• 5
  • IT-partner
  • 5
  • Als het misgaat bij je leverancier, ben jij dan voorbereid?

Als het misgaat bij je leverancier, ben jij dan voorbereid?

Als je IT-leverancier wordt getroffen, ben jij dan voorbereid? Waarom je afspraken over communicatie en ingrijpen nu al moet vastleggen.
5 it uitdagingen blog

Als het misgaat bij je leverancier, ben jij dan voorbereid?

Eén aanname komen we keer op keer tegen, en die zorgt keer op keer voor problemen. De overtuiging dat een IT-leverancier tijdens een incident vanzelf tijdig, volledig en proactief met zijn klanten communiceert.

Soms gebeurt dat. Vaak niet.

Niet omdat leveranciers het niet willen. Maar omdat een crisis chaotisch is. De interne communicatie staat al onder druk. Niemand wil naar buiten zolang het beeld nog niet compleet is. En “we houden jullie op de hoogte” betekent in de praktijk dat jij zit te wachten terwijl de situatie zich ontwikkelt.

De illusie van het 06-nummer

Veel directeuren voelen zich gerustgesteld omdat ze “iemand kennen” bij hun leverancier. Een vast aanspreekpunt, een direct nummer. Dat geeft vertrouwen. Maar tijdens een serieus incident zit diezelfde contactpersoon in het crisisteam en is hij niet beschikbaar voor losse klantgesprekken.

De vraag is niet of je iemand kunt bereiken op een rustige dinsdag. De vraag is wat er gebeurt op de zondag dat het misgaat.

RunningIT header

Keuzes maken zonder informatie

Je hoort via via dat één van je IT-leveranciers getroffen is door een cyberaanval. Een officieel bericht is er nog niet.

Wat doe je? Wacht je op bevestiging? Dan loop je het risico dat aanvallers via die leverancier ook jouw omgeving al binnen zijn, terwijl jij stilzit.

Grijp je in? Dan verbreek je misschien verbindingen, sluit je accounts af en isoleer je systemen. Effectief, maar ook verstorend. En wat als het achteraf vals alarm blijkt?

Dit is het dilemma waar directies mee te maken krijgen. En bijna niemand heeft het van tevoren doordacht.

Beslissen onder druk werkt niet

Organisaties die dit soort situaties goed doorstaan, hebben één ding gemeen. Ze hebben de beslissingen al eerder genomen.

Niet de technische beslissingen, want die nemen de IT-mensen wel. Het gaat om de bestuurlijke beslissingen. Wie mag een leveranciersverbinding verbreken? Wanneer grijp je in zonder dat je alles weet? Wie communiceert intern en naar klanten als je zelf onderdeel bent van een incident?

Die vragen hebben geen standaardantwoord. Het hangt af van je organisatie, je sector en hoe kritiek de leverancier is. Maar de antwoorden moeten er liggen voordat de situatie zich voordoet.

5 it uitdagingen blog

Wat de Cyberbeveiligingswet hierover zegt

Met de Cyberbeveiligingswet, de Nederlandse vertaling van de Europese NIS2-richtlijn, krijgt dit vraagstuk ook een juridische kant.

De wet verplicht organisaties in aangewezen sectoren tot een aantoonbare zorgplicht voor de keten. Dus niet alleen weten wie je leveranciers zijn, maar ook kunnen laten zien dat je afspraken hebt gemaakt over wat er gebeurt als het misgaat. Een incident bij een leverancier is juridisch gezien niet meer alleen hun probleem. Het is ook jouw verantwoordelijkheid.

Bestuursaansprakelijkheid is daarbij geen klein lettertje. Directeuren kunnen persoonlijk aansprakelijk worden gesteld als de wet niet wordt nageleefd. Daarmee is “wat doen we als onze IT-leverancier getroffen is?” geen operationele vraag meer, maar een bestuurlijke.

Samen Digitaal Veilig als praktisch startpunt

Samen Digitaal Veilig (SDV) is een Nederlands platform dat organisaties helpt hun digitale weerbaarheid stap voor stap op te bouwen.

SDV biedt een concrete vragenlijst waarmee je de afspraken met je IT-leveranciers kunt controleren. Geen papieren oefening, maar een werkend instrument om te toetsen of jullie afspraken over communicatie, incidentrespons en verantwoordelijkheden echt op orde zijn.

Bij Running IT werken we actief met dit soort instrumenten. Niet omdat het moet, maar omdat het de gesprekken met onze klanten concreter en eerlijker maakt. Voor ons hoort dat bij de regierol die we willen pakken. We beheren je IT, en we helpen je overzicht en grip te houden op het geheel, ook op de andere leveranciers om je heen.

5 it uitdagingen blog

We zijn zelf ook een leverancier

Dat realiseren we ons goed. Running IT is een MSP. We beheren de IT-omgevingen van onze klanten en daarmee zijn we precies het type leverancier waar dit blog over gaat.

Dat maakt het onderwerp voor ons dubbel relevant. We weten hoe lastig het is om tijdens een incident snel en volledig te communiceren. Tegelijk vinden we dat onze klanten het recht hebben om te weten wat ze wel en niet van ons kunnen verwachten.

Daarom maken we daar expliciete afspraken over. Wat communiceren we, wanneer en via welk kanaal? Wat verwachten we van onze klanten in zo’n situatie? Wie mag aan beide kanten welke beslissing nemen? Die afspraken liggen vast. Niet als vinkje in een contract, maar als werkende afspraken die we regelmatig samen toetsen.

Heb jij die afspraken met je IT-leverancier? Of ga je ervan uit dat het wel goed komt?

Wat je nu al kunt doen

Het begint niet met technologie. Het begint met een gesprek. Met je IT-partner over wat je van elkaar verwacht tijdens een incident. Met je managementteam over wie welke beslissing neemt. En met jezelf, over de vraag of je organisatie vandaag weet wat ze morgen moet doen als het misgaat.

Wij zien dat als onze rol. Meedenken, overzicht houden en zorgen dat je niet voor verrassingen komt te staan. Dat gesprek voeren we graag met je, ook als je nog geen klant bent.

Gerelateerde diensten

Netwerk & Connectiviteit
Cloud & Infrastructuur
Cyber Security

Klantcases

BHB Dullemond vindt IT vernieuwing met RunningIT

Benieuwd wat we voor jouw
organisatie kunnen betekenen?

Op zoek naar een IT-partner die grip geeft op je IT en kosten? Plan een gratis kennismaking en ontdek hoe wij je organisatie verder helpen.

5 + 12 =

Direct kennismaken?

Neem dan contact met ons op via onderstaand telefoonnummer.

088-2383000