Sisältökirjasto
NIS2 Opas
5.1.4: Supply chain contractual security obligations
NIS2 Täytäntöönpanoasetus
5.1.4

Supply chain contractual security obligations

Aloita ilmainen kokeilu

Vaatimuksen kuvaus

Based on the supply chain security policy and taking into account the results of the risk assessment carried out in accordance with point 2.1 of this Annex, the relevant entities shall ensure that their contracts with the suppliers and service providers specify, where appropriate through service level agreements, the following, where appropriate:

  1. cybersecurity requirements for the suppliers or service providers, including requirements as regards the security in acquisition of ICT services or ICT products set out in point 6.1;
  2. requirements regarding awareness, skills and training, and where appropriate certifications, required from the suppliers’ or service providers’ employees;
  3. requirements regarding the verification of the background of the suppliers’ and service providers’ employees;
  4. an obligation on suppliers and service providers to notify, without undue delay, the relevant entities of incidents that present a risk to the security of the network and information systems of those entities;
  5. the right to audit or right to receive audit reports;
  6. an obligation on suppliers and service providers to handle vulnerabilities that present a risk to the security of the network and information systems of the relevant entities;
  7. requirements regarding subcontracting and, where the relevant entities allow subcontracting, cybersecurity requirements for subcontractors in accordance with the cybersecurity requirements referred to in point (a);
  8. obligations on the suppliers and service providers at the termination of the contract, such as retrieval and disposal of the information obtained by the suppliers and service providers in the exercise of their tasks.

Kuinka täyttää vaatimus

NIS2 Täytäntöönpanoasetus

5.1.4: Supply chain contractual security obligations

Tehtävän nimi
Prioriteetti
Tila
Teema
Politiikka
Muut vaatimukset

Toimittajasopimusten nykytilan dokumentointi

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Kumppanihallinta
Sopimukset ja seuranta
78
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
Članak 30.1.d: Sigurnost lanca opskrbe
NIS2 Croatia
9.4 §: Toimitusketjun hallinta ja valvonta
Kyberturvallisuuslaki
30 § 3.4°: La sécurité de la chaîne d'approvisionnement
NIS2 Belgium
30 § 4°: Définir et contrôler les mesures de sécurité requises pour la chaîne d'approvisionnement
NIS2 Belgium
2.1.9: Maintain security responsibility during outsourcing
NSM ICT-SP
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Toimittajasopimusten nykytilan dokumentointi
1. Tehtävän vaatimuskuvaus

Kaikkien tietojen käsittelyyn suorasti tai välillisesti osallistuvien kumppanien kanssa laaditaan toimittajasopimus. Tavoitteena on varmistaa, että organisaation ja toimittajan välillä ei ole väärinymmärryksiä osapuolten velvoitteista tietoturvavaatimusten täyttämisessä.

Organisaatio sisällyttää toimittajasopimukseen tarvittaessa seuraavat asiat:

  • toimittajan käyttämät tiedot (ja tiedon mahdollinen luokitus) sekä tietoihin pääsyn saava henkilöstö
  • tiedon hyväksyttävän käytön säännöt
  • tietoja käsittelevän henkilöstön salassapitovelvollisuus
  • työnjako viranomaisvaatimusten täyttämisessä
  • sopimusosapuolten hallintatehtävät tietoturvaan liittyen (esim. pääsynhallinta, valvonta)
  • häiriöiden ilmoittaminen ja korjaaminen
  • vaatimukset toimittajan alihankkijoiden käytölle
  • lupa auditoida sopimukseen liittyvät toimittajan prosessit ja hallintakeinot (ja puutteiden korjaaminen)
  • sitoutuminen tietojen palauttamiseen tai tuhoamiseen sopimuksen päättyessä
  • toimittajan vastuu noudattaa organisaation tietoturvakäytäntöjä

Vakuussopimus toimittajan kanssa

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Kumppanihallinta
Toimittajien turvallisuus
4
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
§ 4.1: Säkerhetsskyddsavtal
SSL
8.1: Awareness raising and basic cyber hygiene practices
NIS2 Opas
5.1.4: Supply chain contractual security obligations
NIS2 Opas
34: Tiekėjų sutarčių reikalavimai
NIS2 Guide Lithuania
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Vakuussopimus toimittajan kanssa
1. Tehtävän vaatimuskuvaus

Kaikkien suoraan tai välillisesti tietojen käsittelyyn osallistuvien kumppaneiden kanssa laaditaan toimittajasopimus. Tavoitteena on varmistaa, että organisaation ja toimittajan välillä ei ole väärinkäsityksiä osapuolten velvollisuuksista turvallisuusvaatimusten noudattamisen suhteen.

