Kapitel 8 Leverandørstyring og forsyningskædesikkerhed
Virksomheder skal have procedurer for forsyningskædesikkerhed i leverandørforhold, så virksomheden træffer passende og forholdsmæssige foranstaltninger i forhold til produkter og tjenester, som virksomheden anvender i leveringen af sine tjenester. Procedurerne skal indeholde:
-
1) Metoder til at identificere, vurdere og håndtere risici, der er specifikke for hver direkte leverandør og tjenesteudbyder i forsyningskæden, herunder risici forbundet med afhængigheder af underleverandører og internationale forhold i en aftale med en direkte leverandør og tjenesteudbyder.
-
2) Metoder til at vurdere modstandsdygtigheden af leverede produkter og tjenester, herunder den generelle kvalitet af eventuelt integrerede foranstaltninger til at styre risici i net- og informationssystemer.
Virksomheder skal ved indgåelse af aftaler med direkte leverandører og tjenesteudbydere af produkter og tjenester, som kan påvirke forsyningssikkerheden eller påvirke sikkerheden i virksomhedens net- og informationssystemer, sikre:
-
1) At der stilles krav til passende foranstaltninger til at styre risici og håndtere hændelser, for så vidt angår de leverede produkter og tjenester.
-
2) At virksomheden underrettes om væsentlige hændelser, jf. § 77, stk. 2, for så vidt angår de leverede produkter og tjenester, hos den direkte leverandør eller tjenesteudbyder.
-
3) At den direkte leverandør eller tjenesteudbyder bistår virksomheden med at overholde sine rapporteringsforpligtelser i tilfælde af væsentlige hændelser, jf. §§ 77-80.
-
4) At direkte leverandører og tjenesteudbydere kan inddrages i forbindelse med Energistyrelsens tilsyn med virksomheden angående overholdelse af bestemmelser i lov om styrket beredskab i energisektoren og denne bekendtgørelse.
-
5) At direkte leverandører forpligter sig til i passende omfang at indgå i virksomhedens øvelser, jf. bilag 4, nr. 13 og 14.
-
6) At direkte leverandører og tjenesteudbydere kan inddrages i virksomhedens beredskabsarbejde i det omfang, det er relevant.
-
7) At der opstilles kriterier for direkte leverandørers udlicitering af væsentlige dele af en leverandøraftale til en eller flere underleverandører.
-
8) At virksomheden i relation til direkte leverandører og tjenesteudbydere bevarer ejerskab af data, som er nødvendig for leveringen af virksomhedens tjeneste eller som er fortrolige, jf. § 26 i lov om styrket beredskab i energisektoren.
Virksomheder skal have procedurer for styring af fjernadgange for direkte leverandører og tjenesteudbydere, som kan tilgå virksomhedens forsyningskritiske net- og informationssystemer.
Stk. 2 Hvis en direkte leverandør eller tjenesteudbydere har behov for fjernadgang til virksomhedens forsyningskritiske net- og informationssystemer, skal procedurerne fremgå af leverandøraftalen.
Virksomheder skal sikre, at krav om organisatorisk beredskab, fysisk sikring og cybersikkerhed rettet mod direkte leverandører eller tjenesteudbydere i henhold til § 30 og § 31 fremgår af en leverandøraftale.