Leverandøroppfølging etter NIS2 har blitt en sentral del av organisasjoners cybersikkerhetsarbeid. Når virksomhetskritiske funksjoner, systemer og data håndteres av eksterne parter, øker også behovet for å identifisere, klassifisere og følge opp leverandørrisiko og tredjepartsrisiko på en systematisk måte. Her går vi gjennom hvordan du kommer i gang.
Derfor er leverandøroppfølging viktig etter NIS2
Angripere velger ofte den enkleste veien inn, og den veien går ikke sjelden via en leverandør. Når organisasjoner blir mer avhengige av eksterne parter for drift, systemer, tilgang og spesialistkompetanse, blir også tredjepartsrisiko mer forretningskritisk. NIS2 innebærer derfor et tydelig skifte: det er ikke nok å stole på at leverandøren gjør det rette. Virksomheten må kunne vise at risikoene er kartlagt, håndtert og fulgt opp over tid.
Start med å klassifisere leverandører ut fra risiko og kritikalitet
Det første steget er å forstå hvilke leverandører som faktisk er mest kritiske for virksomheten. Alle leverandører skal ikke håndteres på samme måte. En leverandør som har tilgang til sensitiv informasjon, administrativ tilgang eller sentrale virksomhetssystemer innebærer en helt annen risiko enn en leverandør med begrenset påvirkning. Derfor må dere klassifisere leverandørene ut fra for eksempel:
- forretningskritikalitet
- hvilke systemer de påvirker
- hvilke data de håndterer
- hvilken tilgang de har
- hvilken påvirkning en hendelse ville hatt
- om underleverandører inngår i leveransen
Det er først når denne klassifiseringen er på plass at det går an å avgjøre hvilke krav som er rimelige, proporsjonale og nødvendige.
Bygg et leverandørregister for bedre leverandøroppfølging
Et oppdatert leverandørregister er en viktig praktisk grunnpilar i arbeidet. Det høres enkelt ut, men i mange organisasjoner er det nettopp her arbeidet svikter. Et nyttig register må ikke bare vise hvilke leverandører dere har, men også samle informasjon som gjør oppfølging mulig over tid.
Et godt leverandørregister bør i det minste gi dere oversikt over:
- kontaktpersoner
- avtaler
- berørte systemer
- risikoklasse
- datatyper
- eventuelle underleverandører
- historikk for oppfølging og revisjon
Poenget er ikke å skape administrasjon for administrasjonens skyld. Poenget er å gi organisasjonen et grunnlag for å prioritere, planlegge og følge opp riktige leverandører på riktig måte.
Still målbare sikkerhetskrav i leverandøravtaler
Avtalearbeidet kan ikke være copy-paste. Kravene må gjenspeile den faktiske risikoen i den aktuelle leveransen. Hvis en tjeneste er mer kritisk, må også sikkerhetskravene være skarpere.
I praksis kan det handle om å regulere:
- hvilke sikkerhetstiltak leverandøren skal iverksette
- hvilken cybersikkerhetskompetanse som kreves
- hvordan hendelser skal rapporteres og innen hvilke tidsrammer
- hvordan endringer i systemmiljøet skal kommuniseres
- hvordan revisjon og oppfølging skal gjennomføres
- hva som gjelder ved avtalens opphør
- hvordan risiko i underleverandørledd skal håndteres
Det viktige er at kravene skal være mulige å følge opp. Hvis avtalene er utydelige eller vanskelige å måle, blir oppfølgingen også vanskelig å gjennomføre i praksis.
Gjør leverandøroppfølging til en løpende prosess
En vanlig feil er at risikovurderingen gjøres ved anskaffelsen, og så stopper det der. Men leverandørrisiko endrer seg over tid. Nye tjenester kommer til, tilganger endres, hendelser inntreffer og leverandørens egen leverandørkjede kan endre seg.
Derfor må leverandøroppfølging være kontinuerlig. En bærekraftig arbeidsmåte bygger på at organisasjonen klassifiserer leverandøren, kravstiller, risikovurderer, følger opp, håndterer hendelser og reviderer regelmessig. Da blir arbeidet en del av det løpende risikohåndteringsprogrammet, ikke en engangsinnsats.
Tre vanlige fallgruver i arbeidet med leverandørrisiko
Det finnes flere grunner til at arbeidet ofte svikter. Tre av de vanligste er:
1. Å stole for mye på egenvurderinger
Egenvurderinger kan være et utgangspunkt, men de er ikke verifiserte. For kritiske leverandører må dere komme lenger enn det.
2. Utydelige roller internt
Hvis det er uklart hvem som eier spørsmålet mellom virksomhet, innkjøp, IT og juridisk, blir oppfølgingen ofte svak. Leverandørsikkerhet trenger et tydelig tverrfaglig ansvar.
3. For lite fokus på underleverandører
Det er ikke nok å se på den direkte leverandøren. Risiko kan også finnes lenger ned i kjeden, og det må veies inn i vurderingen.
Slik kommer dere i gang med leverandøroppfølging etter NIS2
Hvis dere er i starten av arbeidet, er det lurt å ikke prøve å løse alt samtidig. Et godt første steg er å:
- opprette et grunnleggende leverandørregister
- klassifisere leverandørene ut fra kritikalitet
- identifisere hvilke avtaler som må gjennomgås først
- begynne med de leverandørene som påvirker virksomhetens kjerne mest
Det gjør at arbeidet blir håndterbart og risikobasert fra start.
Oppsummering: slik styrker dere leverandøroppfølgingen etter NIS2
NIS2 innebærer at leverandøroppfølging ikke lenger kan ses som en sideaktivitet til innkjøp eller avtalehåndtering. Det er en del av organisasjonens overordnede cybersikkerhetsarbeid. For å komme i gang må dere skape oversikt, klassifisere leverandører, stille målbare og proporsjonale krav og følge dem opp løpende.
Det viktigste er ikke at alt blir perfekt med en gang. Det viktigste er at arbeidet blir systematisk.
Vil du lære mer? Se vårt webinar NIS2 - leverandørkjeden & tredjepartsrisiko. Webinaret er på svensk.
