EU vil styrke cybersikkerheden med nye sikkerhedskrav

EU har netop vedtaget en række krav til NIS2-omfattede virksomheder, der leverer managed services, datacenter- og/eller cloudydelser.

Hvis man leverer managed services, datacenter-, cloudydelser og er omfattet af NIS2-direktivet, har EU netop vedtaget en række sikkerhedskrav, som man skal leve op til. Blandt andet i forhold til styring af leverandørkæden. Foto: 123rf.com

19.11.2024

SCM.dk

Hvis man leverer managed services, datacenter-, cloudydelser og er omfattet af NIS2-direktivet, har EU netop vedtaget en række sikkerhedskrav, som man skal leve op til. Blandt andet i forhold til styring af leverandørkæden. Det fremgår af den nye såkaldte delegerede retsakt, som er vedtaget af EU Kommissionen.

”EU vil gerne styrke cybersikkerheden i alle led omkring vores kritiske infrastruktur, og derfor stiller de nu nogle klare krav til de direkte NIS2-påvirkede it-virksomheder om, at de også skal have styr på deres underleverandørers sikkerhed”, udtaler Arly Carlquist, advokat og partner i DAHL Advokatpartnerselskab.

Udbyder man managed services, datacenter- og/eller cloudydelser, og er man samtidig omfattet direkte af NIS2-direktivet, skal man udarbejde en politik vedrørende forsyningskædesikkerhed. Politikken fastsætter kriterierne for, hvordan man udvælger og indgår aftaler med sine direkte leverandører.

Følgende kriterier skal blandt andet være beskrevet i politikken:

• Krav til leverandørers cybersikkerhedspraksis, herunder deres procedurer for sikker udvikling.

• Leverandørens evne til at opfylde nogle fastsatte cybersikkerhedsspecifikationer.

• IT-ydelsernes generelle kvalitet og modstandsdygtighed samt de indbyggede foranstaltninger til styring af cybersikkerhedsrisici, herunder it-ydelsernes risici og klassifikationsgrad.

• Tiltag vedrørende risikospredning i forhold til leverandører, herunder muligheden for at begrænse risikoen for ”vendor lock-in”-situationer.

Med den delegerede retsakt, stiller EU også krav til, at aftalerne med ens leverandører skal indeholde følgende:

• Beskrivelse af cybersikkerhedskrav, herunder krav vedrørende sikkerhed i forbindelse med anskaffelse af it-ydelserne.

• Krav til oplysning, færdigheder og uddannelse samt, hvor det er relevant, påkrævede certificeringer vedrørende leverandørernes ansatte.

• Krav til baggrundskontrol af leverandørers ansatte.

• En forpligtelse for leverandører til uden unødig forsinkelse at underrette om sikkerhedshændelser.

• Ret til audit og/eller ret til at modtage auditrapporter fra leverandøren.

• En forpligtelse for leverandører til at håndtere sårbarheder, der udgør en risiko for sikkerheden.

• Krav vedrørende leverandørens underleverandører, inklusiv godkendelse heraf, og de krav til cybersikkerhed, som er gældende for underleverandører.

• Leverandørers forpligtelser ved aftalens ophør for eksempel udlevering og sletning af oplysninger, som leverandørerne har modtaget i forbindelse med aftalens ophør

Virksomheder der leverer managed services, datacenter-, cloudydelser og er omfattet af NIS2-direktivet bliver også forpligtet til løbende at evaluere deres leverandørers cybersikkerhedspraksis.

Forpligtelsen omfatter:

• Regelmæssig gennemgang af rapporter om gennemførelsen af aftaler med leverandører, hvor det er relevant.

• Gennemgang af hændelser hos leverandører.

• Vurdere behovet for spontane gennemgange af leverandører og dokumentere resultaterne af sådanne gennemgange på en forståelig måde.

• Analysere de risici, der følger af ændringer i forbindelse med IT-ydelser fra leverandører, og, hvis det er relevant, træffe afbødende foranstaltninger rettidigt.

Sidst men ikke mindst skal den NIS2-omfattede virksomhed udarbejde og løbende opdatere et register over dens direkte leverandører.

Registreret skal som minimum indeholde følgende:

• Kontaktoplysninger for leverandørerne.

• En liste over de it-ydelser som leverandørerne leverer.

Er du leverandør til en NIS2-omfattet virksomhed eller (under)leverandør til en leverandør af managed services, datacenter- og/eller cloudydelser, vil du højst sandsynligt blive mødt med ovenstående krav i forbindelse med aftaleforhandlinger. Derfor bør du også gennemgå de nye regler med henblik på at sikre, at din virksomhed i relevant omfang opfylder kravene.

