Directiva NIS2 cere entităților esențiale și importante să abordeze riscurile de securitate cibernetică în lanțurile de aprovizionare și relațiile cu furnizorii. În baza Ar. 21, entitățile esențiale și importante trebuie să ia măsuri adecvate și proporționale de gestionare a riscului de securitate cibernetică și să urmeze o abordare a tuturor pericolelor. Aceste măsuri ar trebui să abordeze, printre altele, securitatea lanțului de aprovizionare, inclusiv aspectele legate de securitate privind relațiile dintre fiecare entitate și furnizorii săi direcți sau furnizorii de servicii. În plus, entitățile ar trebui să ia în considerare vulnerabilitățile specifice fiecărui furnizor direct și furnizor de servicii și calitatea generală a produselor și practicile de securitate cibernetică ale furnizorilor și furnizorilor lor de servicii, inclusiv procedurile lor de dezvoltare securizată (!!!).
Statele membre se asigură, de asemenea, că, atunci când definesc măsuri adecvate, entităților li se cere să ia în considerare rezultatele evaluărilor coordonate ale riscurilor efectuate în conformitate cu articolul 22 alineatul (1).

Pînă ce vom avea publicate ”Evaluări coordonate la nivelul Uniunii ale riscurilor de securitate legate de lanțurile de aprovizionare critice” risc să împărtășesc cîteva gînduri….

Așa cum am mai scris, dacă tot place ISO 27001 prima dată vom căuta prin….. ISO 27002 unde dăm peste clauzele:

• 5.19 – Information security in supplier relationships
• 5.20 – Addressing information security within supplier agreements,
• 5.21 – Managing information security in the ICT supply chain,
• 5.22 – Monitoring, review and change management of supplier services

Citez din clauza 5.20 doar pentru a avea o imagine generală a efortului necesar viitoarei conformări:

a) description of the information to be provided or accessed and methods of providing or accessing the information;
b) classification of information according to the organization’s classification scheme;
c) mapping between the organization’s own classification scheme and the classification scheme of the supplier;
d )legal, statutory, regulatory and contractual requirements, including data protection, handlingof personally identifiable information (PII), intellectual property rights and copyright and adescription of how it will be ensured that they are met;
e) obligation of each contractual party to implement an agreed set of controls, including access control, performance review, monitoring, reporting and auditing, and the supplier’s obligations to comply with the organization’s information security requirements;
f) rules of acceptable use of information and other associated assets, including unacceptable use if necessary;
g) procedures or conditions for authorization and removal of the authorization for the use of the organization’s information and other associated assets by supplier personnel (e.g. through an explicit list of supplier personnel authorized to use the organization’s information and other associated assets);
h) information security requirements regarding the supplier’s ICT infrastructure; in particular, minimum information security requirements for each type of information and type of access to serve as the basis for individual supplier agreements based on the organization’s business needs and risk criteria;
i) indemnities and remediation for failure of contractor to meet requirements;
j) incident management requirements and procedures (especially notification and collaboration during incident remediation);
k) training and awareness requirements for specific procedures and information security requirements (e.g. for incident response, authorization procedures);
l) relevant provisions for sub-contracting, including the controls that need to be implemented, such as agreement on the use of sub-suppliers (e.g. requiring to have them under the same obligations of the supplier, requiring to have a list of sub-suppliers and notification before any change);
m) relevant contacts, including a contact person for information security issues;
n) any screening requirements, where legally permissible, for the supplier’s personnel, including responsibilities for conducting the screening and notification procedures if screening has not been completed or if the results give cause for doubt or concern;
o) the evidence and assurance mechanisms of third-party attestations for relevant information security requirements related to the supplier processes and an independent report on effectiveness of controls;
p) right to audit the supplier processes and controls related to the agreement; supplier’s obligation to periodically deliver a report on the effectiveness of controls and agreementon timely correction of relevant issues raised in the report;
r) defect resolution and conflict resolution processes;
s) providing backup aligned with the organization’s needs (in terms of frequency and type and storage location);
t) ensuring the availability of an alternate facility (i.e. disaster recovery site) not subject to the same threats as the primary facility and considerations for fall back controls (alternate controls) in the event primary controls fail;
u) having a change management process that ensures advance notification to the organization and the possibility for the organization of not accepting changes;
v) physical security controls commensurate with the information classification;
w) information transfer controls to protect the information during physical transfer or logical transmission;
x) termination clauses upon conclusion of the agreement including records management, return of assets, secure disposal of information and other associated assets, and any ongoing confidentiality obligations;
y) provision of a method of securely destroying the organization’s information stored by the supplier as soon as it is no longer required;
z) ensuring, at the end of the contract, handover support to another supplier or to the organization itself.

Dar lucrurile nu se opresc aici ci continuă cu referire la seria ISO 27036 – Information technology — Security techniques — Information security for supplier relationships.

Pentru că mie mi-au plăcut mereu NIST-urile mai mult decît ISO-urile (le consider mai ”vii” și cu mai puțină ”poezie”), la final amintesc despre C-SCRM sau NIST SP 800-161r1 – Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations……unde veți regăsi cîteva ”templates” excelente.

Cred că și auditul la NIS 2 ar trebui să fie/va fi cu totul altceva decît în cazul NIS 1 (…wishful thinking). Caz în care cele scrise prin ISO-uri sau NIST-uri vor fi solicitate (dacă nu și de legiuitor) măcar de către auditor. ”Entitatea” va trebuie să demonstreze dacă există și funcționează acele controale iar dacă nu există, de ce nu există.

Doar zice NIS 2 că ”membrii organelor de conducere din cadrul entităților esențiale și al entităților importante au obligația de a urma o formare pentru a dobândi suficiente cunoștințe și competențe pentru a putea identifica riscurile și a evalua practicile de gestionare a riscurilor în materie de securitate cibernetică și impactul acestora asupra serviciilor pe care le furnizează entitatea” și că „organele de conducere ale entităților esențiale și ale entităților importante aprobă măsurile de gestionare a riscurilor în materie de securitate cibernetică luate de entitățile respective pentru a se conforma articolului 21,  supraveghează punerea în aplicare a acestuia și pot fi trase la răspundere pentru încălcarea de către entități a respectivului articol.„