Riskhantering

Leverantörscompliance: Varför det är din risk

NIS2 gör dig ansvarig för dina leverantörers säkerhet. Lär dig hur vendor compliance fungerar och hur du hanterar det effektivt.

S
Securapilot Compliance-experter
4 min läsning
  1. 62%
    av dataintrång involverar tredje part
    Ponemon Institute
  2. Genomsnittlig
    Genomsnittlig kostnad för tredjepartsintrång: $4.5M
    IBM Cost of a Data Breach
  3. NIS2
    NIS2 Artikel 21 kräver explicit leverantörssäkerhet
    NIS2-direktivet
Inköpsspecialist och leverantör granskar compliance-dokumentation

Dina leverantörer är din attack surface

Modern verksamhet är beroende av leverantörer: molntjänster, IT-partners, konsulter, underleverantörer. Varje sådan koppling är en potentiell ingång för angripare. NIS2 erkänner detta och gör leverantörssäkerhet till ett explicit krav.

Realiteten: När du ger en leverantör tillgång till dina system eller data, delar du din risk med dem. Men ansvaret förblir hos dig.

Vad kräver NIS2?

NIS2 Artikel 21: Leverantörssäkerhet:

Organisationer ska vidta lämpliga åtgärder avseende:

  • Säkerhetsaspekter i förhållandet till leverantörer
  • Säkerhetskvaliteten hos leverantörernas produkter/tjänster
  • Cybersäkerhetsmetoder hos leverantörer, inklusive utvecklingsprocesser
  • Leverantörernas sårbarhetshantering och rapportering

Konsekvens: Du kan inte skylla på leverantören vid en incident. Du är ansvarig för att ha hanterat risken.

Vanliga risker i leverantörskedjan

Bristande säkerhetskontroller

Leverantören har inte tillräcklig säkerhet på plats. Deras svagheter blir dina svagheter.

Överprivilegierad åtkomst

Leverantören har mer åtkomst än nödvändigt. Större attack surface vid intrång.

Ingen incidentrapportering

Leverantören meddelar inte vid incidenter. Du vet inte att du är exponerad.

Okontrollerade underleverantörer

Leverantörens underleverantörer är okända. Riskkedjan förlängs okontrollerat.

Otydliga ansvar

Vem ansvarar för vad vid incident? Oklara avtal leder till förseningar och konflikter.

Koncentrationsrisk

Kritiskt beroende av en leverantör. Om de fallerar, fallerar du.

5 steg för effektiv vendor compliance

  1. Inventera och klassificera Lista alla leverantörer med systemåtkomst, datahantering eller verksamhetskritisk betydelse. Klassificera efter risknivå: Kritisk, Hög, Medium, Låg. Fokusera resurserna på de kritiska.
  2. Definiera säkerhetskrav Skapa kravnivåer anpassade efter klassificering. Kritiska leverantörer: ISO 27001 eller motsvarande, penetrationstester, incidentrapportering. Lägre risk: grundläggande säkerhetspolicyer.
  3. Genomför bedömning Använd standardiserade frågeformulär. Begär in dokumentation. För kritiska leverantörer: överväg on-site eller virtual audit. Verifiera svar, lita inte blint.
  4. Uppdatera avtal Säkerställ att avtal innehåller: säkerhetskrav, incidentrapporteringsskyldighet, revisionsrätt, krav på underleverantörer, ansvar vid säkerhetsbrist, exit-villkor.
  5. Övervaka kontinuerligt Vendor compliance är inte ett engångsprojekt. Årlig omgranskning av kritiska leverantörer. Bevaka nyheter om intrång. Reagera på förändringar.

Frågor att ställa leverantörer

Grundläggande frågor (alla leverantörer)

  1. Har ni en dokumenterad informationssäkerhetspolicy?
  2. Hur hanterar ni säkerhetsincidenter?
  3. Har ni någon säkerhetscertifiering (ISO 27001, SOC 2)?
  4. Hur snabbt kan ni meddela oss vid en incident?
  5. Vilka underleverantörer använder ni som berör oss?

