EU vil styrke cybersikkerheden med nye sikkerhedskrav

EU har netop vedtaget en række krav til NIS2-omfattede virksomheder, der leverer managed services, datacenter- og/eller cloudydelser.

Hvis man leverer managed services, datacenter-, cloudydelser og er omfattet af NIS2-direktivet, har EU netop vedtaget en række sikkerhedskrav, som man skal leve op til. Blandt andet i forhold til styring af leverandørkæden. Foto: 123rf.com

19.11.2024

SCM.dk

Hvis man leverer managed services, datacenter-, cloudydelser og er omfattet af NIS2-direktivet, har EU netop vedtaget en række sikkerhedskrav, som man skal leve op til. Blandt andet i forhold til styring af leverandørkæden. Det fremgår af den nye såkaldte delegerede retsakt, som er vedtaget af EU Kommissionen.

”EU vil gerne styrke cybersikkerheden i alle led omkring vores kritiske infrastruktur, og derfor stiller de nu nogle klare krav til de direkte NIS2-påvirkede it-virksomheder om, at de også skal have styr på deres underleverandørers sikkerhed”, udtaler Arly Carlquist, advokat og partner i DAHL Advokatpartnerselskab.

Udbyder man managed services, datacenter- og/eller cloudydelser, og er man samtidig omfattet direkte af NIS2-direktivet, skal man udarbejde en politik vedrørende forsyningskædesikkerhed. Politikken fastsætter kriterierne for, hvordan man udvælger og indgår aftaler med sine direkte leverandører.

Følgende kriterier skal blandt andet være beskrevet i politikken:

• Krav til leverandørers cybersikkerhedspraksis, herunder deres procedurer for sikker udvikling.

• Leverandørens evne til at opfylde nogle fastsatte cybersikkerhedsspecifikationer.

• IT-ydelsernes generelle kvalitet og modstandsdygtighed samt de indbyggede foranstaltninger til styring af cybersikkerhedsrisici, herunder it-ydelsernes risici og klassifikationsgrad.

• Tiltag vedrørende risikospredning i forhold til leverandører, herunder muligheden for at begrænse risikoen for ”vendor lock-in”-situationer.

Med den delegerede retsakt, stiller EU også krav til, at aftalerne med ens leverandører skal indeholde følgende:

• Beskrivelse af cybersikkerhedskrav, herunder krav vedrørende sikkerhed i forbindelse med anskaffelse af it-ydelserne.

• Krav til oplysning, færdigheder og uddannelse samt, hvor det er relevant, påkrævede certificeringer vedrørende leverandørernes ansatte.

• Krav til baggrundskontrol af leverandørers ansatte.

• En forpligtelse for leverandører til uden unødig forsinkelse at underrette om sikkerhedshændelser.

• Ret til audit og/eller ret til at modtage auditrapporter fra leverandøren.

• En forpligtelse for leverandører til at håndtere sårbarheder, der udgør en risiko for sikkerheden.

• Krav vedrørende leverandørens underleverandører, inklusiv godkendelse heraf, og de krav til cybersikkerhed, som er gældende for underleverandører.

• Leverandørers forpligtelser ved aftalens ophør for eksempel udlevering og sletning af oplysninger, som leverandørerne har modtaget i forbindelse med aftalens ophør

Virksomheder der leverer managed services, datacenter-, cloudydelser og er omfattet af NIS2-direktivet bliver også forpligtet til løbende at evaluere deres leverandørers cybersikkerhedspraksis.

Forpligtelsen omfatter:

• Regelmæssig gennemgang af rapporter om gennemførelsen af aftaler med leverandører, hvor det er relevant.

• Gennemgang af hændelser hos leverandører.

• Vurdere behovet for spontane gennemgange af leverandører og dokumentere resultaterne af sådanne gennemgange på en forståelig måde.

• Analysere de risici, der følger af ændringer i forbindelse med IT-ydelser fra leverandører, og, hvis det er relevant, træffe afbødende foranstaltninger rettidigt.

Sidst men ikke mindst skal den NIS2-omfattede virksomhed udarbejde og løbende opdatere et register over dens direkte leverandører.

Registreret skal som minimum indeholde følgende:

• Kontaktoplysninger for leverandørerne.

• En liste over de it-ydelser som leverandørerne leverer.

Er du leverandør til en NIS2-omfattet virksomhed eller (under)leverandør til en leverandør af managed services, datacenter- og/eller cloudydelser, vil du højst sandsynligt blive mødt med ovenstående krav i forbindelse med aftaleforhandlinger. Derfor bør du også gennemgå de nye regler med henblik på at sikre, at din virksomhed i relevant omfang opfylder kravene.

