Riskhantering

Leverantörscompliance: Varför det är din risk

NIS2 gör dig ansvarig för dina leverantörers säkerhet. Lär dig hur vendor compliance fungerar och hur du hanterar det effektivt.

S
Securapilot Compliance-experter
4 min läsning
  1. 62%
    av dataintrång involverar tredje part
    Ponemon Institute
  2. Genomsnittlig
    Genomsnittlig kostnad för tredjepartsintrång: $4.5M
    IBM Cost of a Data Breach
  3. NIS2
    NIS2 Artikel 21 kräver explicit leverantörssäkerhet
    NIS2-direktivet
Inköpsspecialist och leverantör granskar compliance-dokumentation

Dina leverantörer är din attackyta

Modern verksamhet är beroende av leverantörer: molntjänster, IT-partners, konsulter och underleverantörer. Varje koppling är en potentiell ingång för angripare. NIS2 erkänner detta och gör leverantörssäkerhet till ett tydligt krav.

Verkligheten: När du ger en leverantör tillgång till dina system eller data delar du din risk med dem. Men ansvaret ligger kvar hos dig.

Vad kräver NIS2?

NIS2 Artikel 21: Leverantörssäkerhet:

Organisationer ska vidta lämpliga åtgärder avseende:

  • Säkerhetsaspekter i förhållandet till leverantörer
  • Säkerhetskvaliteten hos leverantörernas produkter/tjänster
  • Cybersäkerhetsmetoder hos leverantörer, inklusive utvecklingsprocesser
  • Leverantörernas sårbarhetshantering och rapportering

Konsekvens: Du kan inte skylla på leverantören vid en incident. Du är ansvarig för att ha hanterat risken.

Vanliga risker i leverantörskedjan

Bristande säkerhetskontroller

Leverantören har inte tillräcklig säkerhet på plats. Deras svagheter blir dina svagheter.

Överprivilegierad åtkomst

Leverantören har mer åtkomst än nödvändigt. Större attackyta vid intrång.

Ingen incidentrapportering

Leverantören meddelar inte vid incidenter. Du vet inte att du är exponerad.

Okontrollerade underleverantörer

Leverantörens underleverantörer är okända. Riskkedjan förlängs okontrollerat.

Otydliga ansvar

Vem ansvarar för vad vid incident? Oklara avtal leder till förseningar och konflikter.

Koncentrationsrisk

Kritiskt beroende av en leverantör. Om de fallerar, fallerar du.

Fem steg för effektiv leverantörsuppföljning

  1. Inventera och klassificera Lista alla leverantörer med systemåtkomst, datahantering eller verksamhetskritisk betydelse. Klassificera dem efter risknivå: kritisk, hög, medel och låg. Fokusera resurserna på de kritiska.
  2. Definiera säkerhetskrav Skapa kravnivåer anpassade efter klassificering. För kritiska leverantörer: kräv ISO 27001 eller motsvarande, penetrationstester och incidentrapportering. Vid lägre risk räcker grundläggande säkerhetspolicyer.
  3. Genomför bedömning Använd standardiserade frågeformulär. Begär in dokumentation. För kritiska leverantörer: överväg granskning på plats eller på distans. Verifiera svar — lita inte blint.
  4. Uppdatera avtal Säkerställ att avtalen innehåller säkerhetskrav, incidentrapporteringsskyldighet och revisionsrätt. Inkludera även krav på underleverantörer, ansvar vid säkerhetsbrist och villkor vid avslut.
  5. Övervaka kontinuerligt Leverantörsuppföljning är inte ett engångsprojekt. Granska kritiska leverantörer årligen. Bevaka nyheter om intrång. Reagera på förändringar.

Vilka frågor bör du ställa till leverantörer?

Grundläggande frågor (alla leverantörer)

  1. Har ni en dokumenterad informationssäkerhetspolicy?
  2. Hur hanterar ni säkerhetsincidenter?
  3. Har ni någon säkerhetscertifiering (ISO 27001, SOC 2)?
  4. Hur snabbt kan ni meddela oss vid en incident?
  5. Vilka underleverantörer använder ni som berör oss?

