3rdRisk is een technologiebedrijf op het gebied van risicobeheer, gevestigd in de regio Amsterdam. Het bedrijf heeft een slim cloudplatform om organisaties van alle groottes en in alle sectoren te ondersteunen bij het stroomlijnen en automatiseren van hun risicobeheer en compliance-activiteiten met betrekking tot derde partijen. Cybersecurityredacteur Jan Meijroos spreekt met oprichters Bram en Jelle over innovatie, de afhankelijkheid van derden en de waarde van klantcommunities.
Stel je komt op een feestje en je ontmoet iemand en die vraagt, wat doen jullie? Kun je dan in twee, drie zinnen de elevator pitch doen?
Bram: ‘Wij helpen bedrijven, zoals bijvoorbeeld Jumbo, ING en Bol, om inzicht te krijgen in hun toeleveringsketen. We zorgen ervoor dat ze precies weten van welke derde partijen ze afhankelijk zijn en hoe ze proactief problemen in de keten kunnen opsporen. Denk bijvoorbeeld aan een derde partij die slecht omgaat met jouw klantdata, waardoor deze op straat komen te liggen. Dit wil je voorkomen, want het kan leiden tot financiële verliezen, reputatieschade en boetes van toezichthouders.’
Jullie tagline is “Connecting for a brighter tomorrow.” Kun je dat wat meer toelichten met jullie eigen woorden?
Jelle: ‘Bij 3rdRisk geloven we sterk in het maken van verbindingen, zowel met onze klanten als met hun partners en leveranciers. Door deze ketens beter te beveiligen tegen bijvoorbeeld cyberaanvallen, dragen we bij aan een veiligere en stabielere toekomst. Als we bedrijven helpen om minder kwetsbaar te zijn, profiteren niet alleen zij, maar ook de samenleving als geheel. Onze samenleving en economie zijn namelijk in hoge mate afhankelijk van goed functionerende toeleveringsketens.’
Wat missen klanten vaak voordat ze met jullie in zee gaan?
Bram: ‘Wat we vaak zien, is dat bedrijven geen volledig overzicht hebben van hun derde partijen. Ze weten onvoldoende met wie ze allemaal zaken doen en waar dus de afhankelijkheden zitten. Ze weten misschien wel welke software ze gebruiken, maar ze beseffen niet altijd welke impact het kan hebben als er iets misgaat bij een derde partij. Ons doel is om hen dit inzicht te geven, zodat ze precies weten wat er op het spel staat en hoe ze adequaat kunnen reageren.’
Jullie website is in het Engels. Opereren jullie in heel Europa?
Jelle: ‘We zijn een Nederlands bedrijf, maar we werken internationaal. We hebben klanten in de Verenigde Staten, Engeland, Spanje, Italië, en Duitsland, naast onze Nederlandse klanten.’
Bram: ‘Wat belangrijk is om te benadrukken, is dat we echt een Nederlands bedrijf zijn. We opereren vanuit Nederland en werken nauw samen met de Nederlandse toezichthouders en klanten om problemen op te lossen. We zijn dus geen Amerikaans bedrijf. Ons platform wordt in Nederland ontwikkeld.’
Zijn jullie van huis uit extra sterk vertegenwoordigd in bepaalde branches, of is jullie klantenportfolio heel divers?
Bram: ‘Ons klantenportfolio is behoorlijk divers. We zijn ooit begonnen in de retail, mede door externe factoren zoals incidenten in de bevoorradingsketen. Maar inmiddels werken we ook voor klanten in de financiële sector, de maakindustrie, en de maritieme sector. Overal waar afhankelijkheden en risico’s in de keten een rol spelen, kunnen wij waarde toevoegen.’
Jelle noemde dat Bram het bedrijf begon uit frustratie. Wat was die frustratie precies?
Bram: ‘Ik ben zelf risk professional geweest en werkte voor een cloud- en hostingpartij. Ik zag toen al hoe afhankelijk we waren van allerlei derde partijen, zoals datacenterproviders en hardwareleveranciers. Er was destijds geen goede oplossing om al die afhankelijkheden in kaart te brengen. Ik moest werken met Excel-sheets, wat uiteindelijk niet schaalbaar bleek. Dat was de frustratie: het moest efficiënter en minder foutgevoelig kunnen. Daarom ben ik 3rdRisk begonnen.’
Jullie hebben naar bestaande tooling gekeken. Waarom hebben jullie uiteindelijk besloten om zelf een oplossing te ontwikkelen?
