Sådan fører du tilsyn med leverandørers IT-sikkerhed
Alle virksomheder bruger i dag leverandører til at håndtere dele af deres forretning fx cloudplatforme, regnskabsprogrammer til HR-ydelser, konsulenter og IT-drift. Det er både effektivt og nødvendigt. Men hver gang du udliciterer en opgave, følger der nye risici med, for du kan ikke udlicitere ansvaret.
Du kan i stedet betragte din outsourcing som en forlængelse af din egen organisation. Hvis der sker et sikkerhedsbrud hos leverandørerne, kan det få direkte konsekvenser for dig, både driftsmæssigt og juridisk.
At føre tilsyn med dine leverandører er derfor god praksis, og en nødvendig kontrolmekanisme for at sikre, at dine egne forpligtelser ikke undermineres af leverandørers usikre praksis. Tilsyn er den mekanisme, der gør det muligt at få indsigt i, hvordan leverandøren arbejder med IT-sikkerhed, og om de overholder kontrakten. Uden tilsyn er det i realiteten umuligt at vide, om risikoen er håndteret forsvarligt hos leverandøren.
I denne artikel gennemgår vi, hvordan du organiserer og udfører tilsyn med dine leverandørers IT-sikkerhed, uanset om du arbejder i en lille virksomhed med få leverandører, eller i en større organisation med komplekse leverandørforhold.
Hvorfor føre tilsyn med leverandører?
Formålet med tilsynene er at sikre, at leverandørerne lever op til de sikkerhedsmæssige, juridiske og kontraktuelle krav, som I har aftalt, og som din organisation selv er underlagt fx i henhold til GDPR, NIS2 og eventuelt ISO27001 standarden.
For din virksomhed handler det om at etablere og gennemføre en struktureret proces for overvågning og kontrol af dine leverandørers IT-sikkerhed; fra due diligence og kontraktindgåelse til løbende kontrol og afslutning af samarbejdet.
Manglende tilsyn kan få store konsekvenser: databrud, driftstab, bøder fra tilsynsmyndigheder, tab af tillid fra kunder og samarbejdspartnere samt potentielle kontraktuelle og økonomiske tab.
Lovkrav og standarder
Flere lovgivninger og branchestandarder sætter krav til, at du skal føre tilsyn med dine leverandører fx GDPR, NIS2, samt ISO27001 standarden.
GDPR
GDPR stiller tydelige krav til, hvordan man som organisation skal håndtere sine databehandlere ved kontraktindgåelse, men også i den løbende opfølgning. Det handler grundlæggende om, at man som dataansvarlig bevarer kontrollen, selv når behandlingen af personoplysninger er lagt i hænderne på en ekstern leverandør. Derfor skal der både være skriftlige databehandleraftaler og passende sikkerhedsforanstaltninger, ligesom man skal sikre sig, at leverandøren håndterer eventuelle sikkerhedsbrud korrekt og rettidigt.
Det er også vigtigt at være opmærksom på særlige forhold, hvis leverandøren behandler data uden for EU. Her kræver GDPR, at man har de fornødne garantier på plads.
Alt dette er centralt i arbejdet med databehandlere, og hvis du vil dykke dybere ned i, hvordan man konkret fører tilsyn med dem, anbefaler vi, at du læser vores separate artikel om tilsyn med databehandlere.
NIS2
Med NIS2 har EU skærpet kravene til, hvordan organisationer kategoriseret som kritisk infrastruktur skal arbejde med IT-sikkerhed, hvilket også inkluderer din forsyningskæde, og derfor forholdet til leverandører og underleverandører. Det er ikke længere tilstrækkeligt at du blot har styr på egne medarbejdere og egenudviklede systemer. Du skal også kunne dokumentere hvorfor og hvordan du stiller krav til og fører tilsyn med dine leverandører.
Du skal derfor foretage en vurdering af de risici som er forbundet med leverandørens ydelse med et fokus på, hvordan disse risici kan påvirke leveringen af dine kritiske ydelser.
Det indebærer først og fremmest, at du har overblik over dine leverandører og vurderer risici for hver enkelt. Du skal herefter have inkluderet et krav herom i dine kontrakter med leverandørerne, men du skal også sikre dig, at disse krav i praksis efterleves af leverandørerne og underleverandørerne ved at føre tilsyn med kontraktefterlevelsen.
NIS2’s artikel 23 specificerer desuden, at det er ledelsens ansvar at overse og godkende organisationens risikostyring, hvilket også inkluderer risikostyringen med leverandørerne.
ISO27001
ISO27001 standarden stiller krav til, hvordan organisationer håndterer informationssikkerhed, hvilket også inkluderer de outsourcede opgaver til leverandører. Risici fra eksterne parter skal vurderes og håndteres på samme måde som interne forhold, og derfor skal virksomheden vide, hvilke aktiver leverandører har adgang til, hvordan adgangen styres, og hvordan der føres kontrol med deres håndtering af information og systemer.