Læs også: Ny griberobot klarer tunge løft i op til 3 meter og 18 timer i døgnet

Her er det vigtigt at huske på, at NIS2-direktivet grundlæggende tager udgangspunkt i en proportionel og risikobaseret tilgang. Disse principper er naturligvis også gældende, for så vidt angår de nye mere detaljerede krav.

”Med retsakten er det nu i højere grad tydeliggjort, hvilke krav it-leverandørerne konkret skal leve op til, hvis de leverer managed services, datacenter og/eller cloudydelser. Det har vi ventet længe på, så det er rart med en afklaring på dette område”, siger Arly Carlquist.

Kilde: IT-Branchen

/ PiB

Toyota Material Handling A/S

Sponseret

Effektivitet, komfort og lavere omkostninger: Derfor vælger flere den nye Traigo48 fra Toyota

Slimstock Nordic

Sponseret

An opinion Making Artificial Intelligence (AI) land in supply chain practice

Relateret indhold

30.07.2025SCM.dk

Danmark fører an i teknologiudvikling trods Europas efterslæb

24.07.2025SCM.dk

Syv stærke AI-projekter skal løfte dansk forskning og digital innovation

24.07.2025AGR

Sponseret

Undgå overfyldte lagre og forsinkelser under leverandørlukninger

22.07.2025SCM.dk

Kunstig intelligens skal samle Europas viden om avancerede materialer

18.07.2025SCM.dk

DHL investerer massivt i automatisering og vækst

14.07.2025Delfi Technologies A/S

Sponseret

Danfoil har optimeret lagerstyringen med Delfi Technologies

10.07.2025Delfi Technologies A/S

Sponseret

Danmarks største vinbutik satser på digitale prisskilte for bedre kundeoplevelse

10.07.2025SCM.dk

IFS løfter industriel AI til nyt niveau med opkøb af TheLoops

Jobmarked

Se alle

Hold dig opdateret med SCM.dk

Tilmeld dig nyhedsbrevet og følg med i alt som rører sig indenfor ledelse af forsyningskæden, Nyhedsbrevet kommer kun to gange pr. uge.

Se flere temaer

Events

Se alle
Fellowmind Denmark A/S
Webinar
Power Platform – Lav løsninger med Plan Designer

Fra kravindsamling og procesdesign til færdige apps – opdag de nye funktioner i Power Platformen

Dato

13.08.2025

Tid

13:00

Sted

Online

Dansk Standard
Kursus
ISO 14001 kursus: - Diplomkursus i miljøledelse

På to dage præsenteres du for det grundlæggende indhold i ledelsesstandarden ISO 14001:2025 Miljøledelse, og lærer hvordan de enkelte krav efterleves i praksis. Der vil undervejs i kurset være praktiske øvelser, der kan inspirere dig til arbejdet i din egen organisation efterfølgende. Som afslutning følger en multiple choice eksamen, som måler på din erhvervede viden og færdigheder.

Dato

18.08.2025

Sted

Dansk Standard, 12 etage, Sal 1, Göteborg Plads 1, 2150 Nordhavn

Bureau Veritas
Kursus
FSMS ISO 22000:2018 Lead Auditor Fødevaresikkerhed (CQI IRCA-certificeret)

Ved succesfuld gennemførelse af vores CQI and IRCA-certificeret FSMS ISO 22000:2018 Lead Auditor Fødevaresikkerhedskursus vil du være i stand til at planlægge, gennemføre og afrapportere effektive 1., 2. og 3. parts audits af ledelsessystemer i henhold til kravene i ISO 22000:2018.

Dato

18.08.2025

Tid

08:30

Sted

Vejle

Fellowmind Denmark A/S
Webinar
Always Azure – Skab værdi med Microsoft Azure

Vil du være på forkant med det nyeste i Azure og få konkrete idéer til, hvordan du udnytter platformen bedst muligt i din virksomhed?

Dato

18.08.2025

Tid

13:00

Sted

Online

Bureau Veritas
Seminar
ISO 9001 inspirationsseminar

ISO 9001 Inspirationsseminaret giver dig en grundlæggende forståelse for formål, baggrund og indhold for ISO 9001 standarden, som er en af de første og mest udbredte standarder og derfor betegnes som ”moderen af alle standarder”.

Dato

21.08.2025

Tid

08:30

Sted

Fredericia

Bureau Veritas
Seminar
ISO 9001 inspirationsseminar

ISO 9001 Inspirationsseminaret giver dig en grundlæggende forståelse for formål, baggrund og indhold for ISO 9001 standarden, som er en af de første og mest udbredte standarder og derfor betegnes som ”moderen af alle standarder”.

Dato

21.08.2025

Tid

08:30

Sted

Fredericia