Politik for risikostyring af leverandørafhængighed

Politik for risikostyring af leverandørafhængighed (P41) er udarbejdet for at imødekomme stigende regulatorisk og driftsmæssig kontrol af sårbarheder i forsyningskæden. Med angreb på forsyningskæden og systemiske nedbrud, der i stigende grad påvirker organisationer globalt, går politikken ud over grundlæggende overholdelse ved at indføre en struktureret, risikodrevet proces til at styre leverandørafhængigheder. Dens kerneformål er at give organisationen klare procedurer til at identificere, vurdere og afbøde de risici, der er forbundet med overafhængighed af eksterne leverandører, især dem der understøtter kritiske IKT-drift. Politikken adresserer direkte centrale lovgivningsdrivere, såsom NIS2-direktivets artikel 21(3) og 22, ved at kræve afgørende kontroller: for det første at alle væsentlige leverandører (hardware, software, cloud, telekommunikation, managed services osv.) kategoriseres efter deres kritikalitet; for det andet at der etableres et leverandørafhængighedsregister, som løbende opdateres for at logge nøgleoplysninger, herunder om en leverandør er en eneste kilde, eller om substitution er mulig. Årlige og hændelsesdrevne risikovurderinger er obligatoriske for hver nøgleleverandør med klare scoringsmodeller til at vurdere afhængigheds- og koncentrationsrisiko. Hvis myndigheder eller sektordækkende risikovurderinger fremhæver en udbyder eller teknologi som høj risiko, sikrer denne politik, at organisationens øverste ledelse informeres, og at adaptive risikostrategier anvendes hurtigt. Driftsmæssigt fordeler politikken ansvar mellem Leverandørstyring (som ejer registret og leder evalueringer), Risikostyring (som integrerer resultater i virksomhedens risikobeslutninger), Indkøb (som indarbejder diversificering i kontrakter), IT-drift (som udformer beredskabsplaner) og leverandørerne selv (som leverer sikkerhedsdokumentation og underretninger). For områder med høj afhængighed kræver politikken dokumenterede beredskabsforanstaltninger, der spænder fra at engagere alternative leverandører, opretholde nødbeholdning, sikre dataportabilitet fra SaaS-leverandører til at integrere leverandørsvigt i planer for forretningskontinuitet. En central styrke ved P41 er kravet om løbende overvågning: leverandørnyheder, anmodninger om sikkerhedsoverensstemmelsesattester (såsom modtagelse af SOC-rapporter) og hændelsesadvarsler føder direkte ind i revurderingsrutiner. Intern revision verificerer årligt overholdelse og tester beredskabets effektivitet (f.eks. simulerede leverandørnedbrud). Mindst årligt præsenteres afhængigheder, tendenser og fremdrift i risikoafbødning for øverste ledelse og afspejles i ISMS-ledelsens gennemgang-cyklusser. Disse bestemmelser demonstrerer politikkens ambition: ikke kun at beskytte mod kendte risici, men at opbygge et rammeværk, der hurtigt integrerer eksterne advisories eller regulatoriske ændringer. Ved at kodificere interne tærskler (som grænser for koncentration af cloud-arbejdsbelastninger) og håndhæve robust kontraktsprog om underretninger, overgange og underleverandøroplysning, indlejrer den modstandsdygtighed i hvert trin af leverandørrelationen. Endelig er P41 eksplicit positioneret som en avanceret, værdiskabende politik, valgfri for nogle organisationer, men som tilbyder en konkurrencemæssig fordel ved at signalere moden styring af forsyningskæderisiko. Den er beregnet til brug af alle afdelinger, der interagerer med leverandører, og dens tilpasning til bedste praksis (ENISA, ISO/IEC 27001/27002:2022, DORA) gør den anvendelig til branchecompliance og revisionsbehov.