Vi hjälper er att omvandla regelverk till konkret handling. Från kartläggning till åtgärder jobbar vi nära ledning, inköp och IT för att skapa tydliga resultat. Målet är att ni når kraven i tid och samtidigt stärker er verksamhets motståndskraft.
Direktiven trädde i kraft den 16 januari 2023 efter beslut i Europaparlamentet den 10 november 2022 och publicering den 27 december 2022. Svenska aktörer har fram till den 18 oktober 2024 på sig att uppfylla kraven.
Vi fokuserar på praktiska steg för att minska leverantörsrelaterade risker, förbättra incidenthantering och säkra kontinuitet i era affärskritiska processer. Vår metod kopplar governance, teknik och avtal så att ni får mätbara resultat.
Fördjupning om hur öppen källkod påverkar ansvar och åtaganden finns i en relevant analys som vi använder som referens: jämförande genomgång.
Viktiga punkter
- Planerat genomförande med tidslinje fram till 18 oktober 2024.
- Praktiska åtgärder för att minska leverantörsrelaterade risker.
- Tydlig styrning med spårbarhet för intern och extern granskning.
- Tvärfunktionellt samarbete mellan ledning, IT och inköp.
- Ökad affärsresiliens och förbättrad incidentberedskap.
Varför NIS2 förändrar leverantörskedjesäkerheten i Sverige just nu
EU:s nya direktiv, fastställt i december 2022, tvingar många svenska verksamheter att revidera sina riskbedömningar.
Tidslinje och påverkade sektorer
Direktivet antogs i november 2022, godkändes i december och trädde i kraft i januari 2023. Svenska aktörer måste uppfylla kraven senast 18 oktober 2024.
Omfattningen utökas till fler sectors, bland annat energi, transport och hälso- och sjukvård. Klassning som väsentlig eller viktig organisation påverkar tillsyn och krav.
Vad som står på spel
Hotbilden har skärpts. Fler attacker mot kritisk infrastruktur och nya vulnerabilities via distansarbete ökar risks för företag.
Direktivet skärper requirements för riskanalys, incidenthantering, BCP/DR, sårbarhetshantering, åtkomstkontroller och multifaktorautentisering.
- Större krav på governance och dokumentation.
- Tydligare business consequences vid bristande compliance, inklusive betydande sanktioner.
- Nationell implementering kan bredda scope och dra in tidigare oreglerade organizations.
Vi hjälper er prioritera de viktigaste riskerna för att snabbt öka resilience och möta de nya regulation-kraven.
How-to: NIS2 supply chain security i praktiken – vår steg-för-steg-metod
I denna del beskriver vi steg-för-steg hur vi går från analys till åtgärd. Vi fokuserar på snabba beslut och tydliga leverabler som stödjer ert arbete mot compliance.
Avgör om ni omfattas och definiera omfång
Vi inleder med en snabb scope-analys som kartlägger kritiska tjänster, system och tredjepart. Därefter segmenterar vi supply och chain i riskklasser och identifierar nyckelleverantörer.
Genomför gap-analys och riskbedömning
Vi jämför era processer mot directive-krav och identifierar gap inom information security, sårbarhetshantering och incidentrapportering.
Samtidigt genomför vi risk assessment för nätverk, systems och leverantörer. Resultatet prioriteras efter affärspåverkan.
Etablera styrning och åtgärdsplan
Vi sätter upp roller, rapportvägar och en investeringsplan för att säkra resources. En åtgärdsbacklog med milstolpar gör arbetet mätbart.
- Snabb scope-analys för att avgöra omfattning.
- Strukturerad gap-analys mot krav.
- Prioriterad åtgärdsbacklog och finansieringsplan.
Fördjupning: Leverantörsbedömningar, avtal och bevis för efterlevnad
Vi hjälper er skapa tydliga processer för leverantörsgranskning och kontraktsvillkor som stödjer efterlevnad och kontinuerlig uppföljning.
Leverantörsgranskning: enkäter, externa data, on-site och certifieringar
Vi etablerar ett skalbart program för assessment av leverantörer som kombinerar detaljerade enkäter, objektiva externa datakällor och on-site-bedömningar för högriskaktörer.
Vi kräver tredjepartscertifieringar som ISO/IEC 27001 eller SOC 2 där det är relevant. Detta ger snabb validering av controls och trust mellan parter.
Kontraktskrav: säkerhetsstandarder, revisioner och incidentrapportering
Vi inför kontraktsvillkor med definierade standarder, revisionsrätt och krav på incidentrapportering med tydliga SLA:er och kontaktvägar.
Recital 85 och artikel 21 understryker vikten av kontraktuella krav och regelbunden revision. Vi mappar kontroller till directive och era riskmål.
Hantering av högriskleverantörer och fjärdepartsinsyn
Högriskleverantörer får skärpta kontroller, alternativa leveransvägar och exit-planer.
- Riskklassning och åtgärdsplaner med uppföljning.
- Insyn i underleverantörsledet för att fånga fjärdepartsrisks.
- Dokumentation som stödjer audits och nis2 compliance, inklusive revisionsspår och artefakter.
Operativt genomslag: kontinuerlig övervakning, incidenthantering och resiliens
För att nå reellt genomslag måste övervakning och incidentprocesser vara integrerade i dagliga operationer. Vi bygger arbetsflöden som gör att ledning och drift kan agera snabbt vid avvikelser.
Kontinuerlig leverantörsmonitorering, hotinformation och sårbarhetshantering
Vi inför löpande monitorering av leverantörer och service providers med KPI:er för prestanda och säkerhetsavvikelser. Hotinformation från threat intelligence kopplas till kända vulnerabilities och era nätverkstillgångar.
