⚡ LIMITED TIME Get our FREE €500+ Compliance Starter Kit
Get It Now →

Secure-by-demand software-inkoop in 2026

Igor Petreski

Het is dinsdagochtend, begin 2026, en Maria, de CISO van een snelgroeiend Europees betalingsbedrijf, presenteert aan de raad van bestuur. Het laatste agendapunt zou routine moeten zijn: goedkeuring voor een nieuw AI-gestuurd platform voor fraudedetectie. De leverancier heeft een indrukwekkende demo, een tijdelijke korting, een beveiligingsoverzicht van één pagina en een standaardcontract.

Dan beginnen de vragen.

De CEO vraagt: “Hoe weten we dat dit platform veilig is? Onze klanten in de financiële dienstverlening vragen om DORA-nalevingsbewijs, en deze leverancier wordt onderdeel van onze kritieke infrastructuur.”

Juridische Zaken vraagt of de verwerkersovereenkomst gereed is, waar EU-klantgegevens worden verwerkt en of subverwerkers zijn bekendgemaakt. De verantwoordelijke voor operationele weerbaarheid vraagt naar exitplanning, back-upexports en continuïteit voor kritieke functies. De productbeveiligingsengineer vraagt om openbaarmaking van kwetsbaarheden, bewijs van patching en een SBOM of gelijkwaardige verklaring over componenttransparantie. Inkoop stelt de vraag die leveranciersrisico duur maakt: “Kunnen we nu goedkeuren en de documenten na ondertekening verzamelen?”

Dat is het moment waarop moderne software-inkoop óf een beheersmaatregel wordt, óf een toekomstig incidentrapport.

In 2026 kan veilige software-inkoop niet vertrouwen op goodwill na contractsluiting. Beveiliging van de toeleveringsketen onder NIS2, ICT-risico’s bij derde partijen onder DORA, verantwoordingsplicht voor verwerkers onder GDPR en productbeveiligingsverwachtingen uit de Cyber Resilience Act hebben leveranciersassurance naar het moment van de inkoopbeslissing verplaatst. Inkopende organisaties hebben secure-by-demand software-inkoop nodig: de klant definieert vóór aankoop het beveiligingsbewijs, de contractclausules, onboardingpoorten en operationele verantwoordelijkheden.

Voor klanten van Clarysec is het antwoord niet nog een spreadsheet die in e-mail blijft hangen. Het is een op ISO/IEC 27001:2022 afgestemd stelsel van inkoopbeheersmaatregelen, in kaart gebracht via Clarysec-beleid, de Zenith Blueprint: een 30-stappenroadmap voor auditors en Zenith Controls, zodat elke software- of SaaS-aankoop een verdedigbaar spoor heeft van zakelijke behoefte tot leveranciersrisicobesluit.

Secure-by-demand is de nieuwe beheersmaatregel voor software-inkoop

Secure-by-design wordt meestal besproken vanuit de leverancierskant. Secure-by-demand is de discipline aan de koperskant: de organisatie weigert software te kopen tenzij de leverancier kan aantonen dat beveiliging, privacy, weerbaarheid, kwetsbaarhedenbeheer en auditeerbaarheid in het aanbod zijn ingebouwd.

Dit verandert het aankoopgesprek. In plaats van te vragen: “Heeft u beveiliging?”, stelt inkoop scherpere vragen:

  • Welke gegevens verwerkt u, waar en in welke juridische rol?
  • Van welke bedrijfsfunctie wordt u afhankelijk, en hoe kritiek is die functie?
  • Welk bewijs toont aan dat uw beheersmaatregelen werken, en niet alleen dat ze zijn gedocumenteerd?
  • Aan welke meldtermijnen voor incidenten verbindt u zich contractueel?
  • Welk bewijs over openbaarmaking van kwetsbaarheden, patching, SBOM of VEX kunt u leveren?
  • Welke subcontractanten of subverwerkers raken onze gegevens of dienstverlening?
  • Kunnen wij gedurende de contractlooptijd audits uitvoeren, inspecties doen of bewijs opvragen?
  • Wat gebeurt er bij beëindiging, migratie, inbreuk, insolventie of een verzoek van toezichthouders?

ISO/IEC 27001:2022 geeft de ruggengraat van het managementsysteem voor deze verschuiving. Clausule 4 vereist dat de organisatie haar context, belanghebbenden en ISMS-scope begrijpt, inclusief externe regelgevende eisen en leveranciersvereisten. Clausule 5 maakt leveranciersrisico tot een verantwoordelijkheid van leiderschap en governance. Clausule 6 vereist risicobeoordeling, risicobehandeling, selectie van beheersmaatregelen, een Verklaring van Toepasselijkheid en besluiten over restrisico. Clausule 8 vereist beheerste uitvoering van processen, inclusief extern geleverde processen. Clausule 9 vereist monitoring, interne audit en directiebeoordeling.

