Stórar breytingar framundan Arnar Freyr Guðmundsson skrifar 2. október 2024 16:02 Í flóknum heimi þar sem tækni spilar lykilhlutverk getur skipt mjög miklu máli að tryggja öryggi alls þess ferlis sem vörur, þjónusta og upplýsingar fara í gegnum, allt frá framleiðslu til afhendingar til neytenda það sem við í daglegu tali köllum birgðakeðju. Það felur í sér að vernda bæði fyrirtæki og birgja þess gegn áhættu líkt og netógnunum, veikleikum í kerfum eða öryggisbrestum hjá þriðja aðila. Dæmi um öryggisbrest í birgjakeðju er CrowdStrike atvikið sem mörg urðu vör við í sumar en atvikið hafði meðal annars áhrif á flugsamgöngur og heilbrigðisþjónustu á heimsvísu. Aðfararnótt 19. júlí sendi CrowdStrike út uppfærslu á veiruvörn sinni, Falcon Sensor, sem olli því að Windows tölvur urðu óstarfhæfar vegna alvarlegs galla í nýjum rekli (e. driver). Uppfærslan var afturkölluð fljótt, en engu að síður urðu 8,5 milljónir tölva fyrir áhrifum og hafði atvikið alvarleg áhrif á fjölbreytta innviði um allan heim. Öryggisstefna skylda Mikilvægi öryggis birgjakeðju er sérstaklega áréttað í Evróputilskipun, sem tekur gildi í aðildarríkjum Evrópusambandsins 18. október 2024, en undirbúningur að innleiðingu hennar í íslensk lög er þegar hafinn. Með tilkomu tilskipunarinnar sem hefur heitið NIS2 verða fyrirtæki sem falla undir nauðsynlega og mikilvæga starfsemi skyldug til að tryggja að birgjar og þjónustuaðilar fylgi ströngum öryggiskröfum og stjórnendur bera ábyrgð á því að svo sé gert. Tilskipunin krefst þess að fyrirtæki hafi öfluga öryggisstefnu fyrir alla birgja. Stjórnendur bera þannig ábyrgð á því að fylgjast með öryggi birgjakeðjunnar og tryggja að allir aðilar uppfylli lágmarkskröfur um netöryggi. Birgjar þurfa að hafa innleitt áhættustýringarferli til að takast á við netógnir. Öryggisvottanir eða úttektir á birgjum skulu vera framkvæmdar reglulega til að tryggja að þeir fylgi ströngum öryggiskröfum. Viðbragðsáætlanir sem tryggja hröð viðbrögð við netárásum eða veikleikum í kerfum birgja skulu vera til staðar. Af þessu má sjá að aukin ábyrgð stjórnenda í öryggismálum er ein af stærstu og mikilvægustu breytingunum sem NIS2 felur í sér. Eins bera þeir ríka ábyrgð á því að meta og fylgjast með öryggisstefnu fyrirtækja og tryggja að birgjar og þjónustuaðilar fylgi settum öryggiskröfum. Þetta krefst þess að stjórnendur: Tryggi fjárhagslegan stuðning og mannafla til að innleiða öryggisstefnu. Fylgist reglulega með árangri og samræmi birgja og þjónustuaðila við öryggiskröfur. Meti áhættu sem fylgir birgjum og sjái til þess að allar áhættur séu teknar með í reikninginn við ákvarðanatöku. Stjórnendur þurfa að tryggja að öryggisstefna fyrirtækisins nái yfir alla birgjakeðjuna og að samningar við birgja taki mið af því að tryggja öryggi. Þetta getur verið í formi vottana, áreiðanleikakannana eða reglulegra úttektarferla til að tryggja að birgjar uppfylli ströngustu kröfur um netöryggi. Öryggi lykilatriði Stórar breytingar eru framundan með tilkomu NIS2, ábyrgð stjórnenda verður meiri og mikilvægt er að innleiða