एनआईएस2 अनुच्छेद 21(2)(डी) में स्पष्ट रूप से संगठनों को आपूर्ति श्रृंखला सुरक्षा को संबोधित करने की आवश्यकता है, जिसमें प्रत्येक इकाई और उसके प्रत्यक्ष आपूर्तिकर्ताओं या सेवा प्रदाताओं के बीच संबंधों के सुरक्षा-संबंधी पहलू शामिल हैं। अक्टूबर 2027 ट्रांसपोज़िशन की समय सीमा नजदीक आने के साथ, अधिकांश संगठनों में अभी भी अपने तीसरे पक्ष के जोखिम जोखिम में व्यवस्थित दृश्यता का अभाव है। केन्साई अब स्वचालित आपूर्ति श्रृंखला सुरक्षा स्कैनिंग प्रदान करता है - आपके विक्रेताओं की बाहरी हमले की सतहों की लगातार निगरानी करता है और एनआईएस2 अनुपालन आवश्यकताओं के लिए निष्कर्षों को मैप करता है।
⚡2025 में 73% उल्लंघनों में तीसरे पक्ष का वेक्टर शामिल था। NIS2 आपूर्ति श्रृंखला सुरक्षा को कानूनी दायित्व बनाता है - KENSAI इसे स्वचालित बनाता है।
NIS2 निर्देश (EU 2022/2555) सभी आवश्यक और महत्वपूर्ण संस्थाओं के लिए अनिवार्य आपूर्ति श्रृंखला सुरक्षा उपायों का परिचय देता है। अनुच्छेद 21(2)(डी) के लिए संगठनों को "आपूर्ति श्रृंखला सुरक्षा को लागू करने की आवश्यकता है, जिसमें प्रत्येक इकाई और उसके प्रत्यक्ष आपूर्तिकर्ताओं या सेवा प्रदाताओं के बीच संबंधों से संबंधित सुरक्षा-संबंधी पहलू शामिल हैं।" यह सलाह नहीं है - यह प्रवर्तन प्रावधानों के साथ एक कानूनी दायित्व है।
आवश्यक संस्थाओं को €10 मिलियन या वैश्विक वार्षिक कारोबार का 2%, जो भी अधिक हो, तक का जुर्माना भरना पड़ता है। महत्वपूर्ण संस्थाओं को €7 मिलियन या टर्नओवर का 1.4% तक का सामना करना पड़ता है। लेकिन वास्तविक लागत परिचालन है: एनआईएस2 अनुच्छेद 32 पर्यवेक्षी अधिकारियों को प्रमाणपत्र निलंबित करने, प्रबंधन भूमिकाओं से व्यक्तियों पर प्रतिबंध लगाने और समय सीमा के साथ बाध्यकारी निर्देश लागू करने की अनुमति देता है।
NIS2 पूरे यूरोपीय संघ में 160,000 से अधिक संस्थाओं पर लागू होता है, जो ऊर्जा और परिवहन से लेकर डिजिटल बुनियादी ढांचे और आईसीटी सेवा प्रबंधन तक 18 क्षेत्रों में फैला हुआ है। इनमें से प्रत्येक इकाई के पास दर्जनों से सैकड़ों आपूर्तिकर्ता हैं - सुरक्षा दायित्वों का एक समूह तैयार करना जिसे मैन्युअल रूप से प्रबंधित करना असंभव है।
केन्साई की अनुसंधान टीम ने 2,400 यूरोपीय संगठनों और उनके शीर्ष 10 आपूर्तिकर्ताओं में से प्रत्येक की बाहरी हमले की सतहों का विश्लेषण किया, जिससे आपूर्ति श्रृंखला सुरक्षा स्थिति में खतरनाक अंतराल का पता चला:
हमारे डेटासेट में दो-तिहाई तृतीय-पक्ष विक्रेताओं के बाहरी-सामना वाले बुनियादी ढांचे में कम से कम एक गंभीर भेद्यता (सीवीएसएस 9.0+) थी, जिसमें अनपैच किए गए वीपीएन, उजागर व्यवस्थापक पैनल और गलत कॉन्फ़िगर किए गए क्लाउड स्टोरेज शामिल थे।
सर्वेक्षण में शामिल केवल 18% संगठनों के पास संरचित तृतीय-पक्ष सुरक्षा मूल्यांकन कार्यक्रम था। अधिकांश लोग वार्षिक प्रश्नावली पर भरोसा करते हैं - एक समय-बिंदु स्नैपशॉट जो कुछ ही हफ्तों में पुराना हो जाता है।
संगठनों को तीसरे पक्ष के वैक्टर से उत्पन्न उल्लंघनों का पता लगाने में लगभग 10 महीने लगते हैं - प्रत्यक्ष हमलों की तुलना में 2.3 गुना अधिक समय। निरंतर निगरानी से यह घटकर 48 घंटे से कम हो जाता है।