Bram: ‘We hebben inderdaad gekeken naar bestaande GRC-oplossingen, maar die zijn voornamelijk gericht op de interne organisatie en werken niet goed voor samenwerking met leveranciers. Bovendien zijn die oplossingen vaak extreem duur en complex. Voor veel organisaties zijn ze simpelweg onbetaalbaar en niet praktisch om te implementeren.’
Jelle: ‘Daarnaast zien we dat veel tooling zorgt voor een eendimensionale blik op de beheersing van derde-partijen-risico’s. Zo heb je aparte tooling voor duurzaamheidsriscio’s, compliance en cybersecurity. Dit werkt niet. Uiteindelijk willen organisaties een systeem hebben waarin alle derde-partijen-risico’s samenkomen. Alleen met een multidisciplinair perspectief kun je afgewogen beslissingen maken over de samenwerking met derde partijen.’
Wat heeft jullie doen besluiten om samen te werken met Samen Digitaal Veilig?
Bram: ‘De samenwerking met SDV gaat al ver terug. We hebben ooit contact gehad met Iris, die nu een van de programmaleiders is van het NIS2-programma. We delen eigenlijk hetzelfde doel, namelijk het helpen van mkb’ers bij de implementatie van NIS2. Wat ik mooi vind, is dat SDV nu ook content heeft gemaakt waarmee bedrijven echt aan de slag kunnen om NIS2 te implementeren. Ons platform is agnostisch, dus onze klanten kunnen bijvoorbeeld jullie vragenlijsten gebruiken om hun leveranciers te checken. We zien veel mogelijkheden om elkaar te versterken.’
Hoe kijken jullie vanuit jullie expertise naar het NIS2 Quality Mark en de standaardisatie die daarbij komt kijken?
Bram: ‘Ik denk dat het een goede stap is om naar standaardisatie te zoeken. Op dit moment stuurt iedereen verschillende vragenlijsten rond en beoordeelt elke organisatie zijn leveranciers op een andere manier. We verwelkomen initiatieven zoals dit keurmerk, omdat het ook kleinere organisaties helpt. Zeker onder in de keten is de volwassenheid vaak lager en zijn de budgetten beperkt. Je kunt niet van iedereen verwachten dat ze een ISO-certificering halen. Dit keurmerk biedt een gestandaardiseerde en haalbare manier voor organisaties om te voldoen aan de eisen.’
Jelle: ‘Wat ik goed vind aan het NIS2 Quality Mark is dat het bedrijven helpt om in stappen te verbeteren. Net zoals bij de CIS Controls, waar je verschillende niveaus hebt, motiveert het bedrijven om steeds een stapje verder te gaan. In plaats van dat ze denken dat het onmogelijk is om aan alle eisen te voldoen, kunnen ze nu in fases werken aan verbetering. Dit is een slimme manier om bedrijven te stimuleren en te ondersteunen.’
Bram: ‘De toekomst draait om samenwerking en het uitwisselen van informatie. Leveranciers moeten niet alleen als externe partijen worden gezien, maar als partners. Door samen te werken en kennis te delen, kunnen we als samenleving weerbaarder worden tegen risico’s. Initiatieven zoals het NIS2 Quality Mark helpen daarbij omdat ze de standaardisatie en samenwerking bevorderen.’
Verbazen jullie je over de matige – of wellicht zelfs het gebrek aan security maatregelen als jullie bij klanten een kijkje in de keuken mogen nemen?
Bram: ‘Wat ik vaak zie bij klanten is dat ze simpelweg niet weten met wie ze zaken doen. Je zou denken dat iedereen een procurement systeem heeft en alle leveranciers in beeld heeft, maar dat is niet zo. Zelfs grote banken missen vaak het volledige overzicht. Leveranciers veranderen van rol, of er worden diensten aangeschaft met corporate creditcards zonder dat procurement of IT hiervan af weet. Als je niet weet met wie je samenwerkt, wordt het lastig om grip te krijgen. Dit probleem zie je zowel bij grote als kleine bedrijven’.
Jelle: ‘Wat mij vooral opvalt, en wij krijgen hier zelf ook mee te maken omdat we leverancier zijn, is dat bedrijven ons soms vragenlijsten sturen met honderden vragen die vaak niet relevant zijn voor ons. Wij leveren software, maar dan krijgen we vragen over consultancy dienstverlening die voor ons niet van toepassing zijn. Het lijkt alsof bedrijven maar wat doen, zonder te bedenken of de vragen passen bij het type bedrijf. Dit kan veel slimmer en sneller, en dat is precies wat wij met onze technologie proberen te ondersteunen.’
