- Af Emil Galletta Rene, advokatfuldmægtig
Forsyningskædesikkerhed under NIS2: Kom godt i gang med disse 8 steps
- oktober 8, 2024
Det er ikke uden grund, at jeg udgiver et blogindlæg om forsyningskædesikkerhed under NIS2 i den her måned:
Hvert år sætter vi i Europa fokus på digital sikkerhed og cyberhygiejne med Cyber Month i hele oktober.
Og en essentiel måde at gøre det på er ved at hjælpe dig og andre NIS2-omfattede virksomheder med at sikre sikkerhed – og compliance – i forsyningskæden.
I dit forberedende arbejde følger disse 8 steps:
- Step #1: Kortlæg dine leverandører
- Step #2: Kortlæg dine andre aktiver
- Step #3: Risikovurdér din leverandør/dine aktiver
- Step #4: Sørg for sikkerhedsforanstaltninger
- Step #5: Følg internationale standarder
- Step #6: Vær obs på koordinerede risikovurderinger af kritiske forsyningskæder
- Step #7: Hold øje med nationale regler og særregler
- Step #8: Stil kontraktuelle krav til din leverandør
Step #1: Kortlæg dine leverandører
NIS2-direktivet skal styrke cybersikkerheden i EU ved at stille skærpede krav til net- og informationssystemer i kritiske sektorer.
Det vil sige, at organisationer i disse sektorer – også kaldet væsentlige og vigtige enheder i NIS2 – skal have styr på sikkerhed i leverandørforhold.
Den vigtigste del af dit NIS2-arbejde ligger altså i at vurdere, om din organisation har passende sikkerhed og foranstaltninger på plads i forsyningskæden.
Det er for at styre risiciene i net- og informationssystemer, som I bruger til operationer eller til at levere tjenester.
I praksis gælder kravet altså for de net- og informationssystemer, som din organisation ikke selv har bygget, men som bliver leveret af dine leverandører.
Det er en god idé at sørge for sikkerhed i hele din forsyningskæde, men start med de leverandører, der er mest kritiske for jeres forretning og for jeres cybersikkerhed.
Det er nødvendigt, at du kortlægger leverandører for at dokumentere, at du har undersøgt, at de har tilstrækkelig sikkerhed.
Et spørgsmål, som kan hjælpe dig med at mappe dine leverandører, er:
Step #2: Kortlæg dine andre aktiver
For at sikre en omfattende vurdering af dine leverandørers betydning og sikkerhed, er det vigtigt, at du identificerer og dokumenterer de kritiske aktiver, som leverandørerne leverer til jer.
Aktiver kan fx være IT-systemer, OT (operationel teknologi), hardware, databaser og netværksinfrastruktur (såsom Wi-Fi).
Få et overblik over mulige aktiver her:
Step #3: Risikovurdér din leverandør/dine aktiver
Det er vigtigt at vurdere de risici, der er ved at bruge din leverandør.
I en risikovurdering skal du identificere de sårbarheder, der er specifikke for hver af jeres direkte leverandør, og den generelle kvalitet af leverandørens services (altså, jeres aktiver) og cybersikkerhedspraksis.
NIS2 kræver, at du vurderer sandsynligheden for hændelser og deres alvor, herunder deres samfundsmæssige og økonomiske virkning.
Hvis en leverandør bliver udsat for cyberangreb, kan det fx resultere i nedbrud eller kompromittering af de tjenester, som I er afhængige af. Fx kan et angreb på en cloud-tjeneste føre til tab af data og driftsstop.
Step #4: Sørg for sikkerhedsforanstaltninger
Du bør sørge for, at der er tilstrækkelige sikkerhedsforanstaltninger omkring de aktiver, som leverandøren leverer til jer. Det skal ses som ’summen’ af din organisation og leverandørens sikkerhedsforanstaltninger.
Fx vil et IT-system leveret af en professionel part oftest have tilstrækkelige tekniske sikkerhedsforanstaltninger.
Men hvis du ikke indfører organisatoriske sikkerhedsforanstaltninger såsom tavshedspligt og brugeradgangsbegrænsning, og systemet samtidig bruges på en usikker måde, kan leverandørens sikkerhedsforanstaltninger være uden effekt.
