Leverantörsutvärdering av Google Workspace for Education enligt NIS2 & Cybersäkerhetslagen

Den nya svenska Cybersäkerhetslagen ställer skärpta krav på hur organisationer inom offentlig sektor och kritiska verksamheter hanterar sin it-säkerhet. En central del i detta regelverk är säkerhet i leveranskedjan, vilket innebär att ni som organisation är skyldiga att utvärdera och granska era leverantörers säkerhetsarbete.

Denna artikel är utformad för att hjälpa er att genomföra och dokumentera er leverantörsutvärdering av Google Workspace for Education i enlighet med NIS2-regleringen.

1. Vad kräver Cybersäkerhetslagen vid leverantörsgranskning?

Enligt NIS2 (Artikel 21.2) och den nationella lagstiftningen måste organisationer ta hänsyn till sårbarheter som är specifika för varje leverantör och tjänsteleverantör. Ni behöver kunna visa att er molnleverantör tillämpar proportionella och ändamålsenliga säkerhetsåtgärder gällande:

• Riskhantering och policyer för informationssäkerhet.
• Incidenthantering (förebyggande, upptäckt och hantering).
• Driftskontinuitet (t.ex. reservrutiner och katastrofåterställning).
• Säkerhet kring personal och åtkomstkontroll.

2. Hur svarar Google mot kraven i NIS2?

Google Cloud (där Google Workspace for Education ingår) agerar både som en direkt berörd entitet under NIS2 i egenskap av leverantör av digitala tjänster, och som en nyckelpartner som hjälper er att ärva starka säkerhetskontroller.

Google har ett delat ansvarsområde (Shared Responsibility) där de ansvarar för säkerheten i infrastrukturen (fysiska datacenter, hårdvara, nätverk och kryptering på plattformsnivå), medan ni som skola/kommun ansvarar för säkerheten i er egen miljö (konfigurationer, behörigheter, identitetshantering och tvåfaktorsautentisering).

3. Officiella länkar till Googles NIS2-information

För att underlätta er leverantörsbedömning har Google samlat allt material, avtalsvillkor och oberoende granskningar på specifika portaler. Använd dessa länkar för att hämta underlag till er dokumentation:

• Googles centrala NIS2-portal: Här beskriver Google i detalj hur deras kontroller och processer stödjer kraven på leverantörssäkerhet.
  Google Cloud EU NIS2 Compliance Hub

• Hämta revisionsrapporter och certifikat (Compliance Reports Manager): För er formella granskning behöver ni ofta ladda ner konkreta bevis. Genom denna portal kan er it-avdelning/dataskyddsombud ladda ner ISO-certifikat och SOC-rapporter.
  Google Cloud Compliance Reports Manager

• Strategisk vägledning och Whitepaper för NIS2:
  Google har publicerat en detaljerad guide och ramverk för hur verksamheter kan accelerera sin NIS2-efterlevnad.
  Transforming Your Strategic Roadmap for NIS2 Compliance (PDF)

• Googles analys av NIS2 på molnbloggen:
  En djupare genomgång av hur Google Workspace och Google Cloud hjälper europeiska kunder att bygga cyberresiliens.
  How Google Cloud can help customers achieve compliance with NIS2

4. Checklista för er leverantörsutvärdering

När ni fyller i er interna riskbedömning eller leverantörsdeklaration för Google Workspace for Education, kan ni verifiera följande punkter med hjälp av länkarna ovan:

Kom ihåg: Googles certifieringar täcker basplattformen. För full efterlevnad av Cybersäkerhetslagen måste ni komplettera med att se över era egna rutiner, exempelvis att ni har aktiverat multifaktorsautentisering (MFA) för alla användare, satt upp korrekta gallringsregler och att ni utbildar personalen i cybersäkerhet.