Organisaation on sisällytettävä toimittajasopimukseen tarvittaessa:

  • täsmennetään osapuolten lakisääteiset velvollisuudet ja vastuut.
  • toimittajan käsittelemien hankintojen tai tietojen luokittelu.
  • osapuolten vastuut viranomaisvaatimusten täyttämisessä
  • alihankkijoiden käyttöä koskevat vaatimukset
  • sallitaan sopimukseen liittyvien toimittajan prosessien ja valvonnan auditointi (ja sitoudutaan korjaamaan vaatimustenvastaisuudet)
  • toimittajan vastuu ja keinot noudattaa organisaation turvallisuusohjeita
  • toimittajan vastuu lakisääteisten vaatimusten täyttämisestä aiheutuvista kustannuksista, ellei sopimuksessa toisin määrätä.

Prosessi haavoittuvuusilmoitusten käsittelyä ja jakamista varten

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Kumppanihallinta
Sopimukset ja seuranta
14
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
RS.AN-5: Processes are established to receive, analyse, and respond to vulnerabilities disclosed to the organization from internal and external sources.
CyberFundamentals
ID.RA-08: Processes for handling vulnerability disclosures
NIST 2.0
30 § 3.11°: Divulgation des vulnérabilités
NIS2 Belgium
14.5.6): Tinklų ir informacinių sistemų saugumą
NIS2 Lithuania
Haav.6: Tietojen jakaminen mahdollisista haavoittuvuuksista
CRA
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Prosessi haavoittuvuusilmoitusten käsittelyä ja jakamista varten
1. Tehtävän vaatimuskuvaus

Organisaatio ottaa käyttöön prosessit ja keinot haavoittuvuusilmoitusten käsittelemiseksi ja jakamiseksi, kuten:

  • Prosessit, joilla vastaanotetaan, analysoidaan ja vastataan toimittajilta, asiakkailta, kumppaneilta ja valtion kyberturvallisuusorganisaatioilta saatuihin haavoittuvuusilmoituksiin.
  • Haavoittuvuustietojen jakaminen organisaation ja toimittajien välillä sopimussääntöjen ja -käytäntöjen mukaisesti.
  • Vastuun jakaminen asianomaiselle henkilöstölle ilmoitettujen kyberturvallisuusuhkien, haavoittuvuuksien tai vaaratilanteiden käsittelyn ja vaikutusten analysoinnin osalta.

Järjestelmäkuvauksen vaatiminen hankittavien tärkeiden tietojärjestelmien toimittajilta

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Järjestelmien hallinta
Järjestelmien hankinta
36
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
HAL-16: Hankintojen turvallisuus
Julkri
21.2.e: Secure system acquisition and development
NIS2
2.1.1: Include security in the organisation’s procurement process
NSM ICT-SP
2.1.10: Review the service provider’s security when outsourcing
NSM ICT-SP
30 § 3.5°: L'acquisition, du développement et de la maintenance des réseaux et des systèmes d'information
NIS2 Belgium
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Järjestelmäkuvauksen vaatiminen hankittavien tärkeiden tietojärjestelmien toimittajilta
1. Tehtävän vaatimuskuvaus

Organisaation on varmistettava jo ennakolta, että hankittavat tietojärjestelmät ovat tietoturvallisia. Tämän varmistamiseksi tärkeä hankittavan tietojärjestelmän toimittajalta on vaadittava riittäviä turvallisuuteen liittyviä selvityksiä jo hankintavaiheessa.

Toimittajan tulee selvittää vähintään seuraavat:

  • Palvelusta on järjestelmäkuvaus. Palveluntarjoajan kuvauksen perusteella on pystyttävä arvioimaan kyseisen palvelun yleistä soveltuvuutta kyseiseen asiakkaan käyttötapaukseen. Järjestelmäkuvauksesta tulee käydä ilmi vähintään
  • Palvelun palvelu- ja toteutusmallit, sekä näihin liittyvät palvelutasosopimukset (Service Level Agreements, SLAs).
  • Palvelun tarjoamisen elinkaaren (kehittäminen, käyttö, käytöstä poisto) periaatteet, menettelyt ja turvatoimet, valvontatoimet mukaan lukien.
  • Palvelun kehittämisessä, ylläpidossa/hallinnassa ja käytössä käytettävän infrastruktuurin, verkon ja järjestelmäkomponenttien kuvaus.
  • Muutostenhallinnan periaatteet ja käytännöt, erityisesti turvallisuuteen vaikuttavien muutosten käsittelyprosessit.
  • Käsittelyprosessit merkittäville normaalikäytöstä poikkeaville tapahtumille, esimerkiksi toimintatavat merkittävissä järjestelmävikaantumisissa.
  • Palvelun tarjoamiseen ja käyttöön liittyvät roolit ja vastuunjako asiakkaan ja palveluntarjoajan välillä. Kuvauksesta on käytävä selvästi esille ne toimet, jotka kuuluvat asiakkaan vastuulle palvelun turvallisuuden varmistamisessa. Palveluntarjoajan vastuisiin tulee sisältyä yhteistyövelvollisuus erityisesti poikkeamatilanteiden selvittelyssä.
  • Alihankkijoille siirretyt tai ulkoistetut toiminnot.

