Hvordan beskytte leverandørkjeden din - praktisk innsikt fra NIS2 og DORA

bygning-og-skyline
Skrevet av
Clara Westman
Lesetid
4 min

Hvordan kan du styrke sikkerheten i leverandørkjeden din? EU-lovgivningen i form av NIS2 og DORA aktualiserer dette spørsmålet. For å få svar på dette henvender vi oss til Stratsys sin GRC-ekspert Max Kollberg og cybersikkerhetsekspert Mina Nadjafi, grunnlegger av Intil. De foreslår en helhetlig tilnærming der arbeidet automatiseres.


Cybersikkerhet står høyere på agendaen enn noen gang før, både i offentlig sektor og blant bedrifter av alle størrelser. Innstrammingen av EU-lovgivningen i form av NIS2 og DORA er et bevis på dette. De er et svar på de utfordringene og truslene som store deler av samfunnet står overfor.

NIS2 - sikkerhet i nettverks- og informasjonssystemer

NIS2 er den nye EU-lovgivningen for cybersikkerhet. Den er en oppdatering og utvidelse av det tidligere NIS-direktivet fra 2016. Hensikten med NIS2 er å heve nivået på cybersikkerhet i EU og beskytte samfunnskritisk infrastruktur mot digitale trusler.

En viktig forskjell fra det første NIS-direktivet er at flere sektorer og virksomheter er omfattet - hovedsakelig mellomstore og store bedrifter. Selskapene som omfattes, må iverksette tekniske og organisatoriske tiltak, og det er en 24-timers frist for førstegangsrapportering av IT-hendelser. I tillegg må en hendelsesrapport sendes inn innen 72 timer og en endelig rapport etter én måned. Det er også innført sanksjoner, inkludert høye bøter, for de som ikke overholder kravene. Ledelsen er eksplisitt ansvarlig for etterlevelse av NIS2, hvilket gjør cybersikkerhet til et strategisk og juridisk spørsmål på høyeste nivå.

I Sverige forventes den nye cybersikkerhetsloven å tre i kraft tidligst i 2025. I overgangsperioden gjelder den nåværende NIS-loven, men den bør tolkes i lys av NIS2-direktivet. Det betyr at selskaper bør forberede seg på de nye kravene, selv om de ennå ikke er fullstendig implementert.

DORA - lov om digital operativ robusthet

DORA er en EU-forordning som har som mål å styrke den digitale robustheten i finanssektoren. Den trådte i kraft 16. januar 2023 og vgjelder fra 17. januar 2025.

Innføringen av DORA har som mål å sikre at finansaktører er i stand til å håndtere, motstå og gjenopprette etter IT-hendelser. Dette gjelder uavhengig av om det dreier seg om regelrette cyberangrep, tekniske feil eller tredjepartsproblemer. Nesten alle finansvirksomheter omfattes av DORA - inkludert banker, betalingsforetak, fintech-selskaper, forsikringsselskaper, pensjonsfond og andre finansinstitusjoner.

DORA-kravene omfatter robuste systemer og prosesser, rapportering, regelmessig testing av digital robusthet, tydelig styring og risikohåndtering; samt krise- og gjenopprettingsplaner.

NIS2 og DORA oppfyller et klart behov

Det er en grunn til at cybersikkerhet er en politisk prioritet. Cyberkriminalitet mot organisasjoner av alle størrelser og typer øker dramatisk. Dette gjelder særlig cyberangrep via leverandører. Konsekvensene blir enda mer alvorlige når vi tenker på hvor avhengig alle deler av samfunnet er blitt av digitale systemer.

Max Kollberg er GRC Lead hos Stratsys. Han mener at lovgivning som NIS2 fyller et tydelig behov:

- I løpet av det siste tiåret har vi sett at datakriminaliteten har økt dramatisk. Den avdekker sårbarheter i bedrifter og organisasjoner av alle størrelser. Mange mangler ressurser eller rammeverk for å håndtere de økende truslene. Og det er her NIS2 fyller et tydelig hull ved å innføre en enhetlig standard.

Max peker på en rekke grunner til å rette søkelyset mot cybersikkerhet:

  • Digitale leverandørkjeder står for nesten to tredjedeler av virksomhetenes inntekter.
  • 45 % av alle organisasjoner over hele verden har blitt utsatt for angrep mot digitale leverandørkjeder i 2025.
  • Mindre enn en tredjedel av organisasjonene prioriterer investeringer i sikre, tilkoblede økosystemer i leverandørkjeden.

Max Kollberg 3_konverterad
Max Kollberg, GRC Lead, Stratsys

Tre typer angrep mot leverandørkjeden

Så hva er de vanligste angrepsmetodene i leverandørkjeden, og hvordan har trusselbildet endret seg? Hvilke trusler er det lovverk som NIS2 og DORA tar sikte på å håndtere?

Mina Nadjafi er en av grunnleggerne av risiko- og cybersikkerhetsselskapet Intil, som spesialiserer seg på eksterne trusler. I samarbeid med Stratsys har selskapet gjennomført et prosjekt på oppdrag fra MSB, Myndigheten för samhällsskydd och beredskap. Med et helhetlig perspektiv har man vurdert både interne og eksterne trusler.

