Hvorfor kontraktstyring er fundamentet for NIS2-overholdelse

Mange tror, at NIS2-direktivet kun handler om it-sikkerhed og firewalls, men i virkeligheden er ansvaret flyttet fra den tekniske afdeling til topledelsen og bestyrelsen. Artikel 21 og 23 kræver effektiv kontrol med virksomhedsledelse og forsyningskæder. Derfor er kontrakter med underleverandører det mest effektive sted at starte.

For at opsummere

• NIS2 flytter ansvaret for datasikkerhed fra IT-afdelingen til den øverste ledelse og bestyrelsen.
• Artikel 21 og 23 kræver dokumenteret kontrol over både drift og forsyningskæder.
• Kontrakter er det vigtigste redskab til at placere og følge op på ansvaret for it-sikkerhed.
• Systematisk kontraktstyring sikrer synlighed, en klar ansvarsfordeling og gør organisationen klar til revision.
• En kontraktcentreret strategi gør NIS2-kravene til en fordel for organisationens overordnede kontrol og styring.

Hvordan kontraktstyring relaterer sig til NIS2

Du er nødt til at stoppe op et øjeblik for virkelig at forstå dette: God kontraktstyring er det sikreste grundlag for at opfylde it-sikkerhedskravene i NIS2.

Hos House of Control bliver vi ofte spurgt, hvad følgende emner har til fælles med kontraktstyring: IFRS 16-lejerregnskab, omkostningskontrol, Corporate Sustainability Due Diligence (CSDDD) eller Digital Operational Resilience Act (DORA)?

Fællesnævneren er den samme som for NIS2. Uanset om målet er compliance, kortlægning, risikostyring eller kontrol, så er de kontrakter, en organisation har med sine underleverandører, det mest effektive sted at starte - og at fortsætte.

I 20 år er House of Control vokset ved at levere en markedsledende platform til kontraktstyring og kontraktledelse. På denne platform har vi bygget sofistikerede løsninger, der giver ledelsen og bestyrelsen ro i sindet. Disse værktøjer sikrer, at virksomheden ikke kun overholder krævende regler, men også udnytter disse processer til at blive en mere robust virksomhed.

NIS2 følger samme mønster. Direktivet medfører en helt ny måde at anskue cyberrisiko på. Hvor kravene før mest handlede om tekniske foranstaltninger, lægger NIS2 nu lige så stor vægt på forretningsledelse, ansvar og kontrol med underleverandører.

Det store spørgsmål i praksis er: Hvor skal man starte? Artikel 21 og 23 forklarer, at overholdelse kræver struktur, overblik og klart ansvar. Det er her, kontraktstyring bliver hjørnestenen; det handler ikke kun om at opfylde kravene i NIS2, men om at få bedre kontrol med risikoen i hele organisationen.

Hvad kræver artikel 21 og 23 i NIS2?

Artikel 21 og 23 udgør tilsammen grundlaget for, hvordan cybersikkerhed skal håndteres på både operationelt og strategisk niveau.

Tilsammen gør disse artikler IT-sikkerhed til et professionelt område for ledere. Risici skal identificeres, reduceres og dokumenteres, og ledelsen skal bevise, at den har fuld kontrol over alle de forskellige dele af virksomheden.

Hvorfor er kontraktstyring afgørende for Artikel 21?

Sikkerhed i forsyningskæden er central for at overholde artikel 21. I praksis er det gennem kontrakter, at denne sikkerhed defineres og håndhæves.

Kontrakter bestemmer:

• Hvilken part der er ansvarlig for specifikke sikkerhedsforanstaltninger.
• Hvordan og hvornår hændelser skal rapporteres.
• Retten til revision og verifikation: NIS2 forventer, at du kontrollerer, at leverandørerne rent faktisk gør, hvad de har lovet. Uden en eksplicit klausul om "ret til revision" har du ingen reel mulighed for at verificere sikkerhedsniveauet.
• Kontinuitet og exit-strategier: Hvis en leverandør bliver ramt af et angreb, skal din kontrakt sikre din ret til at hente data og flytte tjenesten. Kontraktstyring afslører farlige lock-in-risici, der truer virksomhedens modstandsdygtighed.

