Wat is het leveranciersrisicobeheer-proces?

Het leveranciersrisicobeheer-proces is een gestructureerde workflow voor het identificeren, beoordelen, monitoren en beheren van risico's uit externe leveranciersrelaties over de volledige leverancierscyclus — van eerste ontdekking tot offboarding. In tegenstelling tot een eenmalige risicobeoordeling is het VRM-proces continu en herhaalbaar. Onder NIS2 en DORA moeten organisaties een gedocumenteerd, systematisch VRM-proces kunnen aantonen aan toezichthouders.

Vereist NIS2 een leveranciersrisicobeheer-proces?

Ja. Artikel 21, lid 2, punt d) van NIS2 verplicht betrokken entiteiten om beveiliging in toeleveringsketenrelaties te adresseren als onderdeel van hun risicobeheersmaatregelen. De Cyberbeveiligingswet (Cbw), het NCSC-NL en de bevoegde autoriteiten verwachten gedocumenteerd bewijs van systematisch derdenrisicobeheer — geen ad-hoc beoordelingen.

Vereist DORA een leveranciersrisicobeheer-proces?

Ja. DORA Artikelen 28–30 leggen de meest prescriptieve derdenrisicovereisten in Europa op. Financiële entiteiten moeten een register van alle ICT-derdencontracten bijhouden, risicobeoordelingen vóór contractsluiting uitvoeren, concentratierisico beheren en gedocumenteerde exitstrategieën onderhouden. Het proces moet altijd beschikbaar zijn voor inspectie door EBA, EIOPA of ESMA.

Hoeveel stappen heeft het leveranciersrisicobeheer-proces?

Een volledig leveranciersrisicobeheer-proces omvat zes fasen: (1) leveranciersidentificatie en -inventaris, (2) risicorangschikking en categorisering, (3) pre-engagement due diligence, (4) contractbeheer en risicoversplichtingen, (5) continue monitoring, (6) verlenging of gestructureerd offboarding.

Het leveranciersrisicobeheer-proces: 6 stappen voor 2026

Published 13 apr 2026

By Orbiq Team

Het leveranciersrisicobeheer-proces: 6 stappen voor 2026

Een praktische gids voor het leveranciersrisicobeheer-proces — van leveranciersidentificatie en risicotiering tot due diligence, continue monitoring en offboarding. Met NIS2- en DORA-afstemming.

leveranciersrisico

leveranciersrisicobeheer

derdenrisico

nis2

dora

toeleveringsketen

Het leveranciersrisicobeheer-proces: 6 stappen voor 2026

Leveranciersrisicobeheer is geen jaarlijkse activiteit. Met gemiddeld 286 externe leveranciers in 2026 — tegenover 237 in 2024 — en NIS2, DORA en ISO 27001 die alle aantoonbare toeleveringsketencontroles vereisen, is een gedocumenteerd, herhaalbaar proces een operationele basisvereiste, geen optionele best practice.

Deze gids beschrijft de zes fasen van het leveranciersrisicobeheer-proces, met praktische begeleiding over activiteiten per fase, diepgang per risiconiveau, en EU-regelgevingsvereisten (NIS2 artikel 21, DORA artikelen 28–30).

Kernpunten

Het VRM-proces heeft zes fasen: identificatie → risicorangschikking → due diligence → contractbeheer → continue monitoring → offboarding.
Procesdiepgang varieert per risiconiveau: kritieke leveranciers vereisen jaarlijkse volledige beoordelingen en continue monitoring.
NIS2 artikel 21(2)(d) en DORA artikelen 28–30 vereisen beiden gedocumenteerde, systematische VRM-processen.
49% van de organisaties geeft aan dat hun huidige VRM-methode risico's niet in elke levensfasecyclus kan beoordelen.
Voor de organisatorische infrastructuur: zie onze Gids voor leveranciersrisicobeheer-programma.

Proces vs. programma: een cruciaal onderscheid

Een VRM-programma is de organisatorische infrastructuur: beleid, eigenaarschap, risicobereidheid, governance en rapportage.
Een VRM-proces is de operationele workflow: de specifieke reeks stappen die voor elke leveranciersrelatie worden uitgevoerd.