बहु-पक्षीय घटना प्रतिक्रिया, कानूनी जटिलता और व्यापक डाउनस्ट्रीम प्रभावों के कारण आपूर्ति श्रृंखला उल्लंघन की औसत लागत €4.2 मिलियन है - प्रत्यक्ष उल्लंघन की लागत का लगभग तीन गुना।
केन्साई का नया आपूर्ति श्रृंखला सुरक्षा मॉड्यूल आपको अपने विक्रेताओं, आपूर्तिकर्ताओं और सेवा प्रदाताओं को एक निगरानी डैशबोर्ड में जोड़ने की सुविधा देता है। हम लगातार उनकी बाहरी हमले की सतह - वेब एप्लिकेशन, एपीआई, ईमेल इंफ्रास्ट्रक्चर, डीएनएस कॉन्फ़िगरेशन, टीएलएस प्रमाणपत्र और उजागर सेवाओं को स्कैन करते हैं - और आपको उनकी सुरक्षा स्थिति में बदलाव के प्रति सचेत करते हैं।
प्रत्येक विक्रेता को उनकी बाहरी स्थिति के आधार पर एक गतिशील सुरक्षा स्कोर (ए-एफ) प्राप्त होता है। स्कोर भेद्यता की गंभीरता, पैच ताल, कॉन्फ़िगरेशन स्वच्छता, प्रमाणपत्र प्रबंधन और ऐतिहासिक रुझानों पर विचार करता है। स्कोर लगातार अपडेट होते रहते हैं - केवल वार्षिक समीक्षाओं के दौरान ही नहीं।
प्रत्येक खोज स्वचालित रूप से NIS2 अनुच्छेद 21 आवश्यकताओं के लिए मैप की जाती है, जो दर्शाती है कि प्रत्येक विक्रेता के सुरक्षा अंतराल से कौन से अनुपालन दायित्व प्रभावित होते हैं। ऑडिट-तैयार रिपोर्ट तैयार करें जो आपूर्ति श्रृंखला जोखिम के प्रबंधन में आपके उचित परिश्रम को प्रदर्शित करे।
विक्रेताओं की एक-दूसरे से और उद्योग बेंचमार्क से तुलना करें। पहचानें कि कौन से आपूर्तिकर्ता सबसे अधिक जोखिम उठाते हैं, समय के साथ सुधार पर नज़र रखें और डेटा-संचालित खरीद निर्णय लें। विक्रेता चयन मानदंड के रूप में सुरक्षा मुद्रा का उपयोग करें - जैसा कि NIS2 का इरादा है।
टूलींग से परे, NIS2 अनुपालन के लिए आपूर्ति श्रृंखला जोखिम प्रबंधन के लिए एक संरचित दृष्टिकोण की आवश्यकता होती है। यहां अनुच्छेद 21 की आवश्यकताओं के अनुरूप एक रूपरेखा दी गई है:
सभी आपूर्तिकर्ताओं और सेवा प्रदाताओं की पूरी सूची बनाए रखें। उन्हें गंभीरता के आधार पर वर्गीकृत करें - इस विक्रेता के समझौते का आपके परिचालन पर कितना प्रभाव पड़ेगा? NIS2 आनुपातिकता पर जोर देता है: महत्वपूर्ण आपूर्तिकर्ता अधिक जांच के पात्र हैं।
सुरक्षा दायित्वों, घटना अधिसूचना आवश्यकताओं और ऑडिट अधिकारों को शामिल करने के लिए आपूर्तिकर्ता अनुबंधों को अद्यतन करें। एनआईएस2 अनुच्छेद 21(3) में विशेष रूप से "महत्वपूर्ण आपूर्ति श्रृंखलाओं के समन्वित सुरक्षा जोखिम आकलन के परिणामों" पर विचार करने की आवश्यकता का उल्लेख किया गया है।
वार्षिक प्रश्नावलियों को निरंतर निगरानी से बदलें। सुरक्षा की स्थिति प्रतिदिन बदलती रहती है - आपका आकलन भी ऐसा ही होना चाहिए। केन्साई का आपूर्ति श्रृंखला स्कैनर स्वचालित रूप से यह निरंतर दृश्यता प्रदान करता है।
आपूर्ति श्रृंखला घटनाओं के लिए प्लेबुक विकसित करें। आप विक्रेता से किससे संपर्क करते हैं? संचार प्रोटोकॉल क्या है? आप व्यापक प्रभावों को कैसे नियंत्रित करते हैं? एनआईएस2 अनुच्छेद 23 में 24 घंटों के भीतर घटना की रिपोर्टिंग की आवश्यकता है - आपूर्ति श्रृंखला की घटनाएं कोई अपवाद नहीं हैं।
60 सेकंड में अपनी वेबसाइट का निःशुल्क सुरक्षा स्कैन प्राप्त करें
निःशुल्क सुरक्षा स्कैन →