EU vil styrke cybersikkerheden med nye sikkerhedskrav

EU har netop vedtaget en række krav til NIS2-omfattede virksomheder, der leverer managed services, datacenter- og/eller cloudydelser.

Hvis man leverer managed services, datacenter-, cloudydelser og er omfattet af NIS2-direktivet, har EU netop vedtaget en række sikkerhedskrav, som man skal leve op til. Blandt andet i forhold til styring af leverandørkæden. Foto: 123rf.com

19.11.2024

SCM.dk

Hvis man leverer managed services, datacenter-, cloudydelser og er omfattet af NIS2-direktivet, har EU netop vedtaget en række sikkerhedskrav, som man skal leve op til. Blandt andet i forhold til styring af leverandørkæden. Det fremgår af den nye såkaldte delegerede retsakt, som er vedtaget af EU Kommissionen.

”EU vil gerne styrke cybersikkerheden i alle led omkring vores kritiske infrastruktur, og derfor stiller de nu nogle klare krav til de direkte NIS2-påvirkede it-virksomheder om, at de også skal have styr på deres underleverandørers sikkerhed”, udtaler Arly Carlquist, advokat og partner i DAHL Advokatpartnerselskab.

Udbyder man managed services, datacenter- og/eller cloudydelser, og er man samtidig omfattet direkte af NIS2-direktivet, skal man udarbejde en politik vedrørende forsyningskædesikkerhed. Politikken fastsætter kriterierne for, hvordan man udvælger og indgår aftaler med sine direkte leverandører.

Følgende kriterier skal blandt andet være beskrevet i politikken:

• Krav til leverandørers cybersikkerhedspraksis, herunder deres procedurer for sikker udvikling.

• Leverandørens evne til at opfylde nogle fastsatte cybersikkerhedsspecifikationer.

• IT-ydelsernes generelle kvalitet og modstandsdygtighed samt de indbyggede foranstaltninger til styring af cybersikkerhedsrisici, herunder it-ydelsernes risici og klassifikationsgrad.

• Tiltag vedrørende risikospredning i forhold til leverandører, herunder muligheden for at begrænse risikoen for ”vendor lock-in”-situationer.

Med den delegerede retsakt, stiller EU også krav til, at aftalerne med ens leverandører skal indeholde følgende:

• Beskrivelse af cybersikkerhedskrav, herunder krav vedrørende sikkerhed i forbindelse med anskaffelse af it-ydelserne.

• Krav til oplysning, færdigheder og uddannelse samt, hvor det er relevant, påkrævede certificeringer vedrørende leverandørernes ansatte.

• Krav til baggrundskontrol af leverandørers ansatte.

• En forpligtelse for leverandører til uden unødig forsinkelse at underrette om sikkerhedshændelser.

• Ret til audit og/eller ret til at modtage auditrapporter fra leverandøren.

• En forpligtelse for leverandører til at håndtere sårbarheder, der udgør en risiko for sikkerheden.

• Krav vedrørende leverandørens underleverandører, inklusiv godkendelse heraf, og de krav til cybersikkerhed, som er gældende for underleverandører.

• Leverandørers forpligtelser ved aftalens ophør for eksempel udlevering og sletning af oplysninger, som leverandørerne har modtaget i forbindelse med aftalens ophør

Virksomheder der leverer managed services, datacenter-, cloudydelser og er omfattet af NIS2-direktivet bliver også forpligtet til løbende at evaluere deres leverandørers cybersikkerhedspraksis.

Forpligtelsen omfatter:

• Regelmæssig gennemgang af rapporter om gennemførelsen af aftaler med leverandører, hvor det er relevant.

• Gennemgang af hændelser hos leverandører.

• Vurdere behovet for spontane gennemgange af leverandører og dokumentere resultaterne af sådanne gennemgange på en forståelig måde.

• Analysere de risici, der følger af ændringer i forbindelse med IT-ydelser fra leverandører, og, hvis det er relevant, træffe afbødende foranstaltninger rettidigt.

Sidst men ikke mindst skal den NIS2-omfattede virksomhed udarbejde og løbende opdatere et register over dens direkte leverandører.

Registreret skal som minimum indeholde følgende:

• Kontaktoplysninger for leverandørerne.

• En liste over de it-ydelser som leverandørerne leverer.