Dat betekent dat software-inkoop niet slechts een commerciële workflow is. Het wordt een uitgevoerd en auditeerbaar ISMS-proces. Toezichthouders en auditors vragen steeds vaker waarom een organisatie een leverancier accepteerde voordat zij het risico begreep. Secure-by-demand inkoop geeft een helder antwoord: het risico is beoordeeld, behandeld, contractueel vastgelegd en toegewezen voordat afhankelijkheid ontstond.

Waarom NIS2, DORA, GDPR en CRA samenkomen bij leveranciersselectie

Maria’s raad van bestuur stelt de juiste vragen, omdat één softwareleverancier meerdere verplichtingen tegelijk kan activeren.

NIS2 is van toepassing op basis van sector, omvang en criticaliteit, waarbij Annex I en Annex II veel digitale, financiële, infrastructurele, managed-service- en cloudafhankelijke organisaties binnen het toepassingsgebied brengen. Article 21 vereist passende en evenredige technische, operationele en organisatorische maatregelen, waaronder beveiliging van de toeleveringsketen, veilige verwerving, veilige ontwikkeling en onderhoud, kwetsbaarhedenbeheer, toegangscontrole, activabeheer, continuïteit, incidentafhandeling en beoordeling van de doeltreffendheid van beheersmaatregelen. Article 21(3) vereist specifiek aandacht voor kwetsbaarheden van directe leveranciers en de cyberbeveiligingspraktijken van leveranciers. Article 23 creëert gefaseerde verwachtingen voor melding van significante incidenten, waaronder een vroegtijdige waarschuwing binnen 24 uur en melding binnen 72 uur.

DORA is sinds 17 januari 2025 van toepassing op financiële entiteiten binnen het toepassingsgebied. Het stelt uniforme eisen aan ICT-risicobeheer, melding van ICT-gerelateerde incidenten, testen van digitale operationele weerbaarheid en ICT-risicobeheer bij derde partijen. DORA is bijzonder voorschrijvend voor inkoop. Financiële entiteiten hebben strategieën nodig voor ICT-risico’s bij derde partijen, registers van ICT-dienstverleningsovereenkomsten, due diligence, analyse van concentratierisico, schriftelijke contracten met bepalingen over beveiliging en weerbaarheid, audit- en toegangsrechten, samenwerkingsverplichtingen, beëindigingsrechten en exitplannen. Articles 28 en 30 staan centraal voor ICT-risico’s bij derde partijen en contractuele beheersmaatregelen, terwijl Articles 17 tot en met 23 incidentbeheer en rapportage vormgeven.

GDPR voegt de poort voor verantwoordingsplicht rondom verwerkers toe. Articles 5, 28, 32, 33 en 34 vereisen verantwoordingsplicht, verwerkersovereenkomsten, passende beveiliging, samenwerking bij melding van inbreuken en afhandeling van impact op betrokkenen. Een SaaS-leverancier die persoonsgegevens verwerkt, is niet zomaar een leverancier. Hij wordt onderdeel van de nalevingspositie van de verwerkingsverantwoordelijke. De DPA, technische en organisatorische maatregelen, lijst met subverwerkers, waarborgen voor doorgifte, bewaartermijnregels en verwijderingsverplichtingen moeten vóór aanvang van de verwerking zijn begrepen.

CRA-verwachtingen voegen productassurance toe. Zelfs wanneer de koper niet de fabrikant is, moeten inkoopteams bewijs eisen over veilige ontwikkeling, kwetsbaarhedenbeheer, productondersteuning, beveiligingsupdates, gecoördineerde openbaarmaking van kwetsbaarheden en componenttransparantie, zoals een SBOM of gelijkwaardige verklaring. Deze eisen horen thuis in RFP’s, beveiligingsbijlagen en acceptatiepoorten.

De gemeenschappelijke lijn is eenvoudig: de inkopende organisatie moet weten wat zij koopt, welk risico zij binnenhaalt en welk bewijs zij kan overleggen wanneer toezichthouders, klanten of auditors erom vragen.

De ISO 27001-ruggengraat van beheersmaatregelen voor leveranciersassurance

Het meest effectieve secure-by-demand inkoopmodel wordt niet per afzonderlijke regelgeving opgebouwd. Het begint bij beheersmaatregelen. Clarysec gebruikt ISO/IEC 27001:2022 als ISMS-ruggengraat, ondersteund door de richtlijnen voor beheersmaatregelen uit ISO/IEC 27002:2022 en cross-compliance-mapping in Zenith Controls.

In Zenith Controls is leveranciersassurance verankerd rond ISO/IEC 27002:2022-beheersmaatregelen 5.19, 5.20 en 5.21. Dit zijn geen losse checklistitems. Samen vormen zij een inkooplevenscyclus.

