NIS2-direktivet kommer: Slik velger du en leverandør kommunen kan stole på

Med NIS2-direktivet blir kommunens ansvar for cybersikkerhet skjerpet – og det inkluderer hele leverandørkjeden. Det holder ikke lenger at en leverandør sier de tar sikkerhet på alvor. Nå trenger du bevis. Lær hvilke krav du må stille for å sikre at din fagsystemleverandør er en styrke, ikke en risiko.

Hva betyr NIS2 for din kommune? Få kontroll på leverandørkjeden

NIS2-direktivet, som snart blir norsk lov, flytter ansvaret for cybersikkerhet fra IT-avdelingen til toppledelsen. Den største endringen for kommunene er det juridiske ansvaret for sikkerheten hos leverandørene.

Dette betyr at kommunen aktivt må vurdere, velge og følge opp leverandørenes sikkerhetsarbeid. Å overse dette er ikke bare en operasjonell risiko – det er et brudd på loven. Spørsmålet er: Hvordan kan du være trygg på at leverandøren ikke er det svake leddet? Svaret ligger i verifiserbare prosesser og dokumentert sikkerhet.

• Verifiserbar sikkerhet: Gå fra løfter til reell, dokumenterbar trygghet i praksis.
• Målbar modenhet: Få innsikt i hvordan sikkerheten måles og forbedres kontinuerlig over tid.
• Helhetlig beskyttelse: Sørg for at leverandøren beskytter hele verdikjeden, fra utvikling til drift og underleverandører.
  
  

Fra stempel til bevis: Slik fungerer ISO-sertifisering i praksis

I en anbudsprosess er det lett å gå seg vill i fine ord. Anerkjente sertifiseringer gir deg håndfaste bevis på reell sikkerhet.

• ISO 27001 (Informasjonssikkerhet): Dette er mer enn et diplom. Det er beviset på at leverandøren har et levende styringssystem for informasjonssikkerhet. Det bekrefter dokumenterte prosesser for alt fra risikovurdering og tilgangskontroll til hendelseshåndtering.
• ISAE 3402 Type II-rapport : Se på denne som en uavhengig revisjon som bekrefter at sikkerhetsrutinene faktisk følges over tid. Rapporten viser at sikkerhetsarbeidet etterleves i hverdagen, ikke bare på papiret.

Under panseret: Hvordan Visma bygger verifiserbar sikkerhet

Vismas sikkerhetsarbeid er bygget på et helhetlig økosystem som kombinerer mennesker, prosesser og teknologi. Ryggraden er vårt Visma Security Program (VSP). Dette programmet sikrer en sterk sikkerhetskultur, proaktiv risikostyring med etiske hackere, og en robust organisasjon med tydelige ansvarslinjer – fra vårt døgnåpne Global Security Operations Center (G-SOC) til dedikerte sikkerhetsansvarlige i hvert utviklingsteam.

Slik gjøres sikkerhet målbar med Visma Application Security Program (VASP)

Kjernen i det tekniske arbeidet er VASP, en styringsmodell som gjør sikkerhet målbar og sporbar.

1. Målbar risikostyring: Hvert produkt, som Flyt Barnevern eller Flyt Skole, får et påkrevd sikkerhetsnivå. Vi måler kontinuerlig produktets faktiske sikkerhetsmodenhet (Security Maturity Index) mot dette kravet. Avvik fører til konkrete tiltak.
2. Sikkerhet bygget inn, ikke påskrudd: Sikkerhet er integrert i hele utviklingsløpet. Kode analyseres automatisk for feil, tredjepartskomponenter sjekkes for sårbarheter, og løsningene testes kontinuerlig for svakheter som de definert i OWASP Top 10.

En sjekkliste for en sikker leverandør: Krav kommunen bør stille

Still disse kravene til enhver leverandør av kritiske fagsystemer for å oppfylle kravene i NIS2:

• Hvordan beviser dere systematisk sikkerhetsarbeid?
  • Forventet svar: Tredjeparts validering gjennom sertifiseringer som ISO 27001 og revisjonsrapporter som ISAE 3402.
• Hvordan måles og etterprøves sikkerheten over tid?
  • Forventet svar: En styringsmodell som VASP med konkrete, dokumenterbare målinger som Security Maturity Index (SMI).
• Hvordan sikrer dere underleverandører, som skytjenester?
  • Forventet svar: Et program som VSP som stiller strenge krav til partnere som Microsoft Azure og AWS, regulert gjennom en solid databehandleravtale.
• Hva er prosessen deres ved en sikkerhetshendelse?
  • Forventet svar: En dokumentert og trent prosess for hendelseshåndtering, som vår Security and Privacy Incident Process (SPIP).

Leverandører som ikke kan gi klare svar her, utgjør en betydelig risiko for kommunen.

Et partnerskap bygget på dokumenterbar trygghet

I en verden preget av NIS2 holder det ikke med tillit alene – kommunene trenger verifiserbar trygghet. Visma leverer dette gjennom en systematisk og transparent tilnærming. Våre rammeverk er et løfte til deg som kunde: sikkerhet er fundamentet i alt vi gjør.

Klar til å møte NIS2-kravene med en trygg og dokumenterbar partner?