Risikostyring

Leverandørcompliance: Hvorfor det er din risiko

NIS2 gjør deg ansvarlig for dine leverandørers sikkerhet. Lær hvordan vendor compliance fungerer og hvordan du håndterer det effektivt.

S
Securapilot
4 min lesing
  1. 62%
    av datainnbrudd involverer tredje part
    Ponemon Institute
  2. Gjennomsnittlig
    Gjennomsnittlig kostnad for tredjepartsinnbrudd: $4.5M
    IBM Cost of a Data Breach
  3. NIS2
    NIS2 Artikkel 21 krever eksplisitt leverandørsikkerhet
    NIS2-direktivet
Procurement specialist and vendor reviewing compliance documentation

Dine leverandører er din attack surface

Modern virksomhet er avhengig av leverandører — skytjenester, IT-partnere, konsulenter, underleverandører. Hver slik kobling er en potensiell inngang for angripere. NIS2 anerkjenner dette og gjør leverandørsikkerhet til et eksplisitt krav.

Realiteten: Når du gir en leverandør tilgang til dine systemer eller data, deler du din risiko med dem. Men ansvaret forblir hos deg.

Hva krever NIS2?

NIS2 Artikkel 21 — Leverandørsikkerhet:

Organisasjoner skal iverksette passende tiltak vedrørende:

  • Sikkerhetsaspekter i forholdet til leverandører
  • Sikkerhetskvaliteten hos leverandørenes produkter/tjenester
  • Cybersikkerhetsmetoder hos leverandører, inkludert utviklingsprosesser
  • Leverandørenes sårbarhetshåndtering og rapportering

Konsekvens: Du kan ikke skylde på leverandøren ved en hendelse. Du er ansvarlig for å ha håndtert risikoen.

Vanlige risikoer i leverandørkjeden

Mangelfulle sikkerhetskontroller

Leverandøren har ikke tilstrekkelig sikkerhet på plass. Deres svakheter blir dine svakheter.

Overprivilegert tilgang

Leverandøren har mer tilgang enn nødvendig. Større attack surface ved innbrudd.

Ingen hendelsesrapportering

Leverandøren melder ikke fra ved hendelser. Du vet ikke at du er eksponert.

Ukontrollerte underleverandører

Leverandørens underleverandører er ukjente. Risikokjeden forlenges ukontrollert.

Utydelige ansvar

Hvem har ansvar for hva ved hendelse? Uklare avtaler fører til forsinkelser og konflikter.

Konsentrasjonsrisiko

Kritisk avhengighet av én leverandør. Hvis de feiler, feiler du.

5 steg for effektiv vendor compliance

  1. Inventér og klassifiser List alle leverandører med systemtilgang, datahåndtering eller virksomhetskritisk betydning. Klassifiser etter risikonivå: Kritisk, Høy, Middels, Lav. Fokuser ressursene på de kritiske.
  2. Definer sikkerhetskrav Opprett kravnivåer tilpasset klassifisering. Kritiske leverandører: ISO 27001 eller tilsvarende, penetrasjonstester, hendelsesrapportering. Lavere risiko: grunnleggende sikkerhetspolicyer.
  3. Gjennomfør vurdering Bruk standardiserte spørreskjemaer. Be om dokumentasjon. For kritiske leverandører: vurder on-site eller virtuell audit. Verifiser svar, stol ikke blindt.
  4. Oppdater avtaler Sørg for at avtaler inneholder: sikkerhetskrav, hendelsesrapporteringsplikt, revisjonsrett, krav til underleverandører, ansvar ved sikkerhetsbrist, exit-vilkår.
  5. Overvåk kontinuerlig Vendor compliance er ikke et engangsprosjekt. Årlig omgranskning av kritiske leverandører. Følg med på nyheter om innbrudd. Reager på endringer.

Spørsmål å stille leverandører

Grunnleggende spørsmål (alle leverandører)

  1. Har dere en dokumentert informasjonssikkerhetspolicy?
  2. Hvordan håndterer dere sikkerhetshendelser?
  3. Har dere noen sikkerhetssertifisering (ISO 27001, SOC 2)?
  4. Hvor raskt kan dere melde fra til oss ved en hendelse?
  5. Hvilke underleverandører bruker dere som berører oss?

