NIS2-guide · 7 min
Använder dina leverantörer AI? NIS2:s leverantörsrisk möter EU:s AI-förordning
Under NIS2 ansvarar du för cyberrisken hos dina leverantörer (artikel 21.2 d). Allt oftare ingår AI i den risken: leverantörer bäddar in AI i tjänster du är beroende av, och deras leverantörer gör detsamma. EU:s AI-förordning, nu under stegvis tillämpning, lägger till skyldigheter för organisationer som använder eller förlitar sig på AI-system, även sådana från tredje part. De flesta leverantörsbedömningar frågar inte om AI alls. Denna guide förklarar var leverantörers och n:te partens AI skapar risk enligt NIS2 och AI-förordningen, vad du ska bedöma och hur du behåller överblicken.
Viktiga punkter
- • NIS2 gör leverantörers cyberrisk till ditt ansvar; AI som leverantörer bäddar in ingår nu i den.
- • EU:s AI-förordning lägger till skyldigheter när du förlitar dig på tredje parts AI, inklusive högrisksystem.
- • De flesta frågeformulär bortser från AI; n:te partens AI (dina leverantörers leverantörer) är den svåraste blinda fläcken.
Var AI kommer in i din leveranskedja
AI når dig via leverantörer på tre sätt: en leverantör använder AI i en tjänst du konsumerar; en leverantör behandlar dina data med AI (träning, inferens, supportverktyg); och din leverantörs egna leverantörer gör detsamma (n:te parten). Var och en ökar attackytan (modell- och dataexponering, prompt-injektion, nya integrationer) och den regulatoriska exponeringen. NIS2 artikel 21.2 d gör dig ansvarig för säkerheten i dessa relationer, och EU:s AI-förordning lägger till skyldigheter kring transparens och riskhantering när du använder eller förlitar dig på AI-system, även från tredje part.
Officiella källor: NIS2-direktivet på EUR-Lex — artikel 21.2 d; samt EU:s AI-förordning (förordning (EU) 2024/1689) för AI-specifika skyldigheter.
Vad du ska bedöma om leverantörens AI
Lägg till dessa i leverantörsbedömningen. De motsvarar NIS2:s leveranskedjeåtgärder och AI-förordningens skyldigheter för dem som förlitar sig på AI.
Var AI berör dina data
Fråga vilka delar av tjänsten som använder AI, om dina data används för träning eller inferens, och var behandlingen sker. Detta avgör både din NIS2-exponering och din ställning enligt AI-förordningen och GDPR.
Om AI:n är högrisk enligt AI-förordningen
Faller en leverantörs AI i en högriskkategori i AI-förordningen ärver du förväntningar på transparens, mänsklig tillsyn och dokumentation när du förlitar dig på den. Bekräfta klassificeringen och leverantörens efterlevnadsarbete.
N:te partens AI (din leverantörs leverantörer)
Leverantörer säljer eller bäddar allt oftare in tredje parts AI (grundmodeller, AI-API:er). Kräv att dessa underleverantörer redovisas, så att ett modellavbrott, en dataincident eller en policyändring inte överraskar dig.
AI-specifika säkerhetskontroller
Skydd mot prompt-injektion och dataläckage, åtkomstkontroll för modellslutpunkter, loggning och mänsklig tillsyn av automatiserade beslut. Detta är AI-tidens utökning av grunden i artikel 21.2.
Anmälan av AI-incidenter
Utöka avtalets anmälningsklausul till AI-specifika fel (dataläckage via en modell, skadlig eller manipulerad utdata), så att en leverantörs AI-incident når dig i tid för din egen rapportering.
Se hur dina leverantörer faktiskt presterar
7 dagars gratis · inget kreditkort · avsluta när som helst
Hur du behåller överblicken när AI sprids
AI-användningen i din leveranskedja ändras snabbare än ett årligt frågeformulär: en leverantör lägger till en AI-funktion, byter modellleverantör eller ett nytt underbiträde dyker upp. Kombinera frågeformuläret med kontinuerlig extern övervakning och ett aktuellt fjärdepartsinventarium, så att nya AI-beroