Ni kan ha ordning på er egen säkerhet, och ändå drabbas, om en leverantör med tillgång till era system blir hackad. Leverantörsrisk, eller supply chain-risk, är en av de snabbast växande hotvägarna. Och med NIS2 blir det dessutom ett krav att hantera den.

Varför det är farligt

Era leverantörer har ofta åtkomst till era system, er data eller era lokaler. En angripare som inte kommer in hos er direkt letar efter den svagaste partnern och tar vägen därigenom. Ni ärver helt enkelt era leverantörers säkerhetsnivå.

Många av de största intrången de senaste åren började inte hos offret självt, utan hos en underleverantör med för mycket åtkomst och för lite skydd.

Så får ni kontroll

  • Kartlägg. Vilka leverantörer har åtkomst till vad? Många företag vet inte ens det.
  • Ställ krav. Ta in säkerhetskrav i avtalen, inte som efterhandskonstruktion.
  • Begränsa åtkomsten. Ge varje leverantör bara den åtkomst de faktiskt behöver, inget mer.
  • Följ upp. Säkerhet är inte en engångskontroll vid upphandling, utan något att se över löpande.

NIS2 gör det till ett krav

Nya regelverk kräver att ni hanterar risker i leverantörskedjan aktivt. Även om ni inte omfattas direkt kan era kunder kräva det av er, vilket gör god ordning till en konkurrensfördel. Läs mer om NIS2.

Så hjälper vi er

Vi hjälper er kartlägga leverantörsrisken, ta fram krav och rutiner, och bygga in det i ert säkerhetsarbete. Hör av er för en genomgång.

You can have your own security in order, and still get hit, if a supplier with access to your systems is hacked. Supplier risk, or supply chain risk, is one of the fastest-growing attack paths. And with NIS2 it becomes a requirement to manage it.

Why it is dangerous

Your suppliers often have access to your systems, your data or your premises. An attacker who cannot get into you directly looks for the weakest partner and takes that route. You simply inherit your suppliers' level of security.

Many of the biggest breaches of recent years did not start at the victim itself, but at a supplier with too much access and too little protection.

How to get control

  • Map it. Which suppliers have access to what? Many companies do not even know.
  • Set requirements. Build security requirements into contracts, not as an afterthought.
  • Limit access. Give each supplier only the access they actually need, nothing more.
  • Follow up. Security is not a one-time check at procurement, but something to review continuously.

NIS2 makes it a requirement

New regulations require you to actively manage supply chain risks. Even if you are not covered directly, your customers may require it of you, which makes good order a competitive advantage. Read more about NIS2.

How we help

We help you map supplier risk, develop requirements and routines, and build it into your security work. Get in touch for a review.