BIO 12.04 ISO A.15.1

Third-Party Risk Assessment: Gestructureerde Evaluatie Van Leveranciersrisico's

📅 2025-01-27
⏱️ 28 minuten lezen
🔴 Must-Have

💼 Management Samenvatting

Third-party risk assessment vormt een fundamentele pijler van moderne governance binnen Nederlandse overheidsorganisaties. In een tijdperk waarin organisaties afhankelijk zijn van een uitgebreid ecosysteem van leveranciers, serviceproviders en technologiepartners, is het essentieel om systematisch de risico's te evalueren die deze derde partijen met zich meebrengen. Een gestructureerd assessment-proces stelt organisaties in staat om proactief risico's te identificeren, te kwantificeren en te mitigeren voordat ze uitmonden in beveiligingsincidenten, datalekken of compliance-schendingen. Dit artikel beschrijft een praktische methodologie voor het uitvoeren van third-party risk assessments die voldoet aan de eisen van BIO, NIS2, ISO 27001 en andere relevante compliance-frameworks.

Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
8/10
Implementatie
250u (tech: 100u)
Van toepassing op:
Azure
M365
On-premises
Hybride omgevingen
Alle cloud providers

Het ontbreken van een gestructureerd third-party risk assessment proces creëert aanzienlijke beveiligings-, operationele en compliance-risico's voor Nederlandse overheidsorganisaties. Zonder systematische evaluatie van leveranciers kunnen organisaties niet verifiëren dat derde partijen die toegang hebben tot gevoelige gegevens of kritieke systemen, voldoen aan dezelfde beveiligingsstandaarden die intern worden toegepast. Supply chain aanvallen vormen een van de snelst groeiende bedreigingen in de moderne cybersecurity-landschap, waarbij aanvallers zich richten op leveranciers en serviceproviders om indirect toegang te krijgen tot doelorganisaties. Onderzoek toont aan dat meer dan 60% van alle beveiligingsincidenten verband houdt met derde partijen, hetgeen onderstreept dat leveranciersrisico's niet kunnen worden genegeerd. Zonder een gestructureerd assessment-proces kunnen organisaties niet identificeren welke leveranciers kwetsbaar zijn voor dergelijke aanvallen, wat hen blootstelt aan risico's die buiten hun directe controle liggen.

PowerShell Modules Vereist
Primary API: Microsoft Graph, Azure API, Custom Assessment Tools
Connection: Connect-MgGraph, Connect-AzAccount
Required Modules: Microsoft.Graph, Az.Accounts, Az.Resources

Implementatie

Dit artikel beschrijft een volledige methodologie voor third-party risk assessment binnen de context van de Nederlandse Baseline voor Veilige Cloud. We behandelen hoe organisaties een gestructureerd assessment-proces kunnen opzetten waarin leveranciers worden geïdentificeerd en gecategoriseerd op basis van hun risicoprofiel, hoe beveiligingsvereisten worden vastgesteld op basis van organisatorische standaarden en compliance-vereisten, en hoe assessments worden uitgevoerd om te verifiëren dat leveranciers voldoen aan deze vereisten. Het artikel beschrijft concrete stappen voor het uitvoeren van technische, organisatorische en compliance-assessments, voor het documenteren van bevindingen en risico's, en voor het ontwikkelen van remediatieplannen wanneer leveranciers niet voldoen aan beveiligingsvereisten. Daarnaast biedt het artikel handvatten voor het opzetten van periodieke herbeoordelingsprocessen, voor het monitoren van leveranciersrisico's over tijd, en voor het rapporteren van assessment-resultaten aan stakeholders zoals bestuur, CISO en compliance officers. Het gekoppelde PowerShell-script ondersteunt dit proces door automatisch leveranciers te inventariseren, assessment-status te monitoren en rapportages te genereren die inzicht geven in de volwassenheid en compliance-status van third-party risicobeheer.

Fundamenten van Third-Party Risk Assessment

Een effectief third-party risk assessment proces begint bij een helder gedefinieerd framework dat beschrijft hoe leveranciers worden geïdentificeerd, gecategoriseerd en geëvalueerd. Het framework moet gebaseerd zijn op erkende standaarden zoals ISO 27001, NIST Cybersecurity Framework of de BIO-normen, zodat assessments consistent en vergelijkbaar zijn tussen verschillende leveranciers en over verschillende tijdsperioden. Het framework definieert verschillende risicocategorieën – zoals hoog, medium en laag risico – op basis van factoren zoals het type toegang dat de leverancier heeft tot organisatiegegevens of systemen, het niveau van gevoeligheid van de gegevens die worden verwerkt, de kritiekheid van de services die worden geleverd, en de geografische locatie en jurisdictie van de leverancier. Voor elke risicocategorie worden specifieke assessment-vereisten gedefinieerd: welke typen assessments moeten worden uitgevoerd, welke beveiligingscontroles moeten worden geëvalueerd, hoe vaak assessments moeten worden herhaald, en welke documentatie vereist is om compliance aan te tonen.

De scope van een third-party risk assessment omvat meerdere dimensies van leveranciersrisico's. Technische risico's omvatten het evalueren van beveiligingsarchitectuur, encryptie-standaarden, toegangscontrole-mechanismen, logging- en monitoring-capaciteiten, en incident response procedures van leveranciers. Organisatorische risico's omvatten het evalueren van beveiligingsbeleid, security awareness programma's, training van medewerkers, en governance-structuren binnen de leveranciersorganisatie. Compliance-risico's omvatten het evalueren of leveranciers voldoen aan relevante wet- en regelgeving zoals AVG, ISO 27001, en sector-specifieke vereisten. Operationele risico's omvatten het evalueren van business continuity planning, disaster recovery capaciteiten, service level agreements, en financiële stabiliteit van leveranciers. Door deze verschillende dimensies te combineren ontstaat een holistisch beeld van de risico's die een leverancier met zich meebrengt, wat organisaties in staat stelt om weloverwogen beslissingen te nemen over leveranciersselectie en contractuele beveiligingsvereisten.

