New Paradigm Security
Leveranciersrisicobeheer · DORA · NIS2

Stop met Spreadsheets Beheren.
Begin met Beheren van Ketenrisico.

Enterprise-grade leveranciersrisicobeheer voor DORA- en NIS2-plichtige organisaties. Wij fungeren als uw externe Vendor Security Office — we verifiëren bewijs, we verzamelen geen vinkjes.

Plan een TPRM-strategiegesprekOnze Diensten

Bent u de leverancier die geauditeerd wordt? → Bekijk onze Vendor Security Compliance-dienst

Leveranciersrisicoregister
Live
LeverancierTierScoreStatus
Cloud InfrastructuurleverancierKritischBBewijs in behandeling
Kern SaaS-platformHoogACompliant
Managed IT-ondersteuningHoogCReview vereist
GegevensverwerkerMiddelDKritische bevinding
147 leveranciers gemonitord12 vereisen aandacht
DORA InformatieregisterAudit-Gereed · 94%
Het Probleem

De Spreadsheet-Illusie Is Uw Grootste Compliancerisico

De meeste organisaties geloven dat ze compliant zijn omdat ze jaarlijks een Excel-vragenlijst naar leveranciers sturen. Toezichthouders beginnen dit aan te kaarten.

01

Nul Echt Inzicht

U heeft mogelijk 50, 100 of 200+ leveranciers in uw keten. Weet u welke vorige week gehackt is? Jaarlijkse vragenlijsten zijn een momentopname. Risico beweegt dagelijks.

02

DORA & NIS2 Hebben de Lat Verhoogd

Onder DORA Artikel 28 is een "Ja" op een formulier geen wettelijke verdediging meer. U moet aantonen dat u leveranciersclaims actief heeft geverifieerd en een levend Informatieregister bijhoudt.

03

Uw Team Verdrinkt in Administratie

Interne medewerkers verliezen honderden uren aan het achtervolgen van leveranciers voor documenten, certificaten en te laat beantwoorde vragenlijsten — tijd die direct van uw eigen beveiliging wordt gestolen.

04

Leveranciersincidenten Kosten 13× Meer

Een incident veroorzaakt door een leveranciersfout kost gemiddeld aanzienlijk meer dan een directe aanval — in financiële verliezen, boetes en reputatieschade.

0%
Van organisaties verbonden aan een gehackte leverancier (SecurityScorecard 2024)
0%
Van incidenten ontstaat via derde partijen (Ponemon)
0x
Hogere kosten bij leveranciersincidenten vs directe aanvallen
€0M+
Maximale NIS2-boete bij niet-naleving
Onze Diensten

Een Compleet TPRM-Lifecycle — Van Onboarding tot Doorlopend Toezicht

Senior consultants die het risico interpreteren, het bewijs valideren en u vertellen wat er werkelijk toe doet.

Leveranciertiering & Kritikaliteitsclassificatie

Niet alle leveranciers dragen hetzelfde risico. Wij classificeren uw keten op datagevoeligheid, bedrijfscontinuïteitsimpact en regelgevingsblootstelling — zodat uw budget gaat naar waar het risico reëel is.

  • Risicoproportioneel toezichtsmodel
  • DORA/NIS2 kritikaliteitsmapping
  • Concentratierisicoidentificatie

DORA & NIS2 Informatieregister

Wij bouwen en onderhouden uw verplichte Informatieregister: kritische ICT-leveranciers, concentratierisico's en auditklare documentatie op elk moment.

  • DORA Artikel 28-naleving
  • ICT-contractuele clausule review
  • Exitstrategiedocumentatie

Bewijs-Gebaseerde Leveranciersaudits

Wij gaan verder dan vinkjescompliancy. Wij beoordelen SOC 2-rapporten, ISO 27001-certificaten, penetratietestresultaten en sub-verwerkerovereenkomsten.

  • SOC 2 & ISO 27001-beoordeling
  • Sub-verwerkerketenaudit
  • SIG/CAIQ-vragenlijstbeheer

Continue Darkweb-Monitoring

Vragenlijsten zijn statisch. Risico niet. Via SOCRadar monitoren wij uw kritische leveranciers continu op het surface, deep en dark web.

