Endelig er der nyt om de kommende NIS2-krav

EU har netop vedtaget en række krav til NIS2-omfattede virksomheder, der leverer managed services, datacenter- og/eller cloudydelser.

Endelig er der nyt om de kommende NIS2-krav

Hvis man leverer managed services, datacenter-, cloudydelser og er omfattet af NIS2-direktivet, har EU netop vedtaget en række sikkerhedskrav, som man skal leve op til. Bl.a. i forhold til styring af leverandørkæden.

Det fremgår af den nye såkaldte delegerede retsakt, som netop er blevet vedtaget af EU Kommissionen.

”EU vil gerne styrke cybersikkerheden i alle led omkring vores kritiske infrastruktur, og derfor stiller de nu nogle klare krav til de direkte NIS2-påvirkede it-virksomheder om, at de også skal have styr på deres underleverandørers sikkerhed,” udtaler Arly Carlquist, advokat og partner i DAHL Advokatpartnerselskab.

Vil du vide mere, kan du stadig nå at tilmelde dig vores webinar om emnet fredag d. 15. nov. kl. 10-11.

I skal have en politik for forsyningskædesikkerhed

Udbyder man managed services, datacenter- og/eller cloudydelser, og er man samtidig omfattet direkte af NIS2-direktivet, skal man udarbejde en politik vedrørende forsyningskædesikkerhed.

Politikken fastsætter kriterierne for, hvordan man udvælger og indgår aftaler med sine direkte leverandører.

Følgende kriterier skal bl.a. være beskrevet i politikken:

  • Krav til leverandørers cybersikkerhedspraksis, herunder deres procedurer for sikker udvikling.
  • Leverandørens evne til at opfylde nogle fastsatte cybersikkerhedsspecifikationer.
  • IT-ydelsernes generelle kvalitet og modstandsdygtighed samt de indbyggede foranstaltninger til styring af cybersikkerhedsrisici, herunder it-ydelsernes risici og klassifikationsgrad.
  • Tiltag vedrørende risikospredning i forhold til leverandører, herunder muligheden for at begrænse risikoen for ”vendor lock-in”-situationer.

Nye regler kan betyde nye leverandørkontrakter

Med den delegerede retsakt, stiller EU også krav til, at aftalerne med ens leverandører skal indeholde følgende:

  • Beskrivelse af cybersikkerhedskrav, herunder krav vedrørende sikkerhed i forbindelse med anskaffelse af it-ydelserne.
  • Krav til oplysning, færdigheder og uddannelse samt, hvor det er relevant, påkrævede certificeringer vedrørende leverandørernes ansatte.
  • Krav til baggrundskontrol af leverandørers ansatte.
  • En forpligtelse for leverandører til uden unødig forsinkelse at underrette om sikkerhedshændelser.
  • Ret til audit og/eller ret til at modtage auditrapporter fra leverandøren.
  • En forpligtelse for leverandører til at håndtere sårbarheder, der udgør en risiko for sikkerheden.
  • Krav vedrørende leverandørens underleverandører, inkl. godkendelse heraf, og de krav til cybersikkerhed, som er gældende for underleverandører.
  • Leverandørers forpligtelser ved aftalens ophør f.eks. udlevering og sletning af oplysninger, som leverandørerne har modtaget i forbindelse med aftalens ophør.

Underleverandørerne skal løbende evalueres

Virksomheder der leverer managed services, datacenter-, cloudydelser og er omfattet af NIS2-direktivet bliver også forpligtet til løbende at evaluere deres leverandørers cybersikkerhedspraksis.

Forpligtelsen omfatter:

  • Regelmæssig gennemgang af rapporter om gennemførelsen af aftaler med leverandører, hvor det er relevant.
  • Gennemgang af hændelser hos leverandører.
  • Vurdere behovet for spontane gennemgange af leverandører og dokumentere resultaterne af sådanne gennemgange på en forståelig måde.
  • Analysere de risici, der følger af ændringer i forbindelse med IT-ydelser fra leverandører, og, hvis det er relevant, træffe afbødende foranstaltninger rettidigt.

Krav om leverandørregister

Sidst men ikke mindst skal den NIS2-omfattede virksomhed udarbejde og løbende opdatere et register over dens direkte leverandører.

Registreret skal som minimum indeholde følgende:

  • Kontaktoplysninger for leverandørerne.
  • En liste over de it-ydelser som leverandørerne leverer.

De nye regler påvirker mange it-leverandører

Er du leverandør til en NIS2-omfattet virksomhed eller (under)leverandør til en leverandør af managed services, datacenter- og/eller cloudydelser, vil du højst sandsynligt blive mødt med ovenstående krav i forbindelse med aftaleforhandlinger.

Derfor bør du også gennemgå de nye regler med henblik på at sikre, at din virksomhed i relevant omfang opfylder kravene.

Her er det vigtigt at huske på, at NIS2-direktivet grundlæggende tager udgangspunkt i en proportionel og risikobaseret tilgang. Disse principper er naturligvis også gældende, for så vidt angår de nye mere detaljerede krav.

”Med retsakten er det nu i højere grad tydeliggjort, hvilke krav it-leverandørerne konkret skal leve op til, hvis de leverer managed services, datacenter og/eller cloudydelser. Det har vi ventet længe på, så det er rart med en afklaring på dette område,” siger Arly Carlquist.
Tilmeld dig vores webinar ”Regulering af NIS2 i kontrakter” fredag d. 15. nov. kl. 10-11, hvis du gerne vil vide mere om ovenstående.

  • Skriv et svar

    Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *