staat er in het contract zelf? Enkele voorbeelden zijn: MFA-verplichting, encryptie-eisen, meldplicht bij incidenten, exit-afspraken en audit-recht.
• A.5.21 ICT-supply-chain-beveiliging — specifieke regels voor IT-leveranciers en hun onderaannemers. Vaak het zwaarste deel én het belangrijkste voor NIS2.
• A.5.22 Monitoren van leveranciersdiensten — periodieke check of je leveranciers nog leveren wat ze beloofd hebben, en of hun beveiliging op niveau blijft.
• A.5.23 Informatiebeveiliging bij gebruik van clouddiensten — specifiek voor cloud-leveranciers. Voorbeelden zijn shared responsibility (welke verantwoordelijkheden liggen bij jou, welke bij de provider), beveiligingseisen per dienst, wijzigingsbeheer aan provider-zijde, datalocatie, back-ups en exit-strategie.

Auditors kijken naar deze vijf in samenhang. Als je beleid (5.19) niet aansluit op je contracten (5.20), of als je cloud-leveranciers (5.23) niet onder dezelfde monitoring (5.22) vallen, ontstaat er een gat dat tijdens de audit zichtbaar wordt. Daarmee wordt wederom duidelijk dat ISO 27001 geen afvinklijst is, maar dat er overlap is en onderdelen nauw met elkaar verbonden zijn.

Waarom NIS 2 dit extra zwaar maakt

De Nederlandse Cyberbeveiligingswet (Cbw), de Nederlandse implementatie van NIS2, legt expliciete ketenverantwoordelijkheid vast: je bent niet alleen verantwoordelijk voor je eigen beveiliging, maar ook voor die van je leveranciers. Een incident bij één IT-leverancier kan honderden klantorganisaties raken. Denk aan "het softwarefoutje" bij Crowdstrike in 2024, waardoor het vliegverkeer op Schiphol plat kwam te liggen.

Voor NIS2-plichtige organisaties is leveranciersbeheer geen optioneel onderdeel meer. Bestuurders krijgen bovendien een eigen verantwoordelijkheid om de risicomaatregelen goed te keuren en toezicht te houden, met sanctierisico, inclusief een tijdelijk bestuursverbod voor essentiële entiteiten. Maar er is ook goed nieuws: een sterk leveranciersbeheer onder ISO 27001 dekt grotendeels af wat NIS2 vraagt. Verspil je werk dus niet door beide los te ontwikkelen.

Vier stappen om leveranciersbeheer aantoonbaar te maken

‍

Stap 1. Inventariseer al je leveranciers

Maak een leverancierslijst met daarop per leverancier: welke dienst, welke data ze verwerken, welke toegang ze hebben tot je systemen en hoe kritisch ze zijn voor je dienstverlening. Voeg per leverancier twee privacyvragen toe: verwerken ze persoonsgegevens? en zo ja, zijn ze daarbij verwerker of (mede-)verwerkingsverantwoordelijke? Dat bepaalt of een verwerkersovereenkomst (art. 28 AVG) verplicht is naast het beveiligingscontract.

Stap 2. Classificeer per leverancier het risico

Niet elke leverancier verdient hetzelfde regime. Per leverancier bepaal je de:

• Impact bij uitval of incident: wat gaat er stuk in jouw dienstverlening?
• Soort data: persoonsgegevens, financieel, intellectueel eigendom, of niets bijzonders?
• Toegangsniveau: hebben ze toegang tot systemen, alleen tot logs, of helemaal niet?
• Single point of failure: kunnen ze worden vervangen, of zit je vast?

Op basis daarvan deel je ze in: laag risico, gemiddeld of hoog. Het regime per categorie verschilt qua contracteisen en monitoringfrequentie.

Stap 3. Leg de eisen contractueel vast

In je leveranciersovereenkomsten (A.5.20) horen minimaal:

• MFA-verplichting voor toegang tot jouw systemen.
• Encryptie-eisen voor data in transit en at rest.
• Meldplicht bij incidenten, afgestemd op het regime dat van toepassing is. Onder AVG: binnen 72 uur richting Autoriteit Persoonsgegevens als je verantwoordelijke bent; "zonder onredelijke vertraging" voor een verwerker richting jou. Onder NIS2: binnen 24 uur een early warning, binnen 72 uur een volledige melding en binnen één maand een eindrapport. Spreek met je leverancier expliciet af welk regime hij draait en welke termijn hij jou geeft.
• Audit-recht of een verifieerbaar certificaat: ISO 27001, SOC 2 Type II of ISAE 3402 zijn de meest gangbare assurance-vormen.
• Exit-afspraken: hoe krijg je je data terug en hoe wordt deze veilig vernietigd?

