供应链安全
法律依据
§30(2) 第4项 BSIG – 供应链安全,包括实体与其直接供应商或服务提供商之间关系的安全相关方面
供应商概览
| 类别 | 示例 | 风险评估 |
|---|---|---|
| 基础设施 | Hetzner、Netcup(托管、服务器) | 高 – 可用性 |
| 云服务 | 对象存储、DNS | 高 – 机密性 |
| 软件供应商 | 第三方库、SaaS | 中 – 供应链风险 |
| 支持合作伙伴 | 维护、咨询 | 低 – 有限访问 |
评估标准
| 标准 | 描述 |
|---|---|
| 安全认证 | ISO 27001、SOC 2、BSI C5或同等 |
| 位置/管辖权 | 优先选择欧盟管辖权,第三国转移需有保障 |
| 事件响应能力 | 文档化流程,报告时限与§32 BSIG兼容 |
| 合同设计 | 安全要求、审计权、终止条款 |
| 分包商 | 关于进一步分包商的透明度 |
审查周期
| 活动 | 周期 |
|---|---|
| 关键供应商重新评估 | 每年 |
| 合同审查 | 续签/变更时 |
| 事件驱动审查 | 安全事件或重大变更时 |
CRA协同效应
软件供应链管理(SBOM、签名、依赖策略)在CRA供应链文档中描述。NIS2补充了IT服务提供商和基础设施供应商的评估。