Jeres kunde kræver dokumentation for jeres IT-sikkerhed. I har en uge til at levere den.
Kan I det?
Det sker oftere og oftere
En storkunde, en offentlig myndighed eller en samarbejdspartner stiller pludselig krav om, at I kan dokumentere jeres sikkerhedsniveau.
Ikke fordi de er mistroiske.
Men fordi de selv er underlagt NIS2 eller andre sikkerhedskrav, der kræver, at de har styr på deres leverandørkæde.
Og leverandørkæden er jer.
Tredjepartsbrud er fordoblet
Ifølge analyser af sikkerhedshændelser er tredjepartsinvolvering i databrud fordoblet på ét år.
Hackerne går ikke efter jeres kunde. De går efter jer, fordi I har adgang til kundens data, systemer eller netværk.
Jeres kundes revisor ved det. Jeres kundes bestyrelse ved det. Og nu stiller de krav.
Tre eksempler fra det seneste år
200 svenske kommuner blev lammet, fordi én IT-leverandør blev hacket.
80 banker mistede deres firewallkonfiguration, fordi leverandørens cloud-portal var åben.
En global detailkæde blev ramt af to tredjepartsbrud på ni måneder via to forskellige partnere.
“Det var ikke vores systemer” er måske teknisk korrekt.
Men jeres kunde er ligeglad. De vil vide, hvorfor I ikke havde styr på det. Og næste gang vælger de en leverandør, der kan dokumentere, at de har.
Indirekte omfattet af markedet
De fleste danske SMV’er er ikke direkte omfattet af NIS2. Men jeres kunder kan være det.
Og NIS2 kræver, at de kan dokumentere, at deres leverandører lever op til sikkerhedskravene.
Det gør jer indirekte omfattet. Ikke af loven, men af markedet.
Gabet er stort
Ifølge brancheundersøgelser har de mindste virksomheder i gennemsnit kun forholdt sig til 2,5 af 12 anbefalede sikkerhedsforanstaltninger. Kun hver tredje har øget sine investeringer i cybersikkerhed det seneste år.
Samtidig siger 55% af alle virksomheder, at de vil få markant driftsstop ved tab af IT-systemer.
Gabet mellem afhængighed og forberedelse er stort, og det er det gab, jeres kunder vil have lukket.
Hvad en leverandøraudit dokumenterer
En leverandøraudit er det, jeres kunde forventer, at I har fået lavet.
Den dokumenterer, om I har styr på det basale: adgangskontrol, patchhåndtering, beredskabsplan, backup og leverandørstyring.
Den er ikke et stempel. Den er et bevis for, at I tager jeres kundes sikkerhed lige så alvorligt som jeres egen.
Start med det basale
Hvis I aldrig har fået tjekket jeres sikkerhed, er et IT-sikkerhedstjek det rigtige startpunkt. Det er billigere, hurtigere og giver jer et konkret fundament, som en audit kan bygge videre på.
Tre ting du kan gøre nu
Find ud af, hvad jeres vigtigste kunder kræver. Spørg dem direkte: Hvilken dokumentation forventer I fra jeres leverandører? Svaret fortæller jer, hvad I skal prioritere.
Start med et IT-sikkerhedstjek, hvis I aldrig har fået kigget på det basale. Det giver jer et overblik og et udgangspunkt, I kan handle på med det samme.
Få lavet en leverandøraudit, når I skal kunne dokumentere over for kunder, partnere eller myndigheder. Tænk på den som jeres sikkerhedsmæssige CV. Uden den konkurrerer I på tillid alene.
Har I noget at sende?
Næste gang en kunde beder om dokumentation for jeres sikkerhed, har I så noget at sende?
Hvis svaret er nej, ved I nu, hvad I skal prioritere.
Få dokumentation I kan sende
Et IT-sikkerhedstjek giver jer et hurtigt overblik over det basale: MFA, passwords, backup, opdateringer. Det er startpunktet, hvis I aldrig har fået kigget på jeres sikkerhed.
En leverandøraudit dokumenterer, at I har styr på adgangskontrol, patchhåndtering, beredskab og leverandørstyring. Det er det, jeres kunder forventer at se.
Og en cybersikkerhedsaudit giver jer det samlede billede og en rapport, I kan sende til kunder, partnere og myndigheder, når de beder om dokumentation.
En uge til at dokumentere. Kan I det? Hvis ikke, er det tid at få lavet fundamentet.
Har du brug for dokumentation, du kan sende?
Kontakt Nielco IT på telefon 70 13 63 23 eller via kontaktformularen.