- Vi ser en mengde forskjellige cybertrusler og angrepsmetoder. Det handler om alt fra malware, DDoS-angrep og phishing, der også leverandørkjeder utnyttes. En bekymringsfull trend er at angripere bevisst skaper tilgang til hovedmålet gjennom sammenkoblede og mer sårbare leverandører – de bruker 'baderomsvinduet' i stedet for hovedinngangen for langsiktig tilgang og for å unngå oppdagelse, sier Mina.

Cybersikkerhetstruslene kommer fra stater, cyberkriminelle og hacktivister. Ifølge Mina kan angrepene deles opp i tre hovedtyper:

  1. Angrep på programvare. Angrep på kildekoden til en leverandørs programvare, der angriperen legger inn ondsinnet kode i en betrodd applikasjon. Det kan også forekomme når en oppdateringsserver kompromitteres, der angriperen erstatter et legitimt bibliotek med sitt eget.
  2. Angrep på maskinvare. Kompromittering av fysiske enheter som USB-minnepinner, telefoner, nettbrett og til og med tastaturer, for å skape bakdører i maskinvaren. Hensikten er å infisere enhetene på et tidlig stadium og deretter skape en inngangsport til et større nettverkssystem.
  3. Firmware-angrep. Skadelig kode i oppstartskoden, hvor den skadelige koden kjøres etter at datamaskinen er startet og utsetter hele systemet for risiko. Angrepene er ofte raske, farlige og går ofte uoppdaget.

Mina Nadjafi
Mina Nadjafi, medgrunnlegger av Intil

Håndtering av sikkerhet i forsyningskjeden

Som operatør har du forhåpentligvis allerede en grunnleggende forståelse av regelverket du er underlagt, enten det er NIS2 eller DORA. Uansett er det et godt utgangspunkt for å jobbe med sikkerheten i leverandørkjeden:

  1. Kartlegg lovverket. Hvilke(n) lovgivning(er) er dere berørt av?
  2. Gjennomfør en gap-analyse. Hvilke prosesser og ressurser er på plass, og hva mangler?
  3. Lag en handlingsplan. Hva må gjøres, og hva bør prioriteres?
  4. Behov for samarbeid. Sørg for hvordan avdelingene i organisasjonen skal samarbeide for å nå målene.

Strengere krav knyttet til NIS2 og DORA

Konsekvensene for organisasjoner som mangler åpenhet og kontroll, kan bli betydelige. Den nye lovgivningen, i form av NIS2 og DORA, øker kravene til cybersikkerhet, risikohåndtering og ansvarlighet i hele leverandørkjeden. Dette gjelder særlig spørsmål knyttet til ansvarlighet, risikovurdering og etterlevelse.

Så hvordan bør du som jobber med informasjonssikkerhet, risiko, compliance eller leverandørstyring tenke? Er leverandørens egenvurdering nok til å skape sikre leverandørkjeder?

Det korte svaret er at det kreves mer, ifølge Max:

- Det krever en helhetlig tilnærming der både eksterne sårbarheter og risiko vurderes uavhengig av hverandre, samtidig som interne prosesser og strukturer undersøkes og følges opp gjennom målrettede spørsmål.

Tilnærmingen innebærer flere ulike elementer. Max beskriver tre elementer som alle virker sammen for å adressere problemene på en mer proaktiv måte:

- Disse er en oversikt over de faktiske risikoene i leverandørkjeden, benchmarking og analyse samt effektive og tidsbesparende løsninger. På denne måten kan leverandørens egenevaluering kombineres med en analyse av sårbarheter. Målet er å muliggjøre proaktiv håndtering av cybersikkerhetsrisiko.

Nøkkelen til en effektiv due diligence-prosess

En effektiv due diligence-prosess bidrar til å skape kontinuitet og regelmessighet i arbeidet. Ved å kombinere ulike verktøy er det mulig å skalere opp arbeidet, ifølge Mina:

- Ved å jobbe med både målinger og egenvurderinger er det mulig å håndtere et større antall leverandører. Det gjør det mulig å prioritere ressurser og følge opp leverandører som får for lav score. Det blir en måte å planlegge arbeidet mer effektivt på i organisasjonen.

Prosessen kan sammenlignes med en trakt, med en innledende screening og risikoanalyse som gjør det mulig å iverksette ytterligere tiltak når det avdekkes avvik - både egenevaluering og inspeksjoner. En nøkkel er muligheten til å automatisere arbeidet, sier Max:

- For å kunne jobbe proaktivt med cyberrisiko og samtidig sikre samsvar med NIS2 og DORA, er det fornuftig å automatisere prosessene, spesielt leverandørgjennomgangene. Dette gjelder hovedsakelig for nye leverandører, men for kontinuitet er det noe som bør gjøres gjennom hele kontraktsperioden. Vi lever tross alt alle i et digitalt økosystem som er i stadig endring og utvikling.

Vil du vite mer om hvordan Stratsys kan hjelpe organisasjonen din med å oppfylle kravene?
Vår regulatoriske side om NIS2
Vår regulatoriske side om DORA