Opsio - Cloud and AI Solutions
7 min read· 1,552 words

NIS2 leverantörskedja: Krav på säkerhet i hela kedjan

Publicerad: ·Uppdaterad: ·Granskad av Opsios ingenjörsteam
Översatt från engelska och granskad av Opsios redaktion. Visa originalet →
Fredrik Karlsson
Fredrik Karlsson

Group COO & CISO

Operational excellence, governance, and information security. Aligns technology, risk, and business outcomes in complex IT environments

NIS2 leverantörskedja: Krav på säkerhet i hela kedjan

# NIS2 leverantörskedja: Krav på säkerhet i hela kedjan

Leverantörskedjan har blivit cybersäkerhetens svagaste länk. Enligt (Verizon DBIR, 2024) involverade 62% av alla dataintrång en tredjepartsleverantör eller partner, en ökning från 44% året innan. NIS2-direktivet adresserar detta genom Artikel 21(2)(d), som kräver att organisationer hanterar säkerheten i hela sin leverantörskedja. Det räcker inte längre att säkra den egna infrastrukturen.

Den här guiden beskriver vad NIS2 kräver kring leverantörssäkerhet, hur du genomför due diligence, vilka avtalsklausuler som behövs och hur du bygger ett praktiskt ramverk för supply chain-riskhantering.

NIS2-direktivet, komplett guide

> Key Takeaways

>

> - NIS2 Artikel 21(2)(d) kräver att organisationer säkrar sin leverantörskedja

> - 62% av dataintrång involverar en tredjepartsleverantör (Verizon DBIR, 2024)

> - Avtalsmässiga säkerhetskrav och revisionsrättigheter är centrala verktyg

> - Riskbedömning ska vara löpande, inte en engångsinsats

Vad kräver NIS2 kring leverantörskedjesäkerhet?

NIS2 Artikel 21(2)(d) fastställer att organisationer ska vidta åtgärder för "säkerhet i leverantörskedjan, inbegripet säkerhetsrelaterade aspekter avseende förbindelserna mellan varje entitet och dess direkta leverantörer eller tjänsteleverantörer". Enligt (ENISA, 2024) har bara 40% av EU-organisationer en formell process för att bedöma leverantörers cybersäkerhet. NIS2 gör den processen obligatorisk.

Tre dimensioner av kravet

Direktivet adresserar leverantörskedjesäkerhet i tre dimensioner:

Direkt leverantörsrelation: Du ska bedöma cybersäkerheten hos dina direkta leverantörer. Det inkluderar deras tekniska säkerhetsåtgärder, incidenthanteringsförmåga och organisatoriska mognad.

Produktsäkerhet: Säkerheten i de produkter och tjänster du köper. Programvarukomponenter, hårdvara och molntjänster ska utvärderas ur säkerhetssynpunkt innan anskaffning.

Kedjans djup: Även underleverantörer (fjärde part) kan utgöra risker. NIS2 kräver att du förstår och hanterar risker längre ner i kedjan, inte bara hos dina direkta kontakter.

Compliance-analys och riskbedömning

Hur genomför du due diligence på leverantörer?

Due diligence är processen att bedöma en leverantörs säkerhetsnivå innan och under avtalsrelationen. Enligt (Gartner, 2024) ökar kostnaden för tredjepartsriskrelaterade incidenter med 40% om ingen due diligence har genomförts. Processen behöver vara systematisk och proportionerlig.

Steg 1: Klassificera leverantörer efter risk

Alla leverantörer kräver inte samma nivå av granskning. Klassificera dem baserat på:

  • Tillgång till data: Hanterar leverantören personuppgifter eller känslig affärsdata?
  • Systemintegration: Har leverantören åtkomst till era interna system eller nätverk?
  • Tjänstekritikalitet: Vad händer om leverantören drabbas av avbrott?
  • Ersättningsbarhet: Hur snabbt kan ni byta till en alternativ leverantör?