Fördjupade frågor (kritiska leverantörer)

  1. Kan vi se er senaste penetrationstestrapport?
  2. Hur ofta genomför ni säkerhetsöversyner?
  3. Vilken utbildning får er personal i säkerhet?
  4. Hur hanterar ni patchning och sårbarheter?
  5. Vad är ert RTO/RPO för tjänster till oss?
  6. Hur säkerställer ni säkerhet hos era underleverantörer?

Avtalschecklista

Måste finnas:

  • Referens till era säkerhetskrav
  • Skyldighet att upprätthålla säkerhetsstandard
  • Incidentrapportering inom [X] timmar
  • Rätt till säkerhetsrevision
  • Krav på godkännande av underleverantörer

Bör finnas:

  • SLA för säkerhetsrelaterade problem
  • Ansvar vid säkerhetsincident
  • Skyldighet att informera om förändringar
  • Krav på backup och katastrofåterställning
  • Exit-villkor och datahantering vid avslut

Vilka varningssignaler ska du reagera på?

Vägrar besvara frågor

"Det är konfidentiellt" är inte ett acceptabelt svar på grundläggande säkerhetsfrågor.

Inga dokumenterade processer

Om de inte kan visa policyer och procedurer, har de sannolikt inte mogna processer.

Ingen incidenthistorik

"Vi har aldrig haft incidenter" är sällan sant. Antingen undersöker de inte, eller är de inte ärliga.

Okontrollerade underleverantörer

Om de inte vet vilka underleverantörer som hanterar dina data är det en allvarlig varningssignal.

Praktiska tips

Prioritera rätt

Alla leverantörer behöver inte samma granskning. En molnleverantör som hanterar kunddata kräver djupare granskning än din kontorsmaterialleverantör.

Använd standarder

Frågeformulär som SIG (Standardized Information Gathering) eller CAIQ (Consensus Assessments Initiative Questionnaire) sparar tid och ger jämförbarhet.

Automatisera där det går

Manuell leverantörshantering fungerar dåligt i stor skala. Använd verktyg för att hantera bedömningar, påminnelser och dokumentation.

Var beredd att agera

Om en leverantör inte uppfyller kraven behöver du en plan. Kan de förbättras? Finns alternativ? Vilka kompenserande kontroller kan du införa?

Så kan Securapilot hjälpa

Securapilots leverantörsmodul effektiviserar leverantörsuppföljningen:

  • Leverantörsregister: Centraliserad översikt med klassificering
  • Frågeformulär: Standardiserade bedömningar per risknivå
  • Riskbedömning: Automatisk riskpoäng baserad på svar
  • Påminnelser: Automatisk uppföljning av granskningar
  • Dokumenthantering: Alla certifikat och rapporter på ett ställe
  • Översiktspanel: Överblick över leverantörslandskapet

Boka en demo och se hur vi kan hjälpa er ta kontroll över leverantörsriskerna.

Vanliga frågor

Vad är vendor compliance?

Vendor compliance är processen att säkerställa att dina leverantörer uppfyller definierade säkerhetskrav och regulatoriska krav. Det inkluderar initial bedömning, avtalskrav och löpande uppföljning.

Varför är leverantörer min risk?

Dina leverantörer har ofta tillgång till dina system eller data. Om de drabbas av ett intrång kan det påverka dig direkt. NIS2 gör dig ansvarig för att hantera denna risk.

Vilka leverantörer ska granskas?

Fokusera på kritiska leverantörer: de som har tillgång till känsliga system/data, levererar verksamhetskritiska tjänster, eller kan påverka din förmåga att leverera dina tjänster.

Hur ofta ska granskning ske?

Initial granskning före avtal. Kritiska leverantörer minst årligen därefter. Viktiga leverantörer vartannat år. Alla vid betydande förändringar.

#leverantörer#vendor compliance#NIS2#riskhantering#supply chain#tredjepartsrisk

Fler artiklar

Vi använder anonym statistik utan cookies för att förbättra webbplatsen. Läs mer