Beszállítók NIS 2 megfelelése (Monitor and evaluate your supplier)

Ismerje meg beszállítóit! Valóban.

Az informatikai ellátási lánc biztonsága ma már nem opció – hanem alapkövetelmény. A Know Your Supplier (KYS) alkalmazás egy dinamikus kérdőíveztető platform, amellyel szervezete strukturáltan és   értékelheti IT-beszállítóinak információbiztonsági érettségét.

Miért van szüksége erre?

Az egyre terjedő kiberbiztonsági incidensek és a szabályozói elvárások – köztük az NIS2 irányelv – egyre szigorúbb követelményeket támasztanak a harmadik fél kockázatkezeléssel szemben. A KYS hatékony eszközt biztosít e kihívás kezeléséhez: segít feltérképezni, dokumentálni és nyomon követni, hogy informatikai partnerei valóban megfelelnek-e az elvárt biztonsági standardoknak.

Hogyan működik?

A KYS platform az értékelési folyamatot személyre szabja és automatizálja. Ön meghatározza a beszállítóhoz kapcsolódó elektronikus információs rendszert, a beszállító típusát és az alkalmazandó biztonsági osztályt – az alkalmazás pedig automatikusan összeállítja a releváns kérdőívet, kizárva a felesleges, nem alkalmazható kérdéseket.

A platform a NIS2-t átültető hazai szabályozás alapján, szakértőink által összeállított kérdéseket tartalmaz, amelyet egyedi igények szerint bővítünk, módosítunk az Önök által alkalmazott kiberbiztonsági keretrendszernek megfelelően.

Kikre terjed ki?

A KYS standard verziója hat kulcsfontosságú IT-beszállítói kategóriát fed le:

  • Szoftverfejlesztők – fejlesztési életciklus, biztonságos kódolás, sérülékenységvizsgálat 
  • Adatközpont-szolgáltatók – fizikai beléptetés, tűzvédelem, áramellátás, kontinuitás
  • Felhőszolgáltatók – hozzáférés-felügyelet, titkosítás, multi-tenancy, DDoS-védelem
  • IT üzemeltetési és karbantartási szolgáltatók – naplózás, patch management, eseménykezelés
  • Hálózati és telekommunikációs szolgáltatók – határvédelem, redundancia, titkosítás
  • IT biztonsági szolgáltatók – penetrációs tesztek, SOC-lefedettség, kockázatelemzési módszertanok

Kiemelkedő funkciók

Dinamikus kérdőívek. A rendszer kizárólag azokat a kérdéseket jeleníti meg, amelyek az adott beszállítótípusra és biztonsági osztályra (alap, jelentős, magas) relevánsak – felesleges adminisztrációs teher nélkül

Több elektronikus információ rendszer lefedése. Ha egy beszállítóhoz több elektronikus információs rendszer is kapcsolódik, mindegyikre külön, testre szabott kérdőív kerül összeállításra – egyetlen, átlátható felületen kezelve.

A nem teljes körű információszolgáltatás kontrollja. Ha a beszállító egy kérdést nem relevánsként jelöl meg, kötelezően indokolnia kell azt, és opcionálisan alátámasztó dokumentumot is csatolhat. Ön a válaszokat egyenként elfogadhatja, elutasíthatja vagy pontosításra visszaküldheti.

Kockázatjelző összesítő. Az alkalmazás automatikusan nyomon követi, hogy egy adott beszállító hány kérdésnél élt a „nem releváns” opcióval – a kiugróan magas arány azonnali kockázatjelzésként jelenik meg. 

Dokumentumkezelés egy helyen. A beszállítók közvetlenül az egyes válaszokhoz tölthetik fel az igazoló dokumentumokat: szabályzatokat, tanúsítványokat (pl. ISO 27001, SOC 2), tesztjelentéseket, BCP-kivonatokat és üzletmenet-folytonossági terveket.

Az értékelés területei 

A kérdőív átfogja az IT-biztonság teljes spektrumát: szervezeti információbiztonságtól kezdve a fejlesztési életcikluson, a fizikai védelmen, a hozzáférés-kezelésen, a titkosításon, a naplózáson és eseménykezelésen át egészen az ellátási lánc és alvállalkozói kockázatokig – beleértve a személyi biztonsági követelmények teljesítését is.

A KYS alkalmazással szervezete átlátható, auditálható és skálázható beszállítói értékelési folyamatot építhet fel, amellyel nemcsak a szabályozói megfelelést tudja elősegíteni, hanem strukturált képet kaphat informatikai ellátási láncának kockázati kitettségéről.

Kapcsolat:

Dékány Csilla

Dékány Csilla

ügyvédi irodai tag

Tel: +36-30-528-1907

Kelemen Dániel

Kelemen Dániel

ügyvédi irodai tag