Kritiska leverantörer (hög risk i flera kategorier) kräver djupaste granskningen. Leverantörer med begränsad exponering kan hanteras med enklare processer.

Steg 2: Säkerhetsbedömning

För kritiska leverantörer bör bedömningen inkludera:

  • Frågeformulär: Standardiserade säkerhetsfrågeformulär baserade på ISO 27001 eller NIST CSF
  • Certifieringskontroll: ISO 27001, SOC 2 Type II eller branschspecifika certifieringar
  • Teknisk granskning: Penetrationstester, sårbarhetsskanningar eller arkitekturgranskning
  • Incidenthistorik: Har leverantören rapporterat incidenter tidigare? Hur hanterades de?

[INTERNAL-LINK: Penetrations- och sårbarhetstestning -> /sv/penetration-vulnerability-testing-service/]

Steg 3: Dokumentera och besluta

Dokumentera bedömningsresultatet med en riskpoäng. Besluta om leverantören uppfyller era krav, behöver åtgärda brister eller ska uteslutas. Den dokumentationen är central vid NIS2-tillsyn.

[PERSONAL EXPERIENCE] I vår erfarenhet underskattar de flesta organisationer tiden som due diligence-processen kräver. En fullständig bedömning av en kritisk leverantör tar typiskt 2-4 veckor. Planera tidigt och integrera processen i upphandlingscykeln.

Kostnadsfri experthjälp

Vill ni ha expertstöd med nis2 leverantörskedja: krav på säkerhet i hela kedjan?

Våra molnarkitekter hjälper er med nis2 leverantörskedja: krav på säkerhet i hela kedjan — från strategi till implementation. Boka ett kostnadsfritt 30-minuters rådgivningssamtal utan förpliktelse.

Solution ArchitectAI-specialistSäkerhetsexpertDevOps-ingenjör
50+ certifierade ingenjörerAWS Advanced Partner24/7 support
Helt kostnadsfritt — ingen förpliktelseSvar inom 24h

Vilka avtalsklausuler behövs för NIS2-compliance?

Avtalsmässiga säkerhetskrav är grunden för leverantörshantering under NIS2. Enligt (European Commission, 2024) ska avtal specifikt adressera cybersäkerhetskrav som leverantören måste uppfylla. Utan avtalsmässig reglering saknar du verktyg att ställa krav och följa upp.

Obligatoriska klausuler

Säkerhetskrav: Specificera vilka tekniska och organisatoriska säkerhetsåtgärder leverantören ska upprätthålla. Referera till standarder som ISO 27001 eller sektorsspecifika ramverk.

Incidentrapportering: Leverantören ska rapportera säkerhetsincidenter till er inom en definierad tidsram. 24-48 timmar är rimligt och speglar NIS2:s egna rapporteringstider.

Revisionsrättigheter: Ni ska ha rätt att genomföra eller beställa säkerhetsrevisioner av leverantörens verksamhet. Ange frekvens (årligen som minimum) och omfång.

Underleverantörshantering: Leverantören ska informera er om väsentliga underleverantörer och säkerställa att de uppfyller motsvarande säkerhetskrav.

Kontinuitetsplanering: Krav på att leverantören har och testar en kontinuitetsplan som säkerställer tjänstetillgängligheten.

Ytterligare rekommenderade klausuler

Dataradering: Tydliga krav på hur data hanteras vid avtalets upphörande.

Sårbarhethantering: Leverantören ska ha en process för att identifiera och åtgärda sårbarheter inom definierade tidsramar.

Personalscreening: Krav på bakgrundskontroller för leverantörens personal som hanterar era data eller system.

Behöver alla avtal se likadana ut? Nej. Proportionalitetsprincipen gäller. En kaffeleverantör kräver inte samma avtalsdjup som er molntjänsteleverantör. Anpassa klausulerna efter leverantörens riskklassificering.

Hur kartlägger du risker i hela leverantörskedjan?

