Sikring av leverandørkjeder

I dagens digitale og globaliserte verden er virksomheters avhengighet av leverandører større enn noen gang. Samtidig har trusselbildet utviklet seg, og leverandørkjeden er blitt et attraktivt mål for cyberangrep. For å beskytte virksomheten og sikre etterlevelse av nye regulatoriske krav, må leverandørstyring og sikkerhet løftes til et nytt nivå. Her er de viktigste faktorene for å sikre en robust og motstandsdyktig leverandørkjede.

Sikkerhet i innkjøpsprosessen

Sikkerhet må være en integrert del av anskaffelsesprosessen. Still tydelige krav til leverandørens sikkerhetsarbeid, etterlevelse av relevante standarder (som ISO 27001, digitalsikkerhetsloven, DORA), og be om dokumentasjon på sikkerhetskontroller. For programvareleveranser bør det kreves en Software Bill of Materials (SBOM) for å få oversikt over komponenter og avhengigheter. Vurder også leverandørens bruk av kunstig intelligens og hvordan de sikrer personvern i tråd med GDPR, spesielt ved behandling av personopplysninger. Krev at leverandører følger internasjonale standarder som ISO/IEC 42001 for AI-styringssystemer eller prinsipper fra EU AI Act for å sikre etisk og sikker bruk av AI. For eksempel kan leverandører som bruker AI til dataanalyse eller beslutningstaking dokumentere etterlevelse av GDPRs krav til databehandling og transparens.

Kontinuerlig overvåking og vurdering

Trusselbildet endrer seg raskt, og årlige revisjoner er ikke lenger tilstrekkelig. Innfør løpende overvåking av leverandørens sikkerhetsstatus, for eksempel gjennom eksterne overvåkingsverktøy, sikkerhetsrapporter og trusselintelligens. Sørg for at deling av trusselinformasjon skjer i samsvar med GDPR og nasjonale personvernregler. Still krav om umiddelbar varsling ved sikkerhetshendelser, og følg opp at leverandøren har effektive rutiner for hendelseshåndtering.

Kartlegging av fjerdepartsrisiko

Risikoen stopper ikke ved dine direkte leverandører. Kartlegg også kritiske underleverandører (fjerdeparter) og deres betydning for din virksomhet. Inkluder dette i risikovurderingen, og sørg for at leverandørene har tilsvarende krav til sine egne leverandører.

Tydelige kontraktskrav og ansvarsfordeling

Oppdater kontrakter med krav til sikkerhet, revisjonsrett, hendelseshåndtering og sanksjoner ved brudd. For leverandører som behandler personopplysninger, må kontrakter inkludere databehandleravtaler i tråd med GDPR artikkel 28. Ansvarsfordeling og kommunikasjonsrutiner må være tydelig beskrevet og jevnlig testet gjennom øvelser. Spørsmålet «Hvem gjør hva, når, hvor og hvordan om noe skjer?» bør være besvart i alle avtaler.

Regulatorisk etterlevelse

Nye regelverk som NIS2 og DORA stiller strengere krav til leverandørstyring, rapportering og dokumentasjon. NIS2 er under implementering i Norge gjennom EØS-avtalen, mens DORA trer i kraft for finanssektoren i januar 2025. Sørg også for etterlevelse av GDPR ved deling og behandling av personopplysninger. Sørg for at leverandører etterlever gjeldende og kommende regelverk, og at dette dokumenteres og følges opp. Nasjonal sikkerhetsmyndighet (NSM) og Datatilsynet gir veiledning som kan støtte arbeidet. I tillegg til digitalsikkerhetsloven og DORA, må leverandører overholde prinsippene i EU AI Act og stiller krav til risikobasert AI-styring. UNESCOs Recommendation on the Ethics of AI (2021) kan også brukes som en etisk veileder for å sikre at AI-bruk i leverandørkjeder respekterer menneskerettigheter og personvern i tråd med GDPR.

Opplæring og felles beredskap

Inkluder leverandører i opplærings- og øvingsprogrammer for å styrke felles beredskap og forståelse for trusselbildet. God sikkerhetskultur og samarbeid på tvers av virksomheter er avgjørende for å håndtere hendelser effektivt. Inkluder opplæring i internasjonale rammeverk som NIST AI Risk Management Framework eller UNESCOs etiske retningslinjer for å styrke leverandørers bevissthet om ansvarlig AI-bruk. Dette kan også omfatte bruk av verktøy som Microsofts Responsible AI Dashboard for å overvåke AI-systemer.

Sikring av leverandørkjeden krever mer enn gode intensjoner. Det krever tydelige krav, kontinuerlig overvåking, kartlegging av avhengigheter, oppdaterte kontrakter, regulatorisk etterlevelse og felles beredskap. Ved å følge disse nøkkelfaktorene kan virksomheten redusere risikoen for alvorlige hendelser og styrke sin digitale motstandskraft i møte med et stadig mer komplekst trusselbilde.