öflugar öryggisráðstafanir til að vernda birgjakeðjuna. Öryggi birgjakeðju er lykilatriði fyrir stöðugum rekstri og netöryggi fyrirtækja. Á þriðjudaginn í næstu viku, 8. október, stendur Fjarskiptastofa fyrir ráðstefnu á Hilton Reykjavík Nordica þar sem áhersla er lögð á aukna ábyrgð stjórnenda og mikilvægi öryggis birgjakeðjunnar í ljósi NIS2. Skráning fer fram hér: https://www.fjarskiptastofa.is/page/f9faad7e-8909-480f-87a1-513b540c3224 Höfundur er fagstjóri netvarna og prófana netöryggis á sviði stafræns öryggis hjá Fjarskiptastofu. Viltu birta grein á Vísi? Kynntu þér reglur ritstjórnar um skoðanagreinar. Senda grein Fjarskipti Mest lesið Kristján Loftsson og stalínistarnir Arngrímur Stefánsson Skoðun Ríkisstjórnir og fjölmiðlar Evrópu – sameinaðir í stuðningi við þjóðarmorð Hlynur Már V. Skoðun Pílagrímaganga fyrir líkama og sál Sr. Arna Grétarsdóttir Skoðun Getum við gert betur fyrir íslensk heimili? Berglind Guðmundsdóttir Skoðun Ofveiðin í ESB fyrir 500 árum Sigurjón Þórðarson Skoðun Að þýða texta er ekki það sama og að búa til námsefni Bogi Ragnarsson Skoðun Almyrkvinn 2026 – besta áhorfssvæðið gæti verið heima hjá þér Dagbjartur Kr. Brynjarsson Skoðun Hatursorðræða á ekki heima í íþrótta- og æskulýðsstarfi Þóra Sigfríður Einarsdóttir,Kristín Skjaldardóttir,Eygló Ósk Gústafsdóttir Skoðun Lögreglan auglýsir eftir vilja löggjafans Elías Blöndal Guðjónsson Skoðun Kynslóðaskipti í ferðaþjónustu: Ástríða dugar ekki ein og sér. Díana Mjöll Sveinsdóttir,Sveinn Sigurbjarnarson Skoðun Skoðun Skoðun Kristján Loftsson og stalínistarnir Arngrímur Stefánsson skrifar Skoðun Ríkisstjórnir og fjölmiðlar Evrópu – sameinaðir í stuðningi við þjóðarmorð Hlynur Már V. skrifar Skoðun Að þýða texta er ekki það sama og að búa til námsefni Bogi Ragnarsson skrifar Skoðun Ólafur Ragnar Grímsson og Cherry-picking Sigurður Kristinn Pálsson skrifar Skoðun Pílagrímaganga fyrir líkama og sál Sr. Arna Grétarsdóttir skrifar Skoðun Hatursorðræða á ekki heima í íþrótta- og æskulýðsstarfi Þóra Sigfríður Einarsdóttir,Kristín Skjaldardóttir,Eygló Ósk Gústafsdóttir skrifar Skoðun Lögreglan auglýsir eftir vilja löggjafans Elías Blöndal Guðjónsson skrifar Skoðun Kynslóðaskipti í ferðaþjónustu: Ástríða dugar ekki ein og sér. Díana Mjöll Sveinsdóttir,Sveinn Sigurbjarnarson skrifar Skoðun Kveðum niður gyðingahatur Guðmundur J. Guðmundsson skrifar Skoðun Almyrkvinn 2026 – besta áhorfssvæðið gæti verið heima hjá þér Dagbjartur Kr. Brynjarsson skrifar Skoðun Hvalfjarðarsveit kallar eftir samtali við Vegagerðina um umferðaröryggi Björn Bjarki Þorsteinsson skrifar Skoðun Tæknin kemur hratt - en ávinningurinn ekki sjálfkrafa Gísli Rafn Ólafsson skrifar Skoðun Óafsakanlegt, en ekki óleysanlegt Birgir Hrafn Birgisson skrifar Skoðun Ofveiðin í ESB fyrir 500 árum Sigurjón Þórðarson skrifar Skoðun Getum við gert betur fyrir íslensk heimili? Berglind Guðmundsdóttir skrifar Skoðun FIFA skapar nýja skúrka Bragi V. Bergmann skrifar Skoðun Vangaveltur Hörður Torfason skrifar Skoðun Þegar stórveldin gera það sem þeim sýnist er ESB