NIS2-direktivet utvidgar omfattningen av cybersäkerhetsåtgärder och krav för verksamhetsutövare inom EU, inklusive offentliga aktörer som kommuner. Med införandet av detta direktiv ställs nya och strängare krav på kommuners hantering av sina leverantörer och underleverantörer. Här är information för hur kommuner kan tänka kring sina leverantörer och underleverantörer för att uppfylla direktivets krav.

1. Identifiera först kritiska tjänster och leverantörer

Det första steget för en kommun är att identifiera vilka tjänster som anses vara kritiska enligt NIS2-direktivet. Sektorer som energi, vattenförsörjning, hälso- och sjukvård, transport och digital infrastruktur är några av de områden som omfattas. Kommuner bör kartlägga vilka leverantörer som tillhandahåller dessa kritiska tjänster.

2. Genomför sedan en riskanalys

För varje kritisk tjänst och tillhörande leverantör bör kommunen genomföra en riskanalys. Detta innebär att utvärdera potentiella risker som kan påverka nätverks- och informationssystem. Det är viktigt att bedöma inte bara de direkta leverantörerna utan också deras underleverantörer, då kedjeeffekter av säkerhetsincidenter kan vara betydande.

3. Ställ krav på Cybersäkerhet i alla upphandlingar

Vid upphandling av tjänster och produkter bör kommuner inkludera specifika krav på cybersäkerhet. Detta kan innefatta krav på att leverantören har certifierade säkerhetsåtgärder, att de följer etablerade standarder och att de regelbundet rapporterar om sin säkerhetsstatus.

4. Upprätta avtal med tydliga säkerhetskrav

Avtalen med leverantörer och underleverantörer bör tydligt ange de säkerhetskrav som måste uppfyllas. Detta inkluderar krav på incidentrapportering, säkerhetsskydd och kontinuerlig övervakning. Avtalen bör också specificera vilka åtgärder som ska vidtas vid brott mot säkerhetskraven.

5. Regelbunden övervakning och uppföljning

Kommuner bör ha en plan för regelbunden övervakning och uppföljning av sina leverantörers och underleverantörers säkerhetsåtgärder. Detta kan innefatta regelbundna säkerhetsrevisioner, granskningar och tester för att säkerställa att de överenskomna säkerhetsstandarderna efterlevs.

6. Samarbete och informationsdelning

Ett effektivt sätt att stärka cybersäkerheten är genom samarbete och informationsdelning med andra kommuner och offentliga aktörer. Genom att delta i nätverk och forum för cybersäkerhet kan kommuner hålla sig uppdaterade om nya hot och bästa praxis. Hur gör dina kommun-kollegor? branschkollegor? Prata med varandra!

7. Utbildning och medvetenhet

Intern utbildning och medvetenhet är avgörande för att säkerställa att alla inom kommunen är medvetna om de nya kraven och hur man hanterar dem. Detta gäller både anställda och de som är ansvariga för upphandling och leverantörshantering. Utbildning är heller ingen engångsaktivitet – vi måste jobba kontinuerligt med detta!

8. Förberedelse för incidenthantering

Kommuner bör ha en tydlig plan för hur man hanterar säkerhetsincidenter som involverar leverantörer och underleverantörer. Detta inkluderar snabba åtgärder för att minimera skadan, rapportering till relevanta myndigheter och kommunikation med allmänheten vid behov. Hur ser det ut för er idag? Hur rapporterar ni in säkerhetsincidenter?

Hör gärna av er!

Mer läsning:

Skapa en Business Continuity Plan (Kontinuitetsplan) anpassad efter Nis2-direktivet

Skapa en Business Continuity Plan (Kontinuitetsplan) anpassad efter Nis2-direktivet

27 november 2024|0 Comments

Har du koll på ditt företags Access Management?

26 november 2024|0 Comments

Så här stärker du företagets IT-säkerhet med hjälp av Säkerhetskollen

19 november 2024|0 Comments

Hör av er om ni har frågor!

Skicka ett mail om du har frågor eller funderingar.

Vi återkopplar så fort vi kan.