NIS2: Hvad med forsyningskæden – har du styr på den?
Udgivet: 3. juni 2024Med NIS2-direktivet er det ikke nok at have styr på virksomhedens egen cybersikkerhed. Man skal også se kritisk på sine leverandører og serviceudbydere. DBI’s sikkerhedsrådgiver Andreas P. Norstedt forklarer hvordan.
Hvad indebærer sikker forsyningskæde – leverandører og serviceudbydere – i forhold til NIS2?
Virksomheder skal lave risikovurderinger for at identificere og analysere potentielle trusler og sårbarheder, der kan komme fra deres leverandører og serviceudbydere. Det indebærer en systematisk gennemgang af alle dele af forsyningskæden for at sikre, at risici bliver identificeret og korrekt adresseret.
Derfor er det afgørende med detaljerede sikkerhedskrav i kontrakterne med tredjeparter. Det kan f.eks. være specificering af standarder, der skal opretholdes, og krav om regelmæssige revisioner. Kontrakterne bør også indeholde klare aftaler om ansvar og konsekvenser ved brud, hvis leverandører og serviceudbydere ikke lever op til sikkerhedskravene.
For at sikre kontinuerlig compliance og adressering af nye trusler skal virksomheder implementere processer for løbende overvågning og evaluering af deres leverandørers og serviceudbyderes praksis. Det betyder, at man med regelmæssige audits og revisioner sikrer, at alle involverede parter opfylder aftalte sikkerhedsstandarder og hurtigt kan reagere på eventuelle sikkerhedsbrister.
Hvorfor er sikker forsyningskæde et krav i NIS2?
Det handler om forebyggelse og opbygning af resiliens. En forbedring af sikkerhedsforanstaltningerne i hele forsyningskæden er afgørende for at kunne forhindre cyberangreb, så man undgår en kompromittering af sine systemer pga. svagheder hos en leverandør. NIS2 sikrer, at selv mindre leverandører, som kan være sårbare over for avancerede trusler, opretholder passende sikkerhedsniveauer, der beskytter både dem og deres kunder mod betydelige tab og forstyrrelser.
Kort sagt vil ensartede og høje sikkerhedsstandarder på tværs af forsyningskæden være med til at opbygge et stærkt forsvar mod cybertrusler. Det styrker organisationens samlede modstandsdygtighed og reducerer risikoen for driftsforstyrrelser, der både kan påvirke leverancer og skade virksomhedens omdømme.
Hvordan skal virksomheder konkret arbejde med sikker forsyningskæde?
Der er fire hovedområder:
Omhyggelig udvælgelse af leverandører: Leverandører og serviceudbydere bør vælges ud fra på deres leveringsdygtighed, og at de har robuste praksisser på plads.
Implementering af foranstaltninger: Virksomheder skal udvikle og vedligeholde politikker, der dækker interaktionerne med leverandører og tjenesteudbydere. Det inkluderer krav til audits, datadeling, adgangskontroller og responsstrategier for at håndtere sikkerhedshændelser effektivt.
Skærpede krav i kontrakter: Det er vigtigt, at alle aftaler med tredjeparter indeholder specifikke klausuler, der kan håndhæves. Sørg for, at kontrakterne præcist har specificeret de forventede sikkerhedsniveauer, frekvensen af revisioner og de konsekvenser, der følger, hvis kravene ikke opfyldes.
Rapportering og transparens: Regelmæssig rapportering til ledelsen og relevante tilsynsmyndigheder om sikkerhedsstatus og effektiviteten af de implementerede foranstaltninger er et must. Det giver en høj grad af transparens og muliggør hurtig justering af strategier baseret på aktuelle trusler og risikovurderinger.
Hvilke faldgruber er der i arbejdet med at sikre forsyningskæden i henhold til NIS2?
Der er primært tre udfordringer, man bør være opmærksom på som virksomhed:
Svingende sikkerhedsniveauer: Det kan være komplekst at håndtere, at leverandører kan have forskellige sikkerhedsniveauer. Det er vigtigt at etablere minimumsstandarder og regelmæssigt gennemføre vurderinger og audits.
Ændringer i trusselsbilledet: Cybersikkerhedstruslers dynamiske natur betyder, at løsninger, der var effektive i går, ikke nødvendigvis er det i dag. Virksomheder skal have agile og tilpasningsdygtige sikkerhedsstrategier, der kan opdateres i takt med nye trusler. Det gælder også forsyningskæden.
Manglende transparens hos underleverandører: Manglende indsigt i underleverandørers sikkerhedspraksisser kan medføre blinde punkter. Virksomheder bør kræve, at deres direkte leverandører også håndhæver de nødvendige sikkerhedsstandarder hos deres leverandører.