Lehet tökéletes a saját védelmed, ha közben egy fejlesztő partner, egy üzemeltető vagy egy adatközpont rés a láncban. A NIS2 feltételeinek teljesítésében a beszállítóid főszereplők: a te kockázatod része, és az auditor is így fogja nézni.
Amikor beszállítói láncról beszélünk, nem csak arról van szó, hogy „van-e szerződés”. Arról van szó, hogy tudod-e, kire támaszkodsz, milyen hozzáférése van, milyen adatot érint, mi történik incidensnél, és hogyan bizonyítod mindezt. A NIS2 kockázatalapú intézkedéseket kér, és ebbe beletartozik az ellátási lánc biztonsága is.
Hol a kockázat, ha sok beszállítód van?
Tipikus auditbuktatók:
- nincs teljes beszállítói lista (kimarad alvállalkozó),
- nincs besorolás (mindenki egyforma),
- a hozzáférések örökek, incidensnél pedig csak telefonálgatás van, nem folyamat és határidő.
Ha sok partnered van nem az a cél, hogy mindenkinél mini auditot csinálj, hanem hogy legyen rendszered, ami arányos és bizonyítható.
Döntéshozói kulcselemek: így állj neki a beszállítói lánc vizsgálatának
1) Beszállítói térkép + kockázati besorolás. Legyen nyilvántartásod: ki mit ad, milyen rendszerhez fér, kezel-e adatot, van-e admin hozzáférése, használ-e alvállalkozót. Kiemelt kör: szoftverfejlesztők, üzemeltetők, adatközpont/felhő, hálózati és biztonsági szolgáltatók.
2) Minimum elváráscsomag. Egységesíts: hozzáférés-kezelés, naplózás, sérülékenység-kezelés, mentés/helyreállítás, incidenskezelés, alvállalkozók kezelése. Ez NIS2 alatt elvárt irány, és az uniós végrehajtási útmutatók is ebbe tolnak.
3) Szerződésbe beégetett biztonság. Amit érdemes konkrétan beletenni: incidens értesítése indokolatlan késedelem nélkül; ellenőrzési jog vagy auditjelentés kérése; sérülékenységek kezelése; alvállalkozókra továbbgörgetett kötelezettségek; kilépéskor adatvisszaadás/törlés és hozzáférések lezárása.
Mit tegyél az auditor asztalára?
- beszállítói nyilvántartás + kockázati besorolás (logikával)
- átvilágítási kérdőív(ek) és válaszok / igazolások (mintavétellel is lehet)
- szerződésminták + konkrét záradékok (incidens, alvállalkozó, ellenőrzés, kilépés)
- hozzáférés-listák és felülvizsgálati nyomok a kritikus partnereknél
- incidens-együttműködési rend: ki, mikor, hogyan értesít
5 KKV-barát tanács a beszállítókhoz:
- 80/20: a legkritikusabb 10–20% beszállítóra legyél a legszigorúbb.
- Mintavétel: sok partnernél audit-biztos megoldás, ha dokumentáltan mintát ellenőrzöl.
- Egylapos elváráscsomag: könnyű kiküldeni, könnyű számon kérni.
- Hozzáférés csak okkal és időre: admin jog = naplózás + rendszeres felülvizsgálat.
- Kilépési terv kötelező: adat vissza/törlés igazolása + hozzáférések lezárása nélkül ne hagyd nyitva a végén a kaput.
Ha ezeket végigviszed, máris lesz egy olyan alapod, ami nem csak rendben van papíron, hanem a napi működésben is erősíti a biztonságot. És ez az a pont, ahol a NIS2 nem teher, hanem valódi szervezeti stabilitás.
Ha beszállítóként, vagy ügyfélként addig is kérdésed van felénk ezzel kapcsolatban, állunk rendelkezésedre!
Adél