ISO/IEC 27002:2022-beheersmaatregelInkoopvraagSecure-by-demand bewijsPrimair gereduceerd risico
5.19 Informatiebeveiliging in leveranciersrelatiesMoeten we deze leverancier überhaupt inschakelen?Leveranciersclassificatie, due diligence, risicoclassificatie, eigenaarschap, herbeoordelingsritmeOnbekende leveranciersblootstelling
5.20 Informatiebeveiliging opnemen in leveranciersovereenkomstenZijn onze eisen afdwingbaar?Beveiligingsbijlage, DPA, SLA, auditrechten, incidentmelding, subcontractantenclausules, exitclausulesContractuele zwakte
5.21 Informatiebeveiliging beheren in de ICT-toeleveringsketenKunnen downstream ICT-afhankelijkheden ons compromitteren?Lijst met subcontractanten, beheersmaatregelen voor subverwerkers, cloudarchitectuur, componentbewijs, kwetsbaarhedenbeheer, concentratieanalyseVerborgen toeleveringsketen- en technologierisico

Zenith Controls brengt deze ISO-beheersmaatregelen in kaart ten opzichte van regelgevende en auditverwachtingen. Het creëert geen afzonderlijke propriëtaire beheersmaatregelen die Zenith Controls heten. Het helpt teams begrijpen hoe ISO/IEC 27002:2022-beheersmaatregelen NIS2, DORA, GDPR, NIST CSF 2.0 en COBIT-georiënteerde assurance ondersteunen.

Ook het ondersteunende netwerk van beheersmaatregelen is belangrijk. Leveranciersassurance hangt samen met activabeheer, toegangscontrole, cloudbeveiliging, kwetsbaarhedenbeheer, logging, incidentbeheer, ICT-gereedheid voor bedrijfscontinuïteit, veilige ontwikkeling, applicatiebeveiliging, configuratiebeheer, back-ups, redundantie, juridische naleving, privacy, wijzigingsbeheer en onafhankelijke beoordeling. Inkoop coördineert het proces, maar risico-eigenaarschap moet de bedrijfseigenaar, informatiebeveiliging, Juridische Zaken, privacy, IT, Finance en de service-eigenaar omvatten.

Clarysec-beleidspoorten vóór ondertekening

Het beleidsmodel van Clarysec verplaatst leveranciersassurance bewust naar voren. De krachtigste formulering staat waar die hoort: voordat overeenkomsten worden ondertekend, voordat cloudabonnementen worden geactiveerd en voordat gegevens worden gedeeld.

De mkb-versie van Clarysec’s Beleid inzake beveiliging van derde partijen en leveranciers stelt:

Beoordeel en documenteer leveranciersrisico’s voordat overeenkomsten worden ondertekend of toegang wordt verleend.

Dit komt uit de sectie “Doelstellingen”, beleidsclausule 3.3. De clausule is kort omdat de bedoeling van de beheersmaatregel niet onderhandelbaar is: geen risicobeoordeling, geen contract, geen toegang.

Voor enterprise-omgevingen versterkt Clarysec’s Beleid inzake beveiliging van derde partijen en leveranciers de precontractuele poort:

Alle nieuwe leveranciers moeten vóór contractuitvoering een gedocumenteerde beveiligingsbeoordeling ondergaan.

Dit komt uit de sectie “Vereisten voor beleidsimplementatie”, beleidsclausule 6.1.1. Hetzelfde beleid benoemt ook “Auditrechten, inspectierechten en het recht om beveiligingsbewijs op te vragen” in de sectie “Governancevereisten”, beleidsclausule 5.3.4.

Voor cloud- en SaaS-inkoop voegt het mkb-Beleid inzake gebruik van cloudservices een praktische goedkeuringspoort toe:

Elk gebruik van cloudservices moet vóór implementatie of abonnement worden beoordeeld en goedgekeurd door de algemeen directeur (GM).

Dit komt uit de sectie “Governancevereisten”, beleidsclausule 5.1. In een kleine organisatie kan die goedkeuring gelijkstaan aan een cloudgovernanceboard. In een onderneming wordt het een workflow over inkoop, beveiliging, privacy en architectuur heen. Het enterprise-Beleid inzake gebruik van cloudservices ondersteunt ook contractuele cloudeisen, waaronder afdwingbare bepalingen in CSP-contracten.

Voor softwareverwerving is het enterprise-Beleid inzake vereisten voor applicatiebeveiliging expliciet:

Softwareverwerving of uitbestedingsafspraken moeten beveiligingseisen opnemen in RFP’s, contracten en SLA’s, inclusief bepalingen voor termijnen voor herstel van kwetsbaarheden en auditrechten van derden.

Dit komt uit de sectie “Governancevereisten”, beleidsclausule 5.4. Let op de volgorde: RFP’s, contracten en SLA’s. Beveiliging verschijnt al bij de marktbenadering, niet als bijlage na gunning.

Voor GDPR-gedreven inkoop vereist Clarysec’s mkb-Beleid inzake juridische en regelgevende naleving:

Clausules van de verwerkersovereenkomst (DPA) of gelijkwaardige contractuele voorwaarden moeten zijn overeengekomen voordat persoonsgegevens of gevoelige gegevens worden gedeeld.

