प्रकाशित: 2 मार्च 2026 | श्रेणी: आपूर्ति श्रृंखला सुरक्षा, अनुपालन
आपूर्ति श्रृंखला सुरक्षा: NIS2 और DPDP अधिनियम के तहत तृतीय-पक्ष दायित्व
आधुनिक व्यावसायिक पारिस्थितिकी तंत्र में, संगठन सैकड़ों तृतीय-पक्ष विक्रेताओं, आपूर्तिकर्ताओं और सेवा प्रदाताओं पर निर्भर हैं। हालांकि, यूरोपीय संघ का NIS2 निर्देश और भारत का डिजिटल व्यक्तिगत डेटा संरक्षण (DPDP) अधिनियम 2023 ने आपूर्ति श्रृंखला साइबर सुरक्षा जोखिमों के लिए जवाबदेही का परिदृश्य मौलिक रूप से बदल दिया है।
63%
उल्लंघन तृतीय-पक्ष से
89
औसत विक्रेता प्रति कंपनी
€10M
अधिकतम NIS2 जुर्माना
महत्वपूर्ण: NIS2 और DPDP अधिनियम दोनों के तहत, संगठन अपने आपूर्तिकर्ताओं और सेवा प्रदाताओं के साइबर सुरक्षा विफलताओं के लिए सीधे उत्तरदायी हैं। "हमने इसे आउटसोर्स किया" अब कानूनी बचाव नहीं है।
नियामक आवश्यकताएं
NIS2 निर्देश आवश्यकताएं
अक्टूबर 2024 से प्रभावी, NIS2 यूरोप में संचालन करने वाली या यूरोपीय ग्राहकों की सेवा करने वाली भारतीय कंपनियों पर लागू होता है:
- आपूर्तिकर्ता जोखिम मूल्यांकन: सभी महत्वपूर्ण विक्रेताओं का व्यापक साइबर सुरक्षा मूल्यांकन
- संविदात्मक सुरक्षा उपाय: सभी आपूर्तिकर्ता अनुबंधों में विशिष्ट सुरक्षा खंड
- निरंतर निगरानी: तृतीय-पक्ष सुरक्षा स्थिति की चल रही निगरानी
- घटना रिपोर्टिंग: आपूर्तिकर्ता से संबंधित घटनाओं के लिए 24 घंटे की सूचना अवधि
- ऑडिट अधिकार: आपूर्तिकर्ता सुरक्षा नियंत्रणों की नियमित जांच करने की क्षमता
DPDP अधिनियम 2023 आवश्यकताएं
भारत का डेटा संरक्षण कानून स्पष्ट रूप से डेटा प्रोसेसर (आपूर्तिकर्ता) और डेटा फिड्यूशियरी (आपके संगठन) की जिम्मेदारियों को परिभाषित करता है:
- डेटा प्रोसेसर समझौते: सभी विक्रेताओं के साथ औपचारिक अनुबंध जो व्यक्तिगत डेटा संभालते हैं
- उद्देश्य सीमा: विक्रेता केवल निर्दिष्ट उद्देश्यों के लिए डेटा संसाधित कर सकते हैं
- डेटा स्थानीयकरण: भारतीय नागरिकों का डेटा भारत में संग्रहीत होना चाहिए (छूट के साथ)
- उल्लंघन सूचना: डेटा प्रोसेसर को 6 घंटे के भीतर CERT-In को रिपोर्ट करना होगा
- संयुक्त दायित्व: उल्लंघन के मामले में फिड्यूशियरी और प्रोसेसर दोनों उत्तरदायी हो सकते हैं
सामान्य आपूर्ति श्रृंखला जोखिम
हाल के मामलों का अध्ययन: 2025 में, एक प्रमुख भारतीय IT सेवा कंपनी को ₹42 करोड़ का जुर्माना लगाया गया जब उनके क्लाउड स्टोरेज प्रदाता ने 2.3 मिलियन ग्राहक रिकॉर्ड उजागर किए। कंपनी ने तर्क दिया कि यह विक्रेता की विफलता थी, लेकिन CERT-In ने फैसला सुनाया कि अपर्याप्त विक्रेता निगरानी ने संगठन को समान रूप से जिम्मेदार बना दिया।
उच्च जोखिम वाली श्रेणियां
- क्लाउड सेवा प्रदाता: AWS, Azure, GCP - डेटा भंडारण और पहुंच नियंत्रण जोखिम
- SaaS अनुप्रयोग: Salesforce, Workday, SAP - डेटा एकीकरण और पहुंच
- IT सेवा प्रदाता: आउटसोर्स SOC, NOC, हेल्पडेस्क - विशेषाधिकार पहुंच
- सॉफ़्टवेयर विक्रेता: ओपन-सोर्स घटक, तृतीय-पक्ष लाइब्रेरी - आपूर्ति श्रृंखला हमले
- भुगतान प्रोसेसर: गेटवे, पर्स - वित्तीय डेटा जोखिम
- मार्केटिंग तकनीक: विश्लेषिकी, CRM, ईमेल प्लेटफ़ॉर्म - ग्राहक डेटा प्रसंस्करण
AIHackers तृतीय-पक्ष जोखिम प्रबंधन फ्रेमवर्क
चरण 1: आपूर्तिकर्ता खोज और वर्गीकरण
