Så stärker ni säkerheten genom leverantörsgranskning

Att granska leverantörer och leverantörskedjor är en central del av arbetet med cybersäkerhet och en nödvändighet för att uppfylla krav i lagstiftning som DORA, GDPR, säkerhetsskyddslagen och NIS2. Men det är en komplex process och det är lätt att gå vilse. Hur kan ni optimera ert arbete? Läs om våra experters erfarenheter inom området här.

En effektiv leverantörsgranskning bör omfatta flera perspektiv beroende på verksamhet t ex:

• Informations- och IT-säkerhet – granskning av tekniska och organisatoriska säkerhetsåtgärder såsom loggning, policys och kryptering.
• Dataskydd – granskning av leverantörens arbete med dataskydd såsom säkerställande av att personuppgifter inte överförs till tredje land utan tillräckligt skydd. Detta perspektiv omfattar även tekniska och organisatoriska säkerhetsåtgärder, vilket knyter samman dataskydd- och informationssäkerhetsarbetet.
• Säkerhetsskydd – kravet att kontrollera att en motpart följer ingångna säkerhetsskyddsavtal gäller samtliga aktörer, inkluderat leverantörer, som en verksamhetsutövare har säkerhetskyddsavtal med. Utebliven uppföljning är sanktionsgrundande. 

En vanlig utmaning enligt vår erfarenhet är att dessa perspektiv ofta hanteras av olika avdelningar eller enheter, vilket kan leda till bristande samarbete och en ökad risk för att viktiga aspekter förbises i granskningsprocessen.

Vad är då lösningen?

En strukturerad granskningsprocess anpassad efter verksamhetens behov. Genom att ta fram en process där varje initiativ, vare sig det gäller inköp av nya tjänster eller byte av leverantör, utvärderas enligt flera regelverk så säkerställs en heltäckande analys. Beroende på verksamhet kommer processen skilja sig åt. Träffas en organisation av säkerhetsskyddslagen bör en granskning ur det perspektivet ske först, medan det för en organisation som inte träffas kan vara lämpligt att börja med granskningen av dataskydd om den potentiella leverantören inte är etablerad inom EU/EES, för att säkerställa att överföring till ett så kallat tredje land kan ske. Genom att se över arbetssätt och granskningsflöde effektiviseras organisationens arbete och ingen tid läggs på vidare utvärdering av en leverantör som brister i ett led.

I processen är även kontinuerlig och ändamålsenlig uppföljning av befintliga leverantörer avgörande. En årlig genomgång av eventuella förändringar, såsom byte av underleverantörer, kan vara nyckeln till att undvika obehagliga överraskningar och säkerställa avtalsmässig efterlevnad.

Behöver ni stöd eller vill diskutera hur ni kan optimera er granskningsprocess?

Kontakta oss, vi har gedigen expertis inom hela cybersäkerhetsområdet och kan hjälpa er med allt från strategiska diskussioner till praktiskt arbete med att utveckla och implementera en effektiv granskningsprocess.