De meeste organisaties weten wie hun leveranciers zijn. Veel minder organisaties weten waar ze werkelijk van afhankelijk zijn. Dat verschil is kleiner dan het lijkt — en groter dan het kost.

Vraag een willekeurige operator wie zijn leveranciers zijn en hij kan u een lijst geven. Contracten zijn gesloten, facturen worden betaald, aanspreekpunten zijn bekend. Het overzicht bestaat.

Vraag diezelfde operator wat er gebeurt als de authenticatieprovider van zijn IT-dienstverlener wordt gecompromitteerd — een partij waarmee hij zelf geen contract heeft — en het antwoord is stiller.

Dat is het verschil tussen een leverancierslijst en een afhankelijkheidskaart. En het is precies het verschil dat telt op het moment dat er iets misgaat.

Het misverstand dat de meeste organisaties duur staat

De meeste organisaties denken dat ze hun keten kennen. Ze hebben een lijst van leveranciers, misschien aangevuld met een risicoclassificatie per partij. Dat voelt als overzicht. Maar het is een overzicht van de eerste laag — de relaties die zichtbaar zijn omdat er een contract aan ten grondslag ligt.

Wat die lijst niet laat zien:

Welke van uw leveranciers gebruiken dezelfde onderliggende infrastructuur, waardoor een storing bij één partij meerdere van uw diensten tegelijk raakt. Welke softwarecomponenten in uw eigen systemen afkomstig zijn van partijen die u nooit bewust heeft geselecteerd. Welke leveranciers toegang hebben tot uw netwerk via een derde partij die u wel kent, maar niet als risicovector beschouwt. Waar in uw keten een enkelvoudig punt bestaat waarvan meerdere kritieke processen afhankelijk zijn — zichtbaar pas als dat punt wegvalt.

Het NCSC formuleert het scherp in haar handreiking voor leveranciersinventarisatie: bepaalde leveranciers leveren een niet-kritieke dienst maar hebben wel toegang tot vertrouwelijke systemen en data. Die combinatie — lage zichtbaarheid, hoge toegang — is precies waar aanvallers op mikken.

Een leverancierslijst registreert contracten. Een afhankelijkheidskaart laat zien hoe uw organisatie werkelijk functioneert.

Waarom dit moeilijker is dan het lijkt

Het in kaart brengen van ketenafhankelijkheden is om drie redenen structureel lastiger dan een leveranciersoverzicht samenstellen — en de moeilijkheid zit niet waar de meeste organisaties het verwachten.

Ten eerste is het totaalbeeld niemands eigendom. Contracten liggen bij inkoop. Toegangsrechten staan in IT-systemen. Procesafhankelijkheden leven in de hoofden van operationele teams. Elke afdeling heeft een deel van het beeld — maar niemand heeft het geheel. Dat is niet een kwestie van slordigheid. Het is de natuurlijke uitkomst van hoe organisaties groeien: leveranciers worden per afdeling geselecteerd, systemen worden per project aangeschaft, en het totaaloverzicht is er nooit bewust samengesteld. Het gevolg is dat de medewerker die het meeste weet over uw leveranciersketen vaak dezelfde is die morgen ziek kan zijn of een week later ergens anders werkt — en dat zijn kennis dan simpelweg weg is.

Ten tweede is de informatie die u nodig heeft niet in uw eigen administratie te vinden. U weet wie uw directe leveranciers zijn. Maar u weet niet — tenzij u ernaar vraagt en een eerlijk antwoord krijgt — welke partijen uw IT-dienstverlener gebruikt voor de diensten die hij aan u levert. Die tweede laag is precies waar veel cascade-risico’s ontstaan. Een authenticatieprovider die door uw IT-dienstverlener wordt gebruikt en tegelijkertijd de ruggengraat vormt van twee andere kritieke leveranciers is voor u onzichtbaar — tot op het moment dat die provider uitvalt en drie van uw systemen tegelijk stoppen. Het NCSC stelt expliciet: als het duidelijk is dat er grote risico’s zijn bij de leveranciers van uw directe leveranciers, is het van belang ook die mee te nemen. Maar u kunt alleen meenemen wat u weet te zoeken.

Ten derde heeft u dit beeld niet één keer nodig, maar voortdurend. Leveranciers worden overgenomen door partijen met een ander risicoprofiel. Diensten worden zonder aankondiging gemigreerd naar nieuwe platforms. Nieuwe koppelingen ontstaan in de marge van projecten, zonder dat iemand ze bewust heeft geregistreerd als ketenafhankelijkheid. Een afhankelijkheidskaart die zes maanden geleden accuraat was, kan vandaag op cruciale punten verouderd zijn — en u weet dat pas op het moment dat het ertoe doet.

Hoe een afhankelijkheidskaart wordt opgebouwd

Een gestructureerde aanpak voor supply chain mapping werkt in vier stappen die bewust in volgorde worden gezet.

Stap 1: Begin bij uw kritieke processen, niet bij uw leveranciers

De meeste organisaties beginnen met een leverancierslijst en proberen daarna te bepalen welke leveranciers belangrijk zijn. Dat is de verkeerde volgorde. Begin bij de processen en systemen die absoluut moeten blijven functioneren — uw essentiële dienstverlening in de zin van de Cyberbeveiligingswet. Het NCSC noemt dit te beschermen belangen (TBB’s): de processen, informatie en systemen die u moet beschermen omdat uitval of compromittering directe gevolgen heeft voor uw dienstverlening.

