Forsyningskjedesikkerhet og Third Party Risk Management er avgjørende i EUs regulerende landskap. Les med og lær å navigere i eksterne risikoer.
Forsyningskjedesikkerhet: Kom i gang med Third Party Risk Management

Forsyningskjedesikkerhet: Kom i gang med Third Party Risk Management

Time Reading
8 minutters lesing
Risk

Sikkerhet i leverandørkjeden og Third Party Risk Management er uunngåelige temaer for organisasjoner i EU. Strengere regelverk som NIS2GDPR og CSRD stiller stadig strengere krav til organisasjoner når det gjelder håndtering av data og sikkerhet. Det er ikke lenger nok bare å håndtere egen virksomhet, du må også kjenne til og håndtere risikoen ved å samarbeide med tredjeparter.

Hva er risikostyring av tredjeparter?

Tredjepartsrisikostyring er en integrert del av en organisasjons overordnede risikostyringsstrategi og fokuserer på å identifisere, vurdere og håndtere risikoen forbundet med forretningsrelasjoner med tredjeparter. Dette omfatter leverandører, distributører, underleverandører, tjenesteleverandører, partnere og andre eksterne aktører som har tilgang til organisasjonens data, systemer eller ressurser.

Uten effektiv håndtering av tredjepartsrisiko kan organisasjoner bli utsatt for økonomiske tap, juridiske komplikasjoner og omdømmetap. Derfor er det viktig å integrere sikkerheten i leverandørkjeden i organisasjonens overordnede risikostyringsstrategi og sørge for at den er i tråd med forretningsmålene og de lovpålagte forpliktelsene.

I takt med at organisasjoner i stadig større grad outsourcer funksjoner, inngår komplekse partnerskap og er avhengige av en global leverandørkjede, er risikoen for uforutsette hendelser høyere enn noen gang - derfor er det viktig å ha oversikt over sikkerheten i leverandørkjeden.

Ledelsens ansvar for sikkerhet i leverandørkjeden

I lys av NIS2-direktivet har ledelsens rolle i tredjepartsrisikostyring blitt enda viktigere. Direktivet krever at organisasjonens ledelse ikke bare er klar over, men også aktivt engasjert i risikostyringsprosessen. Dette innebærer at ledelsen har et direkte ansvar for å identifisere og håndtere cyberrisiko, inkludert risiko fra tredjeparter i leverandørkjeden.

NIS2 forplikter ledelsen til å sørge for at organisasjonens cybersikkerhetstiltak er på plass og oppdatert, noe som inkluderer due diligence av tredjeparts sikkerhetsprotokoller. Det er ikke lenger nok å fokusere på interne sikkerhetstiltak, ledelsen må også sørge for at forretningspartnerne oppfyller direktivets krav til cybersikkerhet og personvern.

Dette skaper en synergi mellom NIS2 og tredjepartsrisikostyring, der ledelsen ikke bare må sørge for at direktivets krav overholdes internt, men også i hele leverandørkjeden. Manglende etterlevelse eller svakheter hos en tredjepart kan få direkte konsekvenser for organisasjonens etterlevelsesstatus og dermed for den økonomiske risikoen og omdømmerisikoen, og derfor er det viktig å undersøke og forstå omfanget av sikkerheten i leverandørkjeden.

Kartlegging av prosesser

Effektiv risikostyring av tredjepartsrisiko krever en helhetlig tilnærming som tar hensyn til en rekke faktorer, inkludert de regulatoriske kravene i GDPR, NIS2 og CSRD.

Det første steget i prosessen er å identifisere, dokumentere og analysere alle interaksjoner med tredjeparter for å skape en oversikt. Hensikten er å få en fullstendig forståelse av hvordan tredjeparter er integrert i organisasjonens verdikjede og hvilke risikoer de potensielt kan medføre.

Kartleggingen må ta hensyn til de regulatoriske kravene organisasjonen må overholde - f.eks:

  • GDPR: Organisasjonen må ha kontroll over hvordan personopplysninger håndteres både internt og av tredjeparter.
  • NIS2: Organisasjonen må vurdere cybersikkerhetsrisiko både internt og med alle forretningspartnere.
  • CSRD: Bærekraftsrapportering bør ikke bare omfatte organisasjonens egen praksis, men også tredjeparters praksis.

Ved å analysere samspillet i detalj kan organisasjonen identifisere områder som krever ytterligere kontrolltiltak, aktsomhetsvurderinger eller overvåking, og proaktivt håndtere risikoer før de blir kritiske.

Eksempler på risikoer i leverandørkjeden

For å kunne navigere trygt i et komplekst forretningslandskap er det avgjørende å forstå de potensielle risikoene som kan oppstå når man samarbeider med tredjeparter. Risikoen kan variere betydelig avhengig av sektor, geografi og samarbeidets spesifikke karakter, men noen av de vanligste risikoene er følgende

  • Cybersikkerhetsrisiko: Et svakt sikkerhetsoppsett hos en tredjepart kan sette organisasjonens data og systemer i fare og unødvendig risiko.
  • Samsvarsrisiko: Hvis en tredjepart ikke overholder lovgivning som GDPR eller NIS2, kan det få juridiske konsekvenser for organisasjonen.
  • Omdømmerisiko: Uetisk eller uansvarlig atferd fra en tredjeparts side kan påvirke organisasjonens omdømme.
  • Driftsrisiko: Forsinkelser eller svikt i leveranser fra en tredjepart kan forstyrre organisasjonens drift og føre til tap av inntekter.