Læs også: Ny griberobot klarer tunge løft i op til 3 meter og 18 timer i døgnet

Her er det vigtigt at huske på, at NIS2-direktivet grundlæggende tager udgangspunkt i en proportionel og risikobaseret tilgang. Disse principper er naturligvis også gældende, for så vidt angår de nye mere detaljerede krav.

”Med retsakten er det nu i højere grad tydeliggjort, hvilke krav it-leverandørerne konkret skal leve op til, hvis de leverer managed services, datacenter og/eller cloudydelser. Det har vi ventet længe på, så det er rart med en afklaring på dette område”, siger Arly Carlquist.

Kilde: IT-Branchen

/ PiB

Toyota Material Handling A/S

Sponseret

Ny Toyota Traigo48-serie med uovertruffent design og banebrydende ydeevne

Apport Systems A/S

Sponseret

Lagerstyring på autopilot - få dit lager til at tænke selv

Relateret indhold

31.03.2025SCM.dk

Udfordringer presser væksten i robotbranchen

27.03.2025SCM.dk

58 procent vil skære ned på USA’s cloud-udbydere

27.03.2025SCM.dk

Forsyningskæders cybersikkerhed er fulde af blinde vinkler

26.03.2025SCM.dk

AI-agenter: Fremtidens nøgle til effektivisering af arbejdsgange

26.03.2025Columbus

Sponseret

Enhancing manufacturing with AI: Microsoft Copilot for Sales explained

26.03.2025Columbus

Sponseret

Enhancing manufacturing with AI: Microsoft Copilot Studio explained

21.03.2025SCM.dk

Brug af kunstig intelligens i forsyningskæden medfører kun moderate gevinster

20.03.2025SCM.dk

CeramicSpeed styrker cybersikkerhed i trådløs vibrationssensor

Hold dig opdateret med SCM.dk

Tilmeld dig nyhedsbrevet og følg med i alt som rører sig indenfor ledelse af forsyningskæden, Nyhedsbrevet kommer kun to gange pr. uge.

Se flere temaer

Events

Se alle
Bureau Veritas
Kursus
OHSMS ISO 45001:2018 Lead auditor arbejdsmiljø (CQI IRCA-certificeret)

Ved succesfuld gennemførelse af vores CQI and IRCA-certificeret OHSMS ISO 45001:2018 Lead Auditor Arbejdsmiljøkursus vil du være i stand til at planlægge, gennemføre og afrapportere effektive 1., 2. og 3. parts audits af arbejdsmiljøledelsessystemer i henhold ISO 45001:2018 og i overensstemmelse med ISO 19011 og ISO 17021 standarderne.

Dato

31.03.2025

Tid

08:30

Sted

Nyborg

Bureau Veritas
Kursus
Risk Management

Uanset din virksomheds type eller størrelse, vil du møde interne eller eksterne risici, som skal vurderes og håndteres således, at de ikke får uforudsete konsekvenser for din virksomhed - og derfor er risk management en forankret del af ISO-standarderne.

Dato

02.04.2025

Tid

08:30

Sted

Fredericia

Toyota Material Handling A/S
Messe
Toyota Material Handling deltager på Transportmessen 2025

Mød os på på Transport 2025, som finder sted i Messecenter Herning d. 3-5. april. Få gratis adgang til messen – brug blot koden toyota2025, når du bestiller dine billetter online. Vi glæder os til at byde dig velkommen ved stand M9600.

Dato

03.04.2025

Tid

09:00

Sted

Herning Messecenter

Brother Nordic A/S
Messe
Transport 2025

Skandinaviens førende fagmesse inden for transportbranchen.

Dato

03.04.2025

Tid

09:00

Sted

Messecenter Herning

Bureau Veritas
Webinar
Webinar: Få styr på VSME - EU's nye frivillige standard for bæredygtighedsrapporting

EU-Kommissionen har for nyligt lanceret den såkaldte Omnibus-pakke, der skal forenkle kravene til virksomhedernes bæredygtighedsrapportering og styrke EU’s konkurrenceevne.

Dato

03.04.2025

Tid

11:00

Sted

Online på MS Teams

Bureau Veritas
Webinar
Webinar: Få styr på VSME - EU's nye frivillige standard for bæredygtighedsrapporting

EU-Kommissionen har for nyligt lanceret den såkaldte Omnibus-pakke, der skal forenkle kravene til virksomhedernes bæredygtighedsrapportering og styrke EU’s konkurrenceevne.

Dato

03.04.2025

Tid

11:00

Sted

Online på MS Teams