Kategori 4 av 10 · Art. 21(2)(d)

Forsyningskjedesikkerhet

Virksomheten skal vurdere og håndtere sikkerhetsrisiko fra leverandører og samarbeidspartnere. Angrep gjennom leverandørkjeden (supply chain attacks) er blant de mest økende truslene.

4.1

Har dere oversikt over hvilke leverandører som har tilgang til deres systemer eller data?

Kritisk

Mange virksomheter vet ikke hvem som faktisk har tilgang til hva. Kartlegg leverandører med systemtilgang, datatilgang, eller som leverer kritiske IT-tjenester. Inkluder også skytjenester.

4.2

Stiller dere sikkerhetskrav til leverandører ved innkjøp av IT-tjenester?

Kritisk

NIS2 forventer at dere vurderer leverandørenes sikkerhet. Dette kan være enkle krav i kontrakt (sertifiseringer, rutiner for hendelseshåndtering) eller en sjekkliste ved innkjøp. Ikke alt trenger å være ISO 27001 — men noe bør kreves.

4.3

Gjennomfører dere jevnlige vurderinger av leverandørenes sikkerhetspraksis?

Viktig

Sikkerhetskrav ved kontraktsinngåelse er bare starten. Følger leverandørene opp over tid? En årlig sjekk (spørreskjema, gjennomgang, eller audit) avhengig av risiko er god praksis.

4.4

Har dere kontraktfestede rutiner for håndtering av sikkerhetshendelser hos leverandører?

Viktig

Hva skjer hvis leverandøren din blir hacket? Kontrakten bør dekke varsling (at de varsler dere raskt), ansvarsfordeling, og hva som skjer med deres data.

4.5

Vurderer dere avhengighetsrisiko — hva skjer hvis en kritisk leverandør faller bort?

Standard

Hvis dere er helt avhengige av én leverandør uten alternativer, er det en forretningsrisiko. Vurder om det finnes alternative leverandører eller om dere kan redusere avhengigheten.