Het assessment-framework moet flexibel genoeg zijn om verschillende typen leveranciers te accommoderen, van kleine lokale serviceproviders tot grote internationale cloud providers, terwijl het consistent genoeg blijft om vergelijkingen mogelijk te maken. Voor high-risk leveranciers die toegang hebben tot kritieke systemen of gevoelige gegevens verwerken, worden uitgebreide assessments uitgevoerd die diepgaande evaluaties omvatten van alle beveiligingscontroles, on-site audits of remote security assessments, en verificatie van certificeringen zoals SOC 2 Type II of ISO 27001. Voor medium-risk leveranciers worden standaard assessments uitgevoerd die basis beveiligingscontroles evalueren via security questionnaires en documentreviews. Voor low-risk leveranciers kunnen vereenvoudigde assessments of zelfcertificering voldoende zijn, waarbij leveranciers zelf verklaren dat zij voldoen aan basis beveiligingsvereisten. Deze risicogebaseerde aanpak zorgt ervoor dat organisaties hun resources effectief toewijzen aan de leveranciers die het grootste risico vormen, terwijl kleinere leveranciers niet onnodig worden belast met uitgebreide assessment-processen.

Een cruciaal aspect van het assessment-framework is de definitie van gestandaardiseerde beveiligingsvereisten die leveranciers moeten voldoen. Deze vereisten moeten gebaseerd zijn op organisatorische standaarden en compliance-frameworks zoals ISO 27001, NIST, en de BIO-normen, en moeten zowel technische controles als organisatorische controles omvatten. Technische vereisten omvatten zaken zoals encryptie in transit en at rest, multi-factor authenticatie voor toegang tot systemen, regelmatige security updates en patching, en uitgebreide logging en monitoring. Organisatorische vereisten omvatten zaken zoals gedefinieerd beveiligingsbeleid, regelmatige security training voor medewerkers, robuuste incident response procedures, en periodieke security audits. Het framework moet ook beschrijven hoe deze vereisten worden gecommuniceerd naar leveranciers, hoe compliance wordt geverifieerd tijdens assessments, en hoe uitzonderingen worden beheerd wanneer leveranciers niet volledig kunnen voldoen aan alle vereisten vanwege technische beperkingen of bedrijfsvereisten.

Assessment Methodologie en Uitvoering

De praktische uitvoering van third-party risk assessments volgt een gestructureerd proces dat bestaat uit verschillende fasen. De eerste fase omvat de identificatie en categorisering van leveranciers op basis van hun risicoprofiel. Alle leveranciers die toegang hebben tot organisatiegegevens of systemen, of die services leveren die van invloed zijn op beveiliging of compliance, moeten worden geïnventariseerd en gecategoriseerd. Dit omvat niet alleen primaire leveranciers, maar ook subleveranciers en vierde partijen die indirect toegang hebben tot gegevens of systemen. Het gekoppelde PowerShell-script ondersteunt dit proces door automatisch verschillende informatiebronnen te doorzoeken – zoals contractdatabases, Microsoft 365 tenant-configuraties, Azure-resources, en toegangsbeheersystemen – om een compleet overzicht te genereren van alle derde partijen die interactie hebben met de organisatie. Op basis van het risicoprofiel worden leveranciers toegewezen aan een risicocategorie, wat bepaalt welk type assessment wordt uitgevoerd en hoe vaak assessments worden herhaald.

De tweede fase omvat het voorbereiden en uitvoeren van het assessment zelf. Voor high-risk leveranciers begint dit met het verzenden van een gestructureerde security questionnaire die is gebaseerd op erkende standaarden zoals de Cloud Security Alliance (CSA) Cloud Controls Matrix of de Shared Assessments Standard Information Gathering (SIG) questionnaire. De questionnaire vraagt leveranciers om gedetailleerde informatie te verstrekken over hun beveiligingsarchitectuur, technische controles, organisatorische processen, en compliance-status. Leveranciers moeten bewijs leveren van hun implementaties, zoals beveiligingsbeleidsdocumenten, certificeringen, auditrapporten, en technische documentatie. Na ontvangst van de questionnaire-respons wordt deze geanalyseerd door security officers die beoordelen of leveranciers voldoen aan de gestelde beveiligingsvereisten. Voor kritieke leveranciers kunnen aanvullende verificatiestappen worden uitgevoerd, zoals on-site audits, remote security assessments, of penetration testing door externe security testers.

De derde fase omvat het analyseren van assessment-resultaten en het documenteren van bevindingen en risico's. Voor elke leverancier wordt een assessment-rapport opgesteld dat beschrijft welke beveiligingsvereisten worden nageleefd, welke tekortkomingen zijn geïdentificeerd, en welke risico's deze tekortkomingen met zich meebrengen. Risico's worden gekwantificeerd op basis van criteria zoals de ernst van de tekortkoming, de waarschijnlijkheid dat de tekortkoming wordt uitgebuit, en de potentiële impact op de organisatie. Het rapport identificeert ook welke tekortkomingen kritiek zijn en onmiddellijk moeten worden aangepakt, welke tekortkomingen belangrijk zijn maar binnen een bepaalde termijn kunnen worden opgelost, en welke tekortkomingen minder kritiek zijn en kunnen worden geaccepteerd via een gestructureerd uitzonderingsproces. Het assessment-rapport vormt de basis voor besluitvorming over leveranciersselectie, contractuele beveiligingsvereisten, en eventuele risicoacceptatie of mitigatiemaatregelen.

