Europese toezichthouders scherpen toezicht op IT-leveranciers aan

Toezichthouders uit het Verenigd Koninkrijk en de Europese Unie hebben nieuwe afspraken gemaakt om gezamenlijk toezicht te houden op kritieke derde partijen. Het gaat daarbij vooral om cloudproviders, softwareleveranciers en IT-dienstverleners die een sleutelrol spelen in vitale sectoren zoals financiën, zorg en overheid.

De aanleiding is duidelijk. Steeds meer organisaties zijn afhankelijk van een beperkt aantal grote leveranciers. Een verstoring bij zo’n partij kan directe gevolgen hebben voor duizenden afnemers tegelijk. Dit concentratierisico wordt door toezichthouders inmiddels gezien als een systeemrisico.

Voor organisaties is dit een belangrijk signaal. Wat nu op toezichtsniveau wordt georganiseerd, verwacht de wetgever straks ook op bedrijfsniveau. NIS2 verplicht organisaties om inzicht te hebben in hun leveranciersketen en om passende maatregelen te treffen bij risico’s die daar ontstaan.

Dit betekent dat vrijblijvende leveranciersrelaties niet langer volstaan. Bedrijven moeten kunnen aantonen dat zij weten wie hun kritieke leveranciers zijn, welke risico’s daaraan verbonden zijn en hoe die risico’s worden beheerst. Transparantie, toetsing en duidelijke afspraken worden de norm.

De boodschap is helder. Leveranciersbeheer verschuift van operationeel detail naar strategisch en bestuurlijk onderwerp.