Jeres sikkerhed er ikke stærkere end det svageste led
Flertallet af organisationer har titusinder eller hundredvis af leverandører med en eller anden form for adgang til systemer eller data. Hver sådan forbindelse er en potentiel angrebsvej. NIS2 anerkender dette og stiller derfor eksplicitte krav til sikkerhed i forsyningskæden.
Det handler ikke om at mistro sine partnere — det handler om systematisk at håndtere en risiko, der ellers let overses.
Virkeligheden: Ifølge Ponemon Institute kommer 62% af cyberangreb via leverandørkæden. Angribere ved, at det ofte er lettere at trænge ind via en mindre leverandør end via målorganisationen direkte.
Hvad kræver NIS2?
NIS2 Artikel 21 — Leverandørsikkerhed:
Organisationer skal træffe passende foranstaltninger til at håndtere sikkerhedsrisici i forsyningskæden, herunder:
- Sikkerhedsrelaterede aspekter af forholdet til leverandører
- Sikkerhedskvaliteten hos leverandørernes produkter og tjenester
- Cybersikkerhedsmetoder hos leverandører, herunder deres udviklingsprocesser
- Sårbarhedshåndtering og rapportering
5-trins model for leverandørvurdering
- Inventar og kategoriser Begynd med at liste alle leverandører, der har adgang til systemer, data eller lokaler. Kategoriser dem efter kritikalitet: Kritisk (virksomhedspåvirkning ved bortfald), Høj (betydelig påvirkning), Medium, Lav. Fokuser på de kritiske og høje først.
- Definer krav per kategori Forskellige leverandører kræver forskellige niveauer af sikkerhedskrav. En kritisk cloud-leverandør kræver omfattende krav, mens en kontorleverandør kræver mindre. Opret kravniveauer, der er proportionale med risikoen.
- Gennemfør vurdering Anvend spørgeskemaer, anmod om dokumentation, og gennemfør om nødvendigt revisioner. Fokuser på: sikkerhedspolitikker, hændelseshåndtering, adgangskontrol, kryptering, backup og forretningskontinuitet.
- Opdater aftaler Sikr, at aftalerne indeholder sikkerhedskrav, hændelsesrapportering (leverandøren skal meddele jer ved hændelser), ret til revision, krav til underleverandører, og ansvar ved sikkerhedsbrist.
- Følg op kontinuerligt Leverandørvurdering er ikke en engangshandling. Etabler regelmæssig opfølgning, overvåg leverandørernes sikkerhedsstatus og reager på ændringer i risikobilledet.
Hvad skal vurderes?
Sikkerhedsevne
| Område | Spørgsmål at stille |
|---|---|
| Politikker | Findes dokumenterede sikkerhedspolitikker? Hvor ofte opdateres de? |
| Certificeringer | Har leverandøren ISO 27001 eller lignende? Er certifikatet gyldigt? |
| Hændelseshåndtering | Hvor hurtigt kan de rapportere hændelser til jer? Har de testet deres plan? |
| Adgangskontrol | Hvordan håndteres adgang til jeres systemer/data? Logges adgang? |
| Kryptering | Krypteres data under transport og hvile? Hvilke standarder bruges? |
| Backup | Hvordan sikkerhedskopieres jeres data? Testes gendannelse? |
| Underleverandører | Hvilke underleverandører bruges? Hvordan kontrolleres de? |
Røde flag
En leverandør, der ikke kan fremvise grundlæggende sikkerhedsdokumentation, har sandsynligvis ikke moden sikkerhedsstyring.
Hvis en leverandør kategorisk nægter at give indsigt eller besvare spørgsmål, er det et advarselstegn. Legitime leverandører forstår behovet.
Hvis leverandøren ikke kan beskrive, hvordan de ville meddele jer ved en hændelse, kan I ikke opfylde jeres egne rapporteringskrav.
Hvis leverandøren bruger mange underleverandører uden kontrol, forlænges risikokæden ukontrolleret.
Tjekliste for leverandøraftaler
Sikkerhedskrav:
- Reference til organisationens sikkerhedspolitik
- Specifikke tekniske krav (kryptering, adgangskontrol, etc.)
