NIS2 – FORSYNINGSKÆDESIKKERHED – uddybes yderligere i kommende vejledning om implementering af cybersikkerhedsforanstaltninger.

Annonceret i eksisterende NIS2 vejledning om-anvendelsesområdet.

Det lyder godt, hvilket ligeledes nedenstående citat fra vejledningen udgør efter min opfattelse, da det måske kan dæmpe “blodtrykket” lidt.

“KORT OM LEVERANDØRER TIL ENHEDER OMFATTET AF NIS 2-LOVEN
Virksomheder, der ikke er omfattet af NIS 2-loven, kan blive mødt med krav til sikkerhedsforanstaltninger, fordi de leverer tjenester eller varer til en enhed, der er omfattet af NIS 2-loven.

Det betyder IKKE, at NIS 2-enheder skal stille præcis de samme krav til deres leverandører, som de selv er underlagt, ELLER at de SKAL KRÆVE f.eks. en særlig certificering eller revisionserklæring af deres leverandører.

Enheder omfattet af NIS 2 skal vurdere de risici, som den modtagne leverance udgør for den NIS 2-omfattede enheds net- og informationssystemer.
Denne vurdering kan medføre, at enheden stiller forholdsmæssige krav til sin leverandør, om at denne implementerer de nødvendige foranstaltninger.

Dette vil blive uddybet yderligere i vejledning om implementering af cybersikkerhedsforanstaltninger.”

Vejledningen indeholder derudover flere gode spørgetræer efter min opfattelse.