Dit komt uit de sectie “Vereisten voor beleidsimplementatie”, beleidsclausule 6.3.2. Dit voorkomt een van de meest voorkomende fouten bij SaaS-onboarding: persoonsgegevens uploaden naar een tool voordat verwerkersvoorwaarden, inbreukverplichtingen en voorwaarden voor subverwerkers zijn overeengekomen.

Voor applicatiebeveiliging bij leveranciers vereist het mkb-Beleid inzake vereisten voor applicatiebeveiliging dat inkoop:

verplichtingen specificeert voor openbaarmaking van kwetsbaarheden, responstijden en patching.

Dit komt uit de sectie “Governancevereisten”, beleidsclausule 5.3.2. Het stelt ook:

De GM moet documentatie of certificeringen (bijv. SOC 2, ISO 27001, beveiligingstestrapporten) opvragen als bewijs van naleving door de leverancier, waar van toepassing.

Dit komt uit de sectie “Vereisten voor beleidsimplementatie”, beleidsclausule 6.3.2. Het kernwoord is bewijs. Secure-by-demand inkoop is niet gebaseerd op vertrouwensverklaringen. Het is gebaseerd op beoordeelbare artefacten.

De inkooppoort van de Zenith Blueprint

De Zenith Blueprint behandelt leveranciersbeveiliging als een uitgevoerde beheersmaatregel, niet als een inkoopslogan. In de fase Controls in Action behandelt Step 23 organisatorische beheersmaatregelen 5.19 tot en met 5.37, waaronder informatiebeveiliging in leveranciersrelaties.

De Blueprint legt uit:

Het begint met leveranciersclassificatie. Niet alle leveranciers brengen hetzelfde risico met zich mee. Een schoonmaakdienst kan fysieke toegang tot kantoren hebben, maar geen toegang tot netwerken. Een partij voor penetratietesten of cloudhostingprovider kan daarentegen diepgaande technische toegang hebben tot het hart van uw infrastructuur. Bij classificatie moet worden gekeken of de leverancier uw informatie rechtstreeks behandelt of verwerkt, of hij infrastructuur of platformen levert waarop u werkt, of hij namens u systemen beheert of onderhoudt, en of compromittering van de leverancier impact kan hebben op uw doelstellingen voor vertrouwelijkheid, integriteit of beschikbaarheid.

Voor beheersmaatregel 5.20 is de Blueprint direct:

Belangrijke onderwerpen die doorgaans in leveranciersovereenkomsten worden behandeld zijn vertrouwelijkheidsverplichtingen; verantwoordelijkheden voor toegangscontrole; technische en organisatorische maatregelen voor gegevensbescherming, encryptie, veilige overdracht, back-ups en beschikbaarheidsverplichtingen; tijdlijnen en protocollen voor incidentmelding; auditrecht, inclusief frequentie, scope en toegang tot relevant bewijs; beheersmaatregelen voor subcontractanten; en bepalingen bij einde contract, zoals teruggave of vernietiging van gegevens, terugvordering van activa en deactivering van accounts.

De Blueprint concludeert dat beheersmaatregel 5.20 “uw laatste hefboom” is en “bij de inkooppoort hoort”. Zodra het contract is ondertekend, neemt de onderhandelingsmacht af. Vóór ondertekening kunnen bewijs en verplichtingen voorwaarden voor aankoop worden.

Voor uitbestede ontwikkeling voegt de fase Controls in Action, Step 21, beheersmaatregel 8.30, nog een inkoopvereiste toe. De Blueprint stelt:

De kern van deze beheersmaatregel is het principe dat beveiliging een contractuele eis moet zijn, geen mondelinge verwachting.

Uitbestede teams moeten aan dezelfde standaarden voor veilige ontwikkeling voldoen als interne teams, waaronder statische analyse, peer review, encryptie, MFA voor repositories en zichtbaarheid in code, architectuurbesluiten, kwetsbaarheden, wijzigingsverzoeken, CI/CD-logboeken en scanresultaten.

Bouw in één middag een secure-by-demand RFP-poort

Stel dat uw organisatie een klantanalyseplatform wil. Het platform zal klantidentificatoren, gedragsgebeurtenissen, supportmetadata en transactiereferenties verwerken. De bedrijfseigenaar wil snelle goedkeuring. Het beveiligingsteam heeft één week.

Begin met een inkooppoortregistratie en gebruik het Beleid inzake beveiliging van derde partijen en leveranciers, het Beleid inzake vereisten voor applicatiebeveiliging, het Beleid inzake gebruik van cloudservices, het Beleid inzake juridische en regelgevende naleving en Step 23 van de Zenith Blueprint als brondocumenten.

