NIS2: IT-avtaler og kontinuitetsplaner

Daniel Andersson Daniel Andersson, senior informasjonssikkerhetskonsulent i Cegal Sverige. Daniel har omfattende erfaring innen informasjonssikkerhet og er en sertifisert informasjonssikkerhetsleder (CISM) samt en sertifisert cybersikkerhetspraktiker (CSX-P). Med bakgrunn i både teknologi og ledelse har Daniel et bredt perspektiv på dagens utfordringer og deres ulike løsninger.

05/15/2024 |

Mange bedrifter er avhengige av leverandørene sine for å kunne drive virksomheten sin, og et avbrudd i leveransen fra en leverandør kan ha store konsekvenser for virksomheten deres. Det er avgjørende at leverandørene deres gir rask støtte i slike situasjoner.

Mange av de kritiske IT-systemene for virksomheter er avhengige av eksterne parter for å bli levert, enten gjennom tradisjonell outsourcing eller via skytjenester. Dette understreker viktigheten av å ta hensyn til dette når kontinuitetsplanene utarbeides.

Krav til leverandører i henhold til NIS2-direktivet?

NIS2-direktivet (2022/2555) fastsetter kravene til kontinuitetsstyring i artikkel 21, og omfatter også kravene til hele leverandørkjeden i punkt 2d:

"2c) kontinuerlig drift, inkludert håndtering av sikkerhetskopiering og katastrofeberedskap, samt krisehåndtering,

2d) sikkerhet i leverandørkjeden, inkludert sikkerhetsaspekter knyttet til forbindelsene mellom hver enhet og deres direkte leverandører eller tjenesteleverandører,

For å oppfylle kravene i NIS2, er det avgjørende med god leverandørstyring, som også omfatter utvikling av kontinuitetsplaner og håndtering av kriser. Som leverandør av samfunnskritiske tjenester er det viktig at du stiller riktige krav til dine leverandører for å sikre hele leverandørkjeden som er nødvendig for å kunne levere den avgjørende tjenesten.

Hjelper din IT-leverandør deg i kritiske situasjoner?

Det burde egentlig ikke være et spørsmål man trenger å stille seg, men det er viktig å forstå at din IT-leverandør har flere kunder enn bare dere, noe som er selve forretningsmodellen. Dette betyr at ved omfattende avbrudd hos leverandørene som påvirker flere kunder, er det ofte et behov for leverandøren å prioritere. Det er også viktig å forstå hvilket ansvar leverandøren har kontraktsmessig i en slik situasjon.

Det er avgjørende at deres leverandører forstår hva som er regulert i NIS2, slik at de har riktig prioritering for deres virksomhet.

Les også saken: Hvem er ansvarlig for cybersikkerhet?

Avtale om disaster recovery

En essensiell del av et IT-avtale er den tekniske gjenopprettingskapasiteten som leverandøren skal levere. Dette omhandler både gjenopprettingstid (RTO) og gjenopprettingspunkt (RPO), samt å inkludere hvordan samarbeid og kommunikasjon skal fungere under en krisesituasjon.

En avtale vil aldri kunne dekke alle mulige scenarioer, da det alltid vil være risiko for uforutsette hendelser av en slik art at det ikke har vært mulig å forutse dem og dermed utarbeide tekniske forutsetninger for å håndtere gjenoppretting. Dette kan inkludere større naturkatastrofer som påvirker både primære og sekundære driftsanlegg.

Sammen med din leverandør må du sette prioriteringer.

Det er vanligvis ikke kjent for din IT-leverandør hvilke av dine kritiske forretningsprosesser er og hvilke tekniske funksjoner som er nødvendige for å støtte dem. Derfor er det viktig å oppnå enighet om prioriteringene når en gjenoppretting må gjennomføres. Disse prioriteringene bør fastsettes i god tid før en krise oppstår og være grundig dokumentert av begge parter. Det er også viktig å oppdatere prioriteringene basert på endringer i virksomhetens prosesser og/eller IT-miljøet.

Hvem tar beslutningen om at det er en krisesituasjon?

Det er også avgjørende å ha en felles forståelse av hva som definerer en krise, med klart definerte avtaler. Uten dette er det en risiko for at en krise som er viktig for deres bedrift, kan bli ansett som en håndterbar hendelse for leverandøren deres, noe som kan føre til at riktige prosesser ikke settes i gang for en kontrollert og effektiv gjenoppretting av normal drift.

Kan du håndtere en krisesituasjon uten din IT-leverandør?

I arbeidet med å utarbeide din virksomhets kontinuitetsplan (business continuity plan - BCP), er det viktig å identifisere alternative gjenopprettingsplaner for de mest kritiske prosessene som kan utføres uten bistand fra din IT-leverandør, enten som en midlertidig eller permanent løsning. Slike planer kan i noen tilfeller kreve at avtalen med IT-leverandøren inkluderer forutsetninger for dette. Dette kan føre til at det oppdages at det ikke finnes alternative muligheter, noe som bør registreres som en risiko i bedriftens risikoregister og tas hensyn til om det må håndteres.

Sikre at kontinuitetsplanen er effektiv

Det er avgjørende at leverandøren gjennomfører nødvendige tester og øvelser i samsvar med avtalen om gjenoppretting. Når du øver på krisehåndtering og kontinuitetsplanen din, bør også de kritiske IT-leverandørene dine inkluderes på en eller annen måte. Deres involvering kan variere fra full integrasjon i øvelsene til å bli konsultert før og under gjennomføringen av øvelsene.

Cegal og BCP og DR

Cegal har erfarne konsulenter innen kontinuitetsplanlegging som kan bidra i ulike faser, enten ved å støtte i utviklingen av planene, gjennomgå allerede utarbeidede planer, eller gjennomføre kriseøvelser.

Vi tilbyr også tjenester for gjenopprettingstesting av databaser utenfor deres IT-miljø. Med spesialisering innen hybrid skyløsninger, implementering og drift av forretningskritiske løsninger, samt overvåkning av databaser. Cegal har omfattende erfaring med høytilgjengelighetsmiljøer (High Availability-løsninger), og vi hjelper både små og store kunder med å finne riktig løsning til riktig pris.