NIS2: Ert þú sterkur hlekkur í aðfangakeðjunni?

Birt þann

Þegar við tölum hér um aðfangakeðju (supply chain) erum við ekki bara að tala um vörur og hráefni. Í samhengi net- og upplýsingaöryggis er aðfangakeðja allt það net þjónustuaðila, hugbúnaðar, skýjalausna og annarra birgja sem fyrirtæki treysta á í daglegum rekstri.

NIS2 leggur mikla áherslu á að fyrirtæki sem falla undir tilskipunina, bæði „nauðsynlegir aðilar“ (essential entities) og „mikilvægir aðilar“ (important entities), beri ábyrgð á öryggi allrar keðjunnar sem þau reiða sig á. DORA gengur jafnvel lengra í þessum efnum.

Ef þú ert birgir fyrirtækja sem þurfa að uppfylla NIS2 eða DORA þá eru kröfurnar til þín að breytast. Veikasti hlekkurinn ræður ferðinni og netárásir byrja oft á „litla birgjanum“ sem gleymdi að herða varnir sínar.

Í fræðunum kallast þetta Vendor Management eða Third-Party Risk Management – í reynd þýðir það að þú getur mögulega átt von á fleiri spurningum frá þínum viðskiptavinum.

Hverjir gætu fundið fyrir þessu?

Stutta svarið: mjög margir. Nokkur dæmi:

  • Hugbúnaðarfyrirtæki sem sér um bókhaldskerfi, CRM eða aðrar lausnir fyrir fyrirtæki sem falla undir NIS2 eða DORA.
  • Rekstraraðilar upplýsingakerfa (MSP) sem sjá um hýsingu, rekstur eða netöryggi.
  • Vefhýsingarfyrirtæki sem hýsa kerfi eða vefi fyrir viðskiptavini sem þurfa að uppfylla reglurnar.
  • Ráðgjafar og þjónustuaðilar sem veita tæknilega aðstoð eða sérfræðiþjónustu.
  • Allir sem vinna með gögn eða innviði ef þú kemur nálægt kerfum eða gögnum viðskiptavinar sem fellur undir NIS2 eða DORA, þá ertu hluti af keðjunni.

Hvers gætu viðskiptavinir farið að krefjast?

Þótt NIS2 eða DORA nái ekki beint til þín, munu viðskiptavinirnir krefjast aukins öryggis. Þú gætir þurft að:

  • Svara öryggismati - ítarlegum spurningalistum, áhættumati eða jafnvel úttektum.
  • Sýna skjalaðar stefnur - um aðgangsstýringu, gagnavernd, viðbrögð og rekstrarsamfellu.
  • Tilkynna atvik - samþykkja að láta þá vita strax ef eitthvað gerist.
  • Samræmast stöðlum - ekki endilega ISO 27001, en grunnreglur úr slíkum ramma.
  • Skrifa undir öryggisákvæði - samningar verða ítarlegri og strangari.
  • Sýna sönnunargögn - það dugir ekki lengur að segja „við erum með þetta á hreinu“. Þú þarft að sýna það.

Af hverju þetta er tækifæri en ekki ógn

Þetta gæti virst lýjandi en ef þú lítur á þetta sem fjárfestingu, þá snýst þetta um:

  • Samkeppnisforskot - sterkir birgjar verða eftirsóttir.
  • Sterkari varnir - þú verndar líka þitt eigið fyrirtæki.
  • Traust - bæði viðskiptavinir og markaðurinn taka meira mark á þér.
  • Aðgang að stærri viðskiptavinum - þeir koma til með að vilja bara vinna með aðilum sem standast kröfur.

Hvernig Verjumst hjálpar

Þú þarft ekki her sérfræðinga. Verjumst gerir þetta aðgengilegt og einfalt:

  • Skilgreindu öryggisráðstafanir - við hjálpum þér að setja þær upp og skjalfesta.
  • Áhættumat - skildu hvar veikleikarnir liggja.
  • Miðlæg skjölun - hafðu öll skjöl og sönnunargögn á einum stað.
  • Ferlastjórnun - einfaldaðu viðhald á stefnum og áætlunum.
  • Sýndu fylgni - fáðu yfirsýn sem þú getur deilt með viðskiptavinum.

Hvernig Verjumst getur hjálpað

Það getur virst yfirþyrmandi að rata í gegnum allskyns kröfur, sérstaklega án sérfræðinga innanhúss. Verjumst er hannað einmitt fyrir þetta verkefni: við þýðum tæknilegar kröfur yfir í skýr, framkvæmanleg skref og hjálpum stjórnendum að uppfylla ábyrgð sína.

Tími til kominn að einfalda reglufylgni og bæta IT-stjórnun?

Óska eftir kynningu
Til baka á bloggið