Tredjepartsrisker vid nya avtal - så hanterar du dem

Cybersäkerhet är en viktig aspekt när det gäller leverantörssamarbeten och outsourcing av verksamhet. Enligt PwC:s undersökning Cyberhoten mot Sverige 2019 har de så kallade tredjepartsriskerna nämligen ökat markant. Här får du som ska teckna nya samarbetsavtal tips på vad du bör tänka på.

När företag digitaliserar sin verksamhet innebär det ofta fler digitala leverantörssamarbeten. Om en organisation använder sig av underleverantörer och outsourcing innebär det inte att ansvaret för riskhanteringen hamnar hos dem. Tvärtom så måste ni själva noggrant kartlägga vilken information som finns hos tredje part och göra en tydlig kravställning. Planera för vad som händer om leverantörerna brister i säkerhetsarbetet och följ systematiskt upp tredjepartsrisker som en del i det övriga risk- och internkontrollarbetet. Eftersom cybersäkerhet är en fråga som berör hela verksamheten är det viktigt att involvera företagsledning och styrelse i arbetet med tredjepartsrisker.

Tyvärr är det många företag som missar tredjepartsriskerna. PwC frågade nyligen 100 av Sveriges största bolags IT-organisationer om läget kring cyberrisker. Hälften svarade att tredjepartsriskerna har ökat under det senaste året. En annan internationell undersökning visar att många av de undersökta bolagen inte vet vilka tredjeparter som de har relationer med. Över hälften av bolagen har ingen förteckning över tredjeparter som de delar känslig information med.
När det drar ihop sig till nya avtal finns det alltså anledning att se över rutinerna när det gäller samarbeten.

Läs även: Är er organisation cybersäkrad?

Så stärker du företagets cybersäkerhet vid nya avtal och samarbeten

Tips till företag som vill stärka cybersäkerheten genom att arbeta systematiskt med tredjepartsrisker.

• Utvärdera vilka delar av verksamheten som är kritiska och ta fram en riskanalys baserad på samarbeten och avtal. 
• Tänk på säkerhetsriskerna innan inköp görs. Säkerställ att säkerhet har en naturlig plats inom organisationens inköpsfunktion och att verksamhetschefer och anställda har relevant förståelse för deras ansvar vid inköp. 
• Ställ tydliga säkerhetskrav på det företag som verksamheten outsourcas till och säkerställ att de ansvarar för dokumentation och kontroll av tredjepartsleverantörer i avtalen. Omvänt är det även viktigt att känna till vilka krav som ställs på din egen organisation. 
• Sök igenom hela kedjan och ta reda på om en tredjepart i sin tur kanske använder sig av ytterligare underleverantörer.
• Beroende på risk, se till att genomföra olika uppföljningsåtgärder som revisioner, tester, övningar och enkäter.
• Säkerställ att tredjepartsrisker är en del av det övergripande riskarbetet med koncernrisker och operativa risker.
• Planera för en situation då ni kan behöva avsluta ett samarbete och skifta leverantör eller kanske till och med ta över drift på egen hand. Planen bör till exempel beskriva hur störningar och intrång hanteras, samt hur ett samarbete avslutas.