Er du leverandør til en NIS2-omfattet virksomhed eller (under)leverandør til en leverandør af managed services, datacenter- og/eller cloudydelser, vil du højst sandsynligt blive mødt med ovenstående krav i forbindelse med aftaleforhandlinger. Derfor bør du også gennemgå de nye regler med henblik på at sikre, at din virksomhed i relevant omfang opfylder kravene.

Læs også: Ny griberobot klarer tunge løft i op til 3 meter og 18 timer i døgnet

Her er det vigtigt at huske på, at NIS2-direktivet grundlæggende tager udgangspunkt i en proportionel og risikobaseret tilgang. Disse principper er naturligvis også gældende, for så vidt angår de nye mere detaljerede krav.

”Med retsakten er det nu i højere grad tydeliggjort, hvilke krav it-leverandørerne konkret skal leve op til, hvis de leverer managed services, datacenter og/eller cloudydelser. Det har vi ventet længe på, så det er rart med en afklaring på dette område”, siger Arly Carlquist.

Kilde: IT-Branchen

/ PiB

Toyota Material Handling A/S

Sponseret

Effektivitet, komfort og lavere omkostninger: Derfor vælger flere den nye Traigo48 fra Toyota

Slimstock Nordic

Sponseret

An opinion Making Artificial Intelligence (AI) land in supply chain practice

Relateret indhold

16.06.2025SCM.dk

Additive manufacturing skal være en del af fremtidens industri

13.06.2025SCM.dk

Nordic Hydrogen bringer grøn brint tættere på kilden

13.06.2025SCM.dk

Danmark kan blive frontløber i europæisk AI-udvikling

11.06.2025Fellowmind Denmark A/S

Sponseret

AURA digitaliserer forretningen med Microsoft Dynamics 365 Finance & Operations

05.06.2025SCM.dk

RFID: Terma Aerostructures indgår partnerskab med Lyngsoe Systems om digital produktionsomstilling

03.06.2025AGR

Sponseret

AGR udvider fra forsyningskædestyring til leverandørstyring

22.05.2025SCM.dk

Cobot sætter nye standarder i kollaborativ automation

22.05.2025Datacon A/S

Sponseret

Case: Munck Gruppen

Jobmarked

Se alle

Hold dig opdateret med SCM.dk

Tilmeld dig nyhedsbrevet og følg med i alt som rører sig indenfor ledelse af forsyningskæden, Nyhedsbrevet kommer kun to gange pr. uge.

Se flere temaer

Events

Se alle
DNV Business Assurance Denmark
Kursus
Afvigelseshåndtering og årsagsanalyse

I forbindelse med lukning af afvigelser og andre interne udfordringer er det meget vigtigt at få lavet en ordentlig årsagsanalyse. Årsagsanalysen laves for at identificere de grundlæggende eller underliggende årsager, få dem rettet og dermed forhindre gentagelser. Det sker jo af og til, at vi løser det samme problem igen og igen.

Dato

24.06.2025

Sted

Odense

Dansk Standard
Kursus
ISO 9001 diplomkursus i kvalitetsledelse - 2 dage

På dette to-dages ISO 9001 kursus præsenteres du for indholdet i ISO 9001 standarden. Samtidig lærer du, hvordan de enkelte krav til kvalitetsledelse bør efterleves i praksis. Kurset i ISO 9001 tager dig igennem de forskellige faser ved implementering af et ledelsessystem for kvalitet.

Dato

24.06.2025

Sted

Dansk Standard, 12 etage, Sal 2 Göteborg Plads 1 2150 Nordhavn

Fellowmind Denmark A/S
Webinar
Microsoft 365 Update

Få overblikket over de vigtigste nyheder i Microsoft 365 og Copilot hver måned.

Dato

25.06.2025

Tid

13:00

Sted

Online

Fellowmind Denmark A/S
Webinar
Microsoft Fabric Update

Unleash the boundless potential of Microsoft Fabric: Your monthly source for cutting-edge news and limitless opportunities.

Dato

25.06.2025

Tid

15:00

Sted

Online

Implement Consulting Group
Webinar
Enhancing production planning in SAP

Unlocking the power of PP/DS for future efficiency

Dato

26.06.2025

Tid

09:30

Sted

Online

DNV Business Assurance Denmark
Kursus
APQP4WIND Management Awareness Training

Event Description

Dato

30.06.2025

Tid

08:30

Sted

Online