NIS2 leverandørkjedesikkerhet: Krav til hele verdikjeden
Country Manager, Sweden
AI, DevOps, Security, and Cloud Solutioning. 12+ years leading enterprise cloud transformation across Scandinavia
NIS2 leverandørkjedesikkerhet: Krav til hele verdikjeden
Leverandørkjedesikkerhet er et av NIS2s mest krevende krav. Direktivet krever at virksomheter ikke bare sikrer egne systemer, men også vurderer og håndterer risiko i hele leverandørkjeden. For mange virksomheter er dette et nytt ansvarsområde som krever nye prosesser, kontraktskrav og samarbeid med leverandører.
ENISA rapporterer at 62 % av cyberhendelser mot kritisk infrastruktur i 2024 involverte leverandørkjeden (ENISA, 2025). SolarWinds-angrepet i 2020 og Log4j-sårbarheten i 2021 demonstrerte hvordan en enkelt leverandør kan kompromittere tusenvis av virksomheter. NIS2 adresserer denne risikoen direkte.
Nøkkelpunkter
- 62 % av cyberhendelser mot kritisk infrastruktur involverte leverandørkjeden i 2024 (ENISA, 2025)
- NIS2 artikkel 21(2)(d) krever sikkerhetsvurdering av hele leverandørkjeden
- Virksomheter må stille sikkerhetskrav i kontrakter og overvåke etterlevelse
- EU-kommisjonen kan fastsette koordinerte sikkerhetsvurderinger for kritiske leverandørkjeder
Hva krever NIS2 om leverandørkjedesikkerhet?
NIS2 artikkel 21(2)(d) krever tiltak for sikkerhet i leverandørkjeden, inkludert sikkerhetsrelaterte aspekter av forholdet mellom virksomheten og dens direkte leverandører (EU-kommisjonen, 2023). I tillegg krever artikkel 21(3) at virksomheter tar hensyn til sårbarhetene til hver direkte leverandør.
Risikovurdering av leverandører
Virksomheter skal vurdere cybersikkerhetsrisikoen knyttet til hver direkte leverandør. Det inkluderer leverandørens sikkerhetspraksis, evne til hendelseshåndtering, tilgangsnivå til virksomhetens systemer, og avhengighetsgraden.
Kontraktskrav
Sikkerhetskrav skal inkluderes i leverandøravtaler. Det innebærer definerte sikkerhetsstandarder, hendelsesrapporteringskrav fra leverandør til kunde, revisjonsrettigheter, og krav til underleverandører.
Koordinerte vurderinger
NIS2 artikkel 22 gir EU-kommisjonen myndighet til å fastsette koordinerte sikkerhetsvurderinger av kritiske leverandørkjeder. Det betyr at spesifikke leverandørkjeder kan bli gjenstand for EU-koordinert vurdering.
Citatkapsel: ENISA rapporterer at 62 % av cyberhendelser mot kritisk infrastruktur i 2024 involverte leverandørkjeden, og NIS2 artikkel 21(2)(d) krever at virksomheter vurderer og sikrer hele verdikjeden (ENISA, 2025).
Hvordan kartlegger du kritiske leverandører?
Det første steget er å forstå hvem dine kritiske leverandører er. En rapport fra Gartner viser at 83 % av virksomheter ikke har full oversikt over sin leverandørkjede utover første ledd (Gartner, 2024). NIS2 krever at du i det minste vurderer direkte leverandører grundig.
Kritikalitetsvurdering
Kartlegg alle leverandører og vurder dem basert på tilgang til virksomhetens systemer og data, avhengighetsgrad (hva skjer om leverandøren svikter?), datamengde og sensitivitet, og substituerbarheten (finnes alternativer?).
Prioritering
Ikke alle leverandører krever samme vurderingsnivå. Fokuser på leverandører som har direkte tilgang til IT-systemer, leverandører av kritiske tjenester (sky, drift, sikkerhet), leverandører som behandler sensitive data, og leverandører uten enkle alternativer.
Registrering og dokumentasjon
Etabler et leverandørregister som inkluderer leverandørnavn, tjenestebeskrivelse, kritikalitetsvurdering, sikkerhetsvurdering og kontraktstatus. Hold registeret oppdatert.
Trenger dere eksperthjelp med nis2 leverandørkjedesikkerhet: krav til hele verdikjeden?
Våre skyarkitekter hjelper dere med nis2 leverandørkjedesikkerhet: krav til hele verdikjeden — fra strategi til implementering. Book et gratis 30-minutters rådgivningssamtale uten forpliktelse.
Hvilke sikkerhetskrav bør stilles i kontrakter?
Ifølge en undersøkelse fra Ponemon Institute har bare 34 % av virksomheter cybersikkerhetskrav i sine leverandøravtaler (Ponemon Institute, 2024). NIS2 gjør slike krav til en nødvendighet, ikke et valgfritt tillegg.
Minimumskrav i leverandøravtaler
Leverandøren skal opprettholde et dokumentert sikkerhetsstyringssystem. Hendelser som kan påvirke kunden skal rapporteres innen en definert frist. Kunden skal ha rett til å gjennomføre eller kreve revisjon. Leverandøren skal gjennomføre regelmessig sårbarhetshåndtering. Krav til kryptering, tilgangskontroll og logging skal spesifiseres.