अपने संगठन की आपूर्ति श्रृंखला की पूर्ण दृश्यता बनाएं:
- सभी तृतीय-पक्ष विक्रेताओं की सूची बनाएं
- जोखिम स्तर के आधार पर वर्गीकृत करें: महत्वपूर्ण, उच्च, मध्यम, कम
- डेटा पहुंच और प्रसंस्करण गतिविधियों को मैप करें
- विनियामक दायरे (NIS2, DPDP, अन्य) निर्धारित करें
चरण 2: आपूर्तिकर्ता सुरक्षा मूल्यांकन
एकल और चल रहे मूल्यांकन करें:
- सुरक्षा प्रश्नावली: 100+ प्रश्नों को कवर करने वाली मानकीकृत प्रश्नावली
- प्रमाणन सत्यापन: ISO 27001, SOC 2, CERT-In सूचीबद्ध सत्यापित करें
- पैठ परीक्षण: महत्वपूर्ण विक्रेताओं के लिए वार्षिक तीसरे पक्ष का मूल्यांकन
- ऑन-साइट ऑडिट: उच्च जोखिम वाले आपूर्तिकर्ताओं के लिए भौतिक सुरक्षा समीक्षा
- खतरा बुद्धिमत्ता: विक्रेता नेटवर्क में ज्ञात समझौतों की जांच करें
चरण 3: संविदात्मक सुरक्षा उपाय
सभी विक्रेता अनुबंधों में इन खंडों को शामिल करें:
- सुरक्षा मानक: विशिष्ट तकनीकी और संगठनात्मक उपाय
- घटना रिपोर्टिंग: 6 घंटे की सूचना आवश्यकता (DPDP-संरेखित)
- ऑडिट अधिकार: वार्षिक सुरक्षा समीक्षा करने की क्षमता
- उप-प्रोसेसर: सभी उप-ठेकेदारों को अनुमोदित किया जाना चाहिए
- डेटा स्थानीयकरण: भारतीय डेटा संग्रहण आवश्यकताएं
- देयता: उल्लंघन के मामले में क्षतिपूर्ति खंड
- समाप्ति: अनुबंध समाप्ति पर सुरक्षित डेटा विलोपन
चरण 4: निरंतर निगरानी
तृतीय-पक्ष जोखिम की वास्तविक समय दृश्यता बनाए रखें:
- स्वचालित स्कैनिंग: विक्रेता नेटवर्क के निरंतर भेद्यता मूल्यांकन
- सुरक्षा स्कोरिंग: वास्तविक समय विक्रेता साइबर जोखिम रेटिंग
- डार्क वेब निगरानी: उजागर विक्रेता क्रेडेंशियल्स के लिए अलर्ट
- अनुपालन ट्रैकिंग: प्रमाणन और मूल्यांकन समाप्ति
- घटना सहसंबंध: आपूर्ति श्रृंखला हमले के पैटर्न का पता लगाना
आपूर्ति श्रृंखला हमलों से बचाव
तकनीकी नियंत्रण
- शून्य-विश्वास नेटवर्क पहुंच (ZTNA) सभी विक्रेता कनेक्शन के लिए
- विक्रेता एकीकरण के लिए माइक्रो-सेगमेंटेशन
- API सुरक्षा और दर सीमा
- डेटा हानि रोकथाम (DLP) विक्रेता बिंदुओं पर
- एन्क्रिप्टेड डेटा साझाकरण चैनल
- बहु-कारक प्रमाणीकरण (MFA) सभी विक्रेता पहुंच के लिए
- विशेषाधिकार पहुंच प्रबंधन (PAM)
संगठनात्मक नियंत्रण
- विक्रेता जोखिम समिति: त्रैमासिक समीक्षा
- आपूर्ति श्रृंखला घटना प्रतिक्रिया योजना
- विक्रेता ऑफबोर्डिंग प्रक्रिया
- संविदा नवीनीकरण सुरक्षा गेट
- आपूर्तिकर्ता विविधता: एकल-विक्रेता निर्भरता कम करें
- व्यवसाय निरंतरता: आपूर्तिकर्ता विफलता परिदृश्य
CERT-In आपूर्ति श्रृंखला दिशानिर्देश
जनवरी 2025 में, CERT-In ने आपूर्ति श्रृंखला सुरक्षा के लिए अद्यतन दिशानिर्देश जारी किए, जिसमें शामिल हैं:
- अनिवार्य रजिस्ट्री: सभी महत्वपूर्ण बुनियादी ढांचे के संचालकों को तृतीय-पक्ष विक्रेताओं को CERT-In के साथ पंजीकृत करना होगा
- उत्पत्ति का बिल: सॉफ़्टवेयर घटकों और निर्भरताओं का प्रलेखन
- शून्य-दिवस प्रकटीकरण: विक्रेताओं को CERT-In को 24 घंटे के भीतर सूचित करना होगा
- आपूर्तिकर्ता ब्लैकलिस्ट: समझौता किए गए विक्रेताओं की CERT-In सूची
AIHackers भारत की अग्रणी तृतीय-पक्ष साइबर जोखिम प्रबंधन फर्म है, जो Fortune 500 कंपनियों को वैश्विक नियामक अनुपालन प्राप्त करने में मदद करती है।