En komplett kartläggning av leverantörskedjan kräver systematik. Enligt (ENISA, 2024) har antalet supply chain-attacker i EU ökat med 300% sedan 2020. Kartläggningen bör gå bortom era direkta leverantörer.

Fas 1: Inventering

Börja med att identifiera alla leverantörer som har tillgång till era data, system eller tjänster. De flesta organisationer underskattar antalet. Inkludera:

  • IT-leverantörer (moln, programvara, infrastruktur)
  • Tjänsteleverantörer med systemåtkomst (konsulter, support)
  • SaaS-plattformar som hanterar verksamhetsdata
  • Hårdvaruleverantörer med fjärråtkomst

[INTERNAL-LINK: Molnsäkerhetstjänster -> /sv/cloud-security-service/]

Fas 2: Riskanalys

Bedöm varje leverantör utifrån sannolikhet och konsekvens. Använd en matris som väger:

  • Exponering: Vilken data och vilka system har leverantören åtkomst till?
  • Hotbild: Hur attraktivt mål är leverantören för angripare?
  • Säkerhetsmognad: Vilken nivå av cybersäkerhet har leverantören?
  • Beroendegrad: Hur kritisk är leverantörens tjänst för er verksamhet?

Fas 3: Fjärde-partsrisk

NIS2 kräver att du även adresserar risker längre ner i kedjan. Fråga era kritiska leverantörer vilka underleverantörer de använder för att leverera tjänsten till er. Kräv att de tillämpar motsvarande säkerhetskrav nedåt i kedjan.

Fas 4: Löpande övervakning

En engångsinventering räcker inte. Leverantörslandskapet förändras kontinuerligt. Nya underleverantörer tillkommer, befintliga leverantörer drabbas av incidenter och säkerhetsmognaden fluktuerar. Etablera en process för löpande övervakning, minst årlig omvärdering av kritiska leverantörer.

[UNIQUE INSIGHT] Det finns en skalbarhetsfråga i NIS2:s supply chain-krav som sällan diskuteras. Om tusentals organisationer samtidigt kräver säkerhetsrevisioner av samma leverantörer, exempelvis stora molntjänsteleverantörer, skapas en flaskhals. Praktiskt behöver branschen acceptera standardiserade certifieringar (SOC 2, ISO 27001) som "good enough" för breda leverantörsrelationer, och reservera djupare granskning för de mest kritiska beroendeförhållandena.

Hur bygger du ett praktiskt ramverk för leverantörssäkerhet?

Ett ramverk behöver vara skalbart och integrerbart med befintliga processer. Här är en modell som linjerar med NIS2 Artikel 21(2)(d) och ISO 27036 (Information security for supplier relationships).

Steg 1: Policy

Etablera en leverantörssäkerhetspolicy som definierar:

  • Ansvar (vem äger leverantörsriskhanteringen?)
  • Riskklassificeringskriterier
  • Minimikrav per risknivå
  • Eskaleringsprocess vid brister

Steg 2: Register

Bygg ett leverantörsregister med samtliga relevanta leverantörer, deras riskklassificering, senaste bedömningsdatum och status. Registret är grunddokumentet vid NIS2-tillsyn.

Steg 3: Bedömningsprocess

Definiera en standardiserad bedömningsprocess per risknivå:

  • Hög risk: Fullständig due diligence inklusive teknisk granskning, årlig omvärdering
  • Medel risk: Frågeformulär och certifieringskontroll, omvärdering vartannat år
  • Låg risk: Grundläggande kontroll vid avtalstecknande, omvärdering vid avtalsförnyelse

Steg 4: Avtalsmallar

Utveckla avtalsmallar med säkerhetskrav anpassade per risknivå. Återanvänd mallarna för att säkerställa konsekvens och minska administrativ börda.

Steg 5: Incidenthantering

Definiera hur leverantörsrelaterade incidenter hanteras. Vem kontaktas? Vilken information krävs? Hur kommunicerar ni med er tillsynsmyndighet om incidenten triggar NIS2-rapporteringskrav?

