Tiekėjų grandinės rizika 2025-aisiais: kaip NIS2 verčia valdyti trečiąsias šalis

Nuo 2024 m. spalio 18 d. įsigaliojusi NIS2 direktyva įpareigoja organizacijas ne tik apsaugoti savo sistemas, bet ir aktyviai valdyti trečiųjų šalių riziką. Kitaip tariant – tiekėjo klaida tampa jūsų atsakomybe. 2025 m. tai jau ne teorija, o praktinis audito klausimas. Šiame straipsnyje: kas pasikeitė, ką turi daryti vadovybė ir kaip Baltic Amadeus padeda įgyvendinti tiekimo grandinės saugumą.

Kodėl tiekimo grandinė tapo NIS2 akcentu?

TIS2 (NIS2) direktyva išryškino faktą, kurį daugelis ignoravo: dažniausiai kibernetiniai incidentai įvyksta ne dėl „vidinių“ klaidų, o dėl trečiųjų šalių spragų. Tai gali būti:

• Nesaugus debesijos paslaugų tiekėjas;

• Pažeidžiama integracija su ERP/WMS/TMS sistema;

• Partneris, neturintis jokių saugumo procedūrų.

Dabar to nepakanka žinoti. NIS2 reikalauja veikti.

Ką reikalauja NIS2 iš jūsų dėl trečiųjų šalių?

Tiekėjų vertinimas prieš pasirašant sutartį

Ar tiekėjas laikosi saugumo praktikų? Ar turi MFA, šifravimą, incidentų planą?

Rizikos klasifikavimas

Ar tai „kritinis tiekėjas“, kuris turi prieigą prie jūsų pagrindinių sistemų ar duomenų?

Periodinis tiekėjo saugumo vertinimas

Turite įsivertinti, ar tiekėjas atitinka jūsų reikalavimus bent kasmet,o svarbiausiais atvejais – ir dažniau.

Sutartiniai saugumo SLA

Turi būti įtvirtintos pareigos: incidentų pranešimo terminai, atsakomybės, testavimo galimybės.

Incidentų valdymo planų sinchronizavimas

Jei įvyksta incidentas pas tiekėją, ar žinote, kas praneš, kaip reaguosite, ką informuosite?

2025 m. realybė: tiekėjo spraga = jūsų rizika

Nuo 2025 m. nacionalinės priežiūros institucijos pradėjo vykdyti NIS2 atitikties vertinimus. Trečiųjų šalių valdymas tapo dažniausiai audituojamu punktu, ypač:

• Viešajame sektoriuje (savivaldybėse);

• Finansinėse įmonėse (kur dominuoja SaaS sprendimai);

• Logistikos sektoriuje (daug API sąsajų su partneriais).

Kaip Baltic Amadeus padeda su trečiųjų šalių rizika?

Baltic Amadeus siūlo pilną tiekimo grandinės saugumo paketą, kuris padeda atitikti NIS2 direktyvą:

Tiekėjų rizikos vertinimo metodika

Paruošiama sistema, pagal kurią klasifikuojate tiekėjus pagal rizikos lygius.

Saugumo SLA šablonai

Sutartiniai punktai, kuriuos galite naudoti tiekėjų įsipareigojimuose.

Tiekėjų apklausos ir patikros

Galima naudoti tiek naujiems, tiek esamiems partneriams įvertinti jų saugumo brandą.

Incidentų valdymo susiejimas

Scenarijai, kaip reaguoti, jei problema kyla pas tiekėją. Kaip greitai informuoti atsakingas institucijas?

Saugumo testai ir integracijų peržiūra

Praktiniai testai, kurie padeda aptikti spragas ten, kur jos dažniausiai slypi – API, webhook, duomenų mainuose.

DUK: dažniausiai užduodami klausimai

➤ Ar mažos įmonės taip pat turi vertinti savo tiekėjus?
 Jei įmonė patenka į „esminių“ arba „svarbių“ subjektų sąrašą – taip. Dydis nesvarbus, jei įmonė svarbi sektoriui.

➤ Ką daryti, jei tiekėjas nenori bendradarbiauti?
 Tai signalas, kad partneris nėra pasiruošęs. NIS2 leidžia atsisakyti rizikingų tiekėjų arba įpareigoti laikytis jūsų standartų.

➤ Ar užtenka vieną kartą pasirašyti SLA?
 Ne. Svarbu atlikti periodinius vertinimus – rizika kinta, technologijos keičiasi.

Apibendrinimas

2025-aisiais tiekimo grandinė = jūsų atsakomybė. NIS2 verčia organizacijas ne tik įgyvendinti saugumo priemones viduje, bet ir priverstinai pažvelgti į partnerius. O Baltic Amadeus padeda tai padaryti ne teoriškai, o praktiškai.