Din säkerhet är inte starkare än svagaste länken
De flesta organisationer har tiotals eller hundratals leverantörer med åtkomst till system eller data. Varje sådan koppling är en möjlig attackväg. NIS2 erkänner detta och ställer därför uttryckliga krav på säkerhet i leveranskedjan.
Det handlar inte om att misstro sina partners. Det handlar om att systematiskt hantera en risk som annars lätt förbises.
Verkligheten: Enligt Ponemon Institute kommer 62% av cyberattacker via leverantörskedjan. Angripare vet att det ofta är lättare att ta sig in via en mindre leverantör än via målorganisationen direkt.
Vad kräver NIS2?
NIS2 Artikel 21: Leverantörssäkerhet:
Organisationer ska vidta lämpliga åtgärder för att hantera säkerhetsrisker i leveranskedjan, inklusive:
- Säkerhetsrelaterade aspekter av förhållandet till leverantörer
- Säkerhetskvaliteten hos leverantörernas produkter och tjänster
- Cybersäkerhetsmetoder hos leverantörer, inklusive deras utvecklingsprocesser
- Sårbarhetshantering och rapportering
5-stegsmodell för leverantörsgranskning
- Inventera och kategorisera Börja med att lista alla leverantörer som har tillgång till system, data eller lokaler. Kategorisera dem efter kritikalitet: Kritisk, Hög, Medium eller Låg. Fokusera på de kritiska och höga först.
- Definiera krav per kategori Olika leverantörer behöver olika nivåer av säkerhetskrav. En kritisk molnleverantör behöver omfattande krav, medan en kontorsleverantör behöver färre. Skapa kravnivåer som är rimliga i förhållande till risken.
- Genomför bedömning Använd frågeformulär, begär in dokumentation och genomför revisioner vid behov. Fokusera på säkerhetspolicyer, incidenthantering, åtkomstkontroll, kryptering, säkerhetskopiering och affärskontinuitet.
- Uppdatera avtal Se till att avtalen innehåller säkerhetskrav och incidentrapportering. Leverantören måste meddela er vid incidenter. Inkludera rätt till revision, krav på underleverantörer och ansvar vid säkerhetsbrister.
- Följ upp kontinuerligt Leverantörsgranskning är inte en engångsåtgärd. Följ upp regelbundet, bevaka leverantörernas säkerhetsstatus och reagera på förändringar i riskbilden.
Vad ska bedömas?
Säkerhetsförmåga
| Område | Frågor att ställa |
|---|---|
| Policyer | Finns dokumenterade säkerhetspolicyer? Hur ofta uppdateras de? |
| Certifieringar | Har leverantören ISO 27001 eller liknande? Är certifikatet giltigt? |
| Incidenthantering | Hur snabbt kan de rapportera incidenter till er? Har de testat sin plan? |
| Åtkomstkontroll | Hur hanteras access till era system/data? Loggas åtkomst? |
| Kryptering | Krypteras data i transit och vila? Vilka standarder används? |
| Backup | Hur säkerhetskopieras era data? Testas återställning? |
| Underleverantörer | Vilka underleverantörer används? Hur kontrolleras de? |
Röda flaggor
En leverantör som inte kan uppvisa grundläggande säkerhetsdokumentation saknar troligen en mogen säkerhetsstyrning.
Om en leverantör kategoriskt vägrar ge insyn eller besvara frågor är det ett varningstecken. Seriösa leverantörer förstår behovet.
Om leverantören inte kan beskriva hur de skulle meddela er vid en incident kan ni inte uppfylla era egna rapporteringskrav.
Om leverantören använder många underleverantörer utan kontroll växer riskkedjan okontrollerat.
Checklista för leverantörsavtal
Säkerhetskrav:
- Referens till organisationens säkerhetspolicy
- Specifika tekniska krav (kryptering, åtkomstkontroll, etc.)
