Lev op til kædeansvaret i NIS2

Skrevet af: Nadia Rudberg, Konsulent DKTV

Hvis man vil leve op til det nye NIS2-direktiv, skal man tage ansvar - både for sikkerheden hos sig selv og sine leverandører. Det er ikke godt nok kun at sikre sit eget netværk eller sin egen virksomhed, når det kommer til NIS2-direktivet.

Nu er det også en god ide at undersøge, om de underleverandører, man bruger, også lever op til NIS2-direktivet, når det kommet til den del af driften, der outsources. Og det er der en god grund til.
 

Vi er ikke stærkere end det svageste led

De udefrakommende trusler kommer i forskellige variationer og fra mange forskellige afkroge. Ofte vil en hacker forsøge at arbejde sig ind i en virksomhed ved først at kompromittere en medarbejder, en underleverandør eller en anden tredjepart. For hackeren handler det om at finde en vej ind, og den finder han måske først helt ude i tredje led hos én af dine underleverandører.

På den måde kan en leverandør, uden de selv er klar over det, introducere trusler fx pga. et forældet software-system eller et dårligt sikret IT-system, der er let tilgængelig for en hacker. Vi er ikke stærkere end det svageste led, og nogle gange kommer det svageste led fra en samarbejdspartner eller leverandør.

Derfor er det vigtigt, at du som virksomhed stiller klare krav til de leverandører, du bruger, og også løbende følger op på, om de sætter jer i stand til at overholde NIS2-direktivet. Kædeansvaret i NIS2 betyder, at du ikke kan frasige dig ansvar, og at du kontinuerligt skal følge op på, om jeres samarbejdsaftaler lever op til NIS2-direktivet.
 

Hvordan kan vi leve op til NIS2 kravene?

Advokatkontoret Bech-Bruun er førende indenfor digitalisering og cybersikkerhed, og de kommer her med de første vigtige skridt, som en virksomhed bør tage, for at leve op til NIS2-kravene:
 

1. Juridisk vurdering¸ Vurder om jeres organisation eller specifikke systemer falder ind under NIS2's anvendelsesområde.
   
   
2. Afklaring af risikoniveau: Forstå jeres aktuelle cybersikkerhedsniveau og hvordan det måler sig mod NIS2's juridiske forpligtelser.
   
   
3. Risikoregister: Dan jer et overblik over, hvor mulige risici kan opstå, og hvilke former for trusler, I skal være forberedt på.
   
   
4. Opret en handlingsplan: Skab en detaljeret handlingsplan, som kan brydes ned i konkrete, målbare opgaver, der klart kan tildeles de relevante ansvarshavende.
   
   
5. Kontraktoverholdelse: Sikre at alle kontrakter med leverandører er i tråd med NIS2-direktivets krav og at de løbende genbesøges
   
   
6. Dokumentation: NIS2-direktivet stiller store krav til dokumentation. Derfor er det vigtigt, at alt bliver dokumenteret i overensstemmelse med NIS2-kravene, hvilket trækker klare tråde til GDPR-kravene.
    

Få mere viden

Der er ingen tvivl om, at de nye direktiver fra EU er med til at beskytte os. Hvis du er interesseret i at få mere viden om, hvordan I som organisation eller virksomhed skal implementere de nye direktiver fra EU, så kan du læse mere her.