Artikel
Certifiering av tredjeparter påverkar allt fler branscher
Publicerad 2022-09-02
I min roll som specialist inom cybersäkerhet på Deloitte är det tydligt att cybersäkerheten väger allt tyngre vid bedömningar av affärsrelationer. Offentliga och privata upphandlingar innehåller allt mer av krav kring cybersäkerhet. Stora värden står på spel när beroendet ökar i flera led mellan olika samarbetande parter, och frågan väcks nu på styrelsenivå i flera branscher allt oftare. Redan idag är det en stor utmaning för många företag att hålla reda på sina tredjeparter och om de håller samma nivå av cybersäkerhet som de själva ställer som krav över sina egna system, processer och medarbetare.
Behoven ökar kraftigt med tanke på den beroendeställning ett företag hamnar i. Certifieringar och intyg av olika slag blir en förutsättning för att företag ska känna en trygghet i att samarbeta och då företag mer och mer ingår i större ekosystem blir detta allt viktigare samt också en fråga för styrelsen.
Peter Birgersson
Partner | Risk Advisory
Hur kommer regleringen förändras inom din bransch?
Inom flera branscher ställs redan krav på certifiering eller något likvärdigt kvalitetssystem. ISO27001 för informationssäkerhet har funnits länge men har under senare år fått ett uppsving i popularitet som ett exempel på krav i dessa upphandlingar. Tillgänglighet av verksamhetsprocesser och system som stöder dessa är en del, en annan kan vara hur informations konfidentialitet och integritet säkerställs.
Vissa branscher, exempelvis bank och finans, är reglerade inom tredjepartshantering och outsourcing – andra inte. För de branscher där det finns regelverk ser mognaden också generellt sätt högre ut.
Branscher som inte är reglerade idag kommer ändras, antingen via tillkommande regelverk eller av att det blir praxis i branschen. Kraven kommer alltså skärpas framöver och företag får tydliga konkurrensfördelar när man presenterar en oberoende certifiering eller intyg som säkerställer att cybersäkerhet har varit en central del i upphandlingen eller början av samarbetet.
Problematiken uppstår i när ansvaret är otydligt företag emellan och en incident inträffar. De branscher som jag tror närmast kommer se dessa typer av regelverk framåt är konsumentföretag och tillverkande bolag. Klart är att inget företag längre kan bortse från kravet att de måste kunna redogöra för vilka tredjeparter de jobbar med och vilka möjliga risker det medför och hur de hanteras.
Hur bör företagen agera?
Företag behöver kunna redogöra för vilka tredjeparter de jobbar med och vilka risker det medför. Om det medför en risk för tillgänglighet av centrala system så behöver företag också kunna påvisa hur denna risk är hanterad. Ta exempelvis den cyberincident som Coop drabbades av 2021, det var inte bara deras tredjepart (utan ett steg till i denna kedja) som ledde till att Coop i slutändan påverkades negativt och i förlängningen var tvungna att stänga ner ett stort antal butiker.
Ansvaret är ofta delat vilket gör det svårt att peka ut en roll för vem som ska hantera relaterade frågor – men en sak som är säker är att när bolag står inför en incident likt Coop så är det väldigt många som drabbas i organisationen.
Riskhantering i förhållande till tredjeparter kommer att bli allt viktigare och olika typer av certifieringar eller intyg kommer vara ett sätt att hantera dessa risker på. Jag är övertygad om att bolag kommer att behöva göra detta, inte bara för att hantera sina egna risker men också för att det kommer att komma mer regelverk inom detta som bolag inom olika branscher kommer behöva förhålla sig till.