Sisältökirjasto
NIS2 Opas
5.1.2: Supplier and service provider selection criteria
NIS2 Täytäntöönpanoasetus
5.1.2

Supplier and service provider selection criteria

Aloita ilmainen kokeilu

Vaatimuksen kuvaus

As part of the supply chain security policy referred to in point 5.1.1, the relevant entities shall lay down criteria to select and contract suppliers and service providers. Those criteria shall include the following:

  1. the cybersecurity practices of the suppliers and service providers, including their secure development procedures;
  2. the ability of the suppliers and service providers to meet cybersecurity specifications set by the relevant entities;
  3. the overall quality and resilience of ICT products and ICT services and the cybersecurity risk-management measures embedded in them, including the risks and classification level of the ICT products and ICT services;
  4. the ability of the relevant entities to diversify sources of supply and limit vendor lock-in, where applicable.

Kuinka täyttää vaatimus

NIS2 Täytäntöönpanoasetus

5.1.2: Supplier and service provider selection criteria

Tehtävän nimi
Prioriteetti
Tila
Teema
Politiikka
Muut vaatimukset

Toimitusketjun turvallisuuden varmistaminen

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Kumppanihallinta
Toimittajien turvallisuus
9
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
Art. 24.3: Sicurezza della catena di approvvigionamento
NIS2 Italy
§ 32.(4).d: Sicherheit in der Lieferkette
NIS2 Austria
§ 30.(2).4: Sicherheit der Lieferkette
NIS2 Germany
§ 30: Krav til sikkerhed i forsyningskæden
Energisektor beredskabsbekendtgørelse
§ 29: Procedurer for sikkerhed i forsyningskæden
Energisektor beredskabsbekendtgørelse
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Toimitusketjun turvallisuuden varmistaminen
1. Tehtävän vaatimuskuvaus

Organisaation on otettava huomioon kuhunkin suoraan toimittajaan ja palveluntarjoajaan liittyvät erityiset haavoittuvuudet sekä toimittajien ja palveluntarjoajien tietoturvatuotteiden ja -käytäntöjen yleinen laatu, mukaan lukien niiden turvalliset kehitysmenettelyt.

Lisäksi organisaation on otettava huomioon verkko- ja tietoturvayhteistyöryhmän toteuttamien kriittisiin toimitusketjuihin kohdistuvien turvallisuusriskien koordinoitujen arviointien tulokset.

Mahdollisten toimittajien arviointi

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Kumppanihallinta
Toimittajien turvallisuus
11
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
GV.SC-06: Due diligence and planning with suppliers and third-party relationships
NIST 2.0
ID.RA-10: Critical suppliers
NIST 2.0
5.19: Informatiebeveiliging in relaties met leveranciers
NEN 7510
§ 8: Hantering av leverantörssäkerhet
MSBFS 2020:6
§ 19.6.f: Analýza rizík dodávateľského reťazca
NIS2 Slovakia
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Mahdollisten toimittajien arviointi
1. Tehtävän vaatimuskuvaus

Kaikki mahdolliset toimittajat, kriittisten resurssien toimittajat ja muut asiaankuuluvat kolmannet osapuolet arvioidaan ennen hankintaa esimerkiksi seuraavin keinoin:

  • Perusteellisen due diligence -tarkastuksen tekeminen sekä hankinnansuunnittelu, jotka vastaavat kunkin toimittajasuhteen riskitasoa, kriittisyyttä ja monimutkaisuutta.
  • Arvioidaan teknologian sekä riskinhallinta- ja kyberturvallisuuskäytäntöjen soveltuvuus.
  • Tehdään toimittajien riskinarviointeja liiketoiminnan ja sovellettavien kyberturvallisuusvaatimusten perusteella.
  • Arvioidaan kriittisten tuotteiden aitous, eheys ja turvallisuus ennen hankintaa ja käyttöä.

Riskinarviointi ja harkinta kriittisiä toimintoja tukevien ICT-palvelujen hankinnassa

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Kumppanihallinta
Sopimukset ja seuranta
4
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
Article 29: Preliminary assessment of ICT concentration risk at entity level
DORA
2.1.9: Maintain security responsibility during outsourcing
NSM ICT-SP
Article 34: ICT operations security
DORA simplified RMF
5.1.2: Supplier and service provider selection criteria
NIS2 Opas
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Riskinarviointi ja harkinta kriittisiä toimintoja tukevien ICT-palvelujen hankinnassa
1. Tehtävän vaatimuskuvaus

Arvioidessaan kriittisiä toimintoja tukeviin ICT-palveluihin liittyviä riskejä tulee ottaa huomioon:

  • Onko kyseessä sopimuksen tekeminen ei-korvattavan ICT-palveluntarjoajan kanssa.
  • Useiden sopimusten vaikutukset samojen tai läheisesti toisiinsa liittyvien ICT-palveluntarjoajien kanssa.
  • Vvaihtoehtoisten ratkaisujen arviointi, kuten eri palveluntarjoajien käyttö, liiketoiminnan tarpeiden mukauttaminen ja digitaalinen häiriönsietostrategia.

