We zijn uitsluitend op zoek naar kandidaten die deze functie daadwerkelijk hebben uitgevoerd zoals hier beschreven, en dit niet langer dan 5 jaar geleden.

Functieoverzicht

De Third-Party Risk Manager (TPRM) is verantwoordelijk voor het opzetten, beheren, toezicht houden op en mitigeren van de informatieveiligheidsrisico’s die verbonden zijn aan externe leveranciers, dienstverleners en aannemers, en dit in overeenstemming met de NIS2-richtlijn. Deze functie zorgt ervoor dat externe partners voldoen aan de beveiligingsstandaarden en -beleid van Belnet, voldoen aan NIS2-verplichtingen, en geen onaanvaardbare risico’s vormen voor de bedrijfsvoering.

De manager is gepositioneerd binnen Procurement, bouwt en onderhoudt sterke relaties met derde partijen, faciliteert risicoanalyses en werkt samen met interne stakeholders om de bedrijfsweerbaarheid tegen informatiebeveiligingsdreigingen te versterken.

Belangrijkste verantwoordelijkheden

Third party supplier security governance:
Definiëren en opzetten van de noodzakelijke governance en processen voor het beheer van informatieveiligheidsrisico’s van derde partijen. Evalueren en classificeren van derde partijen op basis van kritisch belang en risico voor essentiële diensten. Assisteren van de CISO en Procurement bij het ontwikkelen en onderhouden van beveiligingsbeleid en procedures voor leveranciersbeveiliging.

NIS2 Compliance:
Zorgen dat alle relaties met derde partijen voldoen aan de cybersecurityvereisten zoals vastgelegd in de NIS2-richtlijn, inclusief risicobeheer, incidentrapportage en beveiliging van de toeleveringsketen.

Third-Party Risk Assessment & Management:

• Uitvoeren van grondige beveiligings-due diligence en risicoanalyses van bestaande en potentiële derde partijen, met focus op hun vermogen om aan NIS2-standaarden te voldoen.
• Bijhouden van een actueel risicoregister en behandelplannen van derde partijen en hun risicostatus zoals vereist door NIS2.
• Opzetten van methodologieën en criteria voor risicoscores en categorisatie van leveranciers.
• Vaststellen en monitoren van beveiligingsprestatie-indicatoren voor kernleveranciers.
• Beheren van de volledige third-party risk lifecycle van onboarding tot contractbeëindiging.

Contract en Procurement ondersteuning:

• Samenwerken met Procurement en CISO om ervoor te zorgen dat contracten met derde partijen robuuste cybersecurityclausules bevatten, duidelijke incidentmeldingsvereisten en auditrechten zoals verplicht door NIS2.
• Beoordelen en goedkeuren van cybersecurityclausules in overeenkomsten met derde partijen.
• Zorgen dat vereisten rond gegevensbescherming en privacy zijn opgenomen in leverancierscontracten.
• Ondersteunen van contractonderhandelingen over beveiligingstermen en risicoverdeling.
• Beheren van op beveiliging gerichte service level agreements en sancties.

Supply Chain Security:
Ontwikkelen en onderhouden van processen om risico’s in de cyberweerbaarheid van de toeleveringsketen te identificeren, monitoren en mitigeren, en ervoor zorgen dat leveranciers passende technische en organisatorische maatregelen nemen. Dit omvat continue monitoring van afhankelijkheden van leveranciers.

Monitoring & Reporting:
Toezicht houden op de voortdurende monitoring van compliance door derde partijen, inclusief KPI’s, SLA’s, regelmatige beoordelingen, audits en opvolging van herstelmaatregelen:

• Ontwikkelen en onderhouden van dashboards en rapportagemechanismes voor third-party risk.
• Opstellen van regelmatige rapporten voor Management, Risk Office en Procurement over het risicoprofiel van derde partijen, compliance status en voortgang van herstelmaatregelen, met nadruk op NIS2-gerelateerde kwesties.
• Bijhouden en rapporteren van risicobeperkende activiteiten en effectiviteit.

Incident Management and Notification:
Samenwerken met derde partijen om tijdige rapportage en effectieve afhandeling van beveiligingsincidenten of meldingen van inbreuken te garanderen, in lijn met de NIS2-incidentmeldingsverplichtingen.

Stakeholder Engagement:
Contact onderhouden met interne teams (ICT, Risk, Procurement) en externe partners om een gedeeld begrip van NIS2-vereisten en best practices in third-party risk management te bevorderen. Faciliteren van regelmatige security review meetings met kritieke leveranciers.

Awareness & Training:
Toezicht houden op de ontwikkeling en uitvoering van trainings- en bewustwordingsprogramma’s voor derde partijen over NIS2-verplichtingen en supply chain security, evenals bewustwording over het relevante informatiebeveiligingsbeleid van Belnet.

Kwalificaties en ervaring

• Ervaring met ISO/IEC 27001-standaardclausules omtrent beveiliging van leveranciersrelaties.
• Minimaal 4 jaar ervaring in third-party risk management en cybersecurity, of compliance, bij voorkeur in een gereguleerde of overheidsomgeving.
• Vertrouwdheid met de NIS2-richtlijn en de vereisten voor essentiële entiteiten.
• Ervaring met supply chain security in het algemeen, leveranciersbeoordelingen en contractonderhandelingen.
• Goede kennis van andere informatiebeveiligingsstandaarden is een pluspunt (bv. NIST, CIS Controls, CCB CyberFundamentals).
• Relevante certificeringen (bv. CISM, CISSP, CRISC, ISO 27001 Lead Implementer) of certificaten in Third-Party Risk Management zijn een voordeel.
• Ervaring met openbare aanbestedingen is een sterk voordeel.
• Kennis van bescherming van kritieke infrastructuur is mooi meegenomen, evenals de EU Cyber Resilience Act.
• Ervaring met GRC-platformen is een pluspunt, in het bijzonder ServiceNow.
• Uitstekende communicatie-, onderhandelings- en stakeholdermanagementvaardigheden.

Kerncompetenties

• Diepgaande kennis van regelgeving en compliance, met name NIS2.
• Sterke analytische vaardigheden en risicobeoordeling.
• Ervaring met het uitvoeren en onderhouden van leveranciersrisicobeoordelingen.
• Informatiebeveiligingsvereisten kunnen vertalen naar contractuele clausules.
• Vermogen om invloed uit te oefenen en samen te werken met interne en externe stakeholders.
• Proactief, detailgericht en toegewijd aan continue verbetering.

Timing

Het initiële contract is voor drie maanden en wordt op verlengbare basis vernieuwd tot maximaal één jaar.