NIS2 och leverantörsrisker – kontroll som fungerar i verkligheten

Leverantörer och tredjepartstjänster är idag en självklar del av nästan varje verksamhet. Drift, molntjänster, integrationer och specialiserade konsulter gör organisationer snabbare och mer effektiva – men de ökar också den digitala attackytan. Det är därför ingen slump att leverantörs- och tredjepartsrisker har fått en så central roll i NIS2.

Samtidigt ser vi samma mönster om och om igen: organisationer försöker möta kraven genom fler dokument, längre checklistor och generiska säkerhetsenkäter. Resultatet blir ofta en pappersprodukt som skapar administration, men väldigt lite faktisk kontroll.

NIS2 kräver något annat. Mindre fokus på form – mer fokus på förmåga.

Leverantörsansvar enligt NIS2 – mer än ett avtalskrav

En grundläggande utgångspunkt i NIS2 är att cybersäkerhet inte slutar vid den egna IT-miljön. Organisationer förväntas ha styrning och kontroll även över sitt digitala ekosystem: leverantörer, underleverantörer och partners som på olika sätt påverkar tillgänglighet, integritet och konfidentialitet.

I praktiken innebär det ett delat ansvar. Beställaren behöver göra riskbaserade val, ställa rimliga krav och faktiskt följa upp dem över tid. Leverantören behöver i sin tur kunna visa att man har fungerande säkerhetsåtgärder på plats – inte bara policys, utan verklig operativ förmåga.

Här uppstår ofta en falsk trygghet. Många tänker att ”om det står i avtalet så är vi klara”. Men avtal utan uppföljning skyddar ingen. NIS2 handlar ytterst om huruvida leverantören kan upptäcka incidenter, hantera dem och återställa verksamheten när något händer.

Proportionalitet – därför kan inte samma krav gälla alla

Ett av de viktigaste, och mest missförstådda, begreppen i NIS2 är proportionalitet. Alla leverantörer innebär inte samma risk – och bör därför inte heller mötas av samma kravbild.

En driftleverantör med privilegierad åtkomst till verksamhetskritiska system är något helt annat än en leverantör som tillhandahåller en låg-risk-tjänst utan känslig data eller systemåtkomst. Ändå ser vi ofta att organisationer försöker tillämpa samma säkerhetskrav på alla.

Ett mer fungerande angreppssätt är att börja med en enkel segmentering. Genom att väga samman tre faktorer – hur kritisk leverantören är för verksamheten, vilken åtkomst eller exponering den har, samt vilken typ av data som hanteras – går det snabbt att skilja mellan kritiska, viktiga och standardleverantörer.

När den indelningen väl är gjord blir resten betydligt enklare. Då kan säkerhetskrav, uppföljning och avtalsvillkor anpassas efter faktisk risk, istället för att alla ska leva upp till samma maxnivå.

Från dokumentgranskning till faktisk cybersäkerhetsmognad

Ett tydligt tecken på att leverantörshanteringen håller på att bli en pappersprodukt är när mängden dokument växer snabbare än förståelsen. Säkerhetsenkäter med hundratals frågor ger ofta sken av kontroll, men leder sällan till bättre beslutsunderlag.

Det som faktiskt ger insikt är inte fler frågor – utan bättre frågor. I stället för att samla in policydokument som sällan läses, bör fokus ligga på evidens och beteende. Hur arbetar leverantören med sårbarheter i praktiken? Hur snabbt patchas kritiska brister? Hur ser incidenthanteringen ut när något faktiskt händer? När testades återställning senast – och vad blev resultatet?

Genom att bedöma leverantörens mognad inom områden som styrning, teknik, drift, incidenthantering och kontinuitet går det att skapa en realistisk bild av risk, utan att genomföra en full revision.

ISO 27001 – ett bra stöd, men inte ett facit

ISO 27001 dyker ofta upp i diskussioner om leverantörsrisker, och med rätta. En certifiering är en tydlig signal om att leverantören arbetar strukturerat med informationssäkerhet. Problemet uppstår först när certifikatet behandlas som ett frikort.

ISO säger att ett ledningssystem finns och granskas – men det säger inte alltid om rätt kontroller finns på rätt plats, eller om de fungerar för just den tjänst du köper. Scope kan vara begränsat, och kontrollerna kan vara anpassade för andra risker än dina.

Ett mer moget sätt att använda ISO är därför att se det som ett ingångsvärde. Genom att förstå scopet, titta på Statement of Applicability och ställa några få, riktade följdfrågor går det att kombinera assurance med faktisk verifiering. ISO minskar osäkerhet – men evidens minskar risk.

Avtal som stärker säkerheten i praktiken

När det gäller avtal finns det några områden som nästan alltid är avgörande för kritiska och viktiga leverantörer. Det handlar bland annat om hur incidenter ska rapporteras och hanteras, vilka grundläggande säkerhetsåtaganden som gäller, hur underleverantörer styrs, samt hur kontinuitet och återställning säkerställs.

Det som däremot sällan ger effekt är överdetaljerade policykrav, kundunika massenkäter och formuleringar som inte går att följa upp eller mäta. Om ett krav inte påverkar ett beslut eller leder till en åtgärd vid avvikelse, är det oftast fel krav.

Färre krav – bättre kontroll

Kärnan i NIS2 är inte mer administration, utan bättre styrning. Organisationer som lyckas är de som vågar prioritera, skala bort och fokusera på det som faktiskt påverkar riskbilden.

Segmentera leverantörer.
Ställ färre men skarpare krav.
Följ upp det som verkligen spelar roll.

Det är så man bygger leverantörssäkerhet som fungerar i verkligheten – inte bara på papper.