Group 2804

NIS og NIS2 – utvidet ansvar

 Når leverandørkjeden blir en del av risikoen 
compliance

Et skjerpet regulatorisk landskap

NIS-direktivet og den kommende NIS2-utvidelsen representerer en betydelig skjerping av kravene til virksomheter med samfunnskritiske funksjoner. Samtidig utvides ansvaret til å omfatte leverandørkjeden i langt større grad enn tidligere.

Det betyr at virksomheten ikke bare må ha kontroll på egne systemer, men også på hvordan leverandører påvirker sikkerheten.

For ledelsen innebærer dette at digital risiko ikke stopper ved organisasjonsgrensen.

 

 

 

Hva NIS2 endrer

NIS2 innebærer blant annet:

  • Strengere krav til risikostyring
  • Tydeligere ansvar for ledelsen
  • Økte krav til leverandørkontroll
  • Mer omfattende dokumentasjonskrav
  • Tydeligere tilsyns- og sanksjonsregime

Dette betyr at virksomheter må profesjonalisere sikkerhetsstyringen ytterligere, særlig når det gjelder tredjepartsforhold.

 

Leverandørkjeden som risikofaktor

Mange alvorlige sikkerhetshendelser de senere år har sitt utspring i leverandørkjeden. Derfor krever NIS2 at virksomheter identifiserer kritiske leverandører, vurderer deres sikkerhetsnivå og etablerer mekanismer for oppfølging.

I praksis innebærer dette at virksomheten må:

  • Kartlegge leverandører som påvirker kritiske tjenester
  • Vurdere risiko knyttet til disse
  • Stille tydelige sikkerhetskrav i kontrakter
  • Følge opp og dokumentere etterlevelse

Dette må inngå som en del av virksomhetens overordnede styringssystem.

 

Ledelsesansvaret skjerpes

NIS2 tydeliggjør at ledelsen har ansvar for å sikre at virksomheten etterlever kravene. Manglende styring kan få regulatoriske konsekvenser.

Styret trenger ikke detaljkunnskap om teknologi, men må kunne vise at:

  • Risiko er vurdert
  • Tiltak er besluttet
  • Kontrollmekanismer er etablert
  • Oppfølging skjer systematisk

Dette er styring – ikke drift.

Hvordan Sodvin bistår

Sodvin hjelper virksomheter med å etablere strukturert leverandørkontroll som en integrert del av risikostyringen. Vi bistår med kartlegging, vurdering, dokumentasjon og implementering av nødvendige tiltak.

Målet er at leverandørkontroll ikke skal være en administrativ byrde, men en naturlig del av virksomhetens sikkerhetsstyring.

nis2net

Vil du forstå NIS2 i praksis?

 NIS2 stiller omfattende krav til risikostyring, sikkerhetsarbeid og ledelsesansvar. På vår temaside om NIS2 går vi dypere inn i hva regelverket faktisk betyr i praksis – hvilke virksomheter som omfattes, hvilke sikkerhetstiltak som forventes, og hvordan virksomheter bør organisere arbeidet med etterlevelse. 
Gå til temasiden om NIS2 og få en grundig gjennomgang av kravene

 Digital risiko stopper ikke ved organisasjonsgrensen. Kontroll må være helhetlig. 

 

Snakk med oss om Compliance og Sikkerhetsrådgivning!

Artikler

De fleste dataangrep skjer utenfor arbeidstid

Mange virksomheter har gode sikkerhetsverktøy, men hva skjer når varslene kommer om natten, i helgen eller i ferien? Moderne IT-sikkerhet handler ikke bare om å oppdage trusler. Det handler om hvem som faktisk reagerer når noe skjer.

Les mer

Identiteten har blitt den nye sikkerhetsperimeteren

Når Microsoft-pålogging brukes overalt, blir identitetsbeskyttelse et lederansvar IT-sikkerhet handler fortsatt om å beskytte enheter, nettverk og data. Men trusselbildet har endret seg betydelig de siste årene. Stadig flere angrep retter seg nå dire...

Les mer

Slik bygget SuCom et moderne datasenter med Nutanix

SuCom AS er et teknologiselskap med base på Sunndalsøra, som primært leverer kommunikasjons-tjenester og fiberinfrastruktur til både bedrifts- og privatmarkedet. Som en sentral aktør i regionen er selskapet avhengig av stabile og fleksible IT-løsning...

Les mer