Bram: ‘Wat we ook vaak zien, is dat security afdelingen zich alleen focussen op de interne organisatie, terwijl het grootste deel van de operatie vaak is uitbesteed aan derden. Soms zit wel 80% van de operatie bij partners, maar de security afdeling houdt zich alleen bezig met interne zaken. Dit is verbazingwekkend, zeker omdat de meeste incidenten juist bij derde partijen ontstaan.’
Hoe komt het dat bedrijven zich zo weinig bewust zijn van hun afhankelijkheid van derden?
Bram: ‘Het is een relatief nieuw onderwerp. Veel mensen realiseren zich nog niet hoe afhankelijk ze zijn van derden. De NIS2 wetgeving helpt nu om die keten op de agenda te zetten. Uit recent onderzoek, zoals dat van NTT Data en Deloitte, blijkt dat 94% van de incidenten bij grote bedrijven ontstaat door derde partijen. Dit maakt duidelijk dat de grootste risico’s tegenwoordig buiten de eigen organisatie liggen.’
Hebben jullie voorbeelden van klanten die echt in de problemen kwamen door incidenten bij derden?
Jelle: ‘Zeker, we zien regelmatig dat bedrijven ons benaderen nadat ze grote incidenten hebben meegemaakt. Soms is het een derde partij die wordt getroffen, waarna het bedrijf zelf in de problemen komt. We hebben bijvoorbeeld het incident gezien waarbij een distributiepartij van een supermarkt werd getroffen door ransomware, waardoor er wekenlang geen kaas in de winkels lag. Zulke incidenten maken duidelijk hoe belangrijk het is om je keten te beschermen.’
Wat is de belangrijkste les die jullie aan klanten willen meegeven?
Jelle: ‘Mijn advies zou zijn: start klein, maar begin wel. Veel bedrijven zien ertegenop omdat het veel werk lijkt, maar begin gewoon met een nauwe scope. Stel een paar eenvoudige vragen aan je leveranciers om te weten wie je belangrijkste contactpersonen zijn en waar het precies om gaat. Als je dit eenmaal goed op de rit hebt, kun je het langzaam uitbreiden.’
Bram: ‘Onthoud daarbij dat het samen moet gebeuren. De NIS2 is niet bedoeld om elkaar kapot te beoordelen met eindeloze vragenlijsten. Ga eens langs bij je leveranciers en bouw een goede relatie op. Dat is waar het uiteindelijk om draait.’
Jelle, jij wilde nog iets kwijt over innovatie binnen 3rdRisk ten aanzien van NIS2. Kun je dat toelichten?
Jelle: ‘We zijn continu bezig met het zoeken naar innovatieve manieren om bedrijven te helpen voldoen aan de NIS2 wetgeving. In plaats van alleen maar vragenlijsten te versturen, kijken we naar alternatieven om grip te krijgen op de toeleveringsketen. Bijvoorbeeld door monitoring van nieuwsbronnen, wat wij ook aanbieden in ons platform, of door een profiel aan te maken waarin bedrijven real-time data kunnen delen met hun partners. We experimenteren en werken samen met bedrijven en partners om deze oplossingen verder te ontwikkelen. De komende maanden en het komende half jaar komen er nog mooie releases aan die bedrijven echt zullen ontzorgen, niet alleen voor NIS2 maar ook voor andere wetgevingen.’
Kunnen nieuwe klanten bijdragen aan deze ontwikkelingen?
Jelle: ‘Absoluut! We hebben klantcommunities waar klanten gezamenlijk met ons en met elkaar in gesprek gaan. Het idee is dat we niet concurreren op dit vlak, maar juist samenwerken om efficiënter te worden. In deze communities bespreken we bijvoorbeeld waar klanten tegenaan lopen en wat hen zou helpen. Op die manier kunnen we hun feedback meenemen in de verdere ontwikkelingen van het platform.’
Op welke manier kunnen nieuwe klanten deelnemen aan deze communities?
Bram: ‘Klanten kunnen vragen stellen, met ons in overleg gaan, en aangeven wat ze missen of nodig hebben. We luisteren naar hun feedback en kijken samen hoe we onze oplossingen verder kunnen verbeteren. Door deze samenwerking kunnen we het platform blijven aanpassen aan de behoeften van onze klanten. Dat is ook connecting for a brighter tomorrow!’
