NTT DATA publiceert een whitepaper over het toenemende belang van risicomanagement van derden in de energie- en nutssector.
De E&U-sectoren – ofwel de energiesector en nutsbedrijven die betrokken zijn bij de waterbehandeling en de productie, handel, distributie en marketing van elektriciteit en gas – ondergingen de afgelopen jaren een snelle digitalisering in combinatie met een belangrijke technologische vooruitgang, waardoor ze hun productie konden optimaliseren, de kosten terugdringen en aan nieuwe consumentenbehoeften voldoen. Denk maar aan smart grids, hernieuwbare energiebronnen, digital twins, het Industrial Internet of Things (IIoT) en dergelijke.
De toepassing van deze technologieën heeft echter een keerzijde: de E&U-sectoren zijn veel afhankelijker geworden van hun technologieleveranciers dan voorheen en lopen daardoor risico’s afkomstig van die externe partners.
De toenemende interconnectiviteit en onderlinge afhankelijkheid van systemen, zowel binnen als buiten de bedrijven, verhogen het risico op datalekken, cyberaanvallen en technologische storingen. En dan zijn er nog de geopolitieke risico’s wanneer de leveranciers in kritieke regio’s gevestigd zijn. Of de financiële risico’s voor wie in zee gaat met leveranciers die zelf met financiële problemen kampen of niet in staat zijn om de gewenste diensten en goederen te leveren.
Meer regelgeving in risicomanagement
Regelgeving en compliancenormen veranderen voortdurend (strengere voorschriften op het gebied van cyberbeveiliging en beveiliging van de toeleveringsketen, strengere milieuvoorschriften enz.). Organisaties moeten daarom kunnen nagaan of hun externe partners aan de geldende voorschriften voldoen, anders riskeren ze boetes, imagoschade en zelfs productie- of bedrijfsonderbrekingen.
De Europese NIS2-richtlijn (Netwerk- en informatiebeveiliging) werd goedgekeurd in januari 2023 en moet tegen oktober 2024 door de lidstaten zijn omgezet in nationale wetgeving. De nieuwe regelgeving zal duizenden aanbieders van ‘essentiële’ diensten – met name in de E&U-sectoren – verplichten om hun IT-beveiligingsnormen aan te scherpen. Het melden van veiligheidsincidenten, cyberrisicomanagement, beveiligingstests en -audits, beveiliging van de toeleveringsketen … zijn stuk voor stuk cruciale aandachtspunten, die bij niet-naleving kunnen leiden tot dwangsommen of boetes (tot € 10 miljoen euro of 2% van de wereldwijde omzet, afhankelijk van welk bedrag hoger is).
Middelen vrijmaken voor risicomanagement
Heel wat organisaties maken nog gebruik van spreadsheets om te controleren of hun leveranciers, onderaannemers en andere partners voldoen aan hun standaarden inzake veiligheid, compliance, duurzaamheid, financiële stabiliteit enz. Deze aanpak is niet alleen tijdrovend, omdat grote hoeveelheden data uit verschillende bronnen moeten worden bijeengebracht, geanalyseerd en bijgewerkt, maar is ook vatbaar voor menselijke fouten in codering of formules. Daarnaast biedt deze werkwijze slechts beperkte mogelijkheden voor realtime monitoring, analyse en rapportering, waardoor het moeilijk is om risico’s en opkomende trends te achterhalen.
Problemen met de toegang tot informatie kan ook inefficiënte communicatie veroorzaken tussen de betrokken afdelingen (logistiek, juridisch, risico en compliance, financiën enz.). Bovendien kampen de E&U-sectoren met een tekort aan gekwalificeerd personeel inzake risicomanagement, wat hun mogelijkheden om risico’s te herkennen, te beoordelen en te beperken kan beknotten.
Realtime monitoring is een essentieel onderdeel van efficiënt risicomanagement van derden
“Bedrijven kunnen tegenwoordig al terugvallen op realtime monitoringoplossingen die automatisering en machine learning gebruiken om het risiconiveau van hun leveranciers en partners continu te controleren”, legt Michiel Donders, Director Energy & Utilities bij NTT DATA Nederland, uit. “Ons 3rdRisk-platform is gebaseerd op een speciaal voor de E&U-sector ontworpen methodologie voor risicobeoordeling van derden. Een realtime waarschuwingssysteem stuurt de risicomanagers meteen een melding bij detectie van een mogelijk risico. Het platform biedt ook toegang tot relevante data van onze contentproviders, zoals BitSight, SecurityScorecard, Altares – Dun & Bradstreet, EcoVadis en Refinitiv.”
Anticiperen om de bedrijfsveerkracht te verbeteren
Door kwetsbaarheden proactief aan te pakken, kunnen E&U-bedrijven de veerkracht van hun activiteiten versterken en de continuïteit van hun essentiële diensten veiligstellen, zelfs bij storingen. Op die manier wenden ze niet alleen dure bedrijfsonderbrekingen of imagocrisissen af, maar kunnen ze ook de zwakke schakels in hun toeleveringsketen blootleggen en verhelpen, én hun bedrijfsprestaties optimaliseren. Dat maakt hen concurrentieel sterker.
“De reputatie van een organisatie wordt sterk beïnvloed door de handelingen en prestaties van haar externe partners. Door efficiënt risicomanagement van derden in hun strategie op te nemen, kunnen organisaties nagaan of hun partners voldoen aan de strenge normen op het gebied van cyberveiligheid, milieu en maatschappelijk verantwoord ondernemen. Investeren in hoogwaardige tools kan hen helpen vertrouwen op te bouwen en te bestendigen bij hun stakeholders”, voegt Michiel Donders eraan toe.