NIS2: IT-aftaler og kontinuitetsplaner

Daniel Andersson Senior Information Security Consultant, Cegal Sverige. Daniel har stor erfaring med informationssikkerhed og er Certified Information Security Manager (CISM) samt certificeret Cybersecurity Practitioner (CSX-P). Med en baggrund inden for både teknologi og ledelse har Daniel et bredt blik på nutidens udfordringer og deres forskellige løsninger.

02/22/2024 |

Mange virksomheder er afhængige af deres leverandører for at kunne drifte deres virksomhed, og afbrydelser i leverancer fra en leverandør kan have store konsekvenser for jeres virksomhed. Det er vigtigt, at jeres leverandører støtter jer hurtigt i disse situationer.

Mange af de kritiske IT-systemer til virksomheder er nu helt eller delvist outsourcet til eksterne leverandører, enten gennem traditionel outsourcing eller via cloud-tjenester. Derfor er det kritisk at tage højde for dette i udviklingen af kontinuitetplanerne.

NIS2 – Krav til leverandører?

NIS2-direktivet (2022/2555) regulerer i artikel 21 kravene til kontinuitetsstyring i punkt 2c og regulerer også kravene til hele leverandørkæden i punkt 2d:

“2c) driftskontinuitet, såsom backup-styring og re-etablering efter en katastrofe, og krisestyring

2d) forsyningskædesikkerhed, herunder sikkerhedsrelaterede aspekter vedrørende forholdene mellem den enkelte enhed og dens direkte leverandører eller tjenesteudbydere”

For at opfylde kravene i NIS2 er leverandørstyring afgørende, hvilket også inkluderer håndtering af kontinuitetsplaner og krisehåndtering. Som leverandør af samfundskritiske tjenester er det dig, der skal have de rette krav til dine leverandører for at sikre hele leverandørkæden, der kræves for at kunne levere den kritiske service.

Støtter din IT-leverandør dig i en krisesituation?

Det burde ikke være en spørgsmål, man behøver at stille sig selv, men det er vigtigt at forstå, at din IT-leverandør har flere kunder end bare din virksomhed, hvilket er selve forretningsmodellen. Det betyder, at i tilfælde af en omfattende afbrydelse hos leverandøren, der påvirker flere kunder, vil der ofte være et behov for prioritering fra leverandørens side. Det er også vigtigt at forstå, hvilket ansvar leverandøren har i henhold til aftalen i en sådan situation.

Det er vigtigt, at din leverandør forstår, hvad der er reguleret under NIS2, så de har den rigtige prioritet for din virksomhed.

Aftale om disaster recovery

En vigtig komponent at inkludere i IT-aftaler er den tekniske genoprettelsesevne, som leverandøren skal levere. Det omfatter både genoprettelsestid (RTO) og genoprettelsespunkt (RPO), men også hvordan samarbejdet og kommunikationen skal fungere under en krise.

Selvom en aftale kan dække mange situationer, vil der altid være risiko for hændelser, der er så uventede og af en sådan art, at man ikke har kunnet forudsige dem og dermed ikke har kunnet udvikle tekniske forudsætninger for at kunne genoprette. Det kan for eksempel omfatte større naturkatastrofer, der påvirker både primære og sekundære driftssteder.

Prioriter sammen med din leverandør

Din IT-leverandør ved ofte ikke, hvad dine mest kritiske forretningsprocesser er, og hvilke tekniske funktioner der kræves for at understøtte disse. Det er derfor vigtigt, at der er enighed om prioriteringen, når en genopretning skal gennemføres. Denne prioritering skal være på plads i god tid, før en krise opstår, og være veldokumenteret hos begge parter. Det er også vigtigt, at prioriteringer opdateres i forhold til ændringer i virksomhedens processer og/eller IT-miljø.

Hvem beslutter, at det er en krise?

Det er også vigtigt at have en fælles forståelse af, hvad der udgør en krise, med klart aftalte definitioner. Ellers er der en risiko for, at en krise for din virksomhed kan betragtes som en håndterbar hændelse for din leverandør, og derfor ikke igangsætter de rette processer for en kontrolleret og effektiv genopretning af normal drift.

Kan du klare en krise uden din IT-leverandør?

Når du arbejder med at etablere en kontinuitetsplan for din virksomhed (business continuity plan - BCP), er det passende at identificere alternative genopretningsplaner for de mest kritiske processer, som kan udføres uden støtte fra din IT-leverandør, enten som midlertidig eller permanent løsning. Sådanne planer kan i visse tilfælde kræve, at aftalen med IT-leverandøren inkluderer betingelser for dette. Det kan ske, at man under arbejdet identificerer, at der ikke er alternative muligheder, hvilket bør noteres som en risiko i virksomhedens risikoregister og overvejes, hvis det skal håndteres.

Bekræft, at kontinuitetsplanen virker

Det er vigtigt at sikre, at leverandøren udfører relevante tests og øvelser ud fra det aftalte vedrørende nyttiggørelse. Din kriseøvelse og din kontinuitetsplan bør rimeligvis også i et vist omfang omfatte dine kritiske IT-leverandører. Omfanget kan være alt fra at de er fuldt integreret i dine øvelser til at de bliver konsulteret før og under øvelserne.

Cegal og BCP og DR

Cegal har konsulenter med bred erfaring inden for kontinuitetsplanlægning, som kan deltage i forskellige faser, enten som støtte til at oprette planerne, som støtte til at gennemgå allerede udarbejdede planer, eller til at udføre kriseøvelser.

Cegal kan også levere tjenester til restore-test af databaser uden for jeres IT-miljø. Vi er specialiserede i hybrid cloud-løsninger, opsætning og drift af forretningskritiske løsninger samt overvågning af databaser. Cegal har lang erfaring med miljøer med høj tilgængelighed (såkaldte High Availability-løsninger), hvor vi hjælper både små og store kunder med at finde den rette løsning til den rette pris.