NIS2 Täytäntöönpanoasetus

Vaatimuksen kuvaus

For the purpose of point 5.1.6, the relevant entities shall:

regularly monitor reports on the implementation of the service level agreements, where applicable;
review incidents related to ICT products and ICT services from suppliers and service providers;
assess the need for unscheduled reviews and document the findings in a comprehensible manner;
analyse the risks presented by changes related to ICT products and ICT services from suppliers and service providers and, where appropriate, take mitigating measures in a timely manner.

Kuinka täyttää vaatimus

5.1.7: Monitoring and analysis of supplier and service provider performance

Tehtävän nimi

Prioriteetti

Tila

Teema

Politiikka

Muut vaatimukset

Critical

High

Normal

Low

Täysin tehty

Pääosin tehty

Osin tehty

Tekemättä

Kumppanihallinta

Toimittajien turvallisuus

vaatimusta

Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa

5.1.7: Monitoring and analysis of supplier and service provider performance

NIS2 Opas

5.1.6: Monitoring of supplier and service provider practices

NIS2 Opas

Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.

Siirry kohtaan >

Toimitusketjun turvallisuuspolitiikan säännöllinen tarkistaminen

1. Tehtävän vaatimuskuvaus

The organization shall maintain a structured process to review, evaluate and update its supply chain security policy through both event-driven and planned activities. The policy should remain effective, relevant and aligned with the organization’s supplier landscape, risk exposure, regulatory obligations and business needs. The process should include:

A review of the supply chain security policy following significant supplier-related security incidents, major changes in supplier operations, material shifts in risk, or at defined recurring intervals.
An evaluation of whether incidents, changes, or periodic assessments reveal gaps, weaknesses, or unclear expectations in the existing policy.
An assessment of the impact of changes in supplier and service provider cybersecurity practices, services, access levels, or dependencies on the organization’s risk profile.
Consideration of the relevant changes in regulations, internal security objectives, and operational requirements as part of the review.
A determination of whether policy updates, additional requirements, or corrective actions are necessary based on the evaluation.
Outcomes of each review should be documented. This should include decisions taken, required updates, and assigned responsibilities.
The supply chain security policy should be updated as needed. Changes should be communicated to relevant internal stakeholders.

This approach ensure lessons learned from incidents and changes, as well as ongoing business and risk developments, are systematically reflected in the supply chain security policy to reduce the likelihood of recurring issues while maintaining effective governance processes overall.

Critical

High

Normal

Low

Täysin tehty

Pääosin tehty

Osin tehty

Tekemättä

Kumppanihallinta

Sopimukset ja seuranta

vaatimusta

Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa

Članak 30.2: Dobavljačka kibernetička sigurnost i rizici

NIS2 Croatia

1.2.4: Definition of responsibilities with service providers

TISAX

30 § 4°: Définir et contrôler les mesures de sécurité requises pour la chaîne d'approvisionnement

NIS2 Belgium

2.1.10: Review the service provider’s security when outsourcing

NSM ICT-SP

ID.SC-3: Contracts with suppliers and third-party partners are used to implement appropriate measures designed to meet the objectives of an organization’s cybersecurity program and Cyber Supply Chain Risk Management Plan.

CyberFundamentals

Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.

Siirry kohtaan >

Toimittajien tietoturvavaatimusten noudattamisen seuranta

1. Tehtävän vaatimuskuvaus

Nimetty vastuuhenkilö seuraa toimittajan toimintaa ja palveluita aktiivisesti, jotta varmistetaan sopimusten tietoturvaehtojen noudattaminen ja tietoturvahäiriöiden asianmukainen hallinta.

Seurantaan sisältyvät seuraavat asiat:

luvatun palvelutason tarkkailu
toimittajan raporttien katselmointi ja seurantapalaverien järjestäminen
riippumattomien auditointien säännöllinen järjestäminen
auditoinneissa tunnistettujen ongelmien seuranta
tietoturvahäiriöiden tarkempi selvittäminen ja niihin liittyvän dokumentaation katselmointi
toimittajan tulevaisuuteen liittyvien suunnitelmien läpikäynti (palvelutason ylläpitämiseen liittyen)

Critical

High

Normal

Low

Täysin tehty

Pääosin tehty

Osin tehty

Tekemättä

Kumppanihallinta

Sopimukset ja seuranta

vaatimusta

Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa

15.2.2: Toimittajan palveluihin tulevien muutosten hallinta

ISO 27001

HAL-16.1: Hankintojen turvallisuus - sopimukset

Julkri

CC3.4: Identification and assesment of changes

SOC 2

CC9.2: Partner risk management

SOC 2

Art. 10: Dienstleister

CSV

Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.

Siirry kohtaan >

Toimittajan palveluja koskevien muutosten hallinta

1. Tehtävän vaatimuskuvaus

Vastuuhenkilö seuraa merkittäviä muutoksia toimittajan toiminnassa, jotka voivat vaikuttaa toimittajasuhteeseen ja palveluntarjontaan sekä vaatia täten muita toimenpiteitä. Seuraavat näkökohdat huomioidaan:

suorat muutokset toimittajasopimuksiin
palvelusisällön parannukset, uudet teknologiat tai uusien palvelujen kehittäminen
toimintatapojen merkittävät muutokset (joko tietoturvaan tai muuhun toimintaan liittyen)
tietojen fyysistä sijaintia koskevat muutokset
toimittajaketjun / alihankintaprosessin muutokset

Politiikkaan sisältyviä tietoturvatehtäviä

Tehtävän nimi

Prioriteetti

Tila

Teema

Politiikka

Muut vaatimukset

No items found.

Vaatimuskehikot

Käyttötavat

Ominaisuudet

Muut

Vaatimuksen kuvaus

Kuinka täyttää vaatimus