PoortveldVoorbeeldinvoer
Naam leverancierSaaS-leverancier voor klantanalyse
Type dienstCloud-SaaS die klant- en gebruiksgegevens verwerkt
BedrijfseigenaarHoofd Customer Operations
Betrokken gegevensKlantidentificatoren, gebruiksgebeurtenissen, supportmetadata, transactiereferenties
GDPR-rolLeverancier waarschijnlijk verwerker, organisatie verwerkingsverantwoordelijke
CriticaliteitHoog indien gebruikt voor beslissingen over klantenservice, middel als het alleen analytics betreft
NIS2-relevantieLeverancier ondersteunt digitale dienstverleningsactiviteiten en kan impact van incidenten beïnvloeden
DORA-relevantieRelevant als analytics financiële-dienstverleningsactiviteiten of rapportage over kritieke functies ondersteunt
CRA-assurancerelevantieProductbeveiliging, kwetsbaarhedenbeheer, ondersteuning van updates, componenttransparantie
Initiële risicoclassificatieHoog in afwachting van DPA-, incident-, subcontractanten- en exportbewijs
GoedkeuringsvoorwaardeGeen contract vóór beveiligingsbeoordeling, DPA en beoordeling van de beveiligingsbijlage

Voeg een secure-by-demand vragenlijst toe aan de RFP. Vermijd generieke vragen zoals “Versleutelt u gegevens?” Stel vragen die op bewijs zijn gericht:

  1. Verstrek uw actuele onafhankelijke beveiligingsassurancerapport, certificaat of gelijkwaardig bewijs over beheersmaatregelen.
  2. Identificeer hostinglocaties, opties voor gegevensresidentie, back-uplocaties en locaties voor supporttoegang.
  3. Verstrek de DPA, de lijst met subverwerkers en het kennisgevingsproces voor wijzigingen in subverwerkers.
  4. Bevestig de meldtermijnen voor incidenten, inclusief ondersteuning voor een vroegtijdige waarschuwing binnen 24 uur waar NIS2-workflows kunnen worden geactiveerd en gefaseerde rapportageondersteuning voor DORA-gereguleerde klanten.
  5. Verstrek het beleid voor openbaarmaking van kwetsbaarheden, patch-SLA’s per ernst en bewijs van recente governance voor herstel van kwetsbaarheden.
  6. Verstrek bewijs over productbeveiliging, zoals een beschrijving van de levenscyclus voor veilige ontwikkeling, een samenvatting van penetratietests, een SBOM of verklaring over componenttransparantie en de ondersteuningsperiode voor beveiligingsupdates.
  7. Bevestig MFA, het principe van minimale privileges, logging, monitoring van administratieve toegang en rechten voor klantaudits of verzoeken om bewijs.
  8. Beschrijf export, verwijdering, teruggave, ondersteuning bij beëindiging en transitieondersteuning.
  9. Vermeld wezenlijke subcontractanten en ICT-afhankelijkheden die de dienst ondersteunen.
  10. Bevestig of klantgegevens worden gebruikt voor training, analytics, productverbetering of ontwikkeling van AI-modellen, en identificeer de rechtsgrondslag of het model van verwerkersinstructies.

Beoordeel vervolgens de leverancier vóór de onderhandeling.

EisendomeinVoorwaarde voor slagenVoorwaarde voor afwijzen of escaleren
BeveiligingsbewijsActueel assurancerapport, samenvatting van beveiligingstests of gelijkwaardige documentatieAlleen marketingverklaringen, geen bewijs beschikbaar
Gereedheid als GDPR-verwerkerDPA geaccepteerd vóór gegevensdeling, subverwerkers bekendgemaaktDPA uitgesteld tot na onboarding of vage voorwaarden voor subverwerkers
IncidenttoezeggingenContractuele meldtermijn, escalatiecontacten, ondersteuning bij klantimpactLeverancier weigert specifieke meldings- of samenwerkingsverplichtingen
KwetsbaarhedenbeheerMeldkanaal, op ernst gebaseerde herstel-SLA, bewijs over patchprocesGeen proces voor openbaarmaking of geen hersteltoezeggingen
ICT-toeleveringsketenHosting, subcontractanten en kritieke afhankelijkheden bekendgemaaktLeverancier wil kritieke downstream aanbieders niet identificeren
Exit en weerbaarheidExport, verwijdering, back-up en beëindigingsondersteuning gedocumenteerdGeen getest export- of verwijderingsbewijs
AuditeerbaarheidRecht om bewijs op te vragen, proportioneel te inspecteren of te auditenLeverancier staat na ondertekening geen betekenisvolle assurance toe

Werk tot slot het risicoregister en de Verklaring van Toepasselijkheid bij. De risicobehandelingsregistratie moet laten zien waarom ISO/IEC 27002:2022-beheersmaatregelen 5.19, 5.20 en 5.21 van toepassing zijn, welke contractuele en technische eisen zijn geselecteerd, wie eigenaar is van het restrisico en welk monitoringritme geldt. Als de business ondanks hiaten wil doorgaan, gebruik dan een formele registratie voor risicoacceptatie met een vervaldatum, compenserende beheersmaatregelen en goedkeuring door het topmanagement.

