Leverandørkædesikkerhed

Leverandørkædesikkerhed handler om at vurdere og styre cybersikkerhedsrisici fra dine leverandører og tjenesteudbydere. Under NIS2 er det et lovkrav, at du kortlægger, hvilke leverandører der udgør en sikkerhedsrisiko, og at du tager aktivt hånd om disse risici.

Tilbage til ordbog

Hvad er leverandørkædesikkerhed?

Leverandørkædesikkerhed (supply chain security) dækker de processer og kontroller, der sikrer, at din organisations cybersikkerhed ikke kompromitteres gennem de leverandører, partnere og tjenesteudbydere, du er afhængig af.

Angreb via leverandørkæden er steget dramatisk. Eksempler som SolarWinds-angrebet har vist, at selv veldrevne organisationer kan kompromitteres via betroede leverandørers systemer. NIS2 adresserer dette direkte ved at gøre leverandørvurdering til et lovkrav.

NIS2's krav til leverandørkæden

NIS2 artikel 21, stk. 2, litra d kræver, at organisationer indfører sikkerhedsforanstaltninger vedrørende leverandørkædens sikkerhed, herunder sikkerhedsrelaterede aspekter af forholdet mellem organisationen og dens direkte leverandører eller tjenesteudbydere.

Dette indebærer typisk, at du skal:

Identificere og kortlægge kritiske leverandører og tjenesteudbydere
Vurdere de sikkerhedsrisici, som disse leverandører udgør
Sikre, at kontrakter med kritiske leverandører indeholder passende sikkerhedskrav
Løbende overvåge leverandørers sikkerhedsstatus
Have en plan for håndtering af leverandørrelaterede hændelser

Husk kæden bag leverandørerne: NIS2 inkluderer ikke kun dine direkte leverandører, men også kæden bagved. Spørg dine kritiske leverandører om, hvilke underleverandører de anvender til kritiske tjenester.

Hvad skal du gøre i praksis?

En praktisk tilgang til NIS2's leverandørkædesikkerhed inkluderer disse trin:

Kortlæg dine leverandører: Lav et register over alle leverandører med adgang til dine systemer eller data.
Risikovurder leverandørerne: Klassificér leverandørerne efter risiko – kritisk, høj, medium, lav.
Kontrakter og krav: Sikr, at kontrakter med kritiske leverandører indeholder krav til sikkerhedsstandarder, revisionsrettigheder og hændelsesnotifikation.
Løbende overvågning: Gennemfør periodiske vurderinger af kritiske leverandørers sikkerhedsstatus.
Dokumentation: Dokumenter din leverandørstyring som del af din samlede NIS2-compliance.

Ofte stillede spørgsmål om leverandørkædesikkerhed

Hvad kræver NIS2 om leverandørkædesikkerhed?

NIS2 artikel 21 kræver, at organisationer vurderer og adresserer sikkerhedsrisici fra leverandører og tjenesteudbydere. Det inkluderer vurdering af leverandørernes sikkerhedspraksis og aftaleforpligtelser om sikkerhed.

Hvilke leverandører skal vurderes under NIS2?

Som udgangspunkt alle leverandører og tjenesteudbydere med adgang til eller leverance af komponenter til dine kritiske systemer – særligt it-leverandører, cloud-tjenesteudbydere og softwareleverandører.

Dækker NIS2 også underleverandører?

Ja. NIS2 dækker ikke kun dine direkte leverandører, men også kæden bagved. Du bør spørge dine kritiske leverandører, hvilke underleverandører de anvender til kritiske tjenester, og hvordan de styrer disse risici.

Hvordan bør leverandører risikovurderes under NIS2?

En risikobaseret tilgang indebærer at klassificere leverandører efter deres adgang til følsomme data eller kritiske systemer, deres kritikalitet for forretningsdriften og deres egen sikkerhedsmodenhed. Højrisiko-leverandører bør levere dokumentation for deres sikkerhedsniveau.

Hvilke kontraktuelle krav bør stilles til kritiske leverandører?

Kontrakter med kritiske leverandører bør indeholde krav til sikkerhedsstandarder, revisionsrettigheder, hændelsesnotifikation, databeskyttelsesforpligtelser og ret til opsigelse ved alvorlige sikkerhedsbrud.