Verwerkt de leverancier persoonsgegevens? Dan komt daar een verwerkersovereenkomst (DPA) bovenop, met de eisen van art. 28 AVG: instructies, vertrouwelijkheid, subverwerkersbeding, doorgiftegrondslag bij verwerking buiten de EER en audit-recht conform art. 28 lid 3 sub h. Voor cloud-leveranciers (A.5.23) komt daar nog een laag bovenop: datalocatie, back-up-frequentie, sub-processors en exit-routes. Wanneer cloud-leveranciers persoonsgegevens verwerken, is ISO 27018 een relevant assurance-signaal; ISO 27701 dekt de bredere PIMS-context (Privacy Information Management System).

Stap 4. Monitor structureel

Een contract van drie jaar geleden is geen bewijs van actuele beveiliging. Een lead auditor wil zien dat je monitoringfrequentie volgt uit risicocriteria, dus niet uit een vaste tabel. Een houdbaar regime kan er ongeveer zo uitzien:

• Hoogrisicoleveranciers: jaarlijkse review met self-assessment of auditrapport.
• Gemiddeld: tweejaarlijkse check.
• Laag: continuïteitscheck zonder diepe review.

Plus: trigger-based reviews bij incidenten, scope-wijzigingen of M&A-bewegingen bij de leverancier. Documenteer alles. Zonder bewijs is er voor de auditor geen monitoring gedaan.

Wat een auditor wil zien

Een typische audit-vraag: "Laat me je drie meest kritische leveranciers zien: wat staat er in hun contract, wanneer is hun beveiliging voor het laatst geverifieerd en wat zou er gebeuren als ze morgen uitvallen?" Wie die vraag in een paar minuten kan beantwoorden, heeft het leveranciersbeheer-cluster op orde. Wie zijn leverancierslijst eerst moet zoeken, niet.

Veelgestelde vragen

Wat is het verschil tussen A.5.19 en A.5.20?

A.5.19 is je beleid (hoe ga je om met leveranciers). A.5.20 is wat er in elk individueel contract staat. Het ene is kader, het andere is uitvoering.

Hoe diepgaand moet mijn leveranciersbeoordeling zijn en hoeveel/welke leveranciers moet ik opnemen?

Dat hangt af van jouw organisatie. Een gemiddeld MKB-bedrijf heeft tientallen tot honderden leveranciers als je SaaS-tools meerekent. Voor kleinere organisaties is een risicogebaseerde top-10 kritieke leveranciers vaak audit-acceptabel, mits je de keuze onderbouwt. Het gaat hierbij enkel om de leveranciers die impact hebben op een van de BIV-criteria. Denk aan leveranciers voor IT en cloud, dataverwerking, fysieke toegang en datadragers.

Wat als mijn leverancier ISO 27001-gecertificeerd is?

Hun certificering is bewijs dat ze zelf op orde zijn, maar je wilt deze wel toetsen op basis van geldigheid, scope en de VvT. Je moet daarnaast aantonen dat jij die leverancier hebt beoordeeld, contractueel hebt afgekaderd en periodiek monitort. Verwerken ze persoonsgegevens? Dan blijft een verwerkersovereenkomst onverminderd verplicht.

Klaar om je leveranciersbeheer scherper te zetten?

Leveranciersbeheer is een van de grootste gaten die we in de auditpraktijk tegenkomen. Ga gerust met ons in gesprek over waar je staat op het gebied van A.5.19 tot en met A.5.23, welke leveranciers het hoogste risico vormen en wat je het komende kwartaal kunt fixen. Plan hier een vrijblijvend en kosteloos adviesgesprek in.

Eerst verder lezen?

• Download onze ISO 27001 checklist
• Lees meer over ISO 27001 in onze gids

‍