Case 1

NIS2 leverandørkædesikkerhed i energisektoren

Nordisk energivirksomhed
(kritisk infrastruktur)

Udfordring

Kunden skulle hurtigt modne sit arbejde med leverandørkædesikkerhed for at leve op til NIS2 og sektorens forventninger.

Mangel på fælles risikokriterier, uensartede krav i kontrakter og begrænset overblik over kritiske tredjepartsafhængigheder.

Tilgang

  • Gap-analyse mod NIS2 krav til styring af leverandørkæden med reference til ISO 27001/27701 (ISMS/PIMS), IEC 62443 (OT/ICS) og NIST CSF.
  • Risiko- og kritikalitetsklassificering af leverandører samt målrettede due diligence-kontroller pr. kategori.
  • Design af governance: roller/ansvar (RACI), beslutningsfora, målepunkter (KPI/KRI) og rapportering til ledelsen.
  • Praktisk implementering gennem workshops med indkøb, security og forretning; pilot på udvalgte kritiske leverandører.

Leverancer

  • Rammeværk for NIS2 leverandørkædesikkerhed inkl. politik, proces og kontrolbibliotek.
  • Standardiseret questionnaire og evidenskrav pr. leverandørkategori.
  • Kontraktbilag: sikkerhedskrav, audit-/assurance-rettigheder, hændelsesvarsling og SLA’er.
  • Tredjepartsregister med risikoprofil, behandlingsniveauer og fornyelsesfrekvens.
  • Operative playbooks for onboarding, årlig review, afhjælpning og eskalation.

Resultater

  • Ensartet og skalerbar proces på tværs af leverandører og forretningsenheder.
  • Klar ansvarsfordeling mellem indkøb, sikkerhed og systemejere samt ledelsesrapportering på risici og modenhed.
  • Dokumenterbar efterlevelse af NIS2-krav vedr. styring af leverandørkæden og beredskab for tilsyn/audit.

Rolle og varighed

Seniorrådgiver på timebasis; leveret analyse, design og implementeringsstøtte over [indsæt periode, fx 8–12 uger].

Skal jeres leverandørkæde være NIS2 - klar på en pragmatisk måde? Skriv til anette@c-r-m.dk eller ring +45 22 35 75 50 for en uforpligtende samtale.

Læs mere om andre ydelser

Kontakt os