Contractclausules die regelgeving omzetten in afdwingbare verplichtingen

Beveiligingsverwachtingen moeten contractuele toezeggingen worden. Een certificaat kan nuttig zijn, maar beantwoordt zelden elke vraag over uw exacte dienst, gegevenslocatie, subcontractanten, supportmodel, incidenttoezeggingen of exitrechten.

Regelgevende eisClarysec-beleidsrichtlijnVoorbeeldclausule in contract
DORA Article 30 auditrechten en exitstrategieBeleid inzake beveiliging van derde partijen en leveranciers, clausule 5.3.4 eist “Auditrechten, inspectierechten en het recht om beveiligingsbewijs op te vragen”Leverancier stemt ermee in om na redelijke kennisgeving toegang te verlenen tot relevante beveiligingsdocumentatie en om bij beëindiging ordelijke teruggave, verwijdering en servicetransitie van gegevens te ondersteunen.
NIS2 Article 21 beveiliging van de toeleveringsketen en kwetsbaarhedenbeheerBeleid inzake vereisten voor applicatiebeveiliging, clausule 5.4 vereist termijnen voor herstel van kwetsbaarheden en auditrechten van derdenLeverancier moet een proces voor openbaarmaking van kwetsbaarheden onderhouden, de klant informeren over kritieke kwetsbaarheden met impact op de dienst en op ernst gebaseerde hersteltermijnen verstrekken.
GDPR Article 28 verwerkersverplichtingenBeleid inzake juridische en regelgevende naleving, clausule 6.3.2 vereist DPA-voorwaarden vóór gegevensdelingDe overeenkomst omvat een verwerkersovereenkomst die persoonsgegevens, subverwerkers, beveiligingsmaatregelen, samenwerking bij inbreuken, bewaring en verwijdering regelt.
Governance van clouddienstenBeleid inzake gebruik van cloudservices, clausule 5.1 vereist beoordeling en goedkeuring vóór implementatie of abonnementLeverancier moet hostingregio’s, back-uplocaties, encryptiebeheersmaatregelen, beheersmaatregelen voor administratieve toegang en toegangslogboeken voor klantgegevens bekendmaken.
CRA-productbeveiligingsverwachtingenBeleid inzake vereisten voor applicatiebeveiliging - mkb, clausule 5.3.2 vereist openbaarmaking van kwetsbaarheden, responstijden en patchingLeverancier moet bewijs over productbeveiliging, componenttransparantie waar van toepassing, gecoördineerde openbaarmaking van kwetsbaarheden en toezeggingen voor beveiligingsupdates verstrekken.

Deze tabel vormt de praktische brug tussen wettelijke verplichtingen en inkoopwerk. Zij helpt ook Juridische Zaken, beveiliging en inkoop vanuit dezelfde baseline van beheersmaatregelen te onderhandelen.

Cross-compliance-mapping: één leveranciersdossier, veel verplichtingen

Het voordeel van ISO/IEC 27001:2022 als ruggengraat is dat één dossier voor leveranciersassurance meerdere regelgevende gesprekken kan ondersteunen.

RaamwerkWat inkoop moet aantonenClarysec-focus op beheersmaatregelen
NIS2Managementtoezicht, beveiliging van de toeleveringsketen, veilige verwerving, kwetsbaarhedenbeheer, incidentafhandeling, continuïteit en cyberbeveiligingspraktijken van leveranciersLeveranciersclassificatie, beveiligingsclausules, toezeggingen voor kwetsbaarheden en incidenten, leveranciersmonitoring
DORAICT-strategie voor derde partijen, register van afspraken, due diligence, concentratieanalyse, contractclausules, auditrechten, samenwerking bij incidenten en exitplannenICT-leveranciersregister, criticaliteitsclassificatie, contractuele beheersmaatregelen, bewijs van weerbaarheidstests, ondersteuning bij beëindiging
GDPRRollen van verwerkingsverantwoordelijke en verwerker, DPA vóór verwerking, beveiliging van de verwerking, samenwerking bij inbreuken, governance van subverwerkers, bewijs voor verantwoordingsplichtDPA-poort, datamapping, lijst met subverwerkers, technische en organisatorische maatregelen, toezeggingen voor bewaring en verwijdering
CRA-verwachtingenProductbeveiliging, veilige ontwikkeling, openbaarmaking van kwetsbaarheden, ondersteuning van updates, componenttransparantie en beveiligingsbewijsRFP-productbeveiligingsschema, SBOM of gelijkwaardig bewijs, patch-SLA’s, verplichtingen voor openbaarmaking van kwetsbaarheden
NIST CSF 2.0Risicobeheer van de toeleveringsketen, leveranciersrollen, contracten, due diligence, monitoring, incidentplanning en planning na beëindigingGapacties voor Current en Target Profile, leveranciersrisicoregister, monitoringritme
COBIT 2019 en ISACA-auditpraktijkGovernance over sourcing, risico-eigenaarschap, beheersdoelstellingen, procesbewijs en afstemming tussen baten, risico’s en middelenBesluitregistraties, RACI, risicoacceptatie, metrieken, interne audittrail

NIST CSF 2.0 is nuttig als communicatielaag. De GOVERN-functie benadrukt bewustzijn van juridische, regelgevende, contractuele, privacy- en afhankelijkheidsaspecten. De GV.SC-uitkomsten voor de toeleveringsketen vereisen processen voor risicobeheer van de toeleveringsketen, leveranciersrollen, prioritering van leveranciers op criticaliteit, contractuele eisen, due diligence, monitoring, incidentplanning en beëindigingsplanning.