- Krav til personaleuddannelse
- Krav til sikkerhedshændelsesrapportering
Hændelseshåndtering:
- Forpligtelse til at rapportere hændelser inden for [X] timer
- Kontaktveje og eskaleringsprocesur
- Forpligtelse til at bistå ved undersøgelse
- Ansvar for omkostninger ved hændelse
Revision og indsigt:
- Ret til at gennemføre sikkerhedsrevisioner
- Adgang til relevante logs og rapporter
- Forpligtelse til at informere om ændringer
- Krav til at stille certifikater og attesteringer til rådighed
Underleverandører:
- Krav til godkendelse af underleverandører
- Samme sikkerhedskrav skal gælde nedad i kæden
- Liste over godkendte underleverandører
Afslutning:
- Hvordan data returneres eller destrueres
- Tidsramme for overgang
- Fortsat fortrolighed efter afslutning
Spørgsmål at stille til leverandører
Indledende screening
- Har I en dokumenteret informationssikkerhedspolitik?
- Har I nogen sikkerhedscertificering (ISO 27001, SOC 2, etc.)?
- Hvordan håndterer I sikkerhedshændelser?
- Hvordan beskytter I data, som I håndterer for kunders regning?
- Hvilke underleverandører bruger I?
Dybdegående vurdering (kritiske leverandører)
- Kan vi få kopier af relevante politikker og procedurer?
- Hvornår blev sidste penetrationstest gennemført? Kan vi se rapporten?
- Hvordan håndterer I sårbarheds-patching? Hvilke SLA’er har I?
- Hvordan logges og overvåges adgang til vores systemer/data?
- Hvad er jeres RTO og RPO for tjenester til os?
- Har I gennemført hændelsesøvelser det sidste år?
Almindelige udfordringer og løsninger
Løsning: Prioriter baseret på kritikalitet og risiko. Begynd med de 10-20 vigtigste. Anvend selvdeklarationer for lavere risikoniveauer.
Løsning: Evaluer alternative leverandører. Hvis skifte ikke er muligt, implementer kompenserende kontroller og dokumenter risikoaccept.
Løsning: Automatiser hvor muligt. Anvend standardspørgeskemaer og værktøjer til leverandørhåndtering.
Løsning: Kræv indsigt i underleverandører og stil krav om, at samme standard gælder nedad i kæden.
Sådan kan Securapilot hjælpe
Securapilots leverandørhåndteringsmodul effektiviserer hele processen:
- Leverandørregister — Centraliseret oversigt over alle leverandører
- Risikokategorisering — Automatisk kategorisering baseret på kritikalitet
- Spørgeskemaer — Standardiserede vurderingsformularer
- Sporbarhed — Fuld historik over vurderinger og beslutninger
- Påmindelser — Automatiske påmindelser for opfølgning
- Rapporter — Eksporter status for ledelse og revision
Book en demo og se, hvordan vi kan hjælpe jer med at tage kontrol over leverandørrisici.
Ofte stillede spørgsmål
Hvilke leverandører skal vi gennemgå ifølge NIS2?
Fokuser på leverandører, der har adgang til jeres systemer, håndterer jeres data, eller leverer tjenester, der er kritiske for jeres virksomhed. Det inkluderer IT-leverandører, cloud-tjenester, driftspartnere og andre med privilegeret adgang.
Hvad skal være i leverandøraftaler ifølge NIS2?
Aftalerne skal indeholde sikkerhedskrav tilpasset efter risikoniveau, krav til hændelsesrapportering, ret til revision, krav til underleverandørkontrol, og klare ansvarsfordelinger ved sikkerhedshændelser.
Hvor ofte skal leverandører gennemgås?
Frekvensen afhænger af kritikalitet og risiko. Kritiske leverandører bør gennemgås årligt, øvrige med længere intervaller. Alle leverandører bør gennemgå en indledende vurdering, før aftale indgås.
Hvad gør vi, hvis en leverandør ikke opfylder kravene?
Begynd med dialog og handlingsplan. Hvis leverandøren ikke kan eller vil forbedre sig, overvej at skifte leverandør eller implementere kompenserende kontroller. Dokumenter jeres beslutninger og risikoaccept.