Fordypende spørsmål (kritiske leverandører)

  1. Kan vi se deres siste penetrasjonstestrapport?
  2. Hvor ofte gjennomfører dere sikkerhetsrevisjoner?
  3. Hvilken opplæring får personalet deres i sikkerhet?
  4. Hvordan håndterer dere patching og sårbarheter?
  5. Hva er deres RTO/RPO for tjenester til oss?
  6. Hvordan sikrer dere sikkerhet hos deres underleverandører?

Avtalecheckliste

Må finnes:

  • Referanse til deres sikkerhetskrav
  • Plikt til å opprettholde sikkerhetsstandard
  • Hendelsesrapportering innen [X] timer
  • Rett til sikkerhetsrevisjon
  • Krav om godkjenning av underleverandører

Bør finnes:

  • SLA for sikkerhetsrelaterte problemer
  • Ansvar ved sikkerhetshendelse
  • Plikt til å informere om endringer
  • Krav til backup og disaster recovery
  • Exit-vilkår og datahåndtering ved avslutning

Røde flagg

Nekter å svare på spørsmål

"Det er konfidensielt" er ikke et akseptabelt svar på grunnleggende sikkerhetsspørsmål.

Ingen dokumenterte prosesser

Hvis de ikke kan vise policyer og prosedyrer, har de sannsynligvis ikke modne prosesser.

Ingen hendelseshistorikk

"Vi har aldri hatt hendelser" er sjelden sant. Enten undersøker de ikke, eller er de ikke ærlige.

Ukontrollerte underleverandører

Hvis de ikke vet hvilke underleverandører som håndterer deres data, er det et alvorlig varselsignal.

Praktiske tips

Prioriter riktig

Alle leverandører trenger ikke samme granskning. En skyleverandør som håndterer kundedata krever dypere granskning enn en leverandør av kontormateriell.

Bruk standarder

Spørreskjemaer som SIG (Standardized Information Gathering) eller CAIQ (Consensus Assessments Initiative Questionnaire) sparer tid og gir sammenlignbarhet.

Automatiser der det er mulig

Manuell leverandørhåndtering skalerer ikke. Bruk verktøy for å håndtere vurderinger, påminnelser og dokumentasjon.

Vær klar til å handle

Hvis en leverandør ikke oppfyller kravene, ha en plan. Kan de forbedres? Finnes alternativer? Hvilke kompenserende kontroller kan implementeres?

Slik kan Securapilot hjelpe

Securapilots leverandørmodul effektiviserer vendor compliance:

  • Leverandørregister — Sentralisert oversikt med klassifisering
  • Spørreskjemaer — Standardiserte vurderinger per risikonivå
  • Risikobedømming — Automatisk risikoscore basert på svar
  • Påminnelser — Automatisk oppfølging av granskninger
  • Dokumenthåndtering — Alle sertifikater og rapporter på ett sted
  • Dashboard — Oversikt over leverandørlandskapet

Book en demo og se hvordan vi kan hjelpe dere ta kontroll over leverandørrisikoene.

Ofte stilte spørsmål

Hva er vendor compliance?

Vendor compliance er prosessen med å sikre at dine leverandører oppfyller definerte sikkerhetskrav og regulatoriske krav. Det inkluderer innledende vurdering, avtalskrav og løpende oppfølging.

Hvorfor er leverandører min risiko?

Dine leverandører har ofte tilgang til dine systemer eller data. Hvis de rammes av et innbrudd kan det påvirke deg direkte. NIS2 gjør deg ansvarlig for å håndtere denne risikoen.

Hvilke leverandører skal granskes?

Fokuser på kritiske leverandører: de som har tilgang til sensitive systemer/data, leverer virksomhetskritiske tjenester, eller kan påvirke din evne til å levere dine tjenester.

Hvor ofte skal granskning skje?

Innledende granskning før avtale. Kritiske leverandører minst årlig deretter. Viktige leverandører hvert annet år. Alle ved betydelige endringer.

#leverandører#vendor compliance#NIS2#risikohåndtering#supply chain#tredjepartsrisiko

Flere artikler

Vi bruker anonym statistikk uten informasjonskapsler for å forbedre nettstedet. Les mer