Dat sluit goed aan op Step 23 van de Zenith Blueprint en ISO/IEC 27002:2022-beheersmaatregelen 5.19 tot en met 5.21 zoals in kaart gebracht in Zenith Controls. Het geeft raden van bestuur ook een taal die zij begrijpen: huidige situatie, doeltoestand, hiaat, risico, actie, eigenaar en datum.

Wat auditors zullen vragen

Een sterk secure-by-demand inkoopproces moet verschillende auditperspectieven kunnen doorstaan.

Een ISO/IEC 27001:2022-auditor begint met de ISMS-context en scope. Hij zal vragen of leveranciersinterfaces en afhankelijkheden zijn opgenomen, of eisen van belanghebbenden NIS2, DORA, GDPR en klantcontracten omvatten, en of leveranciersrisico’s consistent volgens de risicobeoordelingsmethodologie worden beoordeeld. Hij volgt het spoor naar risicobehandeling, Verklaring van Toepasselijkheid, leveranciersbeheersmaatregelen, operationeel bewijs, interne audit en directiebeoordeling.

Een DORA-beoordelaar richt zich op door ICT ondersteunde bedrijfsfuncties, kritieke of belangrijke functies, registraties van afhankelijkheden van derde partijen, contractuele clausules, audit- en toegangsrechten, samenwerking bij incidenten, weerbaarheidstests, exitstrategieën en concentratierisico. Als een SaaS een kritieke of belangrijke functie ondersteunt, volstaat een lichte leveranciersvragenlijst niet.

Een NIS2-autoriteit zal vragen hoe de organisatie de cyberbeveiligingspraktijken van leveranciers, kwetsbaarheden van directe leveranciers, ondersteuning bij incidentmelding, continuïteitsafhankelijkheden en besluiten over veilige verwerving heeft beoordeeld. Zij zal toetsen of leveranciersassurance de eigen verplichtingen van de organisatie onder Article 21 en Article 23 ondersteunt.

Een GDPR-beoordelaar zal vragen of rollen van verwerkingsverantwoordelijke en verwerker vóór aanvang van de verwerking zijn begrepen, of een DPA of gelijkwaardige voorwaarden vóór gegevensdeling zijn overeengekomen, of subverwerkers zijn bekendgemaakt, of beveiligingsmaatregelen passend waren, of samenwerking bij inbreuken contractueel is vastgelegd en of teruggave of verwijdering van gegevens afdwingbaar is.

Een COBIT 2019- of ISACA-achtige auditor richt zich op governance en verantwoordingsplicht: wie de leverancier heeft goedgekeurd, welk risico is geaccepteerd, of beleidsvereisten zijn gevolgd, of uitzonderingen worden gemonitord en of baten, risico’s en middelen in balans zijn gebracht.

Uw bewijsdossier moet leveranciersclassificatie, goedkeuring door de bedrijfseigenaar, risicobeoordeling, beveiligingseisen in de RFP, leveranciersreacties, DPA, beveiligingsbijlage, SLA, auditrechten, subverwerkersregister, toezeggingen voor kwetsbaarheden, incidentclausules, bewijs over cloudlocaties, bewijs over logging en encryptie, exitvoorwaarden, herbeoordelingsregistraties, uitzonderingen en mapping naar de Verklaring van Toepasselijkheid bevatten.

Veelvoorkomende faalpatronen bij software-aankoop

De eerste fout is inkoop behandelen als commerciële workflow en beveiliging als technische workflow. Tegen de tijd dat beveiliging het contract ontvangt, heeft de business zich psychologisch al vastgelegd, is de implementatiedatum aangekondigd en is de onderhandelingsmacht zwak.

De tweede fout is bewijs vervangen door aannames. Een leverancier verstrekt een certificaat, en de koper neemt aan dat dit elke vraag beantwoordt. Certificering kan helpen, maar dekt mogelijk niet het exacte product, de hostingregio, het supportmodel, de keten van subcontractanten, incidentverplichtingen, AI-datagebruik of exitvereisten.

De derde fout is het missen van downstream risico. Een SaaS-leverancier kan afhankelijk zijn van cloudhosting, analyticstools, supportplatforms, offshoreteams voor ontwikkeling, aanbieders van AI-modellen en betalingsverwerkers. ISO/IEC 27002:2022-beheersmaatregel 5.21 vereist aandacht voor de ICT-toeleveringsketen achter de directe leverancier. Onder DORA hangt dit samen met subcontracting en concentratierisico. Onder GDPR hangt het samen met subverwerkers. Onder NIS2 hangt het samen met kwetsbaarheden van directe leveranciers en de cyberbeveiligingspraktijken van leveranciers.