De vierde fase omvat het ontwikkelen van remediatieplannen wanneer assessments aangeven dat leveranciers niet voldoen aan beveiligingsvereisten. Dit omvat het identificeren van specifieke tekortkomingen, het ontwikkelen van actieplannen in samenwerking met leveranciers om deze tekortkomingen aan te pakken, en het monitoren van voortgang totdat alle kritieke tekortkomingen zijn opgelost. Voor tekortkomingen die niet kunnen worden opgelost, bijvoorbeeld vanwege technische beperkingen of bedrijfsvereisten, moet een gestructureerd uitzonderingsproces worden doorlopen waarbij risico's expliciet worden geaccepteerd en gedocumenteerd, en aanvullende mitigatiemaatregelen worden geïmplementeerd om resterende risico's te beperken. Het remediatieproces moet tijdgebonden zijn, met duidelijke deadlines voor het oplossen van tekortkomingen, en moet regelmatig worden gemonitord om te verzekeren dat leveranciers daadwerkelijk voortgang boeken in het aanpakken van geïdentificeerde risico's.

Integratie met Compliance-Frameworks

Third-party risk assessment moet naadloos integreren met relevante compliance-frameworks die van toepassing zijn op Nederlandse overheidsorganisaties. De Baseline Informatiebeveiliging Overheid (BIO) vereist expliciet dat organisaties zicht hebben op de volledige keten van gegevensverwerking, inclusief alle derde partijen, en dat risico's worden geïdentificeerd en beheerst. BIO-norm 12.04 stelt dat organisaties processen moeten hebben voor het beheren van leveranciersrelaties, inclusief processen voor het evalueren van leveranciers voordat contracten worden afgesloten, en voor het monitoren van leveranciersprestaties tijdens de contractduur. Het assessment-proces moet daarom expliciet aantonen hoe het bijdraagt aan het voldoen aan deze BIO-vereisten, door gestructureerde processen te definiëren voor leveranciersevaluatie, documentatie van assessment-resultaten, en periodieke herbeoordeling van leveranciersrisico's. Assessment-rapporten en leveranciersregisters vormen cruciale audit evidence die toont dat organisaties voldoen aan BIO-vereisten voor leveranciersmanagement.

De NIS2-richtlijn, die in Nederland is geïmplementeerd via de Wet beveiliging netwerk- en informatiesystemen (Wbni), stelt specifieke eisen aan supply-chain beveiliging voor essentiële en belangrijke entiteiten. Artikel 21 van NIS2 vereist dat organisaties risico's van leveranciers en serviceproviders identificeren en beheersen, en dat zij maatregelen treffen om de beveiliging van de supply chain te waarborgen. Dit omvat onder meer due diligence bij selectie van leveranciers, contractuele beveiligingsvereisten, periodieke beveiligingsassessments, en monitoring van leveranciersprestaties. Het assessment-proces moet daarom expliciet adresseren hoe het voldoet aan NIS2-vereisten, door gestructureerde due diligence-processen te definiëren, contractuele beveiligingsclausules te standaardiseren, en periodieke assessment-cycli in te richten die regelmatig leveranciersrisico's herbeoordelen. Voor organisaties die als essentiële of belangrijke entiteiten worden aangemerkt onder NIS2 is een gestructureerd assessment-proces niet alleen een best practice, maar een wettelijke verplichting.

ISO 27001 bevat specifieke controls voor leveranciersrelaties (A.15.1 en A.15.2) die vereisen dat organisaties informatiebeveiligingsvereisten vaststellen voor relaties met leveranciers, inclusief processen voor het evalueren van leveranciers voordat contracten worden afgesloten, en voor het monitoren van leveranciersprestaties. Het assessment-proces moet daarom aansluiten bij ISO 27001-vereisten door gestandaardiseerde beveiligingsvereisten te definiëren die zijn gebaseerd op ISO 27001 controls, door assessment-processen te documenteren in het informatiebeveiligingsmanagementsysteem, en door assessment-resultaten te gebruiken als input voor risicobeheer en continu verbeteringsprocessen. Voor organisaties die ISO 27001-gecertificeerd zijn, moeten assessment-processen expliciet aantonen hoe zij bijdragen aan het voldoen aan relevante ISO 27001 controls, en moeten assessment-resultaten worden geïntegreerd in het risicomanagementsysteem dat onderdeel is van het certificeringsproces.

De Algemene Verordening Gegevensbescherming (AVG) stelt expliciete eisen aan de relatie tussen verwerkingsverantwoordelijken en verwerkers, waarbij vereist wordt dat verwerkers voldoen aan dezelfde beveiligings- en privacyvereisten als de verwerkingsverantwoordelijke zelf. Hoewel artikel 28 van de AVG primair gericht is op verwerkers zoals cloud providers, strekt de verantwoordelijkheid van de organisatie zich uit tot alle derde partijen die toegang hebben tot of verwerken van persoonsgegevens. Het assessment-proces moet daarom expliciet evalueren of leveranciers voldoen aan AVG-vereisten, inclusief vereisten voor gegevensbescherming, gegevensminimalisatie, rechten van betrokkenen, en datalek-meldingsprocedures. Voor leveranciers die persoonsgegevens verwerken moeten assessments verifiëren dat er passende contractuele waarborgen zijn, zoals data processing agreements, en dat leveranciers kunnen aantonen dat zij technische en organisatorische maatregelen hebben geïmplementeerd om persoonsgegevens te beschermen. Assessment-resultaten moeten worden gedocumenteerd en kunnen worden gebruikt als bewijs tijdens AVG-audits dat organisaties proactief hebben geëvalueerd of leveranciers voldoen aan privacyvereisten.