Het proces vereist het programma om effectief te zijn — zonder governance en gedocumenteerde standaarden produceren processtappen inconsistente uitkomsten zonder auditspoor.

De 6 fasen van het leveranciersrisicobeheer-proces

Fase 1: Leveranciersidentificatie en -inventaris

Wat niet in kaart is gebracht, kan niet worden beheerd. De eerste fase is het opbouwen en onderhouden van een volledig, nauwkeurig register van alle leveranciersrelaties.

Belangrijke activiteiten:

Leveranciersgegevens consolideren vanuit minimaal drie bronnen: financiën/inkoop, IT en juridisch
Voor elke leverancier vastleggen: naam en rechtspersoon, geleverde diensten, toegangsniveau tot gegevens, systeemintegratie, zakelijke eigenaar, contractvervaldatum
Shadow IT identificeren: SaaS-tools aangeschaft via creditcard zonder IT-registratie

Veelgemaakte fout: Inventaris opbouwen vanuit één bron. Inkooopsystemen missen SaaS-tools betaald per creditcard. IT-systemen missen adviescontracten met gegevenstoegang.

Regelgevende noot: Het NCSC-NL, DNB, AFM en bevoegde NIS2-autoriteiten verwachten een gedocumenteerd, onderhouden leveranciersregister — niet een lijst die wordt samengesteld tijdens auditvoorbereiding.

Fase 2: Risicorangschikking en categorisering

Risicorangschikking past een consistente methodologie toe om elke leverancier te classificeren op inherent risiconiveau:

Factor	Laag (1)	Gemiddeld (2)	Hoog (3)	Kritiek (4)
Gegevensgevoeligheid	Alleen openbaar	Interne gegevens	Vertrouwelijk / persoonsgegevens	Bijzondere categorieën / gereglementeerde gegevens
Gegevensvolume	Geen	Beperkt	Matig	Grootschalige verwerking
Systeemtoegang	Geen toegang	Alleen-lezen	Schrijftoegang	Admin / bevoorrechte toegang
Servicecriticaliteit	Handig	Operationele ondersteuning	Bedrijfsbelangrijk	Bedrijfskritisch

Toewijzing niveaus:

Totaalscore	Niveau	Beoordelingsdiepte
4–7	Niveau 3 — Laag risico	Lichte checklist (~20 punten)
8–11	Niveau 2 — Standaard	Standaard vragenlijst (40–60 vragen + documentbeoordeling)
12–16	Niveau 1 — Hoog / Kritiek	Volledige beoordeling (80+ vragen + documentbeoordeling + bewijsverificatie)

Fase 3: Pre-engagement due diligence en beoordeling

Vóór het onboarden van een nieuwe leverancier voert u een gestructureerde beoordeling uit die is gekalibreerd op het risiconiveau. Een kritiek risico identificeren vóór contractondertekening is veel goedkoper dan het beheren na inbedding van de relatie.

Beoordelingsdomeinen voor Niveau 1:

Informatiebeveiligingscontrols (toegangsbeheer, versleuteling, patchbeheer, incidentrespons)
Compliancecertificeringen (ISO 27001, SOC 2 Type II, AVG, NIS2, DORA-status)
Gegevensbehandeling (gegevenslocatie, subverwerkers, bewaring en verwijdering)
Bedrijfscontinuïteit (DR/BCP, RTO/RPO, geografische redundantie)
Financiële stabiliteit (verzekering, solvabiliteit, afhankelijkheden van sleutelpersonen)
Vierde-partijrisico (keten van onderaanneming)

DORA-specifieke noot: DORA artikel 28 vereist een pre-contractrisicobeoordeling voor alle ICT-leveranciers. Voor kritieke ICT-derde-partijen aangewezen door EBA/EIOPA/ESMA is uitgebreide due diligence verplicht.

Voor de volledige beoordelingssjabloon: Leveranciersrisicobeoordeling-sjabloon.

Fase 4: Contractbeheer en risicoversplichtingen

Due diligence identificeert risico's; contracten creëren afdwingbare verplichtingen om ze te beheren. Een bevinding zonder corresponderende contractverplichting is een bevinding zonder remedie.

