}

Blogginlägg

Leverantörsuppföljning enligt NIS2 - så kommer du igång med tredjepartsrisker

server-security

Leverantörsuppföljning enligt NIS2 har blivit en central del av organisationers cybersäkerhetsarbete. När verksamhetskritiska funktioner, system och data hanteras av externa parter ökar också behovet av att identifiera, klassificera och följa upp leverantörsrisker och tredjepartsrisker på ett systematiskt sätt. Här går vi igenom hur du kommer igång.

Därför är leverantörsuppföljning viktig enligt NIS2

Angripare väljer ofta den enklaste vägen in, och den vägen går inte sällan via en leverantör. När organisationer blir mer beroende av externa parter för drift, system, åtkomst och specialistkompetens blir också tredjepartsrisker mer affärskritiska. NIS2 innebär därför ett tydligt skifte: det räcker inte att lita på att leverantören gör rätt. Verksamheten måste kunna visa att riskerna är kartlagda, hanterade och följda över tid.

Börja med att klassificera leverantörer utifrån risk och kritikalitet

Det första steget är att förstå vilka leverantörer som faktiskt är mest kritiska för verksamheten. Alla leverantörer ska inte hanteras på samma sätt. En leverantör som har tillgång till känslig information, administrativ behörighet eller centrala verksamhetssystem innebär en helt annan risk än en leverantör med begränsad påverkan. Därför behöver ni klassificera leverantörerna utifrån till exempel:

  • affärskritikalitet
  • vilka system de påverkar
  • vilken data de hanterar
  • vilken åtkomst de har
  • vilken påverkan en incident skulle få
  • om underleverantörer ingår i leveransen

Det är först när den klassificeringen finns på plats som det går att avgöra vilka krav som är rimliga, proportionerliga och nödvändiga.

Bygg ett leverantörsregister för bättre leverantörsuppföljning

Ett uppdaterat leverantörsregister är en viktig praktisk grund i arbetet. Det låter enkelt, men i många organisationer är det just här arbetet brister. Ett användbart register behöver inte bara visa vilka leverantörer ni har, utan också samla information som gör uppföljning möjlig över tid.

Ett bra leverantörsregister bör åtminstone ge er överblick över:

  • kontaktpersoner
  • avtal
  • berörda system
  • riskklass
  • datatyper
  • eventuella underleverantörer
  • historik för uppföljning och revision

Poängen är inte att skapa administration för administrationens skull. Poängen är att ge organisationen en grund för att prioritera, planera och följa upp rätt leverantörer på rätt sätt.

Ställ mätbara säkerhetskrav i leverantörsavtal

Avtalsarbetet kan inte vara copy-paste. Kraven behöver spegla den faktiska risken i den aktuella leveransen. Om en tjänst är mer kritisk behöver också säkerhetskraven vara skarpare.

I praktiken kan det handla om att reglera:

  • vilka säkerhetsåtgärder leverantören ska vidta
  • vilken cybersäkerhetskompetens som krävs
  • hur incidenter ska rapporteras och inom vilka tidsramar
  • hur förändringar i systemmiljön ska kommuniceras
  • hur revision och uppföljning ska gå till
  • vad som gäller vid avtalets upphörande
  • hur risker i underleverantörsled ska hanteras

Det viktiga är att kraven går att följa upp. Om avtalen är otydliga eller svåra att mäta blir uppföljningen också svår att genomföra i praktiken.

Gör leverantörsuppföljning till en löpande process

Ett vanligt misstag är att riskbedömningen görs vid upphandling, och sedan stannar där. Men leverantörsrisker förändras över tid. Nya tjänster tillkommer, åtkomster förändras, incidenter inträffar och leverantörens egen leverantörskedja kan ändras.

Därför behöver leverantörsuppföljning vara kontinuerlig. Ett hållbart arbetssätt bygger på att organisationen klassificerar leverantören, kravställer, riskbedömer, följer upp, hanterar incidenter och reviderar regelbundet. Då blir arbetet en del av det löpande riskhanteringsprogrammet, inte en engångsinsats.

Tre vanliga fallgropar i arbetet med leverantörsrisker

Det finns flera orsaker till att arbetet ofta fallerar. Tre av de vanligaste är:

1. Att lita för mycket på självskattningar
Självskattningar kan vara en startpunkt, men de är inte verifierade. För kritiska leverantörer behöver ni komma längre än så.

2. Otydliga roller internt
Om det är oklart vem som äger frågan mellan verksamhet, inköp, IT och juridik blir uppföljningen ofta svag. Leverantörssäkerhet behöver ett tydligt tvärfunktionellt ansvar.

3. För lite fokus på underleverantörer
Det räcker inte att titta på den direkta leverantören. Risker kan också finnas längre ner i kedjan, och det behöver vägas in i bedömningen.

Så kommer ni igång med leverantörsuppföljning enligt NIS2

Om ni är i början av arbetet är det klokt att inte försöka lösa allt samtidigt. Ett bra första steg är att:

  • skapa ett grundläggande leverantörsregister
  • klassificera leverantörerna utifrån kritikalitet
  • identifiera vilka avtal som behöver ses över först
  • börja med de leverantörer som påverkar verksamhetens kärna mest

Det gör att arbetet blir hanterbart och riskbaserat från start. En checklista för NIS2 kan också vara ett användbart stöd i det fortsatta arbetet.

Sammanfattning: så stärker ni leverantörsuppföljningen enligt NIS2

NIS2 innebär att leverantörsuppföljning inte längre kan ses som en sidoaktivitet till inköp eller avtalshantering. Det är en del av organisationens övergripande cybersäkerhetsarbete. För att komma igång behöver ni skapa överblick, klassificera leverantörer, ställa mätbara och proportionerliga krav och följa upp dem löpande.

Det viktigaste är inte att allt blir perfekt direkt. Det viktigaste är att arbetet blir systematiskt.

Vill du lära dig mer? Ta del av vårt webinar NIS2 - leverantörskedjan & tredjepartsrisker.

NIS2_Feature image_Del3_v4