Sikkerhet i forsyningskjeden: Slik kommer du i gang med risikostyring fra tredjeparter

Med et solid grunnlag for tredjepartsrisikostyring og en forståelse av de lovpålagte kravene til organisasjonen, er neste steg å se nærmere på hvordan du faktisk kommer i gang med å implementere en ny tredjepart i organisasjonen.

Overordnet sett kan implementeringen deles inn i fem trinn:

1) Due diligence av den nye tredjeparten

Før organisasjonen inngår et formelt samarbeid med en ny tredjepart, er det viktig å gjennomføre en omfattende due diligence-prosess for å identifisere risikoen som den potensielle nye tredjeparten kan medføre.

En due diligence inkluderer blant annet:

  • Gjennomgang av tredjepartens økonomiske situasjon, herunder analyse av regnskaper, kredittvurderinger og eventuelle tidligere rettstvister.
  • Forståelse av tredjepartens teknologiske infrastruktur og sikkerhetsprotokoller, inkludert en vurdering av deres IT-sikkerhetstiltak, datahåndtering og evne til å beskytte sensitiv informasjon.
  • Innsikt i tredjepartens etterlevelse av relevante lover og forskrifter, inkludert GDPR, NIS2 og eventuelt CSRD.

Ved å gjennomføre grundige due diligence-undersøkelser kan organisasjoner få en helhetlig forståelse av de potensielle risikoene og fordelene ved å samarbeide med en ny tredjepart, noe som er en viktig forutsetning for å kunne ta informerte beslutninger og minimere potensielle risikoer.

2) Innsikt i organisasjonen

Etter at den innledende due diligence-undersøkelsen er gjennomført, er neste trinn å skaffe seg dypere innsikt i tredjepartens operasjonelle og teknologiske struktur. Dette trinnet er avgjørende for å forstå hvordan en potensiell tredjepart vil integreres med organisasjonen i det daglige.

Innsikt i organisasjonen omfatter blant annet følgende:

  • Forståelse av tredjepartens kjerneprosesser, inkludert hvordan arbeidsflyten er strukturert og hvordan kritiske driftsfunksjoner som kvalitetskontroll, levering og kundeservice håndteres.
  • Forståelse av de teknologiske systemene og plattformene som brukes av tredjeparten, herunder om teknologien er kompatibel med organisasjonens egne systemer.
  • Innsikt i tredjepartens interne kontrollmekanismer, herunder hvordan kvalitet, sikkerhet og etterlevelse sikres.

Ved å få en grundig forståelse av tredjepartens operasjonelle og teknologiske landskap er det lettere å vurdere hvordan selskapet vil passe inn i organisasjonens verdikjede.

3) Krav til endringer

Hvis det viser seg at den potensielle tredjeparten ikke oppfyller organisasjonens standarder og forventninger, kan det være nødvendig med utbedringer. Dette kan blant annet omfatte

  • Teknologiske oppgraderinger
  • Endringer i prosesser
  • Omskolering av ansatte

Ved å proaktivt ta tak i disse områdene kan du sikre at eventuelle mangler eller svakheter hos den potensielle tredjeparten rettes opp før de blir en risiko for organisasjonen.

4) Godkjenne samarbeidet

Når alle risikoreduserende tiltak er implementert og verifisert, er det på tide å ta en avgjørende beslutning: Skal tredjeparten godkjennes som en offisiell samarbeidspartner? Dette er et kritisk punkt i prosessen for tredjepartsrisikohåndtering og krever en omfattende vurdering fra organisasjonens side.

Følgende faktorer bør vurderes:

  • Er identifiserte mangler og risikoer effektivt håndtert?
  • Oppfyller tredjeparten organisasjonens interne standarder og forventninger?
  • Krever godkjenningen godkjenning fra andre avdelinger i organisasjonen?

Hvis tredjeparten blir godkjent, bør det utarbeides en formell kontrakt som beskriver vilkårene for samarbeidet, inkludert forpliktelser, ansvarsområder og mulige sanksjoner ved manglende overholdelse.

5) Kontinuerlig overvåking

Selv etter autorisasjonen er det viktig å fortsette den løpende overvåkingen av tredjepartens sikkerhetsprotokoller og generelle ytelse. Dette sikrer at de fortsetter å oppfylle de avtalte standardene, og gjør det mulig å håndtere eventuelle nye risikoer proaktivt.

En av de vanligste utfordringene i forbindelse med tredjepartsrisikostyring er effektiv leverandørstyring og kontroll av tredjeparter. Det er derfor viktig å ha klare retningslinjer og prosesser for hvordan leverandørenes prestasjoner måles, og hva som skjer hvis de ikke oppfyller forventningene.

Logo