Hvis man leverer managed services, datacenter-, cloudydelser og er omfattet af NIS2-direktivet, har EU netop vedtaget en række sikkerhedskrav, som man skal leve op til. Bl.a. i forhold til styring af leverandørkæden.
Det fremgår af den nye såkaldte delegerede retsakt, som netop er blevet vedtaget af EU Kommissionen.
”EU vil gerne styrke cybersikkerheden i alle led omkring vores kritiske infrastruktur, og derfor stiller de nu nogle klare krav til de direkte NIS2-påvirkede it-virksomheder om, at de også skal have styr på deres underleverandørers sikkerhed,” udtaler Arly Carlquist, advokat og partner i DAHL Advokatpartnerselskab.
Vil du vide mere, kan du stadig nå at tilmelde dig vores webinar om emnet fredag d. 15. nov. kl. 10-11.
I skal have en politik for forsyningskædesikkerhed
Udbyder man managed services, datacenter- og/eller cloudydelser, og er man samtidig omfattet direkte af NIS2-direktivet, skal man udarbejde en politik vedrørende forsyningskædesikkerhed.
Politikken fastsætter kriterierne for, hvordan man udvælger og indgår aftaler med sine direkte leverandører.
Følgende kriterier skal bl.a. være beskrevet i politikken:
- Krav til leverandørers cybersikkerhedspraksis, herunder deres procedurer for sikker udvikling.
- Leverandørens evne til at opfylde nogle fastsatte cybersikkerhedsspecifikationer.
- IT-ydelsernes generelle kvalitet og modstandsdygtighed samt de indbyggede foranstaltninger til styring af cybersikkerhedsrisici, herunder it-ydelsernes risici og klassifikationsgrad.
- Tiltag vedrørende risikospredning i forhold til leverandører, herunder muligheden for at begrænse risikoen for ”vendor lock-in”-situationer.
Nye regler kan betyde nye leverandørkontrakter
Med den delegerede retsakt, stiller EU også krav til, at aftalerne med ens leverandører skal indeholde følgende:
- Beskrivelse af cybersikkerhedskrav, herunder krav vedrørende sikkerhed i forbindelse med anskaffelse af it-ydelserne.
- Krav til oplysning, færdigheder og uddannelse samt, hvor det er relevant, påkrævede certificeringer vedrørende leverandørernes ansatte.
- Krav til baggrundskontrol af leverandørers ansatte.
- En forpligtelse for leverandører til uden unødig forsinkelse at underrette om sikkerhedshændelser.
- Ret til audit og/eller ret til at modtage auditrapporter fra leverandøren.
- En forpligtelse for leverandører til at håndtere sårbarheder, der udgør en risiko for sikkerheden.
- Krav vedrørende leverandørens underleverandører, inkl. godkendelse heraf, og de krav til cybersikkerhed, som er gældende for underleverandører.
- Leverandørers forpligtelser ved aftalens ophør f.eks. udlevering og sletning af oplysninger, som leverandørerne har modtaget i forbindelse med aftalens ophør.
Underleverandørerne skal løbende evalueres
Virksomheder der leverer managed services, datacenter-, cloudydelser og er omfattet af NIS2-direktivet bliver også forpligtet til løbende at evaluere deres leverandørers cybersikkerhedspraksis.
Forpligtelsen omfatter:
- Regelmæssig gennemgang af rapporter om gennemførelsen af aftaler med leverandører, hvor det er relevant.
- Gennemgang af hændelser hos leverandører.
- Vurdere behovet for spontane gennemgange af leverandører og dokumentere resultaterne af sådanne gennemgange på en forståelig måde.
- Analysere de risici, der følger af ændringer i forbindelse med IT-ydelser fra leverandører, og, hvis det er relevant, træffe afbødende foranstaltninger rettidigt.
Krav om leverandørregister
Sidst men ikke mindst skal den NIS2-omfattede virksomhed udarbejde og løbende opdatere et register over dens direkte leverandører.
Registreret skal som minimum indeholde følgende:
- Kontaktoplysninger for leverandørerne.
- En liste over de it-ydelser som leverandørerne leverer.
De nye regler påvirker mange it-leverandører
Er du leverandør til en NIS2-omfattet virksomhed eller (under)leverandør til en leverandør af managed services, datacenter- og/eller cloudydelser, vil du højst sandsynligt blive mødt med ovenstående krav i forbindelse med aftaleforhandlinger.
Derfor bør du også gennemgå de nye regler med henblik på at sikre, at din virksomhed i relevant omfang opfylder kravene.
Her er det vigtigt at huske på, at NIS2-direktivet grundlæggende tager udgangspunkt i en proportionel og risikobaseret tilgang. Disse principper er naturligvis også gældende, for så vidt angår de nye mere detaljerede krav.
”Med retsakten er det nu i højere grad tydeliggjort, hvilke krav it-leverandørerne konkret skal leve op til, hvis de leverer managed services, datacenter og/eller cloudydelser. Det har vi ventet længe på, så det er rart med en afklaring på dette område,” siger Arly Carlquist.
Tilmeld dig vores webinar ”Regulering af NIS2 i kontrakter” fredag d. 15. nov. kl. 10-11, hvis du gerne vil vide mere om ovenstående.
Jeg vil gerne deltage.
Hej Jens,
Det lyder bare godt. Du deltager ved at tilmelde dig via dette link: https://itb.dk/event/forstaa-udkastet-til-nis2-lov-i-en-kontraktuel-kontekst/
De bedste fredagshilsener
Rune Fick Hansen
Kommunikationschef i IT-Branchen