Third Party Risk Manager

Beschrijving

De Third-Party Risk Manager (TPRM) is verantwoordelijk voor het opzetten, beheren, toezicht houden en mitigeren van de informatiebeveiligingsrisico's die verbonden zijn aan derde partijen zoals leveranciers, dienstverleners en aannemers, in overeenstemming met de NIS2-richtlijn.

Deze rol zorgt ervoor dat externe partners voldoen aan de beveiligingsnormen en -beleid van de organisatie, voldoen aan NIS2-verplichtingen en geen onaanvaardbare risico's voor de bedrijfsvoering introduceren.

De manager bouwt en onderhoudt sterke relaties met derde partijen, faciliteert risico-evaluaties en werkt samen met interne stakeholders om de bedrijfsweerbaarheid tegen informatiebeveiligingsdreigingen te versterken.

We zoeken uitsluitend kandidaten die daadwerkelijk ervaring hebben in deze rol zoals hierboven beschreven.

Belangrijkste verantwoordelijkheden

• Governance van derde partijen: Definiëren en opbouwen van governance en processen voor het beheren van informatiebeveiligingsrisico's bij derde partijen. Evalueren en classificeren van derde partijen op basis van kritischheid en risico voor essentiële diensten. Assisteren bij het ontwikkelen en onderhouden van beveiligingsbeleid en procedures voor leveranciers.
• NIS2 Compliance: Zorgen dat alle derde partijrelaties voldoen aan de cybersecurityvereisten van de NIS2-richtlijn, inclusief risicobeheer, incidentrapportage en supply chain security.
• Risicobeoordeling en -beheer: Uitvoeren van grondige due diligence en risico-evaluaties van bestaande en potentiële leveranciers, gericht op NIS2-standaarden. Bijhouden van een actuele risicoregister en behandelplannen. Opstellen van risicoscores en criteria voor leverancierscategorisatie. Monitoren van beveiligingsprestatie-indicatoren. Beheren van de volledige levenscyclus van derde partij risico's van onboarding tot contractbeëindiging.
• Contract- en inkoopondersteuning: Samenwerken met Inkoop en CISO om te zorgen dat contracten robuuste cybersecurityclausules bevatten, duidelijke incidentmeldingsvereisten en auditrechten volgens NIS2. Beoordelen en goedkeuren van cybersecurityclausules in overeenkomsten. Waarborgen van gegevensbescherming en privacyvereisten in contracten. Ondersteunen van contractonderhandelingen over beveiliging en risicotoewijzing. Beheren van beveiligingsgerelateerde SLA's en sancties.
• Supply Chain Security: Ontwikkelen en onderhouden van processen om risico's in de supply chain te identificeren, monitoren en mitigeren, inclusief continue monitoring van leveranciersafhankelijkheden.
• Monitoring en rapportage: Toezicht houden op continue monitoring van naleving door derde partijen, inclusief KPI's, SLA's, regelmatige reviews, audits en opvolging van herstelmaatregelen. Ontwikkelen van dashboards en rapportagemethoden. Voorbereiden van rapporten voor management, risicokantoor en inkoop over risico's, naleving en voortgang van herstel, met nadruk op NIS2-kwesties. Bijhouden en rapporteren van risicobeperkende activiteiten en effectiviteit.
• Incidentbeheer en melding: Coördineren met derde partijen voor tijdige melding en effectieve afhandeling van beveiligingsincidenten of datalekken volgens NIS2-tijdlijnen.
• Stakeholderbetrokkenheid: Samenwerken met interne teams (ICT, Risico, Inkoop) en externe partners om gedeeld begrip van NIS2-vereisten en best practices te bevorderen. Faciliteren van regelmatige beveiligingsreviews met kritieke leveranciers.
• Bewustwording en training: Toezicht houden op ontwikkeling en levering van trainings- en bewustwordingsprogramma's voor derde partijen over NIS2-verplichtingen, supply chain security en relevante informatiebeveiligingsbeleid van de organisatie.

Kwalificaties en ervaring

• Bachelor- of masterdiploma in Informatiebeveiliging, Risicomanagement, Rechten of een gerelateerd vakgebied.
• Minimaal 4 jaar ervaring in third-party risk management, cybersecurity of compliance, bij voorkeur in een gereguleerde of overheidsomgeving.
• Bekendheid met de NIS2-richtlijn en de vereisten voor essentiële entiteiten.
• Ervaring met ISO/IEC 27001-standaardclausules omtrent leveranciersrelaties is sterk gewenst.
• Ervaring met supply chain security, leveranciersbeoordelingen en contractonderhandelingen.
• Kennis van andere informatiebeveiligingsstandaarden (zoals NIST, CIS Controls, CCB CyberFundamentals) is een plus.
• Relevante certificeringen (bijv. CISM, CISSP, CRISC, ISO 27001 Lead Implementer) of Third-Party Risk Management certificaten zijn een voordeel.
• Ervaring met openbare aanbestedingen is een sterke meerwaarde.
• Bekendheid met kritieke infrastructuurbeveiliging of de EU Cyber Resilience Act is een pluspunt.
• Ervaring met GRC-platformen, met name ServiceNow, is een plus.
• Uitstekende communicatie-, onderhandelings- en stakeholdermanagementvaardigheden.

Belangrijke competenties

• Diepgaand begrip van regelgeving en compliance, met name NIS2.
• Sterke analytische en risicobeoordelingsvaardigheden.
• Ervaring met het uitvoeren en onderhouden van leveranciersrisicobeoordelingen.
• Vermogen om informatiebeveiligingseisen te vertalen naar contractuele clausules.
• Vermogen om te beïnvloeden en samen te werken met interne en externe stakeholders.
• Proactief, detailgericht en toegewijd aan continue verbetering.