Minimumvereisten voor alle leverancierscontracten:

Verwerkersovereenkomst (VWO): vereist op grond van AVG artikel 28 voor elke leverancier die persoonsgegevens verwerkt
Beveiligingsverplichtingen: minimale beveiligingsnormen die de leverancier moet handhaven
Incidentmelding: leverancier moet u binnen een bepaalde termijn (doorgaans 24–72 uur) informeren over beveiligingsincidenten
Auditrechten: uw recht om de beveiligingscontroles van de leverancier te auditen of auditrapportages van derden op te vragen

Uitgebreide clausules voor Niveau 1-leveranciers:

Goedkeuringsrechten voor subverwerkers
Openbaarmaking concentratierisico
Exitbepalingen met gegevensterugave en -verwijdering
Remediatietijdlijnen voor geïdentificeerde beveiligingslacunes

DORA-specifieke contractvereisten (artikelen 28–30):

Serviceniveauvereisten en prestatieverslaglegging
Bedrijfscontinuïteits- en herstelbepalingen
Volledige datatoegangs- en auditeerbaarheidsclausules
Exitstrategieën die operationele weerbaarheid tijdens transitie behouden
Openbaarmaking van onderaannemers (inclusief identificatie van de uiteindelijke moedermaatschappij)

Fase 5: Continue monitoring

Punt-in-tijd-beoordelingen verlopen op de dag van voltooiing. Een leverancier die uw beoordeling 18 maanden geleden doorstond, heeft sindsdien misschien zijn ISO 27001-certificering verloren, een datalek gehad of is overgenomen door een riskantere entiteit.

Monitoringactiviteiten per niveau:

Activiteit	Niveau 1 (Kritiek)	Niveau 2 (Standaard)	Niveau 3 (Laag)
Volledige herbeoordeling	Jaarlijks	Elke 18–24 maanden	Elke 3 jaar / bij verlenging
Monitoring vervaldatum certificeringen	Continu	Bij verlenging	Bij verlenging
Beveiligingsnieuws / inbreukmonitoring	Continu	Driemaandelijks	Indien nodig
Beoordeling wijzigingen subverwerkers	Alle wijzigingen	Materiële wijzigingen	Niet vereist
Financiële gezondheidscheck	Jaarlijks	Bij verlenging	Niet vereist

Gebeurtenisgestuurde herbeoordelingstriggers (ongeacht geplande cyclus):

Leverancier meldt beveiligingsincident dat uw gegevens betreft
Leverancier wordt overgenomen of fuseert
Significante wijziging in diensten, gegevenstoegang of infrastructuur
Leverancier verliest een sleutelcertificering
Publieke rapporten over datalek, financiële nood of regulatoire maatregel

Onder NIS2 en DORA is continue monitoring verplicht — toezichthouders verwachten doorlopend toezicht. Slechts 14% van de inkoopteams gebruikt momenteel continue monitoringtools voor leveranciersoversight.

Fase 6: Verlenging of gestructureerd offboarding

Bij verlenging:

Risiconiveau van de leverancier opnieuw beoordelen (scope kan zijn gewijzigd)
Actualiteit van beoordeling controleren: indien laatste beoordeling voor Niveau 1 ouder dan 12 maanden, opnieuw beoordelen vóór ondertekening
Contractvoorwaarden beoordelen: NIS2 en DORA kunnen nieuwe clausules vereisen

Bij offboarding:

Gestructureerd offboarding moet beginnen 90–180 dagen voor beëindiging voor Niveau 1-leveranciers:

Toegangsintrekking: volledige verwijdering van alle leverancierstoegang
Gegevensterugave: leverancier geeft uw gegevens terug in een bruikbaar formaat binnen 30 dagen
Bevestiging verwijdering: schriftelijke bevestiging dat alle gegevens uit alle systemen inclusief back-ups zijn verwijderd
Afwikkeling subverwerkers: zorgen dat ook toegang via subverwerkers van de leverancier wordt ingetrokken
Transitiedocumentatie: operationele documentatie en configuraties overdragen vóór vertrek

DORA-vereiste bij offboarding: DORA artikel 28 vereist exitstrategieën voor kritieke ICT-leveranciers die operationele weerbaarheid tijdens transitie waarborgen. Deze moeten vóór onboarding zijn gedocumenteerd.

EU-regelgevingsvereisten voor het VRM-proces

NIS2 Artikel 21(2)(d) / Cyberbeveiligingswet

NIS2 vereist dat betrokken entiteiten beveiliging in toeleveringsketenrelaties adresseren. Het proces moet omvatten:

Gedocumenteerd leveranciersregister met criticaliteitsclassificatie
Beoordeling vóór onboarding voor leveranciers met toegang tot kritieke systemen
Minimale beveiligingsvereisten in leverancierscontracten
Continue monitoring van kritieke leveranciers
Incidentmeldingsketen

In Nederland is NIS2 omgezet in de Cyberbeveiligingswet (Cbw). Het NCSC-NL en de Rijksinspectie Digitale Infrastructuur (RDI) zijn betrokken toezichthouders.

DORA Artikelen 28–30

DORA legt de meest prescriptieve derdenrisicovereisten van Europa op aan financiële entiteiten:

Register van alle ICT-derdencontracten
Risicobeoordelingen vóór contractsluiting
Beheer van concentratierisico
Uitgebreide due diligence voor aangewezen kritieke ICT-derde-partijen
Gedocumenteerde exitstrategieën

In Nederland zijn DNB en AFM de bevoegde DORA-autoriteiten.

VK en Noorwegen

FCA PS21/3: Britse financiële instellingen moeten gedocumenteerde, systematische processen hebben voor het beheren van operationele risico's van derde partijen.

Noorwegen: Noorse organisaties passen NIS2 toe via het EER-akkoord, waarbij de Nasjonal sikkerhetsmyndighet (NSM) sectorspecifieke begeleiding biedt.

Veelgemaakte procesfouten en hoe ze te vermijden

Beoordeling starten zonder governance. Zonder risicobereidheidsbeleid hebben bevindingen geen beslissingsinstantie.

Inventaris vanuit één bron. Inkooopsystemen missen shadow IT. IT-systemen missen adviescontracten.

Alle leveranciers als Niveau 1 behandelen. Als alles kritiek is, ontvangt niets de vereiste diepte.

Beoordeling zonder contractvereisten. Een bevinding zonder contractverplichting heeft geen remedie.

Geen gebeurtenisgestuurde monitoringtriggers. Kalendergebaseerde cycli missen materiële wijzigingen tussen beoordelingen.

Slecht offboardingproces. Leveranciers met residuele toegang na contractbeëindiging zijn een AVG- en beveiligingsrisico.

Het VRM-proces automatiseren

Bij 286 leveranciers is handmatig tracking van elke levensfasestap operationeel niet houdbaar. Slechts 13% van de TPRM-teams heeft volledig volwassen automatiseringsmogelijkheden.

Orbiq's Vendor Assurance Platform automatiseert elke fase:

Leveranciersregister en -rangschikking
Geautomatiseerde vragenlijstdistributie en opvolging
Continue monitoring van certificeringsvervaldatums in realtime
Continue monitoring met beveiligingsgebeurtenisfeed
NIS2- en DORA-gereed auditrapportage

→ Vendor Assurance Platform verkennen → Continue monitoring ontdekken

Bronnen & Referenties

Secureframe — 100+ statistieken derdenrisico 2026 — Gemiddelde organisatie beheert 286 leveranciers; 49% kan risico's niet in elke fase beoordelen; 13% heeft volwassen automatisering
UpGuard — Leveranciersrisicobeheer-workflow 2026 — 6-stappengids
Panorays — VRM volledige gids 2026 — VRM-levenscyclus en beste praktijken
Atlas Systems — Continue leveranciersrisicomonitoring 2026 — Slechts 14% van de inkoopteams gebruikt continue monitoringtools
SITS — NIS2, DORA & toeleveringsketen — EU-regelgevingsvereisten voor toeleveringsketen

Verder lezen: