Energie- en utilities worden bedreigd door risico’s van buitenaf

NTT DATA publi­ceert een white­paper over het toene­mende belang van risi­co­ma­na­ge­ment van derden in de energie- en nutssector.

De E&U‑sectoren – ofwel de ener­gie­sector en nuts­be­drijven die betrokken zijn bij de water­be­han­de­ling en de productie, handel, distri­butie en marketing van elek­tri­ci­teit en gas – onder­gingen de afgelopen jaren een snelle digi­ta­li­se­ring in combi­natie met een belang­rijke tech­no­lo­gi­sche voor­uit­gang, waardoor ze hun productie konden opti­ma­li­seren, de kosten terug­dringen en aan nieuwe consu­men­ten­be­hoeften voldoen. Denk maar aan smart grids, hernieuw­bare ener­gie­bronnen, digital twins, het Indu­strial Internet of Things (IIoT) en dergelijke.

De toepas­sing van deze tech­no­lo­gieën heeft echter een keerzijde: de E&U‑sectoren zijn veel afhan­ke­lijker geworden van hun tech­no­lo­gie­le­ve­ran­ciers dan voorheen en lopen daardoor risico’s afkomstig van die externe partners.

De toene­mende inter­con­nec­ti­vi­teit en onder­linge afhan­ke­lijk­heid van systemen, zowel binnen als buiten de bedrijven, verhogen het risico op data­lekken, cyber­aan­vallen en tech­no­lo­gi­sche storingen. En dan zijn er nog de geopo­li­tieke risico’s wanneer de leve­ran­ciers in kritieke regio’s gevestigd zijn. Of de finan­ciële risico’s voor wie in zee gaat met leve­ran­ciers die zelf met finan­ciële problemen kampen of niet in staat zijn om de gewenste diensten en goederen te leveren.

Meer regelgeving in risicomanagement

Regel­ge­ving en compli­an­ce­normen veran­deren voort­du­rend (strengere voor­schriften op het gebied van cyber­be­vei­li­ging en bevei­li­ging van de toele­ve­rings­keten, strengere mili­eu­voor­schriften enz.). Orga­ni­sa­ties moeten daarom kunnen nagaan of hun externe partners aan de geldende voor­schriften voldoen, anders riskeren ze boetes, imago­schade en zelfs productie- of bedrijfsonderbrekingen.

De Europese NIS2-richtlijn (Netwerk- en infor­ma­tie­be­vei­li­ging) werd goed­ge­keurd in januari 2023 en moet tegen oktober 2024 door de lidstaten zijn omgezet in nationale wetgeving. De nieuwe regel­ge­ving zal duizenden aanbie­ders van ‘essen­tiële’ diensten – met name in de E&U‑sectoren – verplichten om hun IT-bevei­li­gings­normen aan te scherpen. Het melden van veilig­heids­in­ci­denten, cyber­ri­si­co­ma­na­ge­ment, bevei­li­gings­tests en ‑audits, bevei­li­ging van de toele­ve­rings­keten … zijn stuk voor stuk cruciale aandachts­punten, die bij niet-naleving kunnen leiden tot dwang­sommen of boetes (tot € 10 miljoen euro of 2% van de wereld­wijde omzet, afhan­ke­lijk van welk bedrag hoger is).

Middelen vrijmaken voor risicomanagement

Heel wat orga­ni­sa­ties maken nog gebruik van spread­sheets om te contro­leren of hun leve­ran­ciers, onder­aan­ne­mers en andere partners voldoen aan hun stan­daarden inzake veilig­heid, compli­ance, duur­zaam­heid, finan­ciële stabi­li­teit enz. Deze aanpak is niet alleen tijd­ro­vend, omdat grote hoeveel­heden data uit verschil­lende bronnen moeten worden bijeen­ge­bracht, geana­ly­seerd en bijge­werkt, maar is ook vatbaar voor mense­lijke fouten in codering of formules. Daarnaast biedt deze werkwijze slechts beperkte moge­lijk­heden voor realtime moni­to­ring, analyse en rappor­te­ring, waardoor het moeilijk is om risico’s en opkomende trends te achterhalen.

Problemen met de toegang tot infor­matie kan ook inef­fi­ci­ënte commu­ni­catie veroor­zaken tussen de betrokken afde­lingen (logistiek, juridisch, risico en compli­ance, financiën enz.). Bovendien kampen de E&U‑sectoren met een tekort aan gekwa­li­fi­ceerd personeel inzake risi­co­ma­na­ge­ment, wat hun moge­lijk­heden om risico’s te herkennen, te beoor­delen en te beperken kan beknotten. 

Realtime monitoring is een essentieel onderdeel van efficiënt risicomanagement van derden

“Bedrijven kunnen tegen­woordig al terug­vallen op realtime moni­to­ring­op­los­singen die auto­ma­ti­se­ring en machine learning gebruiken om het risi­co­ni­veau van hun leve­ran­ciers en partners continu te contro­leren”, legt Michiel Donders, Director Energy & Utilities bij NTT DATA Nederland, uit. “Ons 3rdRisk-platform is gebaseerd op een speciaal voor de E&U‑sector ontworpen metho­do­logie voor risi­co­be­oor­de­ling van derden. Een realtime waar­schu­wings­sys­teem stuurt de risi­co­ma­na­gers meteen een melding bij detectie van een mogelijk risico. Het platform biedt ook toegang tot relevante data van onze content­pro­vi­ders, zoals BitSight, Secu­ri­ty­Sco­re­card, Altares – Dun & Brad­street, EcoVadis en Refinitiv.”

Anticiperen om de bedrijfsveerkracht te verbeteren

Door kwets­baar­heden proactief aan te pakken, kunnen E&U‑bedrijven de veer­kracht van hun acti­vi­teiten versterken en de conti­nu­ï­teit van hun essen­tiële diensten veilig­stellen, zelfs bij storingen. Op die manier wenden ze niet alleen dure bedrijfs­on­der­bre­kingen of imago­cri­sissen af, maar kunnen ze ook de zwakke schakels in hun toele­ve­rings­keten bloot­leggen en verhelpen, én hun bedrijfspres­ta­ties opti­ma­li­seren. Dat maakt hen concur­ren­tieel sterker.

“De reputatie van een orga­ni­satie wordt sterk beïnvloed door de hande­lingen en pres­ta­ties van haar externe partners. Door efficiënt risi­co­ma­na­ge­ment van derden in hun strategie op te nemen, kunnen orga­ni­sa­ties nagaan of hun partners voldoen aan de strenge normen op het gebied van cyber­vei­lig­heid, milieu en maat­schap­pe­lijk verant­woord onder­nemen. Inves­teren in hoog­waar­dige tools kan hen helpen vertrouwen op te bouwen en te besten­digen bij hun stake­hol­ders”, voegt Michiel Donders eraan toe.