NIS2-direktivet kræver, at virksomheder ikke kun sikrer deres egen cybersikkerhed, men også nøje vurderer sikkerheden hos deres leverandører og serviceudbydere. DBI’s sikkerhedsrådgiver Andreas P. Norstedt gør os klogere på, hvordan man bedst kan imødekomme de nye krav.

NIS2-direktivet opdaterer og udvider det oprindelige NIS-direktiv for at styrke cybersikkerheden inden for EU. Det sigter mod at forbedre modstandsdygtigheden og reaktionen over for cybertrusler på tværs af vitale sektorer og digitale tjenester.

NIS2 står for Network and Information Systems Directive 2 og introducerer strammere sikkerhedskrav og rapporteringsforpligtelser for en bredere kreds af virksomheder.

Virksomheder skal lave risikovurderinger for at identificere og analysere potentielle trusler og sårbarheder, der kan komme fra deres leverandører og serviceudbydere. Det indebærer en systematisk gennemgang af alle dele af forsyningskæden for at sikre, at risici bliver identificeret og korrekt adresseret.

Hvorfor er sikker forsyningskæde et krav i NIS2?

Forebyggelse og opbygning af resiliens er nøgleelementerne i en effektiv cybersikkerhedsstrategi. Forbedrede sikkerhedsforanstaltninger i hele forsyningskæden er afgørende for at forhindre cyberangreb og undgå kompromittering af systemer som følge af svagheder hos en leverandør. Med NIS2-direktivet sikres det, at selv mindre leverandører, som kan være sårbare over for avancerede trusler, opretholder passende sikkerhedsniveauer.

Ensartede og høje sikkerhedsstandarder på tværs af forsyningskæden bidrager til at opbygge et robust forsvar mod cybertrusler. Dette øger organisationens samlede modstandsdygtighed og reducerer risikoen for driftsforstyrrelser, som både kan påvirke leverancer og skade virksomhedens omdømme.

Hos DBI fremhæver man særligt fire hovedområder, hvorunder virksomhederne bør arbejde med at skabe en sikker forsyningskæde:

  • Omhyggelig udvælgelse af leverandører: Leverandører og serviceudbydere bør vælges ud fra på deres leveringsdygtighed, og at de har robuste praksisser på plads.
  • Implementering af foranstaltninger: Virksomheder skal udvikle og vedligeholde politikker, der dækker interaktionerne med leverandører og tjenesteudbydere. Det inkluderer krav til audits, datadeling, adgangskontroller og responsstrategier for at håndtere sikkerhedshændelser effektivt.
  • Skærpede krav i kontrakter: Det er vigtigt, at alle aftaler med tredjeparter indeholder specifikke klausuler, der kan håndhæves. Sørg for, at kontrakterne præcist har specificeret de forventede sikkerhedsniveauer, frekvensen af revisioner og de konsekvenser, der følger, hvis kravene ikke opfyldes.
  • Rapportering og transparens: Regelmæssig rapportering til ledelsen og relevante tilsynsmyndigheder om sikkerhedsstatus og effektiviteten af de implementerede foranstaltninger er et must. Det giver en høj grad af transparens og muliggør hurtig justering af strategier baseret på aktuelle trusler og risikovurderinger.

Du kan læse mere om, hvordan din virksomheder lever op til de nye krav, og hvilke faldgruber der er her