Bliv klar til NIS2 som it-leverandør

Som it-leverandør kan du blive direkte eller indirekte omfattet af NIS2, afhængigt af din virksomheds rolle og kunderelationer.

Vi giver en praktisk guide til, hvordan du vurderer din risikoprofil over for NIS2-omfattede kunder, hvilke krav der kan stilles til cybersikkerhed i forsyningskæden, og hvilke minimumsforanstaltninger du bør implementere og dokumentere.

Grafisk billede

Som it-virksomhed kan du være direkte omfattet af NIS2, hvis du lever op til NIS2-betingelserne (sektor- og størrelseskriterier), men du kan også blive indirekte omfattet, hvis du er leverandør til en virksomhed, der er direkte omfattet af NIS2-reglerne.

Det skyldes, at NIS2 stiller skærpede krav til de direkte omfattede virksomheder om, at de skærper cybersikkerheden i forsyningskæden og stiller krav til leverandørerne.

Kravene kan omfatte:

  • Leverandørernes og tjenesteudbydernes cybersikkerhedspraksis, herunder deres procedurer for sikker udvikling
  • Leverandørernes eller tjenesteudbydernes evne til at opfylde virksomhedens cybersikkerhedsspecifikationer
  • Klassifikationsniveau for de it-tjenester, it-systemer eller it-produkter, som leverandøren eller tjenesteudbyderen leverer, herunder leverandørens opfattelse af risikoen
  • Leverandørernes evne til at opretholde et passende niveau af forsyningssikkerhed
  • Leverandørernes økonomi og geopolitiske risici  

Som følge heraf kan NIS2-omfattede virksomheder vælge at indføre strengere kontraktlige krav over for leverandører om højere, dokumenteret sikkerhed, sikkerhedsrevisioner eller krav om standarder og certificeringer for at sikre og kunne kontrollere, at leverandørerne opretholder passende foranstaltninger.

IT-Branchen har derfor udarbejdet nedenstående guide, så du som it-leverandør kan indgå i en dialog med din NIS2-omfattede kunde og sikre, at kravene til dig som leverandør eller tjenesteudbyder bliver proportionelle med din virksomheds betydning og risiko for kundens forsynings- og cybersikkerhed.

Guiden er udarbejdet af IT-Branchens Policy Board for Cybersikkerhed.

1. Find ud af, hvilken risikoprofil du har i forhold til din kunde

Der er forskel på, hvor kritisk du kan betegnes som leverandør, og hvilken risikoprofil du som leverandør udgør for en kunde. Derfor er der også forskel på, hvilke krav og tekniske foranstaltninger en kunde med rimelighed kan forlange implementeret hos en leverandør for at leve op til det NIS2-påkrævede niveau af cybersikkerhed i forsyningskæden.

Som it-leverandør kan du f.eks. benytte følgende spørgsmål til at vurdere, hvor stor en cybersikkerhedsrisiko du udgør for din kunde:

Overvej hvilke ressourcer du som leverandør har adgang til hos din
NIS2-omfattede kunde:

  • Har min virksomhed adgang til personhenførbare og/eller kommercielt følsomme data hos kunden?
  • Hvor behandler og opbevarer min virksomhed kundens data og informationer?
  • Har min virksomhed adgang til kundens større eller forretningskritiske aktiver?
  • Har min virksomhed adgang og/eller forbindelse til kundens netværk med yderligere privilegier?
  • Har min virksomhed forbindelser til regeringer eller organisationer, der kan være fjendtlige over for kundens sektor?

Overvej konsekvenserne for din NIS2-omfattede kunde af et
cyberangreb eller databrud hos dig som leverandør:

  • Hvad leverer jeg til kunden?
  • Udgør min virksomhed et potentielt ”single point of failure” (SPOF) for kunden?
  • Vil et brud via min virksomhed få en negativ indvirkning på kundens forretningsdrift og/eller processer?
  • Vil et brud via min virksomhed få en negativ indvirkning på kundens omdømme?
  • Vil et brud via min virksomhed medføre betydelige økonomiske og/eller juridiske, lovgivningsmæssige eller kontraktmæssige konsekvenser?

