NIS2 dla dostawców: nie jesteś wyznaczony, ale Twoi klienci tak

Jak NIS2 dosięga dostawcy, którego nigdy nie wyznaczono

NIS2 stosuje się bezpośrednio tylko do organizacji, które klasyfikuje jako podmioty kluczowe lub ważne, według sektora i wielkości. Jeśli nie jesteś jednym z nich, żaden krajowy organ nie wyśle Ci nakazu. To tutaj wielu dostawców przestaje czytać i tu zaczyna się nieporozumienie.

Dyrektywa nie reguluje bezpośrednio dostawców Twoich dostawców. Zamiast tego czyni każdy objęty podmiot odpowiedzialnym za ryzyko cyberbezpieczeństwa w jego własnym łańcuchu dostaw (artykuł 21 ust. 2 lit. d). Aby wypełnić ten obowiązek, Twoi klienci muszą oceniać, stawiać wymagania i monitorować bezpieczeństwo dostawców, od których zależą. Jeśli jesteś jednym z nich, ich obowiązek prawny staje się Twoim obowiązkiem handlowym. Zostajesz wciągnięty pośrednio, poprzez relację, a nie poprzez wyznaczenie.

Co musi zrobić Twój objęty klient i dlaczego spada to na Ciebie

Artykuł 21 ust. 2 lit. d wymaga od podmiotów kluczowych i ważnych zarządzania bezpieczeństwem łańcucha dostaw, w tym aspektami bezpieczeństwa relacji między każdym podmiotem a jego bezpośrednimi dostawcami lub usługodawcami. W praktyce Twój klient musi:

• Ustalić, którzy dostawcy są krytyczni dla jego usług, i ocenić cyberryzyko, jakie każdy wnosi.
• Określić wymagania bezpieczeństwa dla tych dostawców i zapisać je w umowach oraz umowach powierzenia przetwarzania danych.
• Sprawdzać, że wymagania są spełniane, nie raz przy rozpoczęciu współpracy, lecz w sposób ciągły.
• Odpowiadać za incydenty, które powstają u dostawcy, ponieważ według NIS2 zakłócenie spowodowane przez dostawcę pozostaje incydentem, który klient musi obsłużyć i zgłosić.
• Wykazać swojemu organowi nadzoru dowody, że ten nadzór nad dostawcami rzeczywiście się odbywa.

Czego zażądają od Ciebie klienci

W miarę dojrzewania tego nadzoru żądania kierowane do dostawców zbiegają się w rozpoznawalny zestaw:

• Kwestionariusz bezpieczeństwa lub samoocena, często odwzorowana na środki z artykułu 21 ust. 2 lub na normę taką jak ISO 27001.
• Dowody stojące za odpowiedziami: polityki, certyfikaty oraz aktualne wyniki testów lub skanów, a nie niepoparte twierdzenia.
• Klauzula zgłaszania incydentów zobowiązująca Cię do szybkiego powiadomienia klienta, gdy coś go dotyczy, aby mógł dotrzymać własnych terminów zgłoszenia.
• Umowne wymagania bezpieczeństwa oraz, dla dostawców krytycznych, prawo do audytu lub do żądania niezależnego zapewnienia.
• Akceptacja ciągłego zewnętrznego monitorowania, ponieważ kwestionariusz wypełniony w jednym momencie rok temu nie spełnia już obowiązku o charakterze ciągłym.

Środki z artykułu 21 ust. 2, których oczekują od Ciebie klienci

Choć artykuł 21 ust. 2 wiąże Twojego klienta, a nie Ciebie, jego dziesięć środków to wzorzec, który większość nabywców powiela przy stawianiu wymagań dostawcom. Warto umieć wykazać, w sposób proporcjonalny do Ciebie, że adresujesz każdy z nich:

Zgłaszanie incydentów płynie w obie strony

NIS2 daje objętym podmiotom napięty harmonogram: wczesne ostrzeżenie w ciągu 24 godzin, pełniejsze zgłoszenie w ciągu 72 godzin i raport końcowy w ciągu miesiąca (artykuł 23). Nie dotrzymają go, jeśli dostawca będzie siedział na złych wiadomościach. Dlatego ich umowy coraz częściej wymagają, abyś powiadamiał ich bezzwłocznie, gdy incydent dotyczy lub może dotyczyć usług, które im świadczysz.