Det "magiske" ved kontraktstyring ligger i at berige aftaler med strukturerede data og automatiserede advarsler. Uden denne struktur forbliver forpligtelserne spredt i forskellige dokumenter, e-mails og gamle aftaler. Det gør det umuligt at opretholde en klar risikoprofil eller besvare kritiske spørgsmål:

1. Hvilke leverandører understøtter vores vigtige tjenester?
2. Hvilke kontrakter indeholder sikkerhedskrav, der er i overensstemmelse med NIS2?
3. Hvor matcher de kontraktlige forpligtelser ikke vores interne politikker?

NIS2 kræver ikke, at du fjerner alle tredjepartsrisici; det kræver, at du forstår og håndterer dem. Det starter med at vide, hvad der er aftalt, og hvordan der bliver fulgt op på det. Så hvordan understøtter kontraktstyring kravet om ansvarlighed i artikel 23?

Læs mere: NIS2-dokumentation: Hvad revisorer forventer.

Hvordan understøtter kontraktstyring kravet om ansvarlighed i artikel 23?

Artikel 23 fastslår, at cybersikkerhed er et ledelsesansvar, som ikke længere kan uddelegeres uden fuld gennemsigtighed. Ledelsen skal dokumentere sit tilsyn, hvilket kræver pålidelig indsigt i, hvordan risikoen fordeles mellem organisationen og dens underleverandører.

Struktureret kontraktstyring styrker ledelsen:

• Et overblik over afhængigheder af tredjeparter.
• Klarhed over, hvor de vigtigste sikkerhedsforpligtelser ligger.
• Sikkerhed for, at kontrakterne er i overensstemmelse med interne politikker.
• Evnen til at spore risikoeksponering, når kontrakter ændres eller fornyes.

Det gør det muligt at træffe beslutninger baseret på fakta i stedet for antagelser. Godkendelse i henhold til artikel 23 er kun meningsfuld, når ledelsen forstår det underliggende risikobillede. Kontrakterne er det egentlige grundlag for denne forståelse.

Kan compliance dokumenteres uden god governance?

Teoretisk set er det muligt udelukkende at forlade sig på politikker og risikoregistre, men i praksis er det en sårbar tilgang. Tilsynsmyndighederne vil vurdere, om sikkerhedsforanstaltningerne er juridisk bindende og integreret i den daglige drift. For tredjepartsrisici betyder det fuld kontrol over kontrakter: struktureret information, effektivt tilsyn og proaktive advarsler.

NIS2 lægger også vægt på proportionalitet. Organisationer skal prioritere handlinger baseret på risiko. Uden et klart overblik over kontraktlige forpligtelser er det svært at retfærdiggøre disse valg.

God kontraktstyring skaber sporbarhed:

• Fra risikovurderinger til kontraktlige forpligtelser.
• Fra interne politikker til leverandørkrav.
• Fra ledelsesbeslutninger til operationel implementering.

Fra dokumentopbevaring til aktiv risikostyring

Traditionel kontraktstyring har ofte handlet om opbevaring og genfinding. Under NIS2 er dette ikke længere tilstrækkeligt.

Virksomhederne har nu brug for:

• Strukturerede kontraktdata, ikke bare statiske dokumenter.
• Klare forbindelser mellem kontrakter, leverandører og kritiske tjenester.
• Kontinuerlig synlighed af forpligtelser og risikoeksponering.
• Evnen til at rapportere og dokumentere overholdelse, når det er nødvendigt.

Når kontrakter behandles som aktive ledelsesværktøjer i stedet for arkivdokumenter, skaber de en bro mellem operationel cybersikkerhed og ledelsesmæssig ansvarlighed.

Læs mere: NIS2-direktivets 24-timers-regel: Håndtering af krav til indberetning af hændelser.

Vigtige punkter

• Behandl kontrakter som en vigtig sikkerhedsforanstaltning, ikke blot en formalitet.
• Brug kontrakter til at dokumentere, håndhæve og overvåge leverandørrisici i overensstemmelse med artikel 21.
• Sørg for, at ledelsens tilsyn og beslutninger dokumenteres i overensstemmelse med kravene i artikel 23.
• Skab et løbende overblik over kontraktlige forpligtelser, risici og afhængigheder.
• Brug struktureret, digital kontraktstyring til at gå fra at reparere fejl til at forebygge dem.