De Third-Party Risk Manager (TPRM) is verantwoordelijk voor het opzetten, beheren, toezicht houden op en mitigeren van de informatieveiligheidsrisico’s die verbonden zijn aan derde partijen, leveranciers, dienstverleners en aannemers, en dit in overeenstemming met de NIS2-richtlijn. Deze rol zorgt ervoor dat externe partners voldoen aan de beveiligingsnormen en -beleid van Belnet, voldoen aan NIS2-verplichtingen en geen onaanvaardbare risico’s introduceren voor de bedrijfsvoering.

De manager bouwt en onderhoudt sterke relaties met derde partijen, faciliteert risicoanalyses en werkt samen met interne stakeholders om de bedrijfsweerbaarheid tegen informatieveiligheidsdreigingen te versterken.

We zijn uitsluitend op zoek naar kandidaten die daadwerkelijk in deze functie hebben gewerkt zoals hierboven beschreven.

Belangrijkste verantwoordelijkheden

Third party supplier security governance: Definieer en bouw de noodzakelijke governance en processen voor het beheren van informatieveiligheidsrisico’s bij third party suppliers. Evalueer en classificeer derde partijen op basis van hun kritisch belang en risico voor essentiële of vitale diensten. Assisteer de CISO en Procurement bij de ontwikkeling en het onderhoud van security policies en procedures voor supplier security.

NIS2 Compliance: Zorg ervoor dat alle relaties met derde partijen voldoen aan de cybersecurityvereisten zoals vastgelegd in de NIS2-richtlijn, inclusief risicobeheer, incidentrapportage en supply chain security.

Third-Party Risk Assessment & Management:

• Voer grondige security due diligence en risicoanalyses uit bij bestaande en potentiële derde partijen, met focus op hun vermogen om aan NIS2-standaarden te voldoen.
• Houd een actueel risicoregister en beheersplannen bij van derde partijen en hun risicostatus, zoals vereist door NIS2.
• Stel risicoscoremethodologieën en criteria op voor vendor categorisation.
• Stel security performance metrics op en monitor deze voor key vendors.
• Beheer de volledige third-party risk lifecycle van onboarding tot contractbeëindiging.

Contract and Procurement support:

• Werk samen met Procurement en CISO om ervoor te zorgen dat contracten met derde partijen robuuste cybersecurityclausules, duidelijke eisen voor incidentmelding en auditrechten bevatten zoals voorgeschreven door NIS2.
• Review en keur cybersecurityclausules in third-party agreements goed.
• Zorg ervoor dat vereisten voor gegevensbescherming en privacy zijn opgenomen in vendor contracts.
• Ondersteun contractonderhandelingen over securityvoorwaarden en risicoverdeling.
• Beheer security-gerelateerde service level agreements en boetes.

Supply Chain Security: Ontwikkel en onderhoud processen om risico’s in de cyberweerbaarheid van de supply chain te identificeren, monitoren en mitigeren, en zorg ervoor dat vendors passende technische en organisatorische maatregelen implementeren. Dit omvat continue monitoring van vendor dependencies.

Monitoring & Reporting: Toezicht op de continue monitoring van third-party compliance, inclusief KPI’s, SLA’s, regelmatige reviews, audits en opvolging van remediëringsacties:

• Ontwikkel en onderhoud third-party risk dashboards en rapporteringsmechanismen.
• Stel regelmatige rapporten op voor Management, Risk Office en Procurement over de status van third-party risk, compliance en voortgang van remediëring, met nadruk op eventuele NIS2-gerelateerde kwesties.
• Houd risicobeperkende activiteiten en hun effectiviteit bij en rapporteer hierover.

Incident Management and Notification: Coördineer met derde partijen om tijdige rapportage en effectieve afhandeling van security-incidenten of meldingen van inbreuken te waarborgen, conform de NIS2-incidentmeldingsvereisten.

Stakeholder Engagement: Onderhoud contacten met interne teams (ICT, Risk, Procurement) en externe partners om gezamenlijk begrip van NIS2-vereisten en best practices in third-party risk management te bevorderen. Faciliteer regelmatige security review meetings met kritische leveranciers.

Awareness & Training: Toezicht houden op de ontwikkeling en uitvoering van awareness- en trainingsprogramma’s voor derde partijen over NIS2-verplichtingen en supply chain security, evenals bewustwording rond het relevante informatieveiligheidsbeleid van Belnet.

Kwalificaties en Ervaring

• Bachelor- of masterdiploma in Information Security, Risk Management, Law of een gerelateerd vakgebied.
• Minimaal 4 jaar ervaring in third-party risk management, cybersecurity of compliance, bij voorkeur in een gereguleerde of overheidsomgeving.
• Bekendheid met de NIS2-richtlijn en de vereisten voor essentiële entiteiten.
• Bekendheid met ISO/IEC 27001-standaardclausules met betrekking tot supplier relationship security is sterk gewenst.
• Ervaring met supply chain security in het algemeen, vendor assessments en contractonderhandelingen.
• Goede kennis van andere informatieveiligheidsstandaarden is ook een voordeel (bv. NIST, CIS Controls, CCB CyberFundamentals).
• Relevante certificeringen (bv. CISM, CISSP, CRISC, ISO 27001 Lead Implementer) of Third-Party Risk Management certificeringen zijn een pluspunt.
• Ervaring met openbare aanbestedingen is een sterk voordeel.
• Bekendheid met bescherming van kritieke infrastructuur of de EU Cyber Resilience Act is een pre.
• Ervaring met GRC-platforms is een troef, in het bijzonder ServiceNow.
• Uitstekende communicatie-, onderhandelings- en stakeholdermanagementvaardigheden.

Belangrijkste Competenties

• Diepgaand begrip van regelgeving, met name NIS2.
• Sterke analytische vaardigheden en ervaring met risicobeoordeling.
• Ervaring met het uitvoeren en onderhouden van supplier risk assessments.
• Informatiebeveiligingseisen kunnen vertalen naar contractuele clausules.
• Vermogen om te beïnvloeden en samen te werken met interne en externe stakeholders.
• Proactief, detailgericht en toegewijd aan continue verbetering.