Alt efter, hvad du svarer på ovenstående spørgsmål, kan du nu placere dig i en af nedenstående risikoprofiler.

Risikoprofilerne er baseret på, hvor stor en effekt det vil have for virksomheden, hvis der skete et cyberangreb eller databrud på din(e) løsning(er).

Det skal bemærkes, at ovenstående inddeling i risikoprofiler er vejledende, og at ikke alle kriterier inden for hver risikoprofil nødvendigvis kan/skal kunne krydses af, ligesom leverandører i nogle tilfælde vil opfylde enkeltstående kriterier på tværs af risikoprofilerne.

Risikoprofil 1
Ingen eller lav negativ effekt

Fra kundens perspektiv vil en leverandør med denne risikoprofil typisk have:

  • Adgang til kun offentligt tilgængelige informationer
  • Adgang til kun mindre aktiver
  • Ingen adgang/forbindelse til organisationens netværk
  • Ingen leverance af services, der er kritiske for forretningen

Cyberangreb eller databrud hos denne risikoprofil vurderes at kunne forårsage:

  • Ingen eller begrænset omdømmeskade
  • Ingen eller begrænset indvirkning på forretningsdrift og/eller processer
  • Ingen eller minimale økonomiske/juridiske konsekvenser

Risikoprofil 2
Moderat negativ effekt

Fra kundens perspektiv vil en leverandør med denne risikoprofil typisk have:

  • Adgang til oplysninger der indeholder personhenførbare data
  • Adgang til større aktiver (kun standard adgang)
  • Adgang eller forbindelse til organisationens netværk
  • Leverance af services, der kan have forstyrrende påvirkning af forretningen

Cyberangreb eller databrud hos denne risikoprofil vurderes at kunne forårsage:

  • En vis omdømmeskade
  • En vis indvirkning på forretningsdrift og/eller processer
  • Nogle økonomiske og juridiske konsekvenser

Risikoprofil 3
Stor negativ effekt

Fra kundens perspektiv vil en leverandør med denne risikoprofil typisk have:

  • Privilegeret adgang til og mulighed for behandling af personhenførbare og/eller kommercielt følsomme data
  • Privilegeret adgang til større eller forretningskritiske aktiver
  • Adgang/forbindelse til organisationens netværk med yderligere rettigheder
  • Leverance af services, der kan have kritisk påvirkning af forretningen

Cyberangreb eller databrud hos denne risikoprofil vurderes at kunne forårsage:

  • Høj omdømmeskade
  • Stor indvirkning på forretningsdrift og/eller processer
  • Høje økonomiske og juridiske konsekvenser

2. Lev op til minimumskravene for din risikoprofil

Med udgangspunkt i de tre risikoprofiler kan leverandører forvente at skulle leve op til en række differentierede cybersikkerhedskrav fra kunderne.

Det er derfor vigtigt, at du som leverandør er bevidst om, hvilken risikoprofil du tilhører ud fra kundens perspektiv, så du kan sikre, at cybersikkerhedskravene er proportionelle og svarer til den reelle risiko, du udgør for sikkerheden hos dem.

Herved undgår du en unødig og omkostningsfuld overimplementering af sikkerhedsforanstaltninger. Med udgangspunkt i de forskellige risikoprofiler anbefaler IT-Branchen følgende minimumsforanstaltninger, som det samtidig er afgørende, at du kan dokumentere implementeringen af:

Risikoprofil 1
Ingen eller lav negativ effekt

  • Dokumenteret overblik over vigtige data og systemer
  • Opdatering af operativsystemer og applikationer
  • Antivirus og firewall på alle systemer, klienter og online indgange
  • Beskyttet og testet backup af forretningskritiske systemer og data
  • Fokus på at kunne spotte mistænkelige mails og links, inkl. awarenesstræning
  • Politik for lange og unikke passwords, brug af password manager og to-faktor validering

