Wat is Third Party Risk Management (TPRM)?
Third Party Risk Management (TPRM) is het proces waarmee organisaties de risico’s van externe partijen – zoals leveranciers, dienstverleners en consultants – identificeren, beoordelen, beperken en monitoren. In OT-omgevingen zijn deze risico’s vaak technisch, operationeel én cybergerelateerd van aard.
In een OT-context betekent TPRM het screenen en controleren van leveranciers die (remote) toegang hebben tot industriële systemen, componenten leveren of software onderhouden.
🧠 Kernfuncties van TPRM
- Identificatie – Weten wie je derde partijen zijn (inclusief subleveranciers)
- Classificatie – Risico-inschatting op basis van toegang, impact en afhankelijkheid
- Due Diligence – Pre-contractuele toetsing op security, integriteit, compliance
- Contractuele afspraken – Eisen vastleggen m.b.t. beveiliging, audits en meldplichten
- Monitoring – Periodieke evaluatie, bijvoorbeeld via vragenlijsten, audits of scans
- Exitstrategie – Plannen voor veilige beëindiging van dienstverlening
🔐 Cyberrisico’s door derde partijen
| Cyberrisico | Voorbeeld in OT-context |
|---|---|
| Supply Chain-risico | Gecompromitteerde update via externe softwareleverancier |
| Ongecontroleerde Remote Access | Engineer van buitenaf met permanente VPN-toegang tot SCADA |
| Niet-gepatchte componenten | Leverancier levert hardware met oude, kwetsbare firmware |
| Gebrekkige logging | Activiteiten van externe gebruikers worden niet vastgelegd |
| Shadow IT | Externe partij gebruikt niet-geautoriseerde tools of scripts |
Veel OT-aanvallen ontstaan indirect via derden, zoals bij 3CX, Kaseya, of onderhoudspartijen met verouderde credentials.
✅ Beveiligingsmaatregelen in TPRM
| Maatregel | Toelichting |
|---|---|
| Supplier Security-beleid | Minimale beveiligingseisen voor externe partijen |
| Risicoclassificatie | Inschatting van risico’s per leverancier op basis van rol/toegang |
| Access Control & Jump Server | Externe toegang beperken en loggen via gecontroleerde routes |
| ISAE 3402 of SOC 2-rapport | Externe assurance over beveiliging en procesbeheersing |
| Monitoring en Anomaliedetectie | Toezicht houden op gedrag van derden op het netwerk |
| Contractuele verplichtingen | DPIA’s, auditrechten, meldplicht bij incidenten vastleggen |
🔁 TPRM en relevante standaarden
| Standaard | Relevantie voor TPRM |
|---|---|
| ISO 27001 & 27036 | Richtlijnen voor leveranciersbeveiliging en ketenbeheer |
| IEC 62443-2-4 | Eisen voor integrators en onderhoudspartijen in industriële omgevingen |
| NIS2 | Legt verplichting op tot leveranciersbeoordeling in vitale sectoren |
| ISAE 3402 | Objectieve audit van processen bij externe dienstverleners |
📦 TPRM in IT vs OT
| TPRM in IT | TPRM in OT |
|---|---|
| Cloudleveranciers, SaaS-diensten | PLC-/SCADA-integrators, installateurs, hardwarevendors |
| Contractuele beveiligingsverplichtingen | Fysieke toegang, firmware-integriteit |
| Continue pentests of audits | Periodieke field-audits of FAT/SAT’s |
| IAM en certificatenbeheer | Patchbeheer, firmwarebeleid, toegang via Jump Server |
In OT zijn derde partijen vaak fysiek én digitaal verweven met kritieke processen – dit vereist extra streng toezicht.
📌 Samengevat
Third Party Risk Management is cruciaal in OT voor het beheersen van leverancierrisico’s. Het gaat niet alleen om beleid, maar ook om Monitoring, technische toegangsbeheersing en aantoonbare zorgplicht.