En aktiv sårbarhetshantering prioriterar åtgärder, verifierar patchar och följer upp mot suppliers för att minska operational risk.
Incidentrapportering enligt nis2 directive, övningar, BCP/DR och förbättringscykel
Vi operationaliserar playbooks för incident från detektion till återställning. Playbooks är synkade med BCP/DR och beslutsvägar i management.
- Formaliserad incident reporting med roller, tidslinjer och datakrav för korrekt myndighetsrapportering.
- Regelbundna övningar med leverantörer och interna team för att testa tekniska gränssnitt och roller.
- Lessons learned implementeras i förbättringscykler för att stärka information security och nis2 compliance över tid.
Pragmatiska lösningar prioriteras för snabb implementation. Vi säkrar nätverksresiliens med segmentering, MFA och mätbara measures som stödjer kontinuerlig risk management.
Slutsats
Sammanfattningsvis kräver nis2 directive att organisationer lyfter riskhantering från policy till daglig drift.
Vi hjälper er att operationalisera directive-krav med tydliga kontroller, uppföljning och kontinuerliga förbättringar.
Praktisk implementation gör att ni når compliance utan att bromsa affären. Fokus ligger på risk, incidentberedskap och information security.
Vårt arbetssätt förbättrar resilience i er supply chain, skapar dokumentation för tillsyn och bygger trust med kunder och myndigheter.
Nästa steg: starta med en snabb nulägesbedömning, definiera ett åtgärdsprogram och säkra resources för tester och revision så att company är redo för nis2 compliance före 18 oktober 2024.
FAQ
Vad innebär den nya direktiven för vår leverantörskedja i praktiken?
Vi måste kartlägga alla kritiska leverantörer och tredjepartsberoenden, genomföra riskbedömningar för nätverk och information, samt införa styrning och tekniska åtgärder för att minska sårbarheter. Det kräver även att vi uppdaterar avtal med tydliga säkerhetskrav och incidentrapportering.
Hur avgör vi om vår organisation omfattas av reglerna?
Vi utgår från sektor, verksamhetens kritiska funktioner och omsättning. Genom en snabb screeningsprocess identifierar vi om vi klassas som en samhällsviktig eller digital tjänsteleverantör och därmed omfattas av kraven.
Vilka steg ingår i en gap-analys mot regelverket med fokus på leverantörer?
Vi kartlägger nuvarande kontroller, jämför mot regelkrav, identifierar brister i leverantörshantering, och prioriterar åtgärder utifrån risk. Resultatet blir en handlingsplan med ansvar, tidplan och resurser.
Hur bedömer vi risker från tredjeparter och fjärdeparter?
Vi kombinerar leverantörsenkäter, externa datakällor, sårbarhetsskanning och riskpoängsättning. För kritiska leverantörer utför vi fördjupade granskningar och på plats- eller certifieringskontroller för att få insyn även i deras underleverantörer.
Vilka avtalspunkter bör vi uppdatera med leverantörer?
Vi rekommenderar att införa krav på säkerhetsstandarder, regelbundna revisioner, incidentrapporteringstider, informationsdelning, säkerhetsåtgärder och möjligheten att genomföra efterlevnadskontroller.
Hur hanterar vi högriskleverantörer utan att skada affärsrelationer?
Vi föreslår en dialogbaserad approach: tydliggör risker, erbjud stöd för förbättringar, sätt upp realistiska åtgärdsplaner och använd stegvisa kontraktskrav. Om riskerna kvarstår måste vi överväga alternativa leverantörer eller tekniska kompensationsåtgärder.
Vilka operativa åtgärder behöver på plats för kontinuerlig övervakning?
Vi behöver integrera hotinformation i övervakningen, genomföra regelbundna sårbarhetsskanningar, övervaka leverantörshändelser och ha automatiserade larm. Dessutom krävs processer för snabb bedömning och åtgärd vid incidenter.
Hur ser en incidentrapport enligt regelverket ut och vem ansvarar för att rapportera?
Rapporter ska snabbt beskriva händelsen, påverkan, åtgärder och återställningstid. Vi etablerar tydliga rapportvägar där ledningen och utsedda säkerhetsansvariga har huvudansvaret för inrapporteringsprocessen och kontakt med tillsynsmyndigheter.
Hur säkerställer vi ledningens engagemang och finansiering för åtgärder?
Vi tar fram en affärsorienterad riskpresentation som länkar cybersäkerhet till driftstabilitet och ekonomiska konsekvenser. Med en prioriterad åtgärdsbacklog och uppskattade kostnader underlättar vi beslut om budget och resurser.
Vilka verktyg och resurser rekommenderar vi för att uppnå efterlevnad?
Vi rekommenderar kombinationer av tekniska verktyg för övervakning och sårbarhetshantering, leverantörsbedömningsplattformar, standardiserade enkäter samt expertstöd för policy, avtal och incidenthantering.
Hur ofta bör vi öva incidenthantering och uppdatera planer?
Vi rekommenderar regelbundna övningar minst årligen, med flerbordssimuleringar för kritiska scenarier och efter varje större förändring i leverantörsnätverket. Planer bör uppdateras baserat på övningsresultat och hotbildens utveckling.
Vad är de vanligaste utmaningarna företag stöter på vid implementering?
Typiska hinder är brist på ledningsstöd, otillräckliga resurser, begränsad leverantörsinsyn och komplexa underleverantörskedjor. Vi arbetar med skalbara metoder för att hantera dessa utmaningar effektivt.
Kan vi bruke externa partners för att accelerera processen?
Ja, vi kan anlita specialiserade rådgivare eller tekniska leverantörer som erbjuder snabb screening, gap-analyser, och kontinuerlig övervakning. Externa resurser hjälper oss ofta att fylla kompetens- och kapacitetsluckor.