EU har nyligen antagit det så kallade NIS 2-direktivet, som ersätter det tidigare NIS-direktivet. Det nya NIS 2-direktivet skärper säkerhetskraven som ställs på de aktörer som omfattas, så kallade väsentliga och viktiga entiteter. En viktig nyhet är att entiteterna åläggs omfattande och långtgående krav på säkerhet i leveranskedjan. I denna artikel analyseras vilka krav som ställs.
Lämplig säkerhetsnivå
Bakgrunden till kraven är att väsentliga och viktiga entiteter ska vidta lämpliga och proportionella säkerhetsåtgärder. Åtgärderna ska vara ämnade för att hantera risker som hotar säkerheten i entiteternas nätverks- och informationssystem. De ska även vara lämpade för att förhindra eller minimera incidenters påverkan på mottagare av entiteternas tjänster och på andra tjänster. Vidare ska åtgärderna säkerställa en nivå på säkerheten i nätverks- och informationssystem som är lämplig i förhållande till den föreliggande risken.
Särskilda krav på säkerhet i leveranskedjan
I artikel 21 NIS 2-direktivet ställs minimikrav på de åtgärder som väsentliga och viktiga entiteter ska implementera. Enlig denna artikel har entiteterna en skyldighet att implementera åtgärder som säkerställa säkerheten i entiteternas leveranskedjor. Detta inbegriper säkerhetsaspekter som rör förbindelserna mellan varje entitet och dess direkta leverantörer eller tjänsteleverantörer.
När entiteterna överväger att implementera sådana åtgärder ska de beakta de sårbarheter som är specifika för varje leverantör. Vidare ska entiteterna beakta den övergripande kvaliteten i leverantörers tjänster och produkter. Därutöver ska entiteterna även beakta leverantörers cybersäkerhetspraxis, vilket inbegriper förfaranden för säker utveckling av programvara.
Leveranskedjeattacker
De särskilda kraven på säkerhet i leveranskedjan förtydligas i skälen till NIS 2-direktivet. En av anledningarna till att dessa krav har inkluderats i NIS 2-direktivet är den ökade förekomsten av leveranskedjeattacker (supply chain attacks). Med detta avses cyberattacker där angripare äventyrar säkerheten av en aktörs nätverks-och informationssystem genom att utnyttja sårbarheter i produkter och tjänster som tillhandahålls av tredje parter.
Mot bakgrund av den ökade förekomsten av leveranskedjeattacker anser lagstiftaren att det är särskilt viktigt att hantera risker som härrör från en entitets leveranskedja och dess förhållande till sina leverantörer, såsom leverantörer av datalagrings- och databehandlingstjänster eller leverantörer av hanterade säkerhetstjänster och programredigerare.
Kvalité och avtalsmässiga krav
Av skälen till NIS 2-direktivet framgår att väsentliga och viktiga entiteter bör bedöma och beakta den övergripande kvaliteten och resiliensen hos produkter och tjänster som tillhandahålls av leverantörer. Vidare bör entiteterna bedöma och beakta de riskhanteringsåtgärder för cybersäkerhet som är inbyggda i leverantörers produkter och tjänster. Därutöver bör entiteterna bedöma och beakta cybersäkerhetspraxis hos leverantörer, inbegripet förfaranden för säker utveckling. Entiteter bör även införliva riskhanteringsåtgärder för cybersäkerhet i avtal med sina direkta leverantörer och tjänsteleverantörer.
Hanterade säkerhetstjänster
Enligt skälen till NIS 2-direktivet innehar leverantörer av hanterade säkerhetstjänster (managed security service providers) en särskilt viktig roll. Sådana leverantörer tillhandahåller kritiska tjänster på områden som incidenthantering, penetrationstester, säkerhetsrevisioner och konsulttjänster. Vidare bistår de med att förebygga, upptäcka och reagera på incidenter. De är vanligtvis nära integrerade i verksamheten. Samtidigt har sådana leverantörer själva varit mål för cyberattacker. De utgör således en särskild risk för väsentliga och viktiga entiteter. Entiteterna bör därför visa större noggrannhet vid valet av en leverantör av hanterade säkerhetstjänster.
Det vidare ekosystemet
Av skälen till NIS 2-direktivet framgår även att väsentliga och viktiga entiteter bör hantera risker som härrör från deras samverkan och förbindelser med andra intressenter inom ett vidare ekosystem. Det krävs bland annat att entiteterna ska motverka industrispionage och skydda företagshemligheter. I synnerhet bör entiteterna vidta lämpliga åtgärder för att säkerställa att deras samarbete med akademiska institutioner och forskningsinstitut sker i linje med deras cybersäkerhetstrategier. Sådana samarbeten bör även följa god praxis när det gäller säker tillgång till och spridning av information i allmänhet och skydd av immateriella rättigheter i synnerhet. Likaså bör entiteterna, med tanke på hur viktiga och värdefulla data är för deras verksamhet, vidta alla lämpliga riskhanteringsåtgärder för cybersäkerhet när de förlitar sig på dataomvandlings- och dataanalystjänster från tredje parter.
Samordnade säkerhetsriskbedömningar
Utöver ovanstående krav ska väsentliga och viktiga entiteter även beakta resultatet av samordnade säkerhetsriskbedömningar av kritiska leveranskedjor som utförs i enlighet särskilda regler i NIS 2-direktivet (se artikel 21 NIS 2-direktivet). Sådana bedömningar ska genomföras av samarbetsgruppen i samarbete med EU-kommissionen och Enisa. Bedömningarna ska avse specifika kritiska leveranskedjor för IKT-tjänster, IKT-system eller IKT-produkter och de ska beakta tekniska och icke-tekniska riskfaktorer.
Sammanfattning
NIS 2-direktivet ålägger aktörer som omfattas av direktivet långtgående krav på säkerhet i leveranskedjan. Det finns anledning för aktörer som omfattas av NIS 2-direktivet att noggrant analysera kraven. Resultatet av analysen bör sedan kunna användas för att skapa sig en bild över vilka åtgärder som behöver implementeras för att säkerställa regelefterlevnad.
I vår distanskurs om NIS 2-direktivet – Cybersäkerhet i praktiken diskuterar vi de viktigaste reglerna i NIS 2-direktivet och tittar närmare på hur aktörer som omfattas av direktivets långtgående krav på säkerhet i leveranskedjan kan agera i praktiken.