Art. 21 (3) din NIS2 spune așa:

Statele membre se asigură că, atunci când analizează care măsuri menționate la alineatul (2) litera (d) (n.m – securitatea lanțului de aprovizionare, inclusiv aspectele legate de securitate referitoare la relațiile dintre fiecare entitate și prestatorii sau furnizorii săi direcți de servicii;) de la prezentul articol sunt adecvate, entitățile iau în considerare vulnerabilitățile specifice fiecărui prestator și furnizor direct de servicii, precum și calitatea generală a produselor și a practicilor în materie de securitate cibernetică ale prestatorilor și furnizorilor lor de servicii, inclusiv procedurile lor securizate de dezvoltare..

25 iulie este termenul limită cînd se închid consultările publice pentru un ”implementation regulation” ce include ”rules for the application of Directive (EU) 2022/2555 as regards technical and methodological requirements of cybersecurity risk-management measures and further specification of the cases in which an incident is considered to be significant with regard to DNS service providers, TLD name registries, cloud computing service providers, data centre service providers, content delivery network providers, managed service providers, managed security service providers, providers of online market places, of online search engines and of social networking services platforms, and trust service providers ”. Vom vedea cum va rezulta documentul final.

Ce roluri ar trebui implicate în managementul riscurilor în cazul terților TIC?

Responsabilul de contract este, în mod obișnuit, cel responsabil pentru relația cu terțul care operează o infrastructură/sistem/aplicație critic (poate, de exemplu, este externalizat serviciul de management al imprimantelor iar în urma analizei de impact acest serviciu nu este considerat critic. Prin urmare nici furnizorii asociați)

Dar pentru a face acest lucru posibil, rolul menționat mai sus are nevoie de sprijin și colaborare din/cu întreaga organizație. Acest suport trebuie să acopere chiar ce ne învață teoria:

• personal
• procese
• tehnologie.

Cum în orice organizație riscurile trebuie abordate de către o echipă și nu de către un singur om/guru la fel se întîmplă și în acest caz particular. Din această echipă ar trebui să facă parte pe lîngă responsabilul de contract și ”cineva” de la Achiziții, ”cineva” de la Juridic, ”cineva” de la Riscuri, ”cineva” de la Securitate IT și ”cineva” de la Continuitate (afacerii/operațională – a nu se confunda cu IT – DRP).

În această echipă, lucrurile ”se leagă” cam așa:

1. Securitate IT – evaluează riscurile de securitate cibernetică ale terților și evaluează postura acestora în materie de securitate cibernetică. Lucrează îndeaproape cu furnizorul pentru a garanta că controalele și practicile de securitate ale furnizorului sunt aliniate cu cerințele și standardele curente ale organizației.
2. Riscuri/TPRM – supraveghează programul general de management al riscurilor terților. Aceștia sunt responsabili pentru stabilirea faptului că organizația are un proces eficient pentru managementul riscurilor asociate cu furnizorii terți.
3. Juridic – analizează și interpretează cerințele legale și de reglementare legate de managementul riscului de la terți și se asigură că organizația este în conformitate cu cerințele legale; verifică dacă termenii contractuali se aliniază cu cerințele de securitate cibernetică și de continuitate a afacerii ale organizației.
4. Achiziții – sprijină selecția furnizorilor și lucrează îndeaproape cu unitatea funcțională care angajează furnizorul (și care poate să nu fie neapărat departamentul IT) pentru a înțelege domeniul de aplicare al serviciilor necesare și pentru a identifica furnizorii potențiali care pot îndeplini aceste cerințe.
5. Continuitate – se asigură că organizația își poate menține funcțiile și serviciile critice în cazul unei întreruperi cauzate de un furnizor. Dezvoltă planuri de urgență în cazul unei întreruperi a serviciului de la terț.

În NIS2 cuvîntul ”riscuri” apare de …peste 120 de ori iar obligațiile celor afectați ”sînt bazate pe riscuri”. Așa cum există posibilitatea ca două entități din același domeniu economic să se confrunte cu riscuri diferite nu toți furnizorii prezintă același nivel de risc și nu orice risc materializat are același impact.

”Abordarea riscurilor care decurg din lanțul de aprovizionare al unei entități și din relația acesteia cu furnizorii săi, cum ar fi furnizorii de servicii de stocare și de prelucrare de date sau furnizorii de servicii de securitate gestionate și editorii de software, este deosebit de importantă, având în vedere prevalența incidentelor în care entitățile au fost victime ale atacurilor cibernetice și în care actori răuvoitori au fost în măsură să compromită securitatea rețelelor și a sistemelor informatice ale unei entități prin exploatarea vulnerabilităților care afectează produsele și serviciile unei părți terțe. Prin urmare, entitățile esențiale și entitățile importante ar trebui să evalueze și să țină seama de calitatea generală și de reziliența produselor și a serviciilor, de măsurile de gestionare a riscurilor în materie de securitate cibernetică integrate în acestea, precum și de practicile în materie de securitate cibernetică ale furnizorilor și ale prestatorilor lor de servicii, inclusiv de procedurile lor de dezvoltare sigure. Entitățile esențiale și entitățile importante ar trebui, în special, să fie încurajate să includă măsuri de gestionare a riscurilor în materie de securitate cibernetică în acordurile contractuale cu furnizorii lor direcți și cu prestatorii lor de servicii direcți. Entitățile respective ar putea lua în considerare riscurile generate de alte niveluri de furnizori și de prestatori de servicii.” – Considerent 85