Mitä tulee alihankintaan:

  • Rahoituslaitosten tulee arvioida alihankinnan hyödyt ja riskit, erityisesti kun alihankkijat sijaitsevat kolmansissa maissa.
  • Maksukyvyttömyyslain säännösten huomioon ottaminen palveluntarjoajan konkurssin ja tietojen palauttamisen rajoitusten yhteydessä.
  • Unionin tietosuojasääntöjen noudattaminen ja lainvalvonta kolmansissa maissa.
  • Monimutkaisten alihankintaketjujen mahdollisten vaikutusten arviointi seuranta- ja valvontakykyyn.

Politiikkaan sisältyviä tietoturvatehtäviä

Tehtävän nimi
Prioriteetti
Tila
Teema
Politiikka
Muut vaatimukset
No items found.

Autamme täyttämään vaatimukset tehokkaasti Universal cyber compliance language -teknologialla

Digiturvamallissa kaikki vaatimuskehikkojen vaatimukset kohdistetaan universaaleihin tietoturvatehtäviin, jotta voitte muodostaa yksittäisen suunnitelman, joka täyttää ison kasan vaatimuksia.

Tietoturvakehikoilla on yleensä yhteinen ydin. Kaikki kehikot kattavat perusaiheita, kuten riskienhallinnan, varmuuskopioinnin, haittaohjelmat, henkilöstön tietoisuuden tai käyttöoikeuksien hallinnan omissa osioissaan.
Digiturvamallin "universal cyber compliance language" -teknologia luo teille yksittäisen suunnitelman ja varmistaa, että kehikkojen yhteiset osat tehdään vain kerran. Te voitte keskittyä suunnitelman toteuttamiseen, me automatisoimme compliance-osan - nykyisiä ja tulevia vaatimuksia päin.
Aloita ilmainen kokeilu
Tutustu Digiturvamalliin
Aloita ilmainen kokeilu
Digiturvamallin avulla rakennat tietoturvallisen ja halutut vaatimukset täyttävän organisaation. Halusitko kehittää tietoturvan hallintaa yleisesti, raportoida omasta NIS2-valmiudesta tai hankkia ISO 27001 -sertifioinnin, Digiturvamalli yksinkertaistaa koko prosessia.
AI-pohjaiset parannussuositukset ja käyttäjäystävällinen työkalu varmistavat, että organisaationne voi olla luottavainen vaatimusten täyttymisestä ja keskittyä oman tietoturvan jatkuvaan parantamiseen.
Selkeä suunnitelma vaatimusten täyttämiseen
Aktivoi teille tärkeät vaatimuskehikot ja jalkauta niiden vaatimukset täyttäviä selkeitä toimenpiteitä.
Uskottavat raportit todisteiksi hyvästä tietoturvasta
Etene tehtävien avulla varmistaaksesi turvallisen toiminnan. Luo ammattimaisia ​​raportteja muutamalla napsautuksella.
AI-avusteiset parannussuositukset
Keskity vaikuttavimpiin parannuksiin Digiturvamallin suositusten avulla.

Aloita jo tänään

Aloita ilmaiseksi tutussa Microsoft Teams -ympäristössä.
Jos sinulla on kysymyksiä, varaa palaveri sinulle sopivaan ajankohtaan.

Ilmainen 14 päivän kokeilu
Varaa palaveri
EtusivuHinnastoAsiakkaatTiimiTietoturvaVaraa demoVaraa palaveriKirjauduKokeile
Kuinka se toimii?
YhteenvetoTietoturvatehtävät ja toteutusDokumennoin työkalutHenkilöstön digiturvaohjeetAutomatisoitu raportointi
Käyttötavat
Kehikon mukaanKaikki vaatimuskehikotISO 27001TiedonhallintalakiNIS2-direktiiviNIST CSFCSA CCMISO 27701GDPR, Tietosuoja-asetusISO 27017ISO 27018
Teeman mukaanTietoturvariskien hallintaHenkilöstön tietoisuusCompliance-raportointiHallintakeinojen toteutusSuojattavan omaisuuden hallintaDynaamiset politiikkadokumentitTietosuojan hallinta
Resurssit
AkatemiaWebinaaritTilaa uutiskirjeOhjekeskusBlogiTrust centerVideokurssitViikon digiturvauutisetKäyttöehdotTietosuojaselosteetSisältöpankki: ISO 27001Sisältöpankki: GDPRSisältöpankki: KatakriSisältöpankki: TiedonhallintalakiLabs
Ota yhteyttä
+358 10 231 6010
tiimi@digiturvamalli.fi
Labs
Tarjolla kielillä:
Digiturvamalli tunnetaan kansainvälisesti nimellä Cyberday
© Cyberday Oy, Kalevantie 2 33100 Tampere, Suomi
Digiturvamalli.fi - Moderni alusta tietoturvan hallintaan ja sertifiointiin