Dla niewyznaczonego dostawcy praktyczny wniosek jest prosty: potrzebujesz własnego procesu obsługi incydentów, z jasną wewnętrzną eskalacją i określonym sposobem informowania dotkniętych klientów, aby problem po Twojej stronie nie stał się przekroczonym terminem po ich. Dostawcę, który dobrze wykrywa, ogranicza i komunikuje, znacznie łatwiej utrzymać niż takiego, który milknie.

Wymóg, który warto potraktować jako przewagę

Łatwo odczytać to wszystko jako ciężar narzucony przez cudzą regulację. Najlepiej radzący sobie dostawcy odczytują to odwrotnie. W miarę jak coraz więcej nabywców podlega NIS2 i zaostrza kontrole łańcucha dostaw, zdolność do szybkiej i popartej dowodami odpowiedzi na kwestionariusz bezpieczeństwa staje się powodem, by zdobywać i utrzymywać kontrakty, a nie przeszkodą do pokonania.

Odwrotność jest równie prawdziwa i cichsza: dostawcy, którzy nie potrafią wykazać swojej postawy, są coraz częściej odsiewani na etapie zakupów, często bez podania przyczyny. Wyprzedzenie pytań, zanim klient je zada, zamienia NIS2 z kosztu zgodności w atut sprzedażowy.

Jak odpowiedzieć wiarygodnie

Nie musisz z dnia na dzień stawać się podmiotem kluczowym. Musisz być gotowy na pytania i umieć poprzeć swoje odpowiedzi. Proporcjonalna droga:

• Poznaj najpierw własną zewnętrzną postawę: domeny, certyfikaty, uwierzytelnianie poczty, wystawione usługi i znane podatności, czyli dokładnie to, co zbada ocena klienta.
• Zamknij typowe luki, które wskazują kwestionariusze i skany: wymuś TLS 1.2+, opublikuj SPF, DKIM i DMARC, łataj szybko, wymagaj MFA i usuń wystawione interfejsy administracyjne.
• Spisz podstawy: krótką politykę bezpieczeństwa informacji, proces obsługi incydentów i zapis, kto odpowiada za bezpieczeństwo. Dowód bije twierdzenie.
• Utrzymuj odpowiedzi na bieżąco. Traktuj zapewnienie jako ciągłe, bo coraz częściej tak traktują je Twoi klienci.
• Jeśli obsługujesz większych lub regulowanych nabywców, rozważ ISO 27001 lub odpowiednik jako uznany skrót, ale nie czekaj na to, by zacząć.

Jak pomaga norppa.io

norppa.io daje niewyznaczonemu dostawcy ten sam ciągły, poparty dowodami obraz swojego bezpieczeństwa, jakiego klient NIS2 teraz oczekuje. Twoje domeny są sprawdzane w ponad stu punktach kontrolnych codziennie, te wrażliwe na czas co sześć godzin, a każde ustalenie jest mapowane do artykułu NIS2, którego dotyczy, abyś mógł odpowiedzieć na kwestionariusz aktualnymi dowodami zamiast twierdzeń.

Kwestionariusz samooceny ujmuje Twoje kontrole procesowe i umowne, a każda odpowiedź jest zestawiana z aktualnym profilem technicznym, więc gdy zespół zakupów klienta poprosi o dowody, możesz przekazać jasny, potwierdzony obraz zamiast arkusza, który był prawdziwy zeszłej wiosny.