Group 2804

NIS og NIS2 – utvidet ansvar

 Når leverandørkjeden blir en del av risikoen 
compliance

Et skjerpet regulatorisk landskap

NIS-direktivet og den kommende NIS2-utvidelsen representerer en betydelig skjerping av kravene til virksomheter med samfunnskritiske funksjoner. Samtidig utvides ansvaret til å omfatte leverandørkjeden i langt større grad enn tidligere.

Det betyr at virksomheten ikke bare må ha kontroll på egne systemer, men også på hvordan leverandører påvirker sikkerheten.

For ledelsen innebærer dette at digital risiko ikke stopper ved organisasjonsgrensen.

 

 

 

Hva NIS2 endrer

NIS2 innebærer blant annet:

  • Strengere krav til risikostyring
  • Tydeligere ansvar for ledelsen
  • Økte krav til leverandørkontroll
  • Mer omfattende dokumentasjonskrav
  • Tydeligere tilsyns- og sanksjonsregime

Dette betyr at virksomheter må profesjonalisere sikkerhetsstyringen ytterligere, særlig når det gjelder tredjepartsforhold.

 

Leverandørkjeden som risikofaktor

Mange alvorlige sikkerhetshendelser de senere år har sitt utspring i leverandørkjeden. Derfor krever NIS2 at virksomheter identifiserer kritiske leverandører, vurderer deres sikkerhetsnivå og etablerer mekanismer for oppfølging.

I praksis innebærer dette at virksomheten må:

  • Kartlegge leverandører som påvirker kritiske tjenester
  • Vurdere risiko knyttet til disse
  • Stille tydelige sikkerhetskrav i kontrakter
  • Følge opp og dokumentere etterlevelse

Dette må inngå som en del av virksomhetens overordnede styringssystem.

 

Ledelsesansvaret skjerpes

NIS2 tydeliggjør at ledelsen har ansvar for å sikre at virksomheten etterlever kravene. Manglende styring kan få regulatoriske konsekvenser.

Styret trenger ikke detaljkunnskap om teknologi, men må kunne vise at:

  • Risiko er vurdert
  • Tiltak er besluttet
  • Kontrollmekanismer er etablert
  • Oppfølging skjer systematisk

Dette er styring – ikke drift.

Hvordan Sodvin bistår

Sodvin hjelper virksomheter med å etablere strukturert leverandørkontroll som en integrert del av risikostyringen. Vi bistår med kartlegging, vurdering, dokumentasjon og implementering av nødvendige tiltak.

Målet er at leverandørkontroll ikke skal være en administrativ byrde, men en naturlig del av virksomhetens sikkerhetsstyring.

 Digital risiko stopper ikke ved organisasjonsgrensen. Kontroll må være helhetlig. 

 

Snakk med oss om Compliance og Sikkerhetsrådgivning!

Artikler

Planlegg oppgraderinger nå – før prisene går i været

Markedet for PC-utstyr er i endring. Det som tidligere var stabile komponentpriser, påvirkes nå av en global AI-bølge som presser etterspørselen etter både minne (RAM), prosessorkraft og disker kraftig opp. AI-datasentre og høyytelsesmiljøer støvsuge...

Les mer

SIKKER M365 er nå blitt enda sikrere!

Nå med døgnkontinuerlig overvåkning av brukerens Microsoft-identitet. SIKKER M365 har vært en av våre største sikkerhetssuksesser. Gjennom kontinuerlig sårbarhetsmonitorering av brukerkontoer og løpende optimalisering av sikkerhetsparametere i Micros...

Les mer

SIKKER Maskin – en trygg og forutsigbar PC-hverdag, satt inn i en helhet

For ledere handler IT-sikkerhet i stadig større grad om risiko, kontinuitet og ansvar – ikke om teknologi i seg selv. Når ansatte er avhengige av PC-er for å gjøre jobben sin, blir disse maskinene virksomhetens viktigste arbeidsverktøy. Samtidig er d...

Les mer