De vierde fout is zwakke incidenttaal. Een contract dat zegt “leverancier zal klant onverwijld informeren” ondersteunt mogelijk geen NIS2-vroegtijdige waarschuwing, gefaseerde DORA-rapportage, klantcommunicatie of interne escalatie. Incidentclausules hebben termijnen, triggers, contactpunten, samenwerkingsverplichtingen en verplichtingen inzake bewijs nodig.

De vijfde fout is onduidelijke exitrechten. Als een leverancier onveilig, niet-nalevend, overgenomen, insolvent of strategisch ongeschikt wordt, heeft de koper export, verwijdering, transitieondersteuning, deactivering van accounts en vernietigingsbewijs nodig. Exit is geen juridische bijzaak. Het is een beheersmaatregel voor weerbaarheid.

Van inkooppoort naar levende leveranciersassurance

Secure-by-demand inkoop eindigt niet bij ondertekening. Een volwassen leverancierslevenscyclus in Clarysec-stijl kent vijf fasen.

LevenscyclusfaseBeheersactiviteitBewijsregistratie
VraagZakelijke behoefte, gegevens en criticaliteit geïdentificeerd vóór marktbenaderingIntakeformulier, gegevensclassificatie, criticaliteitsclassificatie
SelectieRFP bevat eisen voor beveiliging, privacy, weerbaarheid en productassuranceRFP-schema, leveranciersreacties, scoreformulier
ContractVerplichtingen worden vóór ondertekening afdwingbaarDPA, beveiligingsbijlage, SLA, auditrechten, incident- en exitclausules
OnboardingToegang, configuratie, logging, encryptie en gegevensstromen worden gevalideerdOnboardingchecklist, toegangsgoedkeuringen, configuratiebewijs
OperatieLeveranciersrisico wordt gemonitord en opnieuw beoordeeldBeoordelingsritme, bijgewerkt bewijs, incidenten, wijzigingen, risicoacceptatie

Voor leveranciers met een hoog risico moet monitoring bestaan uit vernieuwing van bewijs, beveiligingsbeoordelingsbijeenkomsten, deelname aan tabletop-oefeningen voor incidenten, beoordeling van toegangsrechten, rapportage over kwetsbaarheden en patches, beoordeling van servicewijzigingen en updates over subverwerkers. Voor leveranciers met een lager risico kan een jaarlijkse beoordeling voldoende zijn. Schaalbaarheid onder ISO 27001, proportionaliteit onder NIS2 en proportionaliteit onder DORA ondersteunen allemaal maatwerk, maar maatwerk moet worden gemotiveerd en gedocumenteerd.

De volgende stap met Clarysec

De volgende risicovolle SaaS-aankoop wacht niet op een perfecte herinrichting van governance. Begin met het volgende inkoopverzoek.

Gebruik de Zenith Blueprint: een 30-stappenroadmap voor auditors om Step 23-beheersmaatregelen voor leveranciersrelaties en Step 21-beheersmaatregelen voor uitbestede ontwikkeling te implementeren. Gebruik Zenith Controls om ISO/IEC 27002:2022-beheersmaatregelen 5.19, 5.20 en 5.21 in kaart te brengen ten opzichte van NIS2, DORA, GDPR, NIST CSF 2.0 en COBIT-georiënteerde auditverwachtingen. Gebruik de beleidsbibliotheek van Clarysec, waaronder het Beleid inzake beveiliging van derde partijen en leveranciers, het Beleid inzake vereisten voor applicatiebeveiliging, het Beleid inzake gebruik van cloudservices en het Beleid inzake juridische en regelgevende naleving, om de poort afdwingbaar te maken.

Vereis vóór ondertekening van het volgende contract leveranciersclassificatie, beveiligingsbewijs, DPA-gereedheid, incidenttoezeggingen, kwetsbaarhedenbeheer, transparantie over subcontractanten, auditrechten en exitvoorwaarden.

Dat is secure-by-demand inkoop. Zo zetten CISO’s regelgevende druk om in koopkracht. Zo brengen compliancemanagers overlappende verplichtingen samen in één bewijsdossier. Zo zien auditors dat leveranciersrisico is beoordeeld voordat afhankelijkheid ontstond. En zo kopen bedrijfseigenaren sneller software zonder onbeheerst risico te erven.

Klaar om uw volgende software-aankoop om te zetten in een auditklare beheersmaatregel? Verken de geïntegreerde beleidssuite van Clarysec, download de Zenith Blueprint, bekijk Zenith Controls of plan een demo om een secure-by-demand inkoopprogramma te bouwen dat bestand is tegen NIS2, DORA, GDPR, CRA-verwachtingen en echte toetsing door auditors.

About the Author

Igor Petreski

Igor Petreski

Compliance Systems Architect, Clarysec LLC

Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council

Share this article