okkar besti kostur Eiríkur Ragnarsson skrifar Skoðun Nærri þrír vinnumánuðir á ári – hinn ósýnilegi kostnaður endómetríósu Jón Ívar Einarsson skrifar Skoðun Temu-pakkar JP Zimsen eða alvöru hagsmunir Íslands Sveinn Atli Gunnarsson skrifar Skoðun Bless tollfrjálsu Temu, Shein og Alibaba Jón Pétur Zimsen skrifar Skoðun En stelirðu miklu... Ögmundur Jónasson skrifar Skoðun Menntun fyrir mennsku Fanney Dóróthe Halldórsdóttir skrifar Skoðun Ekki má draga víðtækar ályktanir af veikum gögnum Helga Rósa Másdóttir,Steinunn Þórðadóttir skrifar Skoðun Krónuskatturinn á kynslóðirnar: mesti skattur Íslandssögunnar Baldur Pétursson skrifar Skoðun Það er mér í hag að hinsegin fánar séu sýnilegir Daníel Ágúst Gautason skrifar Skoðun Minnir á kafla úr bók Franz Kafka Sigurður Páll Jónsson skrifar Skoðun Kannski erum við að spyrja rangra spurninga Haukur Logi Jóhannsson skrifar Skoðun „Að deila og drottna“ - hugleiðingar miðaldra konu að kvöldlagi Ingibjörg Einarsdóttir skrifar Skoðun Þegar maður gengur gegn eigin gildum Sigurður Árni Reynisson skrifar Sjá meira
Í flóknum heimi þar sem tækni spilar lykilhlutverk getur skipt mjög miklu máli að tryggja öryggi alls þess ferlis sem vörur, þjónusta og upplýsingar fara í gegnum, allt frá framleiðslu til afhendingar til neytenda það sem við í daglegu tali köllum birgðakeðju. Það felur í sér að vernda bæði fyrirtæki og birgja þess gegn áhættu líkt og netógnunum, veikleikum í kerfum eða öryggisbrestum hjá þriðja aðila. Dæmi um öryggisbrest í birgjakeðju er CrowdStrike atvikið sem mörg urðu vör við í sumar en atvikið hafði meðal annars áhrif á flugsamgöngur og heilbrigðisþjónustu á heimsvísu. Aðfararnótt 19. júlí sendi CrowdStrike út uppfærslu á veiruvörn sinni, Falcon Sensor, sem olli því að Windows tölvur urðu óstarfhæfar vegna alvarlegs galla í nýjum rekli (e. driver). Uppfærslan var afturkölluð fljótt, en engu að síður urðu 8,5 milljónir tölva fyrir áhrifum og hafði atvikið alvarleg áhrif á fjölbreytta innviði um allan heim. Öryggisstefna skylda Mikilvægi öryggis birgjakeðju er sérstaklega áréttað í Evróputilskipun, sem tekur gildi í aðildarríkjum Evrópusambandsins 18. október 2024, en undirbúningur að innleiðingu hennar í íslensk lög er þegar hafinn. Með tilkomu tilskipunarinnar sem hefur heitið NIS2 verða fyrirtæki sem falla undir nauðsynlega og mikilvæga starfsemi skyldug til að tryggja að birgjar og þjónustuaðilar fylgi ströngum öryggiskröfum og stjórnendur bera ábyrgð á því að svo sé gert. Tilskipunin krefst þess að fyrirtæki hafi öfluga öryggisstefnu fyrir alla birgja. Stjórnendur bera þannig ábyrgð á því að fylgjast með öryggi birgjakeðjunnar og tryggja að allir aðilar uppfylli lágmarkskröfur um netöryggi. Birgjar þurfa að hafa innleitt áhættustýringarferli til að takast á við netógnir. Öryggisvottanir eða úttektir á birgjum skulu vera framkvæmdar reglulega til að tryggja að þeir fylgi ströngum öryggiskröfum. Viðbragðsáætlanir sem tryggja hröð viðbrögð við netárásum eða veikleikum í kerfum birgja skulu vera til staðar. Af þessu má sjá að aukin ábyrgð