Risikoprofil 2
Moderat negativ effekt

Implementering af ovenstående minimumskrav +

  • Defineret og implementeret cyber- og informationssikkerhedspolitik
  • Udpeget it-sikkerhedsansvarlig
  • Defineret og testet beredskabsplan
  • Udvidet awareness-træning af ledelse og medarbejdere
  • Adgangskontrol og rettighedsstyring
  • Beskyttet fjernadgang til systemer (kryptering og flerfaktor-autentifikation)
  • Fysisk sikring af it-infrastruktur, systemer, klienter og data

Risikoprofil 3
Stor negativ effekt

Implementering af ovenstående minimumskrav +

  • Dokumenteret proces for risikostyring
  • Sårbarhedsscanning
  • Politik eller anvendt standard for beskyttelse af OT (hvis relevant)
  • Netværkssegmentering
  • Logning og monitorering
  • Konfigurationsstyring
  • Styr på anskaffelse, vedligeholdelse og bortskaffelse af informationsaktiver
  • Grundlæggende viden om cybersikkerhed og ansvarlig dataanvendelse hos ledelse, medarbejdere og kritiske underleverandører
  • Krav til og tilsyn med cybersikkerheden hos kritiske underleverandører
  • Metode/kanal for rapportering af sårbarheder på produkter fra tredjepart
  • Politik eller anvendt standard for sikkerhed i kodeudvikling (hvis relevant)

3. Disse NIS2-minimumskrav skal dig og din kunde være enige om

For at indgå i en dialog med din NIS2-omfattede kunde, anbefaler IT-Branchens Policy Board for Cybersikkerhed, at du benytter nedenstående rammeværk til at sikre, at du som it-leverandør lever op til de skærpede krav til cybersikkerhed i kundens forsyningskæde.

Du kan downloade skemaet her.

Få hjælp til NIS2 af IT-Branchens medlemmer

En række af IT-Branchens medlemmer tilbyder specialiseret rådgivning og løsninger, der kan hjælpe din organisation med at leve op til NIS2-direktivet. Det gælder både tekniske services, risikovurderinger, compliance-arbejde og beredskabsplaner.

Hvis I som virksomhed har brug for støtte til at forstå, implementere eller dokumentere jeres cybersikkerhedsindsats, kan I finde kvalificerede it-leverandører, der står klar til at hjælpe.

Er I selv it-leverandør med NIS2-relaterede rådgivning og løsninger? Så kan I også blive synlige på listen over de virksomheder, der tilbyder ekspertise og hjælp.

SE HVEM DER KAN HJÆLPE

Læs mere om NIS2

Hænglås

Hvad er NIS2?

NIS2 er EU’s opdaterede direktiv om cybersikkerhed. Det har til formål at forbedre cybersikkerheden i EU og beskytte infrastruktur.
LÆS MERE HER
Kontrolrum

Hvem er direkte og indirekte omfattet af NIS2?

Læs her om du er en af dem er der er omfattet af NIS2, enten direkte og indirekte.
LÆS MERE HER
Nis2 univers

Hvilke minimumskrav er der i NIS2?

De skærpede NIS2-krav påvirker ledelse, risikostyring og rapportering, også for it-leverandører. Sådan kan du leve op til dem.
LÆS MERE HER
Telefonmast

Bliv klar til NIS2 som direkte omfattet

Er din virksomhed direkte omfattet af NIS2, får du her de første skridt til at sikre cybersikkerheden.
LÆS MERE HER
skilt der viser vej

Guides, vejledninger og værktøj

Find guides, vejledninger og værktøj, der kan hjælpe dig godt på vej, hvis din virksomhed er NIS2 omfattet.
LÆS MERE HER

Har du spørgsmål?

Kontakt Troels Johansen, som er ansvarlig for IT-Branchens policy board for cybersikkerhed, for yderligere information om NIS2.