Arba Security

Hvad er forsyningskædesikkerhed i NIS 2?

Niklas Rendboe

Niklas Rendboe

Hvad er forsyningskædesikkerhed i NIS 2?

Det, du ikke vidste, at du allerede vidste om sikkerhed i forsyningskæden ud fra NIS 2 artikel 21(2)(d)

Hvis du kender til EU's NIS 2-direktiv, har du måske allerede undret dig (eller bekymret dig) over begrebet 'forsyningskædesikkerhed' i artikel 21(2)(d) og hvad det betyder for din organisation. Blandt de mange begreber, der bruges i direktivet til at beskrive typiske cyber- og informationssikkerhedsforanstaltninger, skiller 'forsyningskædesikkerhed' sig ud som uklart og potentielt uoverskueligt.

For hvordan gør du dig selv tilstrækkeligt sikker mod risici, der stammer fra din forsyningskæde?

Det får dig måske til at spørge: kender du overhovedet hele forsyningskæden for de eksterne ydelser, du er afhængig af, såsom byggeri, facility services, vagtydelser, forsyning, transport, IT-leverandører og konsulentydelser?

Men i virkeligheden er forsyningskædesikkerhed efter NIS 2 ikke så svært, som det lyder, det er bare formidlet på en uheldig og forvirrende måde af EU. Forsyningskædesikkerhed i NIS 2 består af ting, du højst sandsynligt allerede kender.

Kravet handler om cybersikkerhedsrisici

Selvom 'forsyningskædesikkerhed' kan lyde skræmmende komplekst, er det afgørende at forstå, at NIS 2 specifikt handler om cybersikkerhed og ikke alle andre former for sikkerhed. Derfor er direktivets officielle navn 'om foranstaltninger til et højt fælles cybersikkerhedsniveau i hele Unionen', og derfor hedder ENISA's (EU's Agentur for Cybersikkerhed) vejledning til at håndtere dette krav 'Good Practices for Supply Chain Cybersecurity'.

Hvis du var bekymret for, at kravet omfattede alle andre former for risici, kan du lægge de bekymringer fra dig nu.

Cybersikkerhed er dog stadig et stort emne, især når direktivet ret eksplicit kræver, at du anvender en 'all-hazards'-tilgang (artikel 21(2)). Det betyder, at når du vurderer de forskellige trusler og sårbarheder, der giver anledning til cybersikkerhedsrisici, bør du ikke begrænse dig til cyberangreb og CVE'er, men også medtage ondsindede insidere, procesmæssige svagheder, fysiske angreb, miljømæssige faktorer og så videre. Det er blot sådan, at alt dette kun er relevant, i det omfang det har en effekt på cybersikkerheden, som NIS 2 definerer med henvisning til forordning (EU) 2019/881 artikel 2(1) som 'de aktiviteter, der er nødvendige for at beskytte net- og informationssystemer, brugerne af sådanne systemer og andre personer, der er berørt af cybertrusler'.

Kravet handler om IT-leverandører

Ved første øjekast lyder 'forsyningskædesikkerhed' som et krav om at sikre sig mod alle trusler fra et uendeligt net af leverandører over hele kloden. Men det meste af det kan skæres fra, når vi indser, at kravet handler om levering af IT-relaterede ydelser og produkter, som EU insisterer på at kalde 'IKT' for at minde os om, at 'kommunikation' er en del af IT.

Har vi kilder til at underbygge den påstand?

Bestemt.

Præambel 85 i direktivet formulerer det ret klart: 'At håndtere risici, der stammer fra en enheds forsyningskæde og dens forhold til sine leverandører, såsom udbydere af datalagrings- og databehandlingstjenester eller udbydere af administrerede sikkerhedstjenester og softwareudviklere, er særligt vigtigt i betragtning af den udbredte forekomst af hændelser, hvor enheder har været ofre for cyberangreb, og hvor ondsindede aktører har kunnet kompromittere sikkerheden i en enheds net- og informationssystemer ved at udnytte sårbarheder i tredjepartsprodukter og -tjenester.' (Vores fremhævelse, Arba).

Og længere nede, når emnet om at udføre koordinerede risikovurderinger af kritiske forsyningskæder behandles, præciserer præambel 91: 'For at identificere de forsyningskæder, der bør være genstand for en koordineret sikkerhedsrisikovurdering, bør følgende kriterier tages i betragtning: (i) i hvilket omfang væsentlige og vigtige enheder anvender og er afhængige af specifikke kritiske IKT-tjenester, IKT-systemer eller IKT-produkter (...)'. (Vores fremhævelse, Arba).

I artikel 2, 'Definitioner', definerer EU 17 forskellige typer ydelser, produkter og udbydere, som er relevante for direktivet. Alle disse ligger inden for IT, og ikke en eneste ikke-IT-ydelse, -produkt eller -udbyder er defineret.

Hvis det er tilfældet, hvorfor står det så ikke klart i direktivet?

Desværre ved vi det ikke. Vi vil ikke foregive at kende alle de overvejelser, der lå bag direktivets endelige tekst. Der er dog flere bestemmelser, som ville have været oplagte lejligheder til at knytte begrebet 'forsyningskædesikkerhed' til ikke-IT-leverandører, hvis det havde været lovgivernes hensigt.