Krav til underleverandører
NIS2 krever at virksomheter vurderer hele leverandørkjeden, ikke bare første ledd. Kontrakten med leverandøren bør inkludere krav om at tilsvarende sikkerhetskrav stilles til underleverandører.
Revisjonsrettigheter
Kontrakten bør gi kunden rett til å gjennomføre eller bestille sikkerhetsrevisjoner hos leverandøren. For kritiske leverandører bør dette gjennomføres minimum årlig.
[UNIQUE INSIGHT] En praktisk utfordring er at mange leverandører, særlig store internasjonale aktører, nekter å akseptere individuelle kunders sikkerhetskrav. De tilbyr i stedet sertifiseringer (ISO 27001, SOC 2) som dokumentasjon. NIS2 aksepterer ikke sertifisering alene som tilstrekkelig, men det kan inngå som del av vurderingen. Virksomheter bør forhandle hardt om revisjonsrettigheter og hendelsesrapportering, selv med store leverandører.
Hvordan overvåker du leverandørsikkerheten løpende?
Leverandørvurdering er ikke en engangsøvelse. En rapport fra SecurityScorecard viser at 29 % av innbrudd i 2024 startet hos en leverandør med fallende sikkerhetspoeng i de 6 månedene før hendelsen (SecurityScorecard, 2025). Løpende overvåking gir tidlig varsling.
Metoder for løpende overvåking
Sikkerhetsratingtjenester gir automatisert overvåking av leverandørers synlige sikkerhetsprofil. Regelmessige spørreskjemaer og egenevalueringer fra leverandøren. Årlige revisjoner for kritiske leverandører. Automatisk varsling ved hendelser hos leverandøren.
Hendelseshåndtering i leverandørkjeden
Etabler prosesser for hva som skjer når en leverandør opplever en hendelse. Hvem varsles? Hva er beredskapsplanen? Kan tjenesten overføres til en alternativ leverandør? Test disse planene gjennom øvelser.
Exit-strategi
For kritiske leverandører bør det finnes en plan for å bytte leverandør om nødvendig. Dataportering, overgangsperioder og alternative leverandører bør være kartlagt på forhånd.
[PERSONAL EXPERIENCE] I vårt arbeid med nordiske virksomheter som forbereder seg på NIS2, er leverandørkjedevurdering det enkelttiltaket som tar lengst tid. Typisk 3-6 måneder for å kartlegge, vurdere og oppdatere kontrakter med kritiske leverandører. Start dette arbeidet tidlig.
Ofte stilte spørsmål
Må vi vurdere alle leverandører?
Nei, NIS2 krever vurdering av direkte leverandører med fokus på de som har tilgang til systemer, behandler data eller leverer kritiske tjenester. En risikobasert tilnærming der kritiske leverandører får grundig vurdering er tilstrekkelig.
Hva om leverandøren nekter å akseptere sikkerhetskrav?
Vurder om leverandøren kan erstattes. Dersom ikke, dokumenter risikoen og implementer kompenserende tiltak (ekstra overvåking, begrenset tilgang). Leverandørens nekting bør rapporteres til ledelsen som en identifisert risiko.
Er ISO 27001-sertifisering hos leverandøren tilstrekkelig?
Sertifisering er et godt utgangspunkt, men ikke tilstrekkelig alene. NIS2 krever at virksomheten gjør en egen vurdering. Sertifiseringen dekker leverandørens generelle sikkerhetsstyring, men ikke nødvendigvis de spesifikke risikoene i forholdet mellom deg og leverandøren.
Gjelder leverandørkjekravene for underleverandører?
NIS2 krever at virksomheten vurderer hele leverandørkjeden. I praksis betyr det at du bør stille krav til at din leverandør gjør tilsvarende vurdering av sine underleverandører. Direkte kontroll over underleverandører er sjelden praktisk mulig.
Hvor ofte bør leverandørvurderinger oppdateres?
Minimum årlig for kritiske leverandører. Oftere ved vesentlige endringer hos leverandøren (nye tjenester, endringer i sikkerhetspraksis, hendelser) eller endringer i egen virksomhet (nye systemer, endret risikoprofil).
Citatkapsel: Bare 34 % av virksomheter har cybersikkerhetskrav i leverandøravtaler ifølge Ponemon Institute, og SecurityScorecard viser at 29 % av innbrudd startet hos leverandører med fallende sikkerhetsprofil (Ponemon, 2024).
Viktige punkter om NIS2 leverandørkjedesikkerhet Krav til hele
Leverandørkjedesikkerhet er et av NIS2-kravene som krever mest tid og innsats. Start med å kartlegge kritiske leverandører, oppdater kontrakter med sikkerhetskrav, og etabler rutiner for løpende overvåking. Dette er ikke et engangprosjekt, men en kontinuerlig prosess som må integreres i virksomhetens risikostyring.
Meta description: 62 % av cyberhendelser involverte leverandørkjeden i 2024. Lær NIS2-kravene til leverandørvurdering, kontrakter og løpende overvåking.
Om forfatteren
Country Manager, Sweden at Opsio
AI, DevOps, Security, and Cloud Solutioning. 12+ years leading enterprise cloud transformation across Scandinavia
Editorial standards: This article was written by a certified practitioner and peer-reviewed by our engineering team. We update content quarterly to ensure technical accuracy. Opsio maintains editorial independence — we recommend solutions based on technical merit, not commercial relationships.