  • SOCRadar dreigingsintelligentie
  • Gecompromitteerde inloggegevensalerts
  • Surface, deep & dark web-dekking

Kwartaalrapportage voor Directie

Geen technisch jargon voor een raad die er niets mee kan. A–F-risicoscores per leverancier, Go/No-Go-status en een geprioriteerde herstellijst.

  • A–F-leveranciersrisicoscores
  • Uitvoerend supply chain-rapport
  • Geprioriteerde herstellijst

Leveranciersincidentrespons

Wanneer een leverancier gehackt is, heeft u uren om te handelen. Wij bereiden uw responsprocedures vooraf voor — zodat beslissingen worden genomen met een plan, niet onder druk.

  • Kant-en-klare respons-playbooks
  • Ondersteuning meldplicht toezichthouder
  • Bedrijfscontinuïteitsbeslissingen
Waarom New Paradigm Security

Wij Filteren de Ruis.
Wij Leveren het Signaal.

Wij hebben in uw stoel gezeten. Wij begrijpen dat 90% van leveranciersrisicobeheer administratieve ruis is. Wij filteren die ruis en brengen u het signaal — de risico's die er werkelijk toe doen voor uw regelgevingspositie en bedrijfscontinuïteit.

OnderwerpStandaardaanpakNPS TPRM
BewijsverificatieVragenlijstantwoorden geaccepteerd Onafhankelijk geverifieerd
Darkweb-monitoring ✗ Niet inbegrepen SOCRadar real-time
DORA RoI-onderhoud ✗ Klantverantwoordelijkheid Bijgehouden & auditklaar
Vierde-partij-inzicht ✗ Niet gedekt Volledige sub-aannemersketen
BestuursrapportageRuwe data, geen interpretatie Directieklare briefings

Veelgestelde Vragen

DORA Artikel 28 verplicht financiële entiteiten een uitgebreid Informatieregister bij te houden voor alle ICT-leveranciersarrangementen — inclusief diensten, kritikaliteitsbeoordelingen en onderaannemingsketens. Contracten moeten specifieke auditrights, exitstrategiebepalingen en beëindigingsclausules bevatten. Niet-naleving leidt tot directe toezichtsmaatregelen van de ESA's.

Derde-partijrisico komt van leveranciers waarmee u een direct contract heeft. Vierde-partijrisico komt van de leveranciers van uw leveranciers — organisaties waarmee u geen directe relatie heeft, maar die uw bedrijfsvoering toch kunnen verstoren. Als uw cloudleverancier een datacentrum gebruikt dat gehackt wordt, bent u blootgesteld aan vierde-partijrisico. Modern TPRM moet beide niveaus aanpakken.

Beide. Wij gebruiken SOCRadar voor continue dreigingsintelligentie en geautomatiseerde leveranciersscooring, en overlappen dat met menselijke expertanalyse. Een platform kan een risico signaleren. Alleen een ervaren consultant kan u vertellen of dat risico relevant is voor uw specifieke organisatie, wat uw regelgevingsverplichting is en wat u eraan moet doen.

Dit hangt af van uw risicotiering. Uw top 5–10% kritische leveranciers verdienen continue real-time monitoring; de volgende 15–20% heeft maandelijkse reviews nodig; de rest kan op kwartaal- of jaarcycli werken. Wij configureren doorgaans continue monitoring voor 50–100 leveranciers, waarmee het merendeel van uw betekenisvolle blootstelling gedekt wordt.

De initiële programma-opzet — inclusief leveranciersinventarisatie, tiering en frameworkontwerp — begint vanaf €15.000–€25.000 voor mid-market organisaties. Doorlopende managed services hangen af van het aantal leveranciers en de scope. Wij zijn graag bereid een vaste prijs te bepalen tijdens een eerste strategiegesprek.

Uw Leveranciersketen Is Uw Perimeter.

Of u zich voorbereidt op een DORA-audit, reageert op een NIS2-toezichtsinquiry, of erkent dat uw huidige spreadsheetaanpak geen stand houdt bij scrutinie — wij staan klaar om te helpen.

Boek Uw Leveranciersrisicoassessment

Vrijblijvend. Senior consultant-geleide assessment.