Van de NIS2-richtlijn tot de BIO 2.0 en DORA: de wet- en regelgeving wordt steeds strenger. Vaak gelden de regels niet alleen voor je eigen organisatie, maar ook voor je IT-leveranciers. Hoe controleer je of al die partijen doen wat ze beloven?
Compliance is geen doel op zich. Al die regels en richtlijnen hebben een cruciale functie. Ze geven organisaties concrete handvatten om bijvoorbeeld hun digitale weerbaarheid te verhogen en de gegevens van klanten beter te beschermen. Steeds vaker is ketenveiligheid een belangrijk speerpunt van wet- en regelgeving. Een keten is namelijk zo sterk als haar zwakste schakel. Dat kan een interne afdeling zijn, maar ook een toeleverancier.
Neem bijvoorbeeld de NIS2, een Europese richtlijn voor informatiebeveiliging in vitale sectoren. In de NIS2 staat onder andere dat organisaties de beveiliging van IT-leveranciers en hun dienstverlening moeten beoordelen. Ook worden organisaties aangespoord om maatregelen voor het beheer van cyberrisico's op te nemen in contracten. Dit soort eisen komen ook terug in de DORA-wetgeving voor de financiële sector en de BIO 2.0, de opvolger van de BIO-norm voor informatiebeveiliging bij de overheid.
Praktische uitdagingen
Over nut en noodzaak van dergelijke wet- en regelgeving is weinig discussie. Wel worstelen veel organisaties met de praktische uitvoerbaarheid. Allereerst is het al een behoorlijke opgave om zelf compliance aan te tonen. Per normenkader gaat het om vele tientallen eisen, vaak in complexe juridische taal. Het vertalen van normenkaders naar controlemechanismen vereist specialistische kennis die moeilijk te vinden is in de huidige arbeidsmarkt.
Een complex IT-ecosysteem maakt het nog lastiger om compliance aan te tonen. IT-leveranciers zijn zelf verantwoordelijk voor de naleving van contractuele afspraken en normen. Maar als je organisatie bijvoorbeeld wordt gehackt via een leverancier met een slechte beveiliging en je klanten ondervinden hier schade van, dan is jouw organisatie eindverantwoordelijk én aansprakelijk. Ook riskeer je boetes vanuit controlerende instanties of zelfs het verliezen van de license to operate.
IT-leveranciers najagen
Het is dus cruciaal om inzicht te krijgen in de keten. Alleen dan kun je mitigerende maatregelen nemen om negatieve gevolgen te voorkomen. Dit inzicht verkrijg je bijvoorbeeld door voor elke IT-leverancier iemand aan te stellen die voortdurend alle eisen naloopt. Dat is inefficiënt, foutgevoelig en niet audit-proof. Hoe ga je alle controles verwerken en registreren? Waar verzamel je het bewijs dat IT-leveranciers aan alle eisen voldoen? En hoe rapporteer je hierover tijdens een externe audit?
Inzicht is één ding, maar een goede opvolging is nog veel belangrijker. De risico's of verbeterpunten die je identificeert, moeten daadwerkelijk leiden tot optimalisaties zoals een aangescherpte beveiliging of een nieuwe werkwijze. Hier gaat het vaak mis. Denk bijvoorbeeld aan een rapport met bevindingen dat ergens in een la belandt. Resultaat: de noodzakelijke verbeteringen worden niet doorgevoerd en de risico's blijven bestaan.
De oplossing: KMS
Het kan gelukkig ook anders. Met het Kwaliteit Management Systeem (KMS) van KPN maak je IT-leveranciers zelf verantwoordelijk voor het aantonen van compliance met contracten en normen. Dit gebeurt via zelfaudits, bijvoorbeeld eens per kwartaal of halfjaar. Het bewijs dat de IT-leveranciers aanleveren, controleer je via steekproeven. Is het tijd voor een externe audit? Dan draai je met 1 druk op de knop een rapportage uit. Zo ben je altijd aantoonbaar ‘in control’ over compliance in je IT-ecosysteem.
Het KMS kent meerdere rollen met duidelijk afgebakende taken en verantwoordelijkheden. De grote kracht van dit systeem is dat het een gestructureerde opvolging mogelijk maakt. Elk type bevinding komt terecht bij de verantwoordelijke rol. Een optimalisatie wordt bijvoorbeeld uitgevoerd door een engineer en een risicomanager ziet erop toe dat een risico wordt afgedekt. Zo controleer je vanuit verschillende hoeken of het probleem binnen een acceptabele tijd opgelost is.  
Elke relevante norm 
Een belangrijke toepassing van het KMS is het aantonen van compliance met wet- en regelgeving. We bieden standaardconfiguraties voor onder andere de NIS2-richtlijn, de BIO 2.0 en DORA. Maar het KMS faciliteert kwaliteitsmanagement in de breedste zin van het woord. Of het nu gaat om NEN-, ISO- of MVO-normen: we kunnen elke relevante norm voor je inrichten.  
Voordelen van het KMS
Het KMS geeft je organisatie meer grip op compliance in het IT-ecosysteem. Maar wat betekent dit nu concreet voor je bedrijfsvoering? Dit zijn drie voordelen van het KMS:
Efficiënt compliance-proces
Je hebt geen complete afdeling nodig om te checken of de wet- en regelgeving wordt nageleefd. Het KMS maakt IT-leveranciers zelf verantwoordelijk voor het aantonen van compliance. Zij leveren bewijs aan en dit controleer je via steekproeven.Beter risicomanagement
Je krijgt meer grip op ketenrisico’s. Omdat je weet waar kwetsbaarheid zit, kun je specifieke mitigerende maatregelen laten nemen om het risico te minimaliseren tot er een definitieve oplossing is. Via dashboards behoud je altijd het overzicht.Altijd klaar voor een audit
Is het tijd voor een externe audit? Met 1 druk op de knop draai je een rapportage uit waarmee je bewijs aanlevert voor alle eisen waaraan je organisatie moet voldoen. Zo laat je direct zien dat je 'in control' bent én verklein je de kans op bevindingen.
Pak de regie over compliance
Zoek jij een betrouwbare en efficiënte methode om compliance in je IT-ecosysteem aan te tonen? En wil je tegelijkertijd de kwaliteit van IT-diensten – en daarmee de bedrijfsvoering – structureel verbeteren? Kies dan voor het KMS.
Solution Paper: Pak de regie over compliance in de keten
In deze solution paper lees je alles over de impact van regelgeving op je IT-ecosysteem, hoe je met het KMS altijd klaar bent voor een audit en KMS in de praktijk: compliance met DORA.
Download