Så omdefinierar EU:s nya verktygslåda kraven på regelefterlevnad

Under det senaste decenniet har begreppet "Supply Chain Risk Management" (SCRM) ofta reducerats till en manuell övning: att distribuera kalkylark inför den årliga revisionen. Säkerhetsansvariga har varit medvetna om metodens begränsningar, och inköpsfunktionerna har insett att den inte speglar den tekniska verkligheten. Trots detta har förfarandet kommit att utgöra accepterad branschpraxis.

Genom införandet av NIS2-direktivet och nu senast publiceringen av EU:s verktygslåda för säkerhet i IKT-leverantörskedjor (EU ICT Supply Chain Security Toolbox) framstår en statisk modell för efterlevnad som alltmer ohållbar. Verktygslådan är vägledning som utgår från att leverantörsrisker är dynamiska och därför måste hanteras genom hela livscykeln.

Även om vägledningen formellt sett inte är bindande sänder den en tydlig signal om vad som kommer att betraktas som god sed vid tillsynsmyndigheternas bedömning av kravuppfyllelse och riskhanteringsåtgärder enligt NIS2.

Slutsatsen är entydig: det går inte att säkra en dynamisk leverantörskedja med statisk dokumentation.

För oss på Bounded Systems representerar verktygslådan inte enbart en ny kravkatalog, utan en bekräftelse på ett fundamentalt skifte i hur organisationer behöver styra och kontrollera sina digitala beroenden.

Här följer tre kritiska insikter för ledningsfunktioner inom säkerhet och regelefterlevnad.

1. Från punktinsats till livscykelperspektiv

Det centrala budskapet återfinns i dokumentets tillämpningsområde: risker ska minimeras under hela livscykeln för IKT-produkter och tjänster, inte enbart vid anskaffningstillfället.

Verktygslådan identifierar distinkta faser – såsom design, utveckling, distribution, anskaffning, driftsättning och underhåll – och utgår från att sårbarheter kan uppstå i vilken fas som helst. Detta utmanar antagandet att riskbilden stabiliseras i samband med avtalsingåendet och blottlägger en systematisk svaghet i traditionella GRC-processer.

I den äldre modellen granskade många organisationer leverantören vid ett enskilt tillfälle och ingick därefter avtal. Riskbilden antogs sedan vara i huvudsak oförändrad fram till nästa revisionscykel. I praktiken kan leverantören kort därefter exempelvis lansera en uppdatering, byta underleverantör för molntjänster till en aktör utanför EU:s jurisdiktion eller integrera ett riskutsatt open source-bibliotek.

Verktygslådans riskscenarier lyfter särskilt fram de risker som uppstår efter avtalstecknandet, exempelvis kopplat till felaktiga uppdateringar och inlåsningseffekter (vendor lock-in).

Vår bedömning: detta bekräftar fenomenet "compliance drift", det vill säga att den faktiska efterlevnaden urholkas över tid. Avtalet fastställer de rättsliga åtagandena, men den operativa verksamheten genererar avvikelser. För att uppfylla kravet på livscykelhantering krävs en infrastruktur för kontinuerlig kontroll: en systematik som identifierar när den tekniska verkligheten avviker från avtalade krav och som löpande säkerställer verifierbara underlag för att kontrollerna är verksamma.

2. Fördjupad kartläggning: krav på transparens i flera led (rekommendation R01)

Rekommendation R01 innebär i praktiken ett skärpt krav på riskbedömningar som omfattar kartläggning av kritiska beroenden och identifiering av enskilda felkällor (single points of failure).

Verktygslådan klargör att risker ofta återfinns längre ned i kedjan än hos de direkta leverantörerna, exempelvis hos komponenttillverkare, i open source-komponenter och hos underleverantörer i tredjeland.

Detta utmanar rådande fokus på primära leverantörer (Tier 1). Många organisationer har god kontroll över sina avtalsparter men saknar insyn i underleverantörsledet.

Vår bedömning: det går inte att verifiera det man inte har insyn i. Manuell informationsinhämtning via formulär är sällan tillräcklig för att kartlägga beroenden i andra och tredje led. Den enda skalbara metoden är automatiserad beroendekartläggning: att bygga och underhålla ett datadrivet register över leverantörer, underleverantörsled och kritiska mjukvaruberoenden, och att hålla den uppdaterad i takt med att systemen förändras.

3. Digital suveränitet som operativ riskfaktor (rekommendation R04)

Begreppet "digital suveränitet" har gått från politisk målsättning till konkret bedömningsfaktor i riskanalysen. Rekommendation R04 ("hantera och, vid behov, begränsa eller utesluta högriskleverantörer") anger faktorer som ska vägas in vid riskklassificering, däribland påverkan från tredjeland och den rättsliga kontexten.

Verksamheter förväntas bedöma bland annat:

• sannolikheten för otillbörlig påverkan från tredjeland
• avsaknad av demokratisk insyn och rättssäkerhetsgarantier (checks and balances) i leverantörslandets lagstiftning
• avsaknad av relevanta avtal eller skyddsmekanismer avseende säkerhet och dataskydd
• ägarstruktur och faktiska kontrollförhållanden

Detta adresserar den osäkerhet på marknaden som följt av Schrems II-domen. Det väsentliga skiftet är att jurisdiktionsrisk och lagstiftning med extraterritoriell räckvidd nu blir en explicit del av riskbedömningen.

Vår bedömning: R04 flyttar jurisdiktionsfrågan från formalia till operativt riskkriterium. Den nya baslinjen för europeisk säkerhet blir att kunna matcha "tillämplig lagstiftning" mot "teknisk verklighet". Om ert avtal visar en server i Frankfurt, men ägaren omfattas av utländsk lagstiftning med extraterritoriell räckvidd, kan efterlevnaden i praktiken vara skenbar. Bounded Systems är utformat för att identifiera just denna typ av konflikter.

Ny branschstandard: kontinuerlig verifiering

EU:s verktygslåda bekräftar att regelefterlevnad baserad på ögonblicksbilder är otillräcklig. Den utgår från att den moderna leverantörskedjan är ett komplext system som förändras snabbare än vad traditionella revisionscykler kan hantera.

För att navigera i detta rättsliga landskap krävs en förflyttning:

• från statisk dokumentation till kontinuerlig verifiering
• från avtalstext till verifiering av kod och beroenden
• från periodiska kontroller till löpande bevisföring

Vad innebär detta operativt?

Kontrolldefinitioner måste översättas från policytexter till maskinellt verifierbara regler. Underlag måste genereras löpande, inte årsvis. Avvikelser måste identifieras vid källan: i beroenden, konfigurationer och dataflöden.

Det rättsliga landskapet har utvecklats. Er infrastruktur och efterlevnad måste anpassas i motsvarande takt.