Risikostyring

Leverandørcompliance: Derfor er det din risiko

NIS2 gør dig ansvarlig for dine leverandørers sikkerhed. Lær hvordan vendor compliance fungerer og håndtér det effektivt.

S
Securapilot
4 min læsning
  1. 62%
    af databrud involverer tredjeparter
    Ponemon Institute
  2. Gennemsnitlig
    Gennemsnitlig omkostning ved tredjepartsbrud: $4.5M
    IBM Cost of a Data Breach
  3. NIS2
    NIS2 Artikel 21 kræver eksplicit leverandørsikkerhed
    NIS2-direktivet
Procurement specialist and vendor reviewing compliance documentation

Dine leverandører er din attack surface

Modern virksomhed er afhængig af leverandører — cloudtjenester, IT-partnere, konsulenter, underleverandører. Hver sådan forbindelse er en potentiel indgang for angribere. NIS2 anerkender dette og gør leverandørsikkerhed til et eksplicit krav.

Realiteten: Når du giver en leverandør adgang til dine systemer eller data, deler du din risiko med dem. Men ansvaret forbliver hos dig.

Hvad kræver NIS2?

NIS2 Artikel 21 — Leverandørsikkerhed:

Organisationer skal træffe passende foranstaltninger vedrørende:

  • Sikkerhedsaspekter i forholdet til leverandører
  • Sikkerhedskvaliteten hos leverandørernes produkter/tjenester
  • Cybersikkerhedsmetoder hos leverandører, herunder udviklingsprocesser
  • Leverandørernes sårbarheds­håndtering og rapportering

Konsekvens: Du kan ikke skylde på leverandøren ved en hændelse. Du er ansvarlig for at have håndteret risikoen.

Almindelige risici i leverandørkæden

Mangelfulde sikkerhedskontroller

Leverandøren har ikke tilstrækkelig sikkerhed på plads. Deres svagheder bliver dine svagheder.

Overprivilegeret adgang

Leverandøren har mere adgang end nødvendigt. Større attack surface ved brud.

Ingen hændelsesrapportering

Leverandøren meddeler ikke ved hændelser. Du ved ikke, at du er eksponeret.

Ukontrollerede underleverandører

Leverandørens underleverandører er ukendte. Risikokæden forlænges ukontrolleret.

Utydelige ansvar

Hvem er ansvarlig for hvad ved hændelse? Uklare aftaler fører til forsinkelser og konflikter.

Koncentrationsrisiko

Kritisk afhængighed af én leverandør. Hvis de falder, falder du.

5 trin for effektiv vendor compliance

  1. Inventér og klassificér Oplist alle leverandører med systemadgang, datahåndtering eller forretningskritisk betydning. Klassificér efter risikoniveau: Kritisk, Høj, Medium, Lav. Fokusér ressourcerne på de kritiske.
  2. Definér sikkerhedskrav Opret kravniveauer tilpasset klassificering. Kritiske leverandører: ISO 27001 eller tilsvarende, penetrationstest, hændelsesrapportering. Lavere risiko: grundlæggende sikkerhedspolitikker.
  3. Gennemfør vurdering Brug standardiserede spørgeskemaer. Anmod om dokumentation. For kritiske leverandører: overvej on-site eller virtual audit. Verificér svar, stol ikke blindt.
  4. Opdatér aftaler Sikr, at aftaler indeholder: sikkerhedskrav, hændelsesrapporteringspligt, revisionsret, krav til underleverandører, ansvar ved sikkerhedsbrud, exit-vilkår.
  5. Overvåg kontinuerligt Vendor compliance er ikke et engangsprojekt. Årlig gennemgang af kritiske leverandører. Overvåg nyheder om brud. Reager på ændringer.

Spørgsmål at stille leverandører

Grundlæggende spørgsmål (alle leverandører)

  1. Har I en dokumenteret informationssikkerhedspolitik?
  2. Hvordan håndterer I sikkerhedshændelser?
  3. Har I nogen sikkerhedscertificering (ISO 27001, SOC 2)?
  4. Hvor hurtigt kan I meddele os ved en hændelse?
  5. Hvilke underleverandører bruger I, som berører os?

