Tredjepartsrisiko

Tredjepartsrisiko er den risiko, din organisation patager sig, nar den er afhaengig af eksterne leverandoerer, partnere og tjenesteudbydere. Et sikkerhedsbrud hos en leverandoer kan ramme dine data, systemer og kunder lige sa hardt som et brud hos dig selv.

Tilbage til ordbog

Hvad er tredjepartsrisiko?

Moderne organisationer er afhaengige af et netvaerk af leverandoerer, cloudtjenester, databehandlere og samarbejdspartnere. Hver af disse relationer skaber en potentiel risiko. Hvis din hostingleverandoer rammes af et cyberangreb, er dine data i fare. Hvis din loenlevrandoer gar konkurs, stopper loenudbetalingerne.

Tredjepartsrisiko er ikke en teoretisk bekymring. Nogle af de mest omtalte sikkerhedsbrud i de seneste ar skyldtes kompromitterede leverandoerer. SolarWinds-angrebet i 2020 ramte tusindvis af organisationer gennem en leverandoers softwareopdatering.

Det afgoerende er, at du ikke kan outsource dit ansvar. Selvom du overlader data til en databehandler, er du som dataansvarlig stadig ansvarlig for, at dataene beskyttes tilstraekkeligt. Tredjepartsrisikostyring er derfor et centralt element i din compliance-ramme.

Typer af tredjepartsrisiko

Tredjepartsrisiko kan antage flere former:

Sikkerhedsrisiko: Leverandoeren har utilstraekkelige sikkerhedsforanstaltninger, der kan foere til databrud, uautoriseret adgang eller malware-spredning.
Compliance-risiko: Leverandoeren overholder ikke relevante reguleringer som GDPR, og du risikerer at blive medansvarlig.
Operationel risiko: Leverandoeren oplever nedetid, konkurs eller serviceforringelse, der pavirker din drift.
Koncentrationsrisiko: Du er for afhaengig af en leverandoer eller et geografisk omrade, hvilket goer dig sarbar over for enkeltstaaende haendelser.
Fjerdepartsrisiko: Dine leverandoerer har selv underleverandoerer, og et problem hos dem kan forplante sig til dig.

En effektiv risikostyring kraever, at du adresserer alle disse dimensioner og ikke kun den mest oplagte.

Regulatoriske krav til tredjepartsrisikostyring

GDPR artikel 28 kraever, at du kun bruger databehandlere, der kan stille tilstraekkelige garantier. Du skal have en databehandleraftale pa plads og skal foere tilsyn med behandlingen. Due diligence inden kontraktindgaelse er et krav i praksis.

NIS2 stiller krav om, at vaesentlige og vigtige enheder tager hoejde for sikkerhed i forsyningskaeden. Du skal vurdere dine leverandoerers sikkerhedspraksis og sikre, at de lever op til dine krav.

DORA stiller de mest detaljerede krav for finansielle virksomheder. Du skal have en politik for IKT-tredjepartsstyring, gennemfoere risikovurderinger af kritiske leverandoerer, sikre kontraktuelle minimumsvilkar og have exit-strategier pa plads.

ISO 27001 adresserer leverandoersikkerhed i Annex A med kontroller for informationssikkerhed i leverandoerrelationer, herunder krav til vurdering, overvaagning og gennemgang af leverandoertjenester.

Tredjepartsrisikostyring i praksis

Start med at kortlaegge alle dine tredjeparter. Hvem har adgang til dine data eller systemer? Hvem leverer kritiske tjenester? Mange organisationer bliver overraskede over, hvor mange tredjepartsrelationer de har.

Klassificer leverandoererne efter risikoniveau. En cloudleverandoer, der hoster dine kundedata, er mere kritisk end en leverandoer af kontorartikler. Tilpas kontrolniveauet efter klassificeringen.

Gennemfoer due diligence inden kontraktindgaelse. Vurder leverandoerens sikkerhedsforanstaltninger, certificeringer (har de et ISMS?), finansielle stabilitet og regulatoriske overholdelse.

Soerg for staerke kontrakter. Databehandleraftaler, SLA'er, revisionsrettigheder og exit-klausuler er noeglen til at styre risikoen kontraktuelt. Uden ret til at auditere din leverandoer har du begraenset indsigt.

Overvag loebende. Kritiske leverandoerer boer vurderes arligt, og du boer have processer for at reagere, nar en leverandoer oplever et sikkerhedsbrud eller en vaesentlig aendring i risikoniveauet.

Dokumenter alt i dit leverandoerregister eller din registerfortegnelse. Ved tilsyn skal du kunne vise, at du har vurderet og overvager dine tredjeparter systematisk.

Ofte stillede spørgsmål om tredjepartsrisiko

Hvad er tredjepartsrisiko?

Tredjepartsrisiko er den risiko, der opstar, nar din organisation er afhaengig af eksterne parter som leverandoerer, cloudtjenester, databehandlere eller samarbejdspartnere. Hvis en leverandoer rammes af et sikkerhedsbrud, kan det direkte pavirke din organisation.

Hvem er ansvarlig for tredjepartsrisiko?

Du er. Under GDPR er du som dataansvarlig ansvarlig for dine databehandleres behandling. Under NIS2 og DORA har du pligt til at styre risici i din forsyningskaede. Ansvaret kan ikke outsources sammen med opgaven.

Hvordan vurderer man tredjepartsrisiko?

Gennem due diligence: vurder leverandoerens sikkerhedsforanstaltninger, certificeringer, finansielle stabilitet og regulatorisk overholdelse. Klassificer leverandoerer efter risikoniveau og tilpas kontrolniveauet derefter.

Hvor ofte skal man vurdere sine leverandoerers risici?

Kritiske leverandoerer boer vurderes arligt og ved vaesentlige aendringer. Oevrige leverandoerer kan vurderes med laengere intervaller afhaengigt af risikoniveauet. DORA kraever loebende overvaagning af IKT-tredjepartsleverandoerer.