Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.
Forsyningskædesikkerhed har traditionelt se været et spørgsmål om at skaffe de nødvendige materialer eller varer for at producere eller sælge produkter videre.
Det er det sådan set stadig, men det er efterhånden også blevet en hel del mere.
Europa og til dels også resten af verden, står midt i en energikrise. Denne krise er så omfattende, at meget af regeringens og også EU’s arbejde går med tiltag til at forsøge at afhjælpe den.
Det er helt sikkert også nødvendigt i den nuværende situation, men samtidig er det også nødvendigt for os at tage et skridt tilbage og kigge på, hvordan vi er havnet i denne situation.
En ting er sikkert; de færreste havde forventet situationen, som den ser ud i dag, og derfor er mange organisationer mere afhængige af diverse leverandører, og nogle også afhængige af leverandører som de ikke længere kan bruge.
Vi så de første eksempler herpå under corona-epidemien, men de færreste havde nok forventet omfanget af den nuværende krise.
En artikel på TV 2 forleden fik mig til at tænke mere over det her. Her beskrives, hvordan krigen i Ukraine har påvirket mange virksomheders forsyningskædesikkerhed, og samtidig også fungeret som et wakeup-call i forhold til andre forsyningskæder, som kan blive påvirket af andre geopolitiske ændringer.
Samtidig viser artiklen også, at mange virksomheder er nødt til at tænke bredere og større, når de overvejer og planlægger deres forsyninger.
Forstå forsyningskæden
For en som mig, der arbejder med sikkerhed og compliance, er det skræmmende at se, hvordan stater falder i de samme huller, som mange virksomheder gør, nemlig glemmer at risikovurdere i forhold til forsyningskæden og i forhold til leverandører og samarbejdspartnere.
Der er organisationer, som rent faktisk laver risikovurderinger på deres forsyningskæder.
Dog virker det ofte som om, at der mere er tale om et stykke arbejde, som gerne skal overstås hurtigst muligt, og derfor får de sjældent tænkt over de mange forskellige forhold, som kan påvirke deres forsyningskæde.
Det samme gælder, når de overvejer, hvad i deres forsyningskæde, der rent faktisk er vigtigt.
Ofte er det mere end bare de råvarer, som skal bruges til at fremstille et produkt.
Det er for eksempel også muligheden for at være sikret elektricitet og vand samt muligheden for at udlede spildevand eller komme af med affald og restprodukter.
Yderligere har Corona-epidemien vist os, at menneskelige ressourcer en enormt vigtig del af mange virksomheders produktionsapparat, hvilket spiller ind i forsyningskæden, hvis man tænker den fra start til slut.
Især den kinesiske håndtering af epidemien har vist sig at være en udfordring for de virksomheder, som har produktionsfaciliter i områder i Kina, hvor der har været udbrud af coronasmitte.
Krav til forsyningskædesikkerhed fra NIS2
Derfor er det kommende NIS2-direktiv faktisk på mange måder en kærkommen ting, da der nu for alvor begynder at blive stillet krav til forsyningskædesikkerheden.
Af direktivet følger faktisk, at medlemsstaterne skal sikre, at de omfattede enheder træffer passende og forholdsmæssige tekniske og organisatoriske foranstaltninger for at styre risiciene for sikkerheden i net- og informationssystemer, og at dette blandt andet gælder for forsyningskædesikkerhed, herunder sikkerhedsrelaterede aspekter vedrørende forbindelserne mellem den enkelte enhed og dens leverandører eller tjenesteydere såsom leverandører af datalagrings- og databehandlingstjenester eller forvaltede sikkerhedstjenester (artikel 18).
Da der er tale om EU-krav, er vi stadig i en risikobaseret tilgang, hvor der skal tages hensyn til det aktuelle stadie af sikkerhed, og så skal disse foranstaltninger sikre et sikkerhedsniveau for net- og informationssystemer, der står i forhold til risikoen.
Risikoen i NIS2-sammenhæng er stadig risikoen i forhold til leverancen (tilgængeligheden) af tjenester, som er vigtige i et samfundsperspektiv.
Formålet med NIS-direktivet er jo at sikre tjenester, der er vigtige i et samfundsperspektiv, og i særdeleshed tilgængeligheden af disse tjenester. Dette gøres ved at fremsætte krav om et fælles højt niveau af cybersikkerhed for de omfattede organisationer.
Derfor er det vigtigt for de omfattede organisationer at forstå håndteringen af cybersikkerhedsrisici, der stammer fra en enheds forsyningskæde og dens forhold til sine leverandører.
Det er særlig vigtigt, hvor et risikoscenarie viser muligheden for udbredelsen af hændelser, hvor organisationer er blevet ofre for angreb mod netværk og informationssystemer, og hvor ondsindede aktører var i stand til at kompromittere sikkerheden af en organisations netværk og informationssystemer ved at udnytte sårbarheder, der påvirker tredjeparts produkter og tjenester.
Det fremgår derfor af direktivet, at organisationer bør vurdere og tage højde for den overordnede kvalitet og robusthed af produkter og tjenester, de cybersikkerhedsforanstaltninger, der er indlejret i dem, og den cybersikkerhedspraksis, som deres leverandører og tjenesteudbydere har.
Organisationer bør især tilskyndes til at indarbejde cybersikkerhedsforanstaltninger i kontrakter med deres førsteniveauleverandører og tjenesteudbydere. Organisationer kan også overveje cybersikkerhedsrisici, der stammer fra andre niveauer af leverandører og tjenesteudbydere.
Tiltag i forhold til forsyningskædesikkerhed
At have styr på risici i forbindelse med sin forsyningskæde er simpelthen bare en god ide, uanset om det er et krav fra NIS2-direktivet eller ej.
Det har altid været en god ide, men jo mere usikker verden bliver, og jo flere trusler der opstår, og som man skal forholde sig til, jo mere vigtigt bliver det.
Det skal dog heller ikke være for svært at gå til. Derfor er der her en mulig tilgang til at se på risici i egen forsyningskæde, og dermed også hos egne leverandører. Tilgangen tager udgangspunkt i en NIS2-omfattet organisation:
Fase et
- Der skal udarbejdes et samlet overblik over samtlige leverandører med betydning for organisationens egen samfundskritiske leverance.
- Der skal udarbejdes klassificeringssystem, hvori man grupperer både fysiske og digitale leverandører i forhold til deres grad af kritisk leverance
Fase to
- Risikostyringsprocesser til forsyningskæden skal beskrives, styres og godkendes af organisationen
- Der skal udarbejdes en risikovurderingsproces for leverandører af informationssystemer, komponenter og tjenester
Fase tre
- En kontraktgennemgang af alle eksisterende leverandører for at konstatere, om de nødvendige sikkerhedsforanstaltninger i forhold til cybersikkerhed indgår
- Kontrakter med leverandører og tredjepartspartnere, der ikke indeholder de nødvendige sikkerhedsforanstaltninger i forhold til cybersikkerhed, skal opdateres så de får indarbejdet passende foranstaltninger designet til at opfylde målene for kædeansvar
- Leverandører og tredjepartspartnere skal vurderes jævnligt gennem revisioner eller evalueringer for at bekræfte, at de opfylder deres kontraktlige forpligtelser
- Planlægning og testning af beredskabsplaner og genopretningsplaner skal udføres med leverandører og tredjepartsudbydere
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.