Tag præambel 53, som nævner emnet forsyningstjenester. Denne præambel siger ikke, at de bør være omfattet af kravet, den behandler snarere det forhold, at de selv er afhængige af digitale tjenester, altså at de har deres egen IT-forsyningskæde. Noget tilsvarende kan siges om præambel 88, som nævner truslen om industrispionage uden at påberåbe sig begrebet forsyningskædesikkerhed.

Kravet skal beskytte mod 'forsyningskædeangreb'

Nu ved du, at kravet i virkeligheden går ud på at beskytte net- og informationssystemer mod trusler fra din IT-forsyningskæde. Kan vi indsnævre dette krav endnu mere? I det mindste kan vi give din organisation et fokus, som du kan anvende, når du prioriterer din indsats, og den prioritet bør være at forhindre 'forsyningskædeangreb'.

Hvordan ved vi det?

Præambel 85 er endnu en gang lærerig, da den giver konteksten for, hvorfor forsyningskædesikkerhed indgår i direktivet, og den kontekst beskrives som: 'hændelser, hvor enheder har været ofre for cyberangreb, og hvor ondsindede aktører har kunnet kompromittere sikkerheden i en enheds net- og informationssystemer ved at udnytte sårbarheder i tredjepartsprodukter og -tjenester'.

Det er en god beskrivelse af det, vi i branchen kalder 'forsyningskædeangreb'.

Selvom truslen fra forsyningskædeangreb i høj grad er bekymrende, er de vigtigste måder at reducere den på velkendte og gennemprøvede kontroller inden for cybersikkerhed, såsom cybersikkerhedskrav i leverandørkontrakter, kontroller for IT-indkøb, asset management, sikre udviklingsprocedurer, sårbarhedshåndtering og incident response.

Fokus på kontroller som disse passer godt med artikel 21(3), som udbygger artikel 21(2)(d) ved at tilføje, at 'Medlemsstaterne sikrer, at enhederne, når de vurderer, hvilke foranstaltninger omhandlet i stk. 2, litra d), der er passende, tager hensyn til de sårbarheder, der er specifikke for hver direkte leverandør og tjenesteudbyder, og den overordnede kvalitet af deres leverandørers og tjenesteudbyderes produkter og cybersikkerhedspraksis, herunder deres sikre udviklingsprocedurer'.

At finde et snævrere fokus for din egen organisation er endnu vigtigere, når man tager det næste punkt i betragtning: din organisation står ikke alene med dette ansvar.

De mest kritiske risici bør håndteres på EU-niveau

Endelig fastslår artikel 21(3) også, at 'Medlemsstaterne sikrer desuden, at enhederne, når de vurderer, hvilke foranstaltninger omhandlet i nævnte litra der er passende, skal tage hensyn til resultaterne af de koordinerede sikkerhedsrisikovurderinger af kritiske forsyningskæder, der udføres i henhold til artikel 22(1)'.

Selvom dette er et krav til enhederne, er det mere en hjælp end en byrde. Det fastslår, at enhederne skal anvende de sikkerhedsrisikovurderinger af kritiske forsyningskæder, der udføres af Samarbejdsgruppen, et EU-organ oprettet på EU-niveau ved det første NIS-direktiv. Hvor sådanne vurderinger gælder, er EU derfor tæt på at kræve, at enhederne lader Samarbejdsgruppen udføre sin del af arbejdet, i stedet for at hver enhed forsøger at lave sin egen komplette vurdering fra bunden.

Og dette punkt går til kernen af NIS 2. NIS 2 er ikke først og fremmest en liste af krav rettet mod organisationer inden for forskellige kritiske og vigtige sektorer. Det er et direktiv, der adresserer cybersikkerhed i EU ved at stille krav til stater og EU-organer. Staten skal derefter videreføre visse krav til enhederne, men staterne er stadig ansvarlige for at fremme cybersikkerheden i deres land.

Omfattede enheder står derfor ikke alene, men er afhængige af stater og deres nationale cybersikkerhedsstrategier (artikel 1), CSIRT'er og ENISA og deres rolle i at rapportere om cybersikkerhedstilstanden, dele trusselsinformation, bistå i tilfælde af hændelser og koordinere inden for sektorer (artikel 1, 16, 18, 23, 27, 29), for at nævne nogle få.

Disse organer er en hjælp for din organisation, og kravet i artikel 21(3) er derfor ikke at ignorere deres hjælp og vejledning, når du implementerer foranstaltninger.

Konklusion

Kort sagt er 'forsyningskædesikkerhed' for det meste det, du allerede kender som kontroller anvendt på indkøb og udvælgelse af IT-ydelser og -produkter, asset management, sårbarhedshåndtering, sikre IT-udviklingsprocedurer og incident response-procedurer, herunder informationsdeling. Hvis du læser direktivet grundigt, finder du støtte til at dæmpe frygten for, at det indebærer ansvaret for at sikre forsyningskæden hele vejen igennem. De største og mest kritiske forsyningskæder vil blive vurderet på EU-niveau og håndteret i nationale cybersikkerhedsstrategier samt af kritiske og vigtige enheder, der implementerer lokal compliance med direktivet.

ENISA har givet vejledning til dette i sin publikation 'Good Practices for Supply Chain Cybersecurity', som indeholder konkrete eksempler på nyttige krav til din egen og dine leverandørers organisationer.

Del dette indlæg

Kom i gang

Gør compliance enklere. Se ArbaGRC i aktion.

Book en personlig gennemgang og se, hvordan ArbaGRC omsætter compliance-krav til klare opgaver, tydeligt ejerskab og revisionsklar dokumentation.