NIS2: IT-avtal och kontinuitetsplaner

Daniel Andersson Senior Information Security Consultant, Cegal Sweden. Daniel har lång erfarenhet inom informationssäkerhet och är Certified Information Security Manager (CISM) samt certifierad Cybersecurity Practitioner (CSX-P). Med bakgrund inom både teknik och ledarskap har Daniel en bred syn på dagens utmaningar och dess olika lösningar.

02/15/2024 |

Många verksamheter är beroende av sina leverantörer för att kunna utföra sin verksamhet, ett avbrott i leveransen från en leverantör kan få stora konsekvenser för er verksamhet. Det är viktigt att era leverantörer stöttar er skyndsamt vid dessa tillfällen.

Många av de kritiska IT-systemen för verksamheter är numera utlagda helt eller delvis på externa parter att leverera, antingen genom klassisk outsourcing eller via molntjänster. Utifrån detta är det av stor vikt att beakta detta i framtagandet av kontinuitetsplanerna.

NIS2 – Krav på leverantörer?

NIS2 direktivet (2022/2555) reglerar i artikel 21 kraven för kontinuitetshantering i punkt 2c, tillika reglerar den kraven gällande hela leveranskedjan i punkt 2d:

“2c) driftskontinuitet, exempelvis hantering av säkerhetskopiering och katastrofhantering, och krishantering,

2d) säkerhet i leveranskedjan, inbegripet säkerhetsaspekter som rör förbindelserna mellan varje entitet och dess direkta leverantörer eller tjänsteleverantörer,”

För att leva upp till kraven i NIS2 är leverantörsstyrning av stor vikt vilket även inkluderar hantering av kontinuitetsplan och krishantering. Där det är du som leverantör av samhällsviktiga tjänster som behöver ha rätt kravställning mot dina leverantörer för att säkra hela leveranskedjan som krävs för att kunna tillhandahålla den kritiska tjänsten.

Stöttar din IT-leverantör dig vid kris?

Det borde rimligen inte vara en fråga man behöver ställa sig, men det är viktigt att förstå att din IT-leverantör har fler kunder än bara ert företag, vilket är själva affärsmodellen. Detta medför att vid ett omfattande avbrott hos leverantörer som rör fler kunder så är det ofta ett behov från leverantören att prioritera. Det är även viktigt att förstå vad för ansvar leverantören avtalsmässigt har vid en sådan situation.

Det är viktigt att er leverantör förstår vad som är reglerat under NIS2 så att de har rätt prioritering för er verksamhet.

Avtala om disaster recovery

En viktigt komponent att inkludera i IT-avtal är den tekniska återställningsförmågan som leverantören skall leverera. Här handlar det om både återställningstid (RTO) men även återställningspunkt (RPO) men även om att inkludera hur samarbetet och kommunikation skall fungera under en kris.

Ett avtal kommer inte täcka alla möjliga situationer, det kommer alltid finnas risk för händelser som är så oväntade och av sådan art att man inte kunnat förutsäga dessa och därmed kunnat arbeta fram tekniska förutsättningar för att klara av att återställa. Detta kan inkludera exempelvis större naturkatastrofer som påverkar både primära och sekundära driftanläggningar.

Prioritera ihop med din leverantör

Din IT-leverantör vet oftast inte vilka dina mest kritiska affärsprocesser är och vilka tekniska funktioner som krävs för att stötta dessa. Det är därav viktigt att det finns en samsyn på prioriteringen när väl en återställning skall genomföras. Denna prioritering behöver genomföras i god tid innan en kris inträffar och vara väl dokumenterad hos båda parterna. Det är även viktigt att prioriteringar uppdateras utifrån ändringar i verksamhetens processer och/eller IT-miljön.

Vem beslutar att det är kris?

Det är även viktigt att ha en samsyn på vad som är en kris, med tydliga avtalade definitioner. Det finns annars en risk att en kris för er som företag anses vara en hanterbar incident för er leverantör och därmed aktiveras inte rätt processer för en kontrollerad och effektiv återställning till normaldrift.

Klarar du krisen utan din IT-leverantör?

I arbetet med att etablera er kontinuitetsplan för verksamheten (business continuity plan – BCP) är det lämpligt att identifiera alternativa återställningsplaner för de mest kritiska processerna som kan utföras utan stöd från er IT-leverantör, antingen som temporär lösning eller permanent. Sådana planer kan i vissa fall kräva att avtalet med IT-leverantören inkluderar förutsättningar för detta. Detta arbete kan leda ut till att det identifieras att det inte finns alternativa möjligheter, detta bör rimligen noteras som risk i bolagets riskregister och beaktas om det behöver hanteras.

Bekräfta att kontinuitetsplan fungerar

Det är viktigt att säkerställa att leverantören genomför relevanta tester och övningar utifrån vad som är avtalat gällande återställning. Er övning av kris och er kontinuitetsplan bör rimligen även inkludera era kritiska IT-leverantörer i någon omfattning. Omfattningen kan vara allt från att de är fullt integrerade i era övningar till att de är konsulterade inför och under övningarna.

Cegal och BCP och DR

Cegal har konsulter med bred erfarenhet inom kontinuitetsplanering som kan vara med i olika faser, antingen som stöd i skapandet av planerna, som stöd i att granska redan framtagna planer men även att utföra krisövningar.  

Cegal kan även tillhandahålla tjänster för restore-test av databaser utanför er IT-miljö. Vi är specialiserade på hybridmolnlösningar, uppsättning och drift av affärskritiska lösningar samt övervakning av databaser. Cegal har lång erfarenhet av miljöer för hög tillgänglighet (sk. High Availability-lösningar), där vi bistår både små och stora kunder att hitta rätt lösning till rätt pris. 