stjórnenda í öryggismálum er ein af stærstu og mikilvægustu breytingunum sem NIS2 felur í sér. Eins bera þeir ríka ábyrgð á því að meta og fylgjast með öryggisstefnu fyrirtækja og tryggja að birgjar og þjónustuaðilar fylgi settum öryggiskröfum. Þetta krefst þess að stjórnendur: Tryggi fjárhagslegan stuðning og mannafla til að innleiða öryggisstefnu. Fylgist reglulega með árangri og samræmi birgja og þjónustuaðila við öryggiskröfur. Meti áhættu sem fylgir birgjum og sjái til þess að allar áhættur séu teknar með í reikninginn við ákvarðanatöku. Stjórnendur þurfa að tryggja að öryggisstefna fyrirtækisins nái yfir alla birgjakeðjuna og að samningar við birgja taki mið af því að tryggja öryggi. Þetta getur verið í formi vottana, áreiðanleikakannana eða reglulegra úttektarferla til að tryggja að birgjar uppfylli ströngustu kröfur um netöryggi. Öryggi lykilatriði Stórar breytingar eru framundan með tilkomu NIS2, ábyrgð stjórnenda verður meiri og mikilvægt er að innleiða öflugar öryggisráðstafanir til að vernda birgjakeðjuna. Öryggi birgjakeðju er lykilatriði fyrir stöðugum rekstri og netöryggi fyrirtækja. Á þriðjudaginn í næstu viku, 8. október, stendur Fjarskiptastofa fyrir ráðstefnu á Hilton Reykjavík Nordica þar sem áhersla er lögð á aukna ábyrgð stjórnenda og mikilvægi öryggis birgjakeðjunnar í ljósi NIS2. Skráning fer fram hér: https://www.fjarskiptastofa.is/page/f9faad7e-8909-480f-87a1-513b540c3224 Höfundur er fagstjóri netvarna og prófana netöryggis á sviði stafræns öryggis hjá Fjarskiptastofu.
Hatursorðræða á ekki heima í íþrótta- og æskulýðsstarfi Þóra Sigfríður Einarsdóttir,Kristín Skjaldardóttir,Eygló Ósk Gústafsdóttir Skoðun
Kynslóðaskipti í ferðaþjónustu: Ástríða dugar ekki ein og sér. Díana Mjöll Sveinsdóttir,Sveinn Sigurbjarnarson Skoðun
Skoðun Ríkisstjórnir og fjölmiðlar Evrópu – sameinaðir í stuðningi við þjóðarmorð Hlynur Már V. skrifar
Skoðun Hatursorðræða á ekki heima í íþrótta- og æskulýðsstarfi Þóra Sigfríður Einarsdóttir,Kristín Skjaldardóttir,Eygló Ósk Gústafsdóttir skrifar
Skoðun Kynslóðaskipti í ferðaþjónustu: Ástríða dugar ekki ein og sér. Díana Mjöll Sveinsdóttir,Sveinn Sigurbjarnarson skrifar
Skoðun Almyrkvinn 2026 – besta áhorfssvæðið gæti verið heima hjá þér Dagbjartur Kr. Brynjarsson skrifar
Skoðun Hvalfjarðarsveit kallar eftir samtali við Vegagerðina um umferðaröryggi Björn Bjarki Þorsteinsson skrifar
Skoðun Þegar stórveldin gera það sem þeim sýnist er ESB okkar besti kostur Eiríkur Ragnarsson skrifar
Skoðun Nærri þrír vinnumánuðir á ári – hinn ósýnilegi kostnaður endómetríósu Jón Ívar Einarsson skrifar
Skoðun Ekki má draga víðtækar ályktanir af veikum gögnum Helga Rósa Másdóttir,Steinunn Þórðadóttir skrifar
Skoðun „Að deila og drottna“ - hugleiðingar miðaldra konu að kvöldlagi Ingibjörg Einarsdóttir skrifar
Hatursorðræða á ekki heima í íþrótta- og æskulýðsstarfi Þóra Sigfríður Einarsdóttir,Kristín Skjaldardóttir,Eygló Ósk Gústafsdóttir Skoðun
Kynslóðaskipti í ferðaþjónustu: Ástríða dugar ekki ein og sér. Díana Mjöll Sveinsdóttir,Sveinn Sigurbjarnarson Skoðun