EU vil styrke cybersikkerheden med nye sikkerhedskrav

EU har netop vedtaget en række krav til NIS2-omfattede virksomheder, der leverer managed services, datacenter- og/eller cloudydelser.

Hvis man leverer managed services, datacenter-, cloudydelser og er omfattet af NIS2-direktivet, har EU netop vedtaget en række sikkerhedskrav, som man skal leve op til. Blandt andet i forhold til styring af leverandørkæden. Foto: 123rf.com

19.11.2024

SCM.dk

Hvis man leverer managed services, datacenter-, cloudydelser og er omfattet af NIS2-direktivet, har EU netop vedtaget en række sikkerhedskrav, som man skal leve op til. Blandt andet i forhold til styring af leverandørkæden. Det fremgår af den nye såkaldte delegerede retsakt, som er vedtaget af EU Kommissionen.

”EU vil gerne styrke cybersikkerheden i alle led omkring vores kritiske infrastruktur, og derfor stiller de nu nogle klare krav til de direkte NIS2-påvirkede it-virksomheder om, at de også skal have styr på deres underleverandørers sikkerhed”, udtaler Arly Carlquist, advokat og partner i DAHL Advokatpartnerselskab.

Udbyder man managed services, datacenter- og/eller cloudydelser, og er man samtidig omfattet direkte af NIS2-direktivet, skal man udarbejde en politik vedrørende forsyningskædesikkerhed. Politikken fastsætter kriterierne for, hvordan man udvælger og indgår aftaler med sine direkte leverandører.

Følgende kriterier skal blandt andet være beskrevet i politikken:

• Krav til leverandørers cybersikkerhedspraksis, herunder deres procedurer for sikker udvikling.

• Leverandørens evne til at opfylde nogle fastsatte cybersikkerhedsspecifikationer.

• IT-ydelsernes generelle kvalitet og modstandsdygtighed samt de indbyggede foranstaltninger til styring af cybersikkerhedsrisici, herunder it-ydelsernes risici og klassifikationsgrad.

• Tiltag vedrørende risikospredning i forhold til leverandører, herunder muligheden for at begrænse risikoen for ”vendor lock-in”-situationer.

Med den delegerede retsakt, stiller EU også krav til, at aftalerne med ens leverandører skal indeholde følgende:

• Beskrivelse af cybersikkerhedskrav, herunder krav vedrørende sikkerhed i forbindelse med anskaffelse af it-ydelserne.

• Krav til oplysning, færdigheder og uddannelse samt, hvor det er relevant, påkrævede certificeringer vedrørende leverandørernes ansatte.

• Krav til baggrundskontrol af leverandørers ansatte.

• En forpligtelse for leverandører til uden unødig forsinkelse at underrette om sikkerhedshændelser.

• Ret til audit og/eller ret til at modtage auditrapporter fra leverandøren.

• En forpligtelse for leverandører til at håndtere sårbarheder, der udgør en risiko for sikkerheden.

• Krav vedrørende leverandørens underleverandører, inklusiv godkendelse heraf, og de krav til cybersikkerhed, som er gældende for underleverandører.

• Leverandørers forpligtelser ved aftalens ophør for eksempel udlevering og sletning af oplysninger, som leverandørerne har modtaget i forbindelse med aftalens ophør

Virksomheder der leverer managed services, datacenter-, cloudydelser og er omfattet af NIS2-direktivet bliver også forpligtet til løbende at evaluere deres leverandørers cybersikkerhedspraksis.

Forpligtelsen omfatter:

• Regelmæssig gennemgang af rapporter om gennemførelsen af aftaler med leverandører, hvor det er relevant.

• Gennemgang af hændelser hos leverandører.

• Vurdere behovet for spontane gennemgange af leverandører og dokumentere resultaterne af sådanne gennemgange på en forståelig måde.

• Analysere de risici, der følger af ændringer i forbindelse med IT-ydelser fra leverandører, og, hvis det er relevant, træffe afbødende foranstaltninger rettidigt.

Sidst men ikke mindst skal den NIS2-omfattede virksomhed udarbejde og løbende opdatere et register over dens direkte leverandører.

Registreret skal som minimum indeholde følgende:

• Kontaktoplysninger for leverandørerne.

• En liste over de it-ydelser som leverandørerne leverer.

Er du leverandør til en NIS2-omfattet virksomhed eller (under)leverandør til en leverandør af managed services, datacenter- og/eller cloudydelser, vil du højst sandsynligt blive mødt med ovenstående krav i forbindelse med aftaleforhandlinger. Derfor bør du også gennemgå de nye regler med henblik på at sikre, at din virksomhed i relevant omfang opfylder kravene.