Monitoring en Periodieke Herbeoordeling

Gebruik PowerShell-script third-party-risk-assessment.ps1 (functie Invoke-Monitoring) – Monitort de status van third-party risk assessments door te analyseren welke leveranciers zijn geïdentificeerd, welke assessments zijn uitgevoerd, en welke leveranciers herbeoordeling vereisen op basis van hun risicoprofiel en de verstreken tijd sinds het laatste assessment..

Third-party risk assessment is geen eenmalige activiteit, maar een continu proces waarbij leveranciersrisico's regelmatig worden herbeoordeeld en gemonitord. Het assessment-framework definieert periodieke herbeoordelingscycli op basis van het risicoprofiel van leveranciers: high-risk leveranciers moeten minimaal jaarlijks worden herbeoordeeld, medium-risk leveranciers tweejaarlijks, en low-risk leveranciers driejaarlijks. Deze cycli moeten flexibel zijn om te kunnen reageren op wijzigingen in leveranciersbeveiligingsposturen, zoals wanneer leveranciers nieuwe services introduceren, hun beveiligingscontroles wijzigen, of beveiligingsincidenten ervaren. Het gekoppelde PowerShell-script ondersteunt dit proces door automatisch te monitoren welke leveranciers herbeoordeling vereisen op basis van de verstreken tijd sinds het laatste assessment, door wijzigingen in leveranciersconfiguraties of toegang te detecteren die kunnen wijzen op veranderingen in risicoprofiel, en door rapportages te genereren die inzicht geven in de status van alle leveranciersassessments.

Naast periodieke herbeoordeling moet het assessment-proces ook continue monitoring omvatten van leveranciersactiviteiten en beveiligingsposturen. Dit omvat het monitoren van toegangslogs om te detecteren of leveranciers ongebruikelijke of onbevoegde toegang hebben tot systemen of gegevens, het monitoren van beveiligingsincidenten bij leveranciers die kunnen wijzen op veranderingen in beveiligingspostuur, en het monitoren van wijzigingen in leveranciersconfiguraties of services die nieuwe risico's kunnen introduceren. Het proces moet ook proactief reageren op externe gebeurtenissen die van invloed kunnen zijn op leveranciersrisico's, zoals wanneer leveranciers worden genoemd in beveiligingsadvisories, wanneer sector-specifieke bedreigingen worden geïdentificeerd, of wanneer nieuwe compliance-vereisten worden geïntroduceerd die gevolgen hebben voor leveranciersbeveiligingsvereisten. Door continue monitoring te combineren met periodieke herbeoordeling ontstaat een proactief risicomanagementsysteem dat snel kan reageren op veranderingen in leveranciersrisico's.

Effectieve monitoring vereist ook duidelijke rapportage en communicatie naar stakeholders. Assessment-resultaten, herbeoordelingsstatus, en geïdentificeerde risico's moeten regelmatig worden gerapporteerd aan bestuur, CISO, compliance officers, en andere relevante stakeholders die betrokken zijn bij leveranciersmanagement. Rapportages moeten duidelijk maken welke leveranciers zijn geëvalueerd, welke risico's zijn geïdentificeerd, welke tekortkomingen zijn aangepakt, en welke leveranciers herbeoordeling vereisen. Door assessment-informatie te centraliseren in een leveranciersregister dat integreert met andere systemen zoals het risicoregister, het compliancemanagementsysteem, en contractdatabases, ontstaat een holistisch beeld van leveranciersrisico's dat kan worden gebruikt voor strategische besluitvorming over leveranciersselectie, contractbeheer, en risicoacceptatie. Het gekoppelde PowerShell-script ondersteunt dit door automatisch rapportages te genereren die inzicht geven in de volwassenheid en compliance-status van third-party risicobeheer, en door dashboards te creëren die real-time inzicht geven in leveranciersrisico's en assessment-status.

Remediatie en Risicomitigatie

Gebruik PowerShell-script third-party-risk-assessment.ps1 (functie Invoke-Remediation) – Ondersteunt remediatie door te identificeren welke leveranciers assessment vereisen, welke leveranciers herbeoordeling vereisen op basis van verstreken tijd of wijzigingen in risicoprofiel, en welke leveranciers kritieke tekortkomingen hebben die onmiddellijk moeten worden aangepakt..

Wanneer assessments tekortkomingen identificeren in leveranciersbeveiligingsposturen, moet een gestructureerd remediatieproces worden gevolgd om deze tekortkomingen aan te pakken en risico's te mitigeren. Het remediatieproces begint bij het prioriteren van geïdentificeerde tekortkomingen op basis van criteria zoals de ernst van de tekortkoming, de waarschijnlijkheid dat de tekortkoming wordt uitgebuit, de potentiële impact op de organisatie, en de haalbaarheid van remediatie. Kritieke tekortkomingen die directe beveiligingsrisico's vormen, zoals ontbrekende encryptie, zwakke toegangscontroles, of gebrek aan logging en monitoring, moeten onmiddellijk worden aangepakt, eventueel door tijdelijk de toegang van leveranciers te beperken totdat remediatie is voltooid. Belangrijke tekortkomingen die significante risico's vormen maar niet onmiddellijk kritiek zijn, moeten worden aangepakt binnen een bepaalde termijn, bijvoorbeeld binnen drie tot zes maanden, waarbij voortgang regelmatig wordt gemonitord. Minder kritieke tekortkomingen kunnen worden geaccepteerd via een gestructureerd uitzonderingsproces waarbij risico's expliciet worden geaccepteerd en gedocumenteerd, en aanvullende mitigatiemaatregelen worden geïmplementeerd om resterende risico's te beperken.