- Krav på personalutbildning
- Krav på säkerhetsincidentrapportering
Incidenthantering:
- Skyldighet att rapportera incidenter inom [X] timmar
- Kontaktvägar och eskaleringsprocess
- Skyldighet att bistå vid utredning
- Ansvar för kostnader vid incident
Revision och insyn:
- Rätt att genomföra säkerhetsrevisioner
- Tillgång till relevanta loggar och rapporter
- Skyldighet att informera om förändringar
- Krav på att tillhandahålla certifikat och attestationer
Underleverantörer:
- Krav på godkännande av underleverantörer
- Samma säkerhetskrav ska gälla nedåt i kedjan
- Lista över godkända underleverantörer
Avslut:
- Hur data återlämnas eller destrueras
- Tidsram för övergång
- Fortsatt konfidentialitet efter avslut
Frågor att ställa till leverantörer
Initial screening
- Har ni en dokumenterad informationssäkerhetspolicy?
- Har ni någon säkerhetscertifiering (ISO 27001, SOC 2, etc.)?
- Hur hanterar ni säkerhetsincidenter?
- Hur skyddar ni data som ni hanterar för kunders räkning?
- Vilka underleverantörer använder ni?
Fördjupad bedömning (kritiska leverantörer)
- Kan vi få kopior på relevanta policyer och procedurer?
- När genomfördes senaste penetrationstestet? Kan vi se rapporten?
- Hur hanterar ni sårbarhetspatchning? Vilka SLA:er har ni?
- Hur loggas och övervakas access till våra system/data?
- Vad är ert RTO och RPO för tjänster till oss?
- Har ni genomfört incidentövningar det senaste året?
Vanliga utmaningar och lösningar
Lösning: Prioritera baserat på kritikalitet och risk. Börja med de 10-20 viktigaste. Använd självdeklarationer för lägre risknivåer.
Lösning: Utvärdera alternativa leverantörer. Om byte inte är möjligt, implementera kompenserande kontroller och dokumentera riskacceptans.
Lösning: Automatisera där möjligt. Använd standardfrågeformulär och verktyg för leverantörshantering.
Lösning: Kräv insyn i underleverantörer och ställ krav på att samma standard gäller nedåt i kedjan.
Så kan Securapilot hjälpa
Med Securapilots leverantörshanteringsmodul effektiviserar du hela processen:
- Leverantörsregister: Centraliserad översikt över alla leverantörer
- Riskklassificering: Automatisk kategorisering baserad på kritikalitet
- Frågeformulär: Standardiserade bedömningsformulär
- Spårbarhet: Full historik över bedömningar och beslut
- Påminnelser: Automatiska påminnelser för uppföljning
- Rapporter: Exportera status för ledning och revision
Boka en demo och se hur vi kan hjälpa er ta kontroll över leverantörsriskerna.
Vanliga frågor
Vilka leverantörer måste vi granska enligt NIS2?
Fokusera på leverantörer som har tillgång till era system, hanterar era data, eller levererar tjänster som är kritiska för er verksamhet. Det inkluderar IT-leverantörer, molntjänster, driftpartners och andra med privilegierad åtkomst.
Vad ska finnas i leverantörsavtal enligt NIS2?
Avtalen ska innehålla säkerhetskrav anpassade efter risknivå, krav på incidentrapportering, rätt till revision, krav på underleverantörskontroll, och tydliga ansvarsfördelningar vid säkerhetsincidenter.
Hur ofta ska leverantörer granskas?
Frekvensen beror på kritikalitet och risk. Kritiska leverantörer bör granskas årligen, övriga med längre intervall. Alla leverantörer bör genomgå en initial bedömning innan avtal tecknas.
Vad gör vi om en leverantör inte uppfyller kraven?
Börja med dialog och åtgärdsplan. Om leverantören inte kan eller vill förbättra sig, överväg att byta leverantör eller implementera kompenserande kontroller. Dokumentera era beslut och riskacceptans.