Standardens kontrolområder omfatter både fastsættelse af krav i kontrakter, styring af adgang til information og systemer, overvågning af leverandørens sikkerhedsniveau og håndtering af ændringer i leverancen. Du skal også tage højde for sikkerheden på tværs af hele forsyningskæden og sikre, at underleverandører lever op til samme krav.
Det er kontrollerne 5.19 - 5.23 i ISO27001:2022, der dækker disse forhold og udgør fundamentet for et struktureret tilsyn med leverandørerne.
Leverandørstyring - før, under og efter samarbejdet
Leverandørstyring starter ved udvælgelsen af leverandører og slutter når opgaven og alle medfølgende forpligtelser er afsluttet. Tilsyn med leverandørerne kan foregå både før, under og efter samarbejdet.
Før kontraktindgåelse
Før du outsourcer en opgave til en leverandør, bør du lave en risikovurdering af den outsourcede opgave, hvilket gør dig i stand til at definere passende sikkerhedskrav til leverandøren. Det kan for eksempel være krav til adgangsstyring, kryptering, hændelseshåndtering, revision og dokumentation. Det er også her, at du afklarer din ret til at føre tilsyn med leverandører og eventuelt med underleverandører. Her er det ofte nødvendigt at samarbejde med indkøb, jura og de øvrige forretningsområder for at sikre, at kravene forankres både juridisk og praktisk.
Tilsyn under samarbejdet
Når samarbejdet er i gang, handler tilsynet om at sikre, at leverandøren lever op til de aftalte krav og tilpasset leverandørens risikoprofil.
Risikoprofilen afhænger af, om leverandøren har adgang til følsomme oplysninger eller leverer kritiske ydelser, hvilket også bør være reflekteret i kravene til de implementerede sikkerhedsforanstaltninger.
Dine tilsyn kan foretages gennem dokumentgennemgang, statusmøder, en tredjeparts tilsyn med leverandøren eller ved at du selv besøger leverandøren og tjekker at de aftalte forhold efterleves.
Det er også vigtigt at reagere når leverandøren ændrer systemer, processer eller andet i sin organisation, da det kan have betydning for sikkerheden. Derfor bør leverandøren varsle ændringer til dig, hvilket bør fremgå af kontrakten, og som også er et forhold, der bør føres tilsyn med.
Tilsynet kan fx fokusere på leverandørens adgangsstyring, brug af kryptering, håndtering softwareopdateringer, awareness træning i IT-sikkerhed og hændelseshåndtering. Det er desuden relevant at gennemgå leverandørens dokumentation fx ISO-certificering, interne audits eller revisionserklæringer fx ISAE 3402. Du bør samtidig skaffe indblik i, om leverandøren bruger underleverandører, og hvordan de er dækket af de samme krav, så det kan give dig tillid til, at hele forsyningskæden er sikker.
Efter kontraktens ophør
Når kontrakten og samarbejdet ophører, skal du sikre dig, at leverandørens adgange, databehandling, mv. afsluttes korrekt. Dette kan også medføre et tilsyn, hvor kontraktforholdene vedrørende ophør af samarbejdet kontrolleres.
Tilsynsmodel og interne ressourcer
Dit tilsynsarbejde skal afspejle virksomhedens ressourcer og kompleksitet, da en mindre og en større organisation har vidt forskellige forudsætninger og behov for leverandørstyring.
Mindre organisationer
I mindre virksomheder håndteres tilsynet formentligt blot af én person, som også har ansvar for mange andre områder. Her er det afgørende at prioritere og fokusere på de få leverandører, der udgør den største risiko. Vurderinger og tilsyn kan dokumenteres i enkle skabeloner eller excelark. Her kan vendor management software dog også være en hjælp til at skabe overblik og struktur, og som en løftestang til den ene medarbejders arbejdskraft.
Større organisationer
I større virksomheder er der typisk flere leverandører, flere systemejere og større krav til governance og dokumentation. Her bør leverandørstyring være en dedikeret funktion eller rolle med snitflader til IT, compliance, jura og indkøb. Leverandørerne bør inddeles i risikokategorier, hvor tilsynets hyppighed og omfang tilpasses derefter. For de mest kritiske leverandører kan der eventuelt gennemføres årlige audits, mens mindre risikofyldte kan nøjes med lettere opfølgning.
Vendor management software bør anvendes for at strukturere kompleksiteten af arbejdet med alle leverandørerne og de forskellige kontrakter, krav, tilsyn, dokumentation, og samarbejdet mellem de forskellige interne forretningsområder.
Afslutning
Tilsyn med leverandører giver overblik, øger sikkerheden og viser, at din virksomhed har styr på sin forretning.
Begynd med at få overblik over dine leverandører, lav dine risikovurderinger og få de vigtigste krav skrevet ind i kontrakterne. Brug et simpelt værktøj til at følge op, og sørg for, at tilsyn bliver en fast del af jeres sikkerhedsarbejde.
.jpeg)
.jpg)
.jpg)
.jpg)
.png)
.jpeg)
.jpg)