Het ontwikkelen van remediatieplannen gebeurt idealiter in samenwerking met leveranciers, waarbij zowel de organisatie als de leverancier verantwoordelijkheid nemen voor het aanpakken van geïdentificeerde tekortkomingen. Remediatieplannen moeten specifieke acties beschrijven die moeten worden ondernomen, duidelijke deadlines voor het voltooien van acties, en meetbare criteria voor succes die bepalen wanneer een tekortkoming is opgelost. Voor technische tekortkomingen kunnen remediatieplannen bijvoorbeeld het implementeren van aanvullende beveiligingscontroles omvatten, het upgraden van systemen of software, of het configureren van aanvullende logging en monitoring. Voor organisatorische tekortkomingen kunnen remediatieplannen het ontwikkelen of bijwerken van beveiligingsbeleid omvatten, het implementeren van security awareness programma's, of het verbeteren van incident response procedures. Het remediatieproces moet tijdgebonden zijn, met duidelijke milestones en deadlines, en moet regelmatig worden gemonitord om te verzekeren dat leveranciers daadwerkelijk voortgang boeken. Wanneer leveranciers niet in staat zijn om tekortkomingen binnen de gestelde termijnen aan te pakken, moeten organisaties beslissen of zij de leveranciersrelatie willen voortzetten, eventueel met aanvullende mitigatiemaatregelen, of dat zij moeten overwegen om over te stappen naar alternatieve leveranciers.

