NIS2 - For leverandører til kritisk infrastruktur

 

Er dine kunder underlagt NIS2 - hvad bør du som ansvarlig leverandør gøre for at imødekomme deres krav?

Den 10. november 2022 blev EUs NIS2-direktiv vedtaget. Et direktiv der sigter mod at beskytte kritisk infrastruktur og samfundskritiske tjenester mod nedbrud og cyberangreb.

NIS2 omfatter de virksomheder, der leverer kritisk infrastruktur f.eks. tjenester inden for transport, energi, sundhed, drikkevand, finanser, digital infrastruktur samt spildevands- og affaldshåndtering. 

Virksomheder, der er omfattet af NIS2-direktivet, har et kædeansvar i forhold til deres forsynings- eller leverandørkæder. Kædeansvaret i NIS2 betyder blandt andet, at en omfattet virksomhed ikke kan outsource dele af driften og derved frasige sig ansvaret, men er forpligtet til gennem kontrakt-, leverandørstyring og løbende kontrol, at forholde sig til risikoen forbundet med de enkelte leverandører. Dette kan indebære, at den omfattede virksomhed skal stille specifikke sikkerhedskrav til sine leverandører, overvåge overholdelsen af disse og måske bliver leverandøren endda nødt til at ændre praksis, for at leve op til kundens sikkerhedsstandarder.

Fristen for at efterleve NIS2 er den 18. oktober 2024, men arbejdet bør påbegyndes nu, så din virksomhed er klar til at imødekomme dine kunders krav. Og det kan vise sig at være en konkurrencemæssig fordel for leverandører, hvis kunder er underlagt NIS2, at have godt styr på og dokumenteret sin egen sikkerhed.

Oplægget giver en introduktion til NIS2, hvad du bør gøre, når dine kunder, der er underlagt direktivet, stiller krav til dig samt hvordan NIS2 kan bruges til at højne din egen virksomheds sikkerhed.

Thomas N. B. Vestergaard er Senior Lead implementer og Lead Auditor på ISO/IEC 27001:2022 og har arbejdet med informations- og cybersikkerhed i mere end 25 år.

Thomas N. B. Vestergaard, Senior Lead implementer og Lead Auditor på ISO/IEC 27001:2022, Bureau Veritas