EU vil styrke cybersikkerheden med nye sikkerhedskrav

Hvis man leverer managed services, datacenter-, cloudydelser og er omfattet af NIS2-direktivet, har EU netop vedtaget en række sikkerhedskrav, som man skal leve op til. Blandt andet i forhold til styring af leverandørkæden. Det fremgår af den nye såkaldte delegerede retsakt, som er vedtaget af EU Kommissionen.

”EU vil gerne styrke cybersikkerheden i alle led omkring vores kritiske infrastruktur, og derfor stiller de nu nogle klare krav til de direkte NIS2-påvirkede it-virksomheder om, at de også skal have styr på deres underleverandørers sikkerhed”, udtaler Arly Carlquist, advokat og partner i DAHL Advokatpartnerselskab.

Udbyder man managed services, datacenter- og/eller cloudydelser, og er man samtidig omfattet direkte af NIS2-direktivet, skal man udarbejde en politik vedrørende forsyningskædesikkerhed. Politikken fastsætter kriterierne for, hvordan man udvælger og indgår aftaler med sine direkte leverandører.

Følgende kriterier skal blandt andet være beskrevet i politikken:

• Krav til leverandørers cybersikkerhedspraksis, herunder deres procedurer for sikker udvikling.

• Leverandørens evne til at opfylde nogle fastsatte cybersikkerhedsspecifikationer.

• IT-ydelsernes generelle kvalitet og modstandsdygtighed samt de indbyggede foranstaltninger til styring af cybersikkerhedsrisici, herunder it-ydelsernes risici og klassifikationsgrad.

• Tiltag vedrørende risikospredning i forhold til leverandører, herunder muligheden for at begrænse risikoen for ”vendor lock-in”-situationer.

Med den delegerede retsakt, stiller EU også krav til, at aftalerne med ens leverandører skal indeholde følgende:

• Beskrivelse af cybersikkerhedskrav, herunder krav vedrørende sikkerhed i forbindelse med anskaffelse af it-ydelserne.

• Krav til oplysning, færdigheder og uddannelse samt, hvor det er relevant, påkrævede certificeringer vedrørende leverandørernes ansatte.

• Krav til baggrundskontrol af leverandørers ansatte.

• En forpligtelse for leverandører til uden unødig forsinkelse at underrette om sikkerhedshændelser.

• Ret til audit og/eller ret til at modtage auditrapporter fra leverandøren.

• En forpligtelse for leverandører til at håndtere sårbarheder, der udgør en risiko for sikkerheden.

• Krav vedrørende leverandørens underleverandører, inklusiv godkendelse heraf, og de krav til cybersikkerhed, som er gældende for underleverandører.

• Leverandørers forpligtelser ved aftalens ophør for eksempel udlevering og sletning af oplysninger, som leverandørerne har modtaget i forbindelse med aftalens ophør

Virksomheder der leverer managed services, datacenter-, cloudydelser og er omfattet af NIS2-direktivet bliver også forpligtet til løbende at evaluere deres leverandørers cybersikkerhedspraksis.

Forpligtelsen omfatter:

• Regelmæssig gennemgang af rapporter om gennemførelsen af aftaler med leverandører, hvor det er relevant.

• Gennemgang af hændelser hos leverandører.

• Vurdere behovet for spontane gennemgange af leverandører og dokumentere resultaterne af sådanne gennemgange på en forståelig måde.

• Analysere de risici, der følger af ændringer i forbindelse med IT-ydelser fra leverandører, og, hvis det er relevant, træffe afbødende foranstaltninger rettidigt.

Sidst men ikke mindst skal den NIS2-omfattede virksomhed udarbejde og løbende opdatere et register over dens direkte leverandører.

Registreret skal som minimum indeholde følgende:

• Kontaktoplysninger for leverandørerne.

• En liste over de it-ydelser som leverandørerne leverer.

Er du leverandør til en NIS2-omfattet virksomhed eller (under)leverandør til en leverandør af managed services, datacenter- og/eller cloudydelser, vil du højst sandsynligt blive mødt med ovenstående krav i forbindelse med aftaleforhandlinger. Derfor bør du også gennemgå de nye regler med henblik på at sikre, at din virksomhed i relevant omfang opfylder kravene.

Læs også: Ny griberobot klarer tunge løft i op til 3 meter og 18 timer i døgnet

Her er det vigtigt at huske på, at NIS2-direktivet grundlæggende tager udgangspunkt i en proportionel og risikobaseret tilgang. Disse principper er naturligvis også gældende, for så vidt angår de nye mere detaljerede krav.

”Med retsakten er det nu i højere grad tydeliggjort, hvilke krav it-leverandørerne konkret skal leve op til, hvis de leverer managed services, datacenter og/eller cloudydelser. Det har vi ventet længe på, så det er rart med en afklaring på dette område”, siger Arly Carlquist.

Kilde: IT-Branchen

/ PiB