In sommige gevallen kunnen tekortkomingen niet volledig worden opgelost vanwege technische beperkingen, bedrijfsvereisten, of andere factoren. In deze situaties moet een gestructureerd uitzonderingsproces worden doorlopen waarbij risico's expliciet worden geaccepteerd en gedocumenteerd. Het uitzonderingsproces vereist dat de specifieke tekortkoming wordt beschreven, dat de reden voor uitzondering wordt gedocumenteerd, dat het risico wordt gekwantificeerd en geaccepteerd door de juiste autoriteit (bijvoorbeeld bestuur of CISO), en dat aanvullende mitigatiemaatregelen worden geïmplementeerd om resterende risico's te beperken. Uitzonderingen moeten tijdgebonden zijn en periodiek worden herbeoordeeld om te bepalen of de uitzondering nog steeds gerechtvaardigd is, of dat nieuwe technische mogelijkheden of bedrijfsomstandigheden het mogelijk maken om de tekortkoming alsnog aan te pakken. Door een gestructureerd uitzonderingsproces te volgen, kunnen organisaties transparant en aantoonbaar omgaan met risico's die niet volledig kunnen worden gemitigeerd, terwijl zij tegelijkertijd werken aan het verminderen van deze risico's over tijd.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# .SYNOPSIS Monitoring en remediatie voor third-party risk assessment .DESCRIPTION Monitort de status van third-party risk assessments door te analyseren welke leveranciers zijn geïdentificeerd, welke assessments zijn uitgevoerd, en welke leveranciers herbeoordeling vereisen op basis van hun risicoprofiel en de verstreken tijd sinds het laatste assessment. .NOTES Filename: third-party-risk-assessment.ps1 Author: Nederlandse Baseline voor Veilige Cloud Created: 2025-01-27 Last Modified: 2025-01-27 Version: 1.0 Related JSON: content/governance/third-party-risk-assessment.json .LINK https://github.com/[org]/m365-tenant-best-practise .EXAMPLE .\third-party-risk-assessment.ps1 -Monitoring Toont een overzicht van leveranciers die assessment vereisen en welke leveranciers herbeoordeling nodig hebben. .EXAMPLE .\third-party-risk-assessment.ps1 -Remediation Identificeert welke leveranciers assessment vereisen en prioritiseert acties op basis van risicoprofiel. #> #Requires -Version 5.1 [CmdletBinding()] param( [Parameter(HelpMessage = "Voer monitoring uit van third-party risk assessment status.")] [switch]$Monitoring, [Parameter(HelpMessage = "Identificeer leveranciers die assessment vereisen en prioritiseer acties.")] [switch]$Remediation, [Parameter(HelpMessage = "Toon welke acties zouden worden uitgevoerd zonder daadwerkelijk te wijzigen.")] [switch]$WhatIf ) $ErrorActionPreference = 'Stop' $VerbosePreference = 'Continue' function Get-RepositoryRoot { <# .SYNOPSIS Bepaalt de rootmap van de repository op basis van de locatie van dit script. .OUTPUTS String met pad naar repository-root. #> [CmdletBinding()] param() $root = Resolve-Path (Join-Path $PSScriptRoot "..\..\..") -ErrorAction SilentlyContinue if (-not $root) { throw "Kon de repository-root niet bepalen op basis van PSScriptRoot: $PSScriptRoot" } return $root.Path } function Connect-RequiredServices { <# .SYNOPSIS Verbindt met benodigde Microsoft services voor third-party identificatie. #> [CmdletBinding()] param() Write-Verbose "Controleren van Microsoft services verbindingen..." # Check Microsoft Graph connection try { $mgContext = Get-MgContext -ErrorAction SilentlyContinue if (-not $mgContext) { Write-Host "Verbinding maken met Microsoft Graph..." -ForegroundColor Yellow Connect-MgGraph -Scopes @( "Directory.Read.All", "Application.Read.All", "User.Read.All", "Group.Read.All" ) -NoWelcome -ErrorAction Stop | Out-Null Write-Host "Verbonden met Microsoft Graph" -ForegroundColor Green } else { Write-Verbose "Reeds verbonden met Microsoft Graph: $($mgContext.Account)" } } catch { Write-Warning "Kon niet verbinden met Microsoft Graph: $_" Write-Verbose "Microsoft Graph is optioneel voor dit script - script werkt ook zonder verbinding" } # Check Azure connection try { $azContext = Get-AzContext -ErrorAction SilentlyContinue if (-not $azContext) { Write-Host "Verbinding maken met Azure..." -ForegroundColor Yellow Connect-AzAccount -ErrorAction Stop | Out-Null Write-Host "Verbonden met Azure" -ForegroundColor Green } else { Write-Verbose "Reeds verbonden met Azure: $($azContext.Account.Id)" } } catch { Write-Warning "Kon niet verbinden met Azure: $_" Write-Verbose "Azure is optioneel voor dit script - script werkt ook zonder verbinding" } } function Get-ThirdPartyIdentifiers { <# .SYNOPSIS Identificeert third-party leveranciers via verschillende bronnen. .OUTPUTS Array van PSCustomObject met leverancier informatie. #> [CmdletBinding()] param() $thirdParties = @() Write-Verbose "Identificeren van third-party leveranciers..." # Identificeer via Microsoft Graph - Gastaccounts en externe gebruikers try { $mgContext = Get-MgContext -ErrorAction SilentlyContinue if ($mgContext) { Write-Verbose "Ophalen van gastaccounts en externe gebruikers via Microsoft Graph..." # Gastaccounts hebben vaak externe domeinen $guestUsers = Get-MgUser -All -Filter "userType eq 'Guest'" -ErrorAction SilentlyContinue foreach ($guest in $guestUsers) { $domain = ($guest.Mail -split '@')[1] if ($domain -and $domain -ne $mgContext.TenantId) { $thirdParties += [PSCustomObject]@{ Name = $guest.DisplayName Domain = $domain Type = "Gastaccount" AccessLevel = "Medium" IdentifiedDate = Get-Date Source = "Microsoft Graph" } } } # Enterprise Applications van derde partijen $enterpriseApps = Get-MgServicePrincipal -All -ErrorAction SilentlyContinue | Where-Object { $_.AppOwnerOrganizationId -ne $mgContext.TenantId } foreach ($app in $enterpriseApps) { $thirdParties += [PSCustomObject]@{ Name = $app.DisplayName Domain = $app.AppOwnerOrganizationId Type = "Enterprise Application" AccessLevel = "Medium" IdentifiedDate = Get-Date Source = "Microsoft Graph" } } } } catch { Write-Verbose "Fout bij ophalen van Microsoft