Læs også: Ny griberobot klarer tunge løft i op til 3 meter og 18 timer i døgnet

Her er det vigtigt at huske på, at NIS2-direktivet grundlæggende tager udgangspunkt i en proportionel og risikobaseret tilgang. Disse principper er naturligvis også gældende, for så vidt angår de nye mere detaljerede krav.

”Med retsakten er det nu i højere grad tydeliggjort, hvilke krav it-leverandørerne konkret skal leve op til, hvis de leverer managed services, datacenter og/eller cloudydelser. Det har vi ventet længe på, så det er rart med en afklaring på dette område”, siger Arly Carlquist.

Kilde: IT-Branchen

/ PiB

Descartes

Sponseret

Toldbehandling fra Descartes – øg resiliensen i forsyningskæden

AGR

Sponseret

Er dit ERP nok til lagerstyring? Sådan lukker AGR hullerne i forsyningskæden

Relateret indhold

03.12.2024Columbus

Sponseret

Kan du spore sundhedsskadelige fødevarer i en fart?

02.12.2024Columbus

Sponseret

Madspild for milliarder er at ødsle med ressourcerne

29.11.2024Implement Consulting Group

Sponseret

Where is SAP going with AI?

28.11.2024Zetes

Sponseret

ImageID Technology brings instant quality checks to manual warehouse processes

28.11.2024Columbus

Sponseret

Pindstrup vælger Columbus som strategisk ERP-partner i deres digitale transformationsrejse

27.11.2024SCM.dk

Trivielle arbejdsopgaver kan udryddes med AI

27.11.2024SCM.dk

Kunstig intelligens viser sit værd med vilde produktivitetsforbedringer

27.11.2024Columbus

Sponseret

Columbus og Hydrema udvider succesrigt samarbejde med ny Digital Commerce-aftale

Jobmarked

Se alle

Hold dig opdateret med SCM.dk

Tilmeld dig nyhedsbrevet og følg med i alt som rører sig indenfor ledelse af forsyningskæden, Nyhedsbrevet kommer kun to gange pr. uge.

Se flere temaer

Events

Se alle
DTU Learn for Life
Efteruddannelse
Supply Chain Management (SCM)

Få kompetencer til at designe og lede effektive produktions- og forsyningskæder, også kaldet supply chains, som er en forudsætning for virksomhedens konkurrenceevne.

Dato

31.10.2024

Tid

09:00

Sted

Lautrupvang 15. 2750 Ballerup

Bureau Veritas
Kursus
CSRD-rapportering

EU’s Corporate Sustainability Reporting Directive (CSRD) er en game changer for bæredygtighedsrapportering, da det blandt andet fastsætter ensartede metoder og måleenheder for virksomheders rapportering af miljømæssige, sociale og ledelsesmæssige aspekter (ESG).

Dato

07.11.2024

Sted

Oldenborggade 25-31, 7000 Fredericia

Bureau Veritas
Webinar
Webinar: Learn about AQAP2110 Standards and their requirements

Did you know that suppliers of products and services to the NATO Member Countries Defence Acquisition and Logistics Organizations often must meet relevant NATO quality standards outlined in the AQAP - Allied Quality Assurance Publications?

Dato

11.12.2024

Tid

13:00

Sted

Online

DTU Learn for Life
Efteruddannelse
Projektledelse – metoder og værktøjer - dag

Vil du være projektleder – eller ønsker du at opkvalificere dine projektlederkompetencer? Så tilmeld dig dette kursus, som også er et diplom modul, og styrk dine evner til at planlægge, styre og følge op på projekter.

Dato

27.01.2025

Tid

09:00

Sted

Lautrupvang 15. 2750 Ballerup

DTU Learn for Life
Efteruddannelse
Grundlæggende objektorienteret programmering

Vil du opkvalificere dine evner inden for objektorienteret programmering? Så tilmeld dig dette kursus, som også er et diplommodul, og få kompetencer til at designe objektorienterede programløsninger for din virksomhed.

Dato

27.01.2025

Tid

17:00

Sted

Lautrupvang 15. 2750 Ballerup

DTU Learn for Life
Efteruddannelse
Projektledelse – metoder og værktøjer - aften

Vil du være projektleder – eller ønsker du at opkvalificere dine projektlederkompetencer? Så tilmeld dig dette kursus, som også er et diplom modul, og styrk dine evner til at planlægge, styre og følge op på projekter.

Dato

27.01.2025

Tid

17:00

Sted

Lautrupvang 15. 2750 Ballerup