Bepaal per TBB welke externe partijen een rol spelen in de continuïteit of beveiliging ervan. Dat levert een leveranciersoverzicht op dat direct is gekoppeld aan wat er werkelijk toe doet — in plaats van een alfabetische lijst van alle partijen waarmee ooit een contract is gesloten.

Stap 2: Breng toegang en afhankelijkheden in kaart per directe leverancier

Voor elke leverancier die relevant is voor uw TBB’s, brengt u twee dimensies in kaart. Welke toegang heeft deze leverancier tot uw netwerk, systemen of data? Welke diensten of producten levert hij die direct van invloed zijn op uw kritieke processen?

Dit is de tier 1-kaart — uw directe leverancierslandschap, volledig en actueel. Dit is ook wat u nodig heeft om een risicoanalyse uit te voeren. De tweede laag — de leveranciers van uw leveranciers — brengt u pas in kaart nadat de risicoanalyse heeft bepaald welke van uw directe leveranciers hoog-kritiek zijn. Tier 2-mapping is een gerichte verdieping, geen universele stap. Het is te tijdrovend en te afhankelijk van leveranciersmedewerking om voor iedereen te doen — en dat is ook niet nodig. Een cloudprovider die uw minst kritieke administratieve systeem ondersteunt, rechtvaardigt die inspanning niet. Een OT-leverancier zonder alternatieven die toegang heeft tot uw procesbesturing, wel.

Stap 3: Identificeer concentraties en enkelvoudige afhankelijkheden

Op basis van de gecombineerde informatie kunt u patronen zien die op individueel leveranciersniveau onzichtbaar zijn. Welke partijen — direct of indirect — raken aan meerdere van uw kritieke processen tegelijk? Waar bestaat een enkelvoudig punt van falen dat, als het wegvalt, een cascade van gevolgen heeft? Welke gedeelde infrastructuur of diensten verbinden meerdere leveranciers op een manier die u kwetsbaar maakt voor één aanvalsvector?

Dit zijn de inzichten die een afhankelijkheidskaart oplevert en een leverancierslijst niet. Ze zijn ook de inzichten die u nodig heeft om te prioriteren — in uw risicoanalyse, in uw vendor engagement, en in de maatregelen die u treft.

Stap 4: Leg vast en houd actueel

Een afhankelijkheidskaart die niet wordt onderhouden, veroudert snel en verliest zijn waarde als sturingsinstrument. Leg de kaart vast in een formaat dat actualisering mogelijk maakt — niet als statisch document maar als levend overzicht dat wordt bijgewerkt bij relevante wijzigingen: nieuwe contracten, leveranciersovernames, migraties naar nieuwe platforms, of wijzigingen in uw eigen proceslandschap.

Koppel het onderhoud aan bestaande processen waar dat kan — inkoop, contractbeheer, wijzigingsbeheer — zodat actualisering geen afzonderlijke inspanning wordt maar een integraal onderdeel van hoe uw organisatie al werkt.

Wat u ermee doet

Een afhankelijkheidskaart is geen eindproduct. Het is het vertrekpunt voor alles wat daarna komt.

Op basis van een accurate afhankelijkheidskaart kunt u uw risicoanalyse uitvoeren met de juiste scope — wetend welke leveranciers welke risico’s introduceren en waar die risico’s zich concentreren. Zonder dat beeld beoordeelt u leveranciers in isolatie, zonder zicht op de systemische kwetsbaarheden die pas zichtbaar worden als u de verbindingen tussen partijen kent.

Op basis van die risicoanalyse kunt u uw vendor engagement prioriteren — welke leveranciers welk niveau van beoordeling en actieve sturing rechtvaardigen, en welke middelen u inzet als een leverancier niet meewerkt.

En op basis van beide kunt u bij een audit aantonen dat uw aanpak risicogebaseerd is en aansluit bij uw werkelijke situatie — niet bij een generieke checklist.

De volgorde is daarmee helder: eerst zien, dan beoordelen, dan sturen. De initiële kaart dekt uw directe leveranciers. De risicoanalyse bepaalt vervolgens waar u dieper gaat — voor hoog-kritieke leveranciers volgt tier 2-mapping als gerichte verdieping. Zonder dat fundament beoordeelt u risico’s op basis van wat u denkt te weten, en stuurt u op leveranciersgedrag zonder te weten welke het meest urgent zijn. Dat is niet alleen inefficiënt. Het is precies het patroon dat een toezichthouder zichtbaar maakt als hij vraagt: hoe wist u dat uw aanpak proportioneel was aan de werkelijke risico’s in uw keten?

Een afhankelijkheidskaart is het antwoord op die vraag — voordat hij gesteld wordt.

Bij Zitha & Houwen helpen wij essentiële en belangrijke entiteiten om hun ketenafhankelijkheden systematisch in kaart te brengen — als vertrekpunt voor risicoanalyse, vendor engagement en aantoonbare zorgplicht. Neem contact op om te bespreken hoe wij u kunnen helpen, of doe eerst onze Quick Scan om te zien waar uw organisatie nu staat.