Politiikkaan sisältyviä tietoturvatehtäviä

Tehtävän nimi
Prioriteetti
Tila
Teema
Politiikka
Muut vaatimukset
No items found.

Autamme täyttämään vaatimukset tehokkaasti Universal cyber compliance language -teknologialla

Digiturvamallissa kaikki vaatimuskehikkojen vaatimukset kohdistetaan universaaleihin tietoturvatehtäviin, jotta voitte muodostaa yksittäisen suunnitelman, joka täyttää ison kasan vaatimuksia.

Tietoturvakehikoilla on yleensä yhteinen ydin. Kaikki kehikot kattavat perusaiheita, kuten riskienhallinnan, varmuuskopioinnin, haittaohjelmat, henkilöstön tietoisuuden tai käyttöoikeuksien hallinnan omissa osioissaan.
Digiturvamallin "universal cyber compliance language" -teknologia luo teille yksittäisen suunnitelman ja varmistaa, että kehikkojen yhteiset osat tehdään vain kerran. Te voitte keskittyä suunnitelman toteuttamiseen, me automatisoimme compliance-osan - nykyisiä ja tulevia vaatimuksia päin.
Aloita ilmainen kokeilu
Tutustu Digiturvamalliin
Aloita ilmainen kokeilu
Digiturvamallin avulla rakennat tietoturvallisen ja halutut vaatimukset täyttävän organisaation. Halusitko kehittää tietoturvan hallintaa yleisesti, raportoida omasta NIS2-valmiudesta tai hankkia ISO 27001 -sertifioinnin, Digiturvamalli yksinkertaistaa koko prosessia.
AI-pohjaiset parannussuositukset ja käyttäjäystävällinen työkalu varmistavat, että organisaationne voi olla luottavainen vaatimusten täyttymisestä ja keskittyä oman tietoturvan jatkuvaan parantamiseen.
Selkeä suunnitelma vaatimusten täyttämiseen
Aktivoi teille tärkeät vaatimuskehikot ja jalkauta niiden vaatimukset täyttäviä selkeitä toimenpiteitä.
Uskottavat raportit todisteiksi hyvästä tietoturvasta
Etene tehtävien avulla varmistaaksesi turvallisen toiminnan. Luo ammattimaisia ​​raportteja muutamalla napsautuksella.
AI-avusteiset parannussuositukset
Keskity vaikuttavimpiin parannuksiin Digiturvamallin suositusten avulla.

Aloita jo tänään

Aloita ilmaiseksi tutussa Microsoft Teams -ympäristössä.
Jos sinulla on kysymyksiä, varaa palaveri sinulle sopivaan ajankohtaan.

Ilmainen 14 päivän kokeilu
Varaa palaveri
EtusivuHinnastoAsiakkaatTiimiTietoturvaVaraa demoVaraa palaveriKirjauduKokeile
Kuinka se toimii?
YhteenvetoTietoturvatehtävät ja toteutusDokumennoin työkalutHenkilöstön digiturvaohjeetAutomatisoitu raportointi
Käyttötavat
Kehikon mukaanKaikki vaatimuskehikotISO 27001TiedonhallintalakiNIS2-direktiiviNIST CSFCSA CCMISO 27701GDPR, Tietosuoja-asetusISO 27017ISO 27018
Teeman mukaanTietoturvariskien hallintaHenkilöstön tietoisuusCompliance-raportointiHallintakeinojen toteutusSuojattavan omaisuuden hallintaDynaamiset politiikkadokumentitTietosuojan hallinta
Resurssit
AkatemiaWebinaaritTilaa uutiskirjeOhjekeskusBlogiTrust centerVideokurssitViikon digiturvauutisetKäyttöehdotTietosuojaselosteetSisältöpankki: ISO 27001Sisältöpankki: GDPRSisältöpankki: KatakriSisältöpankki: TiedonhallintalakiLabs
Ota yhteyttä
+358 10 231 6010
tiimi@digiturvamalli.fi
Labs
Tarjolla kielillä:
Digiturvamalli tunnetaan kansainvälisesti nimellä Cyberday
© Cyberday Oy, Kalevantie 2 33100 Tampere, Suomi
Digiturvamalli.fi - Moderni alusta tietoturvan hallintaan ja sertifiointiin