Så er du ikke omfattet af NIS 2 reglerne direkte. Det er dog sandsynligt, at din aftager/samarbejdspartner, som er en NIS 2 registreret virksomhed, vil stille krav til dine it-sikkerhedsforanstaltninger, når du leverer til dem. Læs herunder, hvilke forventninger en NIS 2 virksomhed kan have til dig som leverandør.
Forsyningskædesikkerhed handler om, at NIS 2-virksomheden er forpligtet til:
- At implementere procedurer for leverandørstyring, der sikrer både forsyningssikkerhed og cybersikkerhed i samarbejdet med direkte leverandører eller tjenesteudbydere – i det omfang deres ydelser kan påvirke sikkerheden i forhold til den eller de ydelser, som gør, at enheden er omfattet af NIS 2. Det gælder både ved levering af it-produkter og it-tjenester, samt andre kritiske leverancer som strøm, teknisk bistand med mere.
- At procedurerne skal gøre enheden i stand til at identificere og vurdere risici ved specifikke leverandører og indgå aftaler, der sikrer overholdelse af enhedens krav til forsynings- og cybersikkerhed.
Forventning til leverandørstyring hos NIS 2 virksomheder
- For at undgå unødigt høje krav bør virksomheden anvende en risikobaseret tilgang, hvor kravene til den enkelte leverandør eller tjenesteudbyder er proportionale med den specifikke leverances betydning for enhedens forsynings- og cybersikkerhed.
- Virksomheden bør definere kriterier for, hvordan de udvælger leverandører eller tjenesteudbydere. Kriterierne kan omfatte:
- Leverandørens og tjenesteudbyderens cybersikkerhedspraksis, herunder deres procedurer for sikker udvikling.
- Leverandørens eller tjenesteudbyderens evne til at opfylde enhedens cybersikkerhedsspecifikationer.
- Klassifikationsniveau for de it-tjenester, it-systemer eller it-produkter, som leverandøren eller tjenesteudbyderen leverer, herunder leverandørens opfattelse af risikoen.
- Leverandørens evne til at opretholde et passende niveau af forsyningssikkerhed.
- Virksomhedens evne og mulighed for at vælge en alternativ leverandør og begrænse leverandørafhængighed.
- Leverandørens økonomi og geopolitiske risici.
- Virksomheden bør sikre, at direkte leverandører og udbydere, herunder cloud computing-udbydere, opretholder passende foranstaltninger, der lever op til de sikkerhedskrav, enheden har fastlagt i kontrakten. Det kan ske gennem aftaler om serviceniveau (SLA) og/eller revisionsmekanismer.
- Virksomheden bør overveje at anvende disse sikkerhedskrav til eksisterende leverandører som en del af udvælgelsesprocessen for nye direkte leverandører og udbydere, samt ved planlægning, forberedelse, styring og afslutning af indkøb af it-tjenester, it-systemer eller it-produkter.
- Virksomheden bør gennemgå procedurer til leverandørstyring og monitorere, gennemgå, evaluere og styre ændringer, der måtte opstå i de direkte leverandørers eller tjenesteudbyderes cybersikkerhedspraksis, med planlagte intervaller, eller i tilfælde af en hændelse, der har påvirket eller kan påvirke cybersikkerheden i enhedens net- og informationssystemer. Observationer fra disse gennemgange, monitoreringer, evalueringer mv. bør dokumenteres.
Sikkerhedskrav til leverandører i NIS2-virksomheder
Virksomheder omfattet af NIS2-direktivet kan i forbindelse med deres risikovurdering inkludere bestemmelser i aftaler (kontrakter) med direkte leverandører eller tjenesteudbydere, som eksempelvis omhandler:
- Krav om, at leverandøren og det leverede følger relevante sikkerhedskrav, lovkrav, fortrolighedsklausuler, standarder mv.
- Hvilke færdigheder og eventuelle uddannelser, der kræves af leverandørens personale.
- Baggrundskontrol af leverandørens personale, hvis de beskæftiger sig med enhedens kritiske aktiver (i henhold til klassificeringen af aktiver og risikovurderingen).
- Leverandørens forpligtelse til at underrette enheden om alle relevante hændelser, så snart de bliver opmærksomme på hændelsen, og til at bistå enheden med at overholde sine rapporteringsforpligtelser i tilfælde af væsentlige hændelser.
- At direkte leverandører og tjenesteudbydere, hvis enheden er underlagt tilsyn, samarbejder med enheden om at bistå de sektoransvarlige myndigheder i forbindelse med udførelse af deres opgaver.
- Virksomhedens ret til revision og/eller ret til at modtage revisionsrapporter fra leverandøren.
- Aftale om leveringstider på serviceydelser, herunder eventuelle reparationer.
- Forpligtelse til at håndtere sårbarheder, der udgør en risiko for cybersikkerheden i virksomhedens net- og informationssystemer underleverandører (hvis tilladt) og foranstaltninger for underleverandører.
- Leverandørens forpligtelser ved aftalens ophør, eksempelvis forpligtelse til at udlevere og slette data.
Dokumentation:
Enheden bør gennemgå procedurer til leverandørstyring og monitorere, gennemgå, evaluere og styre ændringer, der måtte opstå i de direkte leverandørers eller tjenesteudbyderes cybersikkerhedspraksis, med planlagte intervaller eller i tilfælde af en hændelse, der har eller kan påvirke cybersikkerheden i enhedens net- og informationssystemer. Observationer fra disse gennemgange, monitoreringer, evalueringer mv. bør dokumenteres.