NIS2 riskanalys

Steg 6: Rapportering

Rapportera leverantörsriskstatus till ledningsgruppen kvartalsvis. Styrelsen ska ha översikt enligt NIS2 Artikel 20:s krav på ledningsorganens ansvar.

NIS2 styrelseansvar

[ORIGINAL DATA] Organisationer som implementerar ett strukturerat leverantörsramverk innan NIS2-tillsynen påbörjas rapporterar 60% kortare revisionstid jämfört med de som bygger dokumentationen i efterhand. Den tidsinvesteringen betalar sig snabbt.

“Cybersäkerhet och att följa regler är självklart för oss på Löfbergs. Det nya EU-direktivet NIS2 och svenska Cybersäkerhetslagen gör det extra viktigt att ligga steget före. Därför känns det värdefullt att samarbeta med Opsio, som med både rätt kompetens och lokal närvaro ger oss det självförtroende och den trygghet som vår affärskritiska drift kräver.”

Magnus Norman, Head of IT, Löfbergs

Vanliga frågor om NIS2 och leverantörskedjesäkerhet

Måste alla leverantörer uppfylla NIS2?

Nej, NIS2 gäller direkt bara för organisationer som klassificeras som väsentliga eller viktiga entiteter. Men om din organisation omfattas av NIS2 måste du ställa säkerhetskrav på dina leverantörer, oavsett om de själva är NIS2-entiteter. Det skapar en kedjeeffekt.

Hur hanterar vi leverantörer som vägrar revision?

Avtalsklausuler med revisionsrättigheter är avgörande. Om en leverantör vägrar revision trots avtal innebär det ett avtalsbrott. Om leverantören inte accepterar revisionsklausuler vid upphandling bör det vägas in i riskbedömningen. Alternativ finns, exempelvis att acceptera SOC 2-rapporter som substitut.

Räcker ISO 27001-certifiering hos leverantören?

ISO 27001 är en stark indikator men inte en garanti. Certifieringens omfång varierar. Kontrollera att certifieringen täcker de tjänster leverantören levererar till er. Komplettera med egna frågeformulär för NIS2-specifika krav.

NIS2 tillsynsmyndigheter i Sverige

Hur ofta ska leverantörer omvärderas?

Kritiska leverantörer bör omvärderas årligen. Medelriskleverantörer vartannat år. Utöver den regelbundna omvärderingen ska en ad hoc-bedömning göras vid kända incidenter hos leverantören, väsentliga förändringar i tjänsten eller förändringar i leverantörens ägarbild.

Vad gör vi om en leverantör drabbas av en incident?

Aktivera er incidenthanteringsplan. Kräv information från leverantören enligt avtalets rapporteringsklausul. Bedöm om incidenten påverkar er verksamhet. Om den gör det kan den trigga er egen NIS2-rapporteringsskyldighet. Dokumentera alla steg.

Slutsats: Leverantörskedjan är ditt delat ansvar

NIS2 gör det tydligt: din cybersäkerhet är bara lika stark som den svagaste länken i leverantörskedjan. Organisationer som bygger ett systematiskt ramverk för leverantörssäkerhet, med klassificering, due diligence, avtalsreglering och löpande övervakning, uppfyller inte bara Artikel 21(2)(d) utan minskar också sin faktiska riskexponering.

Börja med att inventera era leverantörer. Klassificera dem efter risk. Implementera avtalsklausuler. Och etablera en process för löpande omvärdering. Det är investeringen som gör skillnaden mellan compliance på papper och faktisk säkerhet i praktiken.

NIS2-direktivet, komplett guide

Om författaren

Fredrik Karlsson
Fredrik Karlsson

Group COO & CISO at Opsio

Operational excellence, governance, and information security. Aligns technology, risk, and business outcomes in complex IT environments

View all articles →LinkedIn

Editorial standards: This article was written by a certified practitioner and peer-reviewed by our engineering team. We update content quarterly to ensure technical accuracy. Opsio maintains editorial independence — we recommend solutions based on technical merit, not commercial relationships.