NIS2: beszállítói kapcsolatok kiberbiztonsága
A NIS2 21. cikke nem csak új kötelezettséget ró a vállalatokra, hanem lehetőséget is kínál arra, hogy átfogóbban gondolkodjanak a kiberbiztonságról, és erősítsék a teljes értéklánc védelmét. Ez a megközelítés nem csak a szabályozási követelmények teljesítéséről szól, hanem a kiberbiztonság kultúrájának elterjesztéséről is a gazdaság minden szintjén.
Az Európai Unió NIS2 irányelve nem csak az egyes szervezetek kiberbiztonságát célozza meg, hanem kiemelt figyelmet szentel a beszerzési láncok védelmének is, így különösen fontos szerepet szán a szállítói kapcsolatok kiberbiztonságának, hiszen a modern gazdaságban a vállalatok már nem csak saját információs rendszereik biztonságára koncentrálhatnak, hanem felelősséggel tartoznak azért is, hogy partnereik, beszállítók és szolgáltatóik is megfelelő szintű védelmet biztosítsanak. Ez a szabályozás azért született, mert a kibertámadások egyre gyakrabban célozzák meg a gyengébb láncszemeket, így a kisebb beszállítókat, hogy onnan jussanak el a nagyobb, kritikus infrastruktúrát üzemeltető cégekhez.
A NIS2 irányelv szerint az érintett szervezeteknek kötelezően fel kell mérniük és kezelniük kell a beszerzési láncukban felmerülő kiberkockázatokat. Ez azt jelenti, hogy nem elég, ha egy vállalat saját IT-rendszerei biztonságosak, a beszállítók, alvállalkozók és szolgáltatók információs rendszereinek védelme is kritikus fontosságúvá vált. A szabályozás szerint a cégeknek át kell vizsgálniuk partnereik kiberbiztonsági gyakorlatát, és biztosítaniuk kell, hogy azok is megfelelnek az EU-s kiberbiztonsági követelményeknek. Ez magában foglalja a rendszeres biztonsági auditozásokat, a kockázatelemzéseket, valamint a szerződésekbe épített kiberbiztonsági záradékokat, amelyek garantálják, hogy a beszállítók is betartják a szükséges védelmi intézkedéseket.
A gyakorlatban ez azt jelenti, hogy a vállalatoknak át kell értékelniük a meglévő szerződéseiket, és újakat kell kötniük olyan feltételekkel, amelyek biztosítják a kiberbiztonság folyamatosságát a teljes értékláncban. Ha például egy beszállító nem rendelkezik megfelelő védelemmel, az nemcsak rá, hanem az egész láncot veszélyeztetheti. A NIS2 szigorú bírságokkal is él, ha a szabályokat nem tartják be, ezért a cégeknek érdekük, hogy aktívan foglalkozzanak a beszállítói kiberbiztonsággal, így a CISO-k, szerepe jelentősen bővül, egyre többször kell hidat képezniük a technikai, szervezeti, jogi és vezetői szintek között.
A beszerzési lánc-biztonság stratégiai kérdés is, a vállalatoknak hosszú távon megbízható partnerekre van szükségük, akik nem csak gazdaságilag, hanem biztonságilag is stabilak. Az irányelv célja, hogy az EU egész területén magasabb szintű kiberrezilienciát érjenek el, és így csökkentsék a nagy hatású kiberincidensek valószínűségét. Ez különösen fontos az energia-, egészségügyi-, közlekedési és más kritikus szektorokban, ahol egy sikeres támadás komoly társadalmi és gazdasági károkat okozhat.