Din risikovurdering vil kunne kaste lys over de foranstaltninger, som I skal implementere.
Step #5: Følg internationale standarder
Internationale standarder kan give dig en systematisk tilgang til at sørge for sikkerhed i din organisations forsyningskæde – og kan derfor også hjælpe jer med at dokumentere jeres NIS2-compliance.
Det kan være standarder som ISO 27002, ISO 27036-2, CIS 18 kontroller, D-mærket og ISA/IEC 42443-serien.
Step #6: Vær obs på koordinerede risikovurderinger af kritiske forsyningskæder
Et af minimumskravene i NIS2 (artikel 21, stk. 3, 2. pkt.) er, at du som omfattet organisation skal “tage hensyn til resultaterne af de koordinerede sikkerhedsrisikovurderinger af kritiske forsyningskæder, der foretages i overensstemmelse med artikel 22, stk. 1,” når du laver risikovurderinger.
Disse koordinererede sikkerhedsrisikovurderinger vil blive lavet på EU-plan for at opnå sikkerhed i specifikke kritiske tjenester, systemer og produktionsforsyningskæder.
Vi afventer stadig på, at de bliver lavet.
Når dét sker, skal du inddrage resultaterne af disse koordinerede vurderinger, når du vurderer, hvilke tiltag du skal implementere for at sørge for passende forsyningskædesikkerhed.
NIS Samarbejdsgruppen har allerede en række publiceringer, som du med fordel kan inddrage i dine risikovurderinger.
De har fx lavet en koordineret sikkerhedsrisikovurdering af 5G-netværket.
Step #7: Hold øje med nationale regler og særregler
Da NIS2 er et direktiv, kræver det, at Danmark gennemfører en NIS2-lovgivning, før reglerne gælder for din organisation.
Det betyder, at I skal forholde jer til, hvordan Folketinget konkret vælger at implementere kravene i NIS2-direktivet.
Det kan fx være, at Folketinget vælger at indføre skærpede krav for forsyningsvirksomheder.
Vi forventer dog, at Danmark vil implementere en lov, der er meget lig kravene i direktivet.
Vi kender dog først den endelige NIS2-lov i Danmark, når den er fuldt implementeret. VI forventer, at det sker i starten af 2025.
Step #8: Stil kontraktuelle krav til din leverandør
Det er som udgangspunkt kun organisationer, der er omfattet af NIS2, som skal leve op til kravene heri.
Men netop fordi “forsyningskædesikkerhed, herunder sikkerhedsrelaterede aspekter vedrørende forholdene mellem den enkelte enhed og dens direkte leverandører eller tjenesteudbydere” er centralt i NIS2-direktivet, kan dine leverandører være indirekte omfattet af NIS2-kravene.
Derfor: Når du har klaret den forberedende del af NIS2-arbejdet bl.a. ved at have kortlagt dine direkte kritiske leverandører, har du nu også et overblik over de krav, du bør forpligte dine leverandører til at overholde og ikke mindst dokumentere.
Du bør altså stille kontraktlige krav til din leverandør om, at de har tiltrækkelig sikkerhed ved, at de fx:
- Følger en international standard
- Har passende sikkerhedsforanstaltninger omkring deres IT-systemer
- Har effektive procedurer for hændelsesrapportering (det uddyber vi under Løbende NIS2-arbejde)
- Sikrer træning og uddannelse inden for IT-sikkerhed blandt relevante medarbejdere
Det er for, at din organisation kan leve op til og dokumentere jeres forsyningskædeansvar i henhold til NIS2.
Sådan nåede vi godt omkring de 8 steps, der lægger et solidt fundament af sikkerhed i din forsyningskæde.
Dog stopper arbejdet ikke dér. For der venter dig også compliance-opgaver i det løbende arbejde, og når du skal opsige en leverandør.
Hvis du har brug for hjælp – og en skræddersyet tjekliste – til alle compliance-opgaver, der knytter sig til dine leverandørforhold under NIS2, er du velkommen til at snuppe vores guide hér.
Komplet guide og tjekliste til din forsyningskædesikkerhed
Få en skræddersyet NIS2-tjekliste, som sikrer din compliance, når du implementerer, bruger og opsiger leverandører.