Fördjupade frågor (kritiska leverantörer)

  1. Kan vi se er senaste penetrationstestrapport?
  2. Hur ofta genomför ni säkerhetsöversyner?
  3. Vilken utbildning får er personal i säkerhet?
  4. Hur hanterar ni patchning och sårbarheter?
  5. Vad är ert RTO/RPO för tjänster till oss?
  6. Hur säkerställer ni säkerhet hos era underleverantörer?

Avtalschecklista

Måste finnas:

  • Referens till era säkerhetskrav
  • Skyldighet att upprätthålla säkerhetsstandard
  • Incidentrapportering inom [X] timmar
  • Rätt till säkerhetsrevision
  • Krav på godkännande av underleverantörer

Bör finnas:

  • SLA för säkerhetsrelaterade problem
  • Ansvar vid säkerhetsincident
  • Skyldighet att informera om förändringar
  • Krav på backup och disaster recovery
  • Exit-villkor och datahantering vid avslut

Röda flaggor

Vägrar besvara frågor

"Det är konfidentiellt" är inte ett acceptabelt svar på grundläggande säkerhetsfrågor.

Inga dokumenterade processer

Om de inte kan visa policyer och procedurer, har de sannolikt inte mogna processer.

Ingen incidenthistorik

"Vi har aldrig haft incidenter" är sällan sant. Antingen undersöker de inte, eller är de inte ärliga.

Okontrollerade underleverantörer

Om de inte vet vilka underleverantörer som hanterar era data, är det en allvarlig varningssignal.

Praktiska tips

Prioritera rätt

Alla leverantörer behöver inte samma granskning. En molnleverantör som hanterar kunddata kräver djupare granskning än en leverantör av kontorsmaterial.

Använd standarder

Frågeformulär som SIG (Standardized Information Gathering) eller CAIQ (Consensus Assessments Initiative Questionnaire) sparar tid och ger jämförbarhet.

Automatisera där möjligt

Manuell leverantörshantering skalar inte. Använd verktyg för att hantera bedömningar, påminnelser och dokumentation.

Var beredd att agera

Om en leverantör inte uppfyller kraven, ha en plan. Kan de förbättras? Finns alternativ? Vilka kompenserande kontroller kan implementeras?

Så kan Securapilot hjälpa

Securapilots leverantörsmodul effektiviserar vendor compliance:

  • Leverantörsregister: Centraliserad översikt med klassificering
  • Frågeformulär: Standardiserade bedömningar per risknivå
  • Riskbedömning: Automatisk riskpoäng baserad på svar
  • Påminnelser: Automatisk uppföljning av granskningar
  • Dokumenthantering: Alla certifikat och rapporter på ett ställe
  • Dashboard: Överblick över leverantörslandskapet

Boka en demo och se hur vi kan hjälpa er ta kontroll över leverantörsriskerna.

Vanliga frågor

Vad är vendor compliance?

Vendor compliance är processen att säkerställa att dina leverantörer uppfyller definierade säkerhetskrav och regulatoriska krav. Det inkluderar initial bedömning, avtalskrav och löpande uppföljning.

Varför är leverantörer min risk?

Dina leverantörer har ofta tillgång till dina system eller data. Om de drabbas av ett intrång kan det påverka dig direkt. NIS2 gör dig ansvarig för att hantera denna risk.

Vilka leverantörer ska granskas?

Fokusera på kritiska leverantörer: de som har tillgång till känsliga system/data, levererar verksamhetskritiska tjänster, eller kan påverka din förmåga att leverera dina tjänster.

Hur ofta ska granskning ske?

Initial granskning före avtal. Kritiska leverantörer minst årligen därefter. Viktiga leverantörer vartannat år. Alla vid betydande förändringar.

#leverantörer#vendor compliance#NIS2#riskhantering#supply chain#tredjepartsrisk

Fler artiklar

Vi använder anonym statistik utan cookies för att förbättra webbplatsen. Läs mer