NIS2 Art. 21(2)(d)
Forsyningskjedesikkerhet
Hva krever direktivet?
NIS2 Artikkel 21(2)(d) krever at virksomheten vurderer og håndterer sikkerhetsrisiko fra leverandører og samarbeidspartnere, inkludert sikkerhetskrav ved anskaffelse av IKT-produkter og -tjenester. Leverandørkjedeangrep er blant de raskest voksende truslene, og direktivet krever en aktiv tilnærming til leverandørsikkerhet.
Hva betyr dette i praksis?
- Kartlegg hvilke leverandører som har tilgang til virksomhetens systemer eller data, inkludert skytjenester.
- Still sikkerhetskrav til leverandører i kontrakter — for eksempel krav om hendelsesrapportering og sikkerhetsgjennomgang.
- Gjennomfør jevnlige vurderinger av leverandørenes sikkerhetspraksis, tilpasset risikoen de utgjør.
- Vurder avhengighetsrisiko: hva skjer dersom en kritisk leverandør faller bort eller blir kompromittert?
Spørsmål fra egenvurderingen
Her er noen av spørsmålene Fyrvakt bruker for å vurdere denne kategorien:
4.1 Har dere oversikt over hvilke leverandører som har tilgang til deres systemer eller data?
Mange virksomheter vet ikke hvem som faktisk har tilgang til hva. Kartlegg leverandører med systemtilgang, datatilgang, eller som leverer kritiske IT-tjenester. Inkluder også skytjenester.
4.2 Stiller dere sikkerhetskrav til leverandører ved innkjøp av IT-tjenester?
NIS2 forventer at dere vurderer leverandørenes sikkerhet. Dette kan være enkle krav i kontrakt (sertifiseringer, rutiner for hendelseshåndtering) eller en sjekkliste ved innkjøp. Ikke alt trenger å være ISO 27001 — men noe bør kreves.
4.3 Gjennomfører dere jevnlige vurderinger av leverandørenes sikkerhetspraksis?
Sikkerhetskrav ved kontraktsinngåelse er bare starten. Følger leverandørene opp over tid? En årlig sjekk (spørreskjema, gjennomgang, eller audit) avhengig av risiko er god praksis.
4.4 Har dere kontraktfestede rutiner for håndtering av sikkerhetshendelser hos leverandører?
Hva skjer hvis leverandøren din blir hacket? Kontrakten bør dekke varsling (at de varsler dere raskt), ansvarsfordeling, og hva som skjer med deres data.