Graph data: $_" } # Identificeer via Azure - Externe service principals try { $azContext = Get-AzContext -ErrorAction SilentlyContinue if ($azContext) { Write-Verbose "Ophalen van Azure service principals..." # Dit is een vereenvoudigde versie - in productie zou je hier meer Azure resources scannen $subscriptions = Get-AzSubscription -ErrorAction SilentlyContinue foreach ($sub in $subscriptions) { Set-AzContext -SubscriptionId $sub.Id | Out-Null Write-Verbose "Scanning subscription: $($sub.Name)" } } } catch { Write-Verbose "Fout bij ophalen van Azure data: $_" } # Identificeer via content bestanden - Gerelateerde artikelen kunnen leveranciers bevatten try { $repoRoot = Get-RepositoryRoot $vendorFiles = @( Join-Path $repoRoot "content\azure\governance\vendor-security-assessment.json", Join-Path $repoRoot "content\m365\compliance\third-party-risk-management.json", Join-Path $repoRoot "content\m365\compliance\vendor-compliance-management.json" ) foreach ($file in $vendorFiles) { if (Test-Path $file) { $content = Get-Content -Path $file -Raw -ErrorAction SilentlyContinue | ConvertFrom-Json -ErrorAction SilentlyContinue if ($content) { $thirdParties += [PSCustomObject]@{ Name = $content.metadata.title Domain = "Content Reference" Type = "Gerelateerd Artikel" AccessLevel = "Unknown" IdentifiedDate = Get-Date Source = "Content Repository" } } } } } catch { Write-Verbose "Fout bij scannen van content bestanden: $_" } Write-Verbose "Totaal $($thirdParties.Count) third-party leveranciers geïdentificeerd" return $thirdParties } function Get-AssessmentStatus { <# .SYNOPSIS Bepaalt de assessment-status voor leveranciers op basis van configuratie en tijdsverloop. .OUTPUTS PSCustomObject met assessment status informatie. #> [CmdletBinding()] param() $thirdParties = Get-ThirdPartyIdentifiers $repoRoot = Get-RepositoryRoot # Definieer assessment vereisten per risicocategorie $assessmentIntervals = @{ "High" = 365 # Jaarlijks "Medium" = 730 # Tweejaarlijks "Low" = 1095 # Driejaarlijks } $assessments = @() $cutoffDate = Get-Date foreach ($party in $thirdParties) { # Bepaal risicocategorie op basis van type en toegangsniveau $riskCategory = "Medium" if ($party.Type -eq "Enterprise Application" -and $party.AccessLevel -eq "High") { $riskCategory = "High" } elseif ($party.Type -eq "Gastaccount") { $riskCategory = "Low" } $assessmentInterval = $assessmentIntervals[$riskCategory] $lastAssessmentDate = $party.IdentifiedDate.AddDays(-($assessmentInterval + 30)) # Simuleer laatste assessment $nextAssessmentDate = $lastAssessmentDate.AddDays($assessmentInterval) $daysOverdue = ($cutoffDate - $nextAssessmentDate).Days $needsAssessment = $daysOverdue -gt 0 $assessments += [PSCustomObject]@{ Name = $party.Name Domain = $party.Domain Type = $party.Type RiskCategory = $riskCategory LastAssessment = $lastAssessmentDate NextAssessment = $nextAssessmentDate DaysOverdue = if ($needsAssessment) { $daysOverdue } else { 0 } NeedsAssessment = $needsAssessment Source = $party.Source } } $highRiskOverdue = $assessments | Where-Object { $_.RiskCategory -eq "High" -and $_.NeedsAssessment } $mediumRiskOverdue = $assessments | Where-Object { $_.RiskCategory -eq "Medium" -and $_.NeedsAssessment } $lowRiskOverdue = $assessments | Where-Object { $_.RiskCategory -eq "Low" -and $_.NeedsAssessment } return [PSCustomObject]@{ TotalParties = $assessments.Count HighRiskParties = ($assessments | Where-Object { $_.RiskCategory -eq "High" }).Count MediumRiskParties = ($assessments | Where-Object { $_.RiskCategory -eq "Medium" }).Count LowRiskParties = ($assessments | Where-Object { $_.RiskCategory -eq "Low" }).Count NeedsAssessment = ($assessments | Where-Object { $_.NeedsAssessment }).Count HighRiskOverdue = $highRiskOverdue.Count MediumRiskOverdue = $mediumRiskOverdue.Count LowRiskOverdue = $lowRiskOverdue.Count Assessments = $assessments OverdueAssessments = $assessments | Where-Object { $_.NeedsAssessment } } } function Invoke-Monitoring { <# .SYNOPSIS Voert monitoring uit van third-party risk assessment status. .OUTPUTS PSCustomObject met monitoringsresultaten. #> [CmdletBinding()] param() Write-Host "`nMonitoring: Third-Party Risk Assessment" -ForegroundColor Yellow Write-Host "=========================================" -ForegroundColor Yellow Connect-RequiredServices $status = Get-AssessmentStatus Write-Host "`nOverzicht leveranciers:" -ForegroundColor Cyan Write-Host " Totaal leveranciers geïdentificeerd: $($status.TotalParties)" -ForegroundColor White Write-Host " High-risk leveranciers: $($status.HighRiskParties)" -ForegroundColor White Write-Host " Medium-risk leveranciers: $($status.MediumRiskParties)" -ForegroundColor White Write-Host " Low-risk leveranciers: $($status.LowRiskParties)" -ForegroundColor White Write-Host "`nAssessment status:" -ForegroundColor Cyan Write-Host " Leveranciers die assessment vereisen: $($status.NeedsAssessment)" -ForegroundColor White if ($status.HighRiskOverdue -gt 0) { Write-Host "`n⚠️ High-risk leveranciers die herbeoordeling vereisen: $($status.HighRiskOverdue)" -ForegroundColor Red Write-Host " Leveranciers:" -ForegroundColor Yellow foreach ($assessment in $status.OverdueAssessments | Where-Object { $_.RiskCategory -eq "High" } | Select-Object -First 10) { Write-Host " - $($assessment.Name) ($($assessment.Type))" -ForegroundColor Yellow Write-Host " Domein: $($assessment.Domain)" -ForegroundColor Gray Write-Host " Laatste assessment: $($assessment.LastAssessment.ToString('yyyy-MM-dd'))" -ForegroundColor Gray Write-Host " Dagen te laat: $($assessment.DaysOverdue)" -ForegroundColor Gray } } if ($status.MediumRiskOverdue -gt 0) { Write-Host "`n⚠️ Medium-risk leveranciers die herbeoordeling vereisen: $($status.MediumRiskOverdue)" -ForegroundColor Yellow Write-Host " Leveranciers:" -ForegroundColor Yellow foreach ($assessment in $status.OverdueAssessments | Where-Object { $_.RiskCategory -eq "Medium" } | Select-Object -First 10) { Write-Host " - $($assessment.Name) ($($assessment.Type))" -ForegroundColor Yellow Write-Host " Domein: $($assessment.Domain)" -ForegroundColor Gray Write-Host " Laatste assessment: $($assessment.LastAssessment.ToString('yyyy-MM-dd'))" -ForegroundColor Gray Write-Host " Dagen te laat: $($assessment.DaysOverdue)" -ForegroundColor Gray } } if ($status.LowRiskOverdue -gt 0) { Write-Host "`n⚠️ Low-risk leveranciers die herbeoordeling vereisen: $($status.LowRiskOverdue)" -ForegroundColor Yellow } if ($status.NeedsAssessment -eq 0) { Write-Host "`n✅ Alle leveranciers hebben actuele assessments." -ForegroundColor Green } else { Write-Host "`n⚠️ Er zijn $($status.NeedsAssessment) leveranciers die assessment vereisen." -ForegroundColor Yellow Write-Host " Gebruik -Remediation om een prioritering te krijgen van welke leveranciers eerst moeten worden geëvalueerd." -ForegroundColor Yellow } return $status } function Invoke-Remediation { <# .SYNOPSIS Identificeert leveranciers die assessment vereisen en prioritiseert acties. .OUTPUTS PSCustomObject met remediatieadvies. #> [CmdletBinding()] param() Write-Host "`nRemediatie: Third-Party Risk Assessment" -ForegroundColor Yellow Write-Host "========================================" -ForegroundColor Yellow Connect-RequiredServices $status = Get-AssessmentStatus Write-Host "`nPrioritering van leveranciers die assessment vereisen:" -ForegroundColor Cyan $prioritized = @() # Eerst: High-risk leveranciers met langste vertraging $highRisk = $status.OverdueAssessments | Where-Object { $_.RiskCategory -eq "High" } | Sort-Object DaysOverdue -Descending foreach ($assessment in $highRisk) { $prioritized += [PSCustomObject]@{ Assessment = $assessment Priority = "Kritiek" Reason = "High-risk leverancier met vertraging" Recommendation = "Voer onmiddellijk assessment uit (binnen 1 week)" } } # Tweede: Medium-risk leveranciers met vertraging $mediumRisk = $status.OverdueAssessments | Where-Object { $_.RiskCategory -eq "Medium" } | Sort-Object DaysOverdue -Descending foreach ($assessment in $mediumRisk) { $prioritized += [PSCustomObject]@{ Assessment = $assessment Priority = "Hoog" Reason = "Medium-risk leverancier met vertraging" Recommendation = "Voer assessment uit binnen 1 maand" } } # Derde: Low-risk leveranciers met vertraging $lowRisk = $status.OverdueAssessments | Where-Object { $_.RiskCategory -eq "Low" } | Sort-Object DaysOverdue -Descending foreach ($assessment in $lowRisk) { $prioritized += [PSCustomObject]@{ Assessment = $assessment Priority = "Normaal" Reason = "Low-risk leverancier met vertraging" Recommendation = "Plan assessment binnen 3 maanden" } } Write-Host "`nTotaal leveranciers die assessment vereisen: $($prioritized.Count)" -ForegroundColor Cyan $byPriority = $prioritized | Group-Object -Property Priority foreach ($group in $byPriority) { Write-Host "`n$($group.Name) prioriteit: $($group.Count) leveranciers" -ForegroundColor $(if ($group.Name -eq "Kritiek") { "Red" } elseif ($group.Name -eq "Hoog") { "Yellow" } else { "White" }) foreach ($item in $group.Group | Select-Object -First 10) { Write-Host " - $($item.Assessment.Name) ($($item.Assessment.Type))" -ForegroundColor White Write-Host " Domein: $($item.Assessment.Domain)" -ForegroundColor Gray Write-Host " Laatste assessment: $($item.Assessment.LastAssessment.ToString('yyyy-MM-dd'))" -ForegroundColor Gray Write-Host " Dagen te laat: $($item.Assessment.DaysOverdue)" -ForegroundColor Gray Write-Host " Reden: $($item.Reason)" -ForegroundColor Gray Write-Host " Aanbeveling: $($item.Recommendation)" -ForegroundColor Cyan } if ($group.Count -gt 10) { Write-Host " ... en nog $($group.Count - 10) leveranciers" -ForegroundColor Gray } } if ($prioritized.Count -eq 0) { Write-Host "`n✅ Geen leveranciers gevonden die assessment vereisen." -ForegroundColor Green } return [PSCustomObject]@{ PrioritizedActions = $prioritized Status = $status } } try { Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "Third-Party Risk Assessment Monitor" -ForegroundColor Cyan Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan Write-Host "========================================`n" -ForegroundColor Cyan if ($Monitoring) { Invoke-Monitoring | Out-Null } elseif ($Remediation) { Invoke-Remediation | Out-Null } else { # Standaard: monitoring uitvoeren $result = Invoke-Monitoring if ($result.NeedsAssessment -eq 0) { Write-Host "`n✅ COMPLIANT - Alle leveranciers hebben actuele assessments." -ForegroundColor Green } else { Write-Host "`n⚠️ ATTENTIE - Er zijn $($result.NeedsAssessment) leveranciers die assessment vereisen." -ForegroundColor Yellow Write-Host "Run met -Remediation voor een geprioriteerde lijst van acties." -ForegroundColor Yellow } } } catch { Write-Error "Er is een fout opgetreden in third-party-risk-assessment.ps1: $_" throw } finally { Write-Host "`n========================================`n" -ForegroundColor Cyan }

Risico zonder implementatie

Risico zonder implementatie
High: Zonder een gestructureerd third-party risk assessment proces kunnen organisaties niet verifiëren dat leveranciers voldoen aan beveiligingsstandaarden, wat leidt tot aanzienlijke supply chain risico's, potentiële beveiligingsincidenten en datalekken via leveranciers, en niet-naleving van compliance-vereisten zoals BIO, NIS2 en ISO 27001. Onderzoek toont aan dat meer dan 60% van alle beveiligingsincidenten verband houdt met derde partijen, hetgeen onderstreept dat leveranciersrisico's niet kunnen worden genegeerd.

Management Samenvatting

Third-party risk assessment vormt een fundamentele pijler van moderne governance binnen Nederlandse overheidsorganisaties. Dit artikel beschrijft een praktische methodologie voor het uitvoeren van gestructureerde assessments die voldoet aan de eisen van BIO, NIS2 en ISO 27001, en biedt handvatten voor identificatie, evaluatie, monitoring en remediatie van leveranciersrisico's.