Fordybede spørgsmål (kritiske leverandører)

  1. Kan vi se jeres seneste penetrationstestrapport?
  2. Hvor ofte gennemfører I sikkerhedsoversyn?
  3. Hvilken uddannelse får jeres personale i sikkerhed?
  4. Hvordan håndterer I patchning og sårbarheder?
  5. Hvad er jeres RTO/RPO for tjenester til os?
  6. Hvordan sikrer I sikkerhed hos jeres underleverandører?

Kontrakttjekliste

Skal findes:

  • Reference til jeres sikkerhedskrav
  • Forpligtelse til at opretholde sikkerhedsstandard
  • Hændelsesrapportering inden for [X] timer
  • Ret til sikkerhedsrevision
  • Krav om godkendelse af underleverandører

Bør findes:

  • SLA for sikkerhedsrelaterede problemer
  • Ansvar ved sikkerhedshændelse
  • Forpligtelse til at informere om ændringer
  • Krav til backup og disaster recovery
  • Exit-vilkår og datahåndtering ved afslutning

Røde flag

Nægter at besvare spørgsmål

"Det er fortroligt" er ikke et acceptabelt svar på grundlæggende sikkerhedsspørgsmål.

Ingen dokumenterede processer

Hvis de ikke kan vise politikker og procedurer, har de sandsynligvis ikke modne processer.

Ingen hændelseshistorik

"Vi har aldrig haft hændelser" er sjældent sandt. Enten undersøger de ikke, eller er de ikke ærlige.

Ukontrollerede underleverandører

Hvis de ikke ved, hvilke underleverandører der håndterer jeres data, er det et alvorligt advarselssignal.

Praktiske tips

Prioritér rigtigt

Alle leverandører behøver ikke samme gennemgang. En cloudleverandør, der håndterer kundedata, kræver dybere gennemgang end en leverandør af kontormateriale.

Brug standarder

Spørgeskemaer som SIG (Standardized Information Gathering) eller CAIQ (Consensus Assessments Initiative Questionnaire) sparer tid og giver sammenlignelighed.

Automatisér hvor muligt

Manuel leverandørhåndtering skalerer ikke. Brug værktøjer til at håndtere vurderinger, påmindelser og dokumentation.

Vær klar til at handle

Hvis en leverandør ikke opfylder kravene, hav en plan. Kan de forbedres? Findes alternativer? Hvilke kompenserende kontroller kan implementeres?

Sådan kan Securapilot hjælpe

Securapilots leverandørmodul effektiviserer vendor compliance:

  • Leverandørregister — Centraliseret oversigt med klassificering
  • Spørgeskemaer — Standardiserede vurderinger per risikoniveau
  • Risikovurdering — Automatisk risikoscore baseret på svar
  • Påmindelser — Automatisk opfølgning af gennemgange
  • Dokumenthåndtering — Alle certifikater og rapporter ét sted
  • Dashboard — Overblik over leverandørlandskabet

Book en demo og se, hvordan vi kan hjælpe jer med at tage kontrol over leverandørrisiciene.

Ofte stillede spørgsmål

Hvad er vendor compliance?

Vendor compliance er processen med at sikre, at dine leverandører overholder definerede sikkerhedskrav og regulatoriske krav. Det inkluderer indledende vurdering, kontraktkrav og løbende opfølgning.

Hvorfor er leverandører min risiko?

Dine leverandører har ofte adgang til dine systemer eller data. Hvis de rammes af et brud, kan det påvirke dig direkte. NIS2 gør dig ansvarlig for at håndtere denne risiko.

Hvilke leverandører skal gennemgås?

Fokusér på kritiske leverandører: dem der har adgang til følsomme systemer/data, leverer forretningskritiske tjenester, eller kan påvirke din evne til at levere dine tjenester.

Hvor ofte skal gennemgang ske?

Indledende gennemgang før kontrakt. Kritiske leverandører mindst årligt derefter. Vigtige leverandører hvert andet år. Alle ved væsentlige ændringer.

#leverandører#vendor compliance#NIS2#risikostyring#supply chain#tredjepartsrisiko

Flere artikler

Vi bruger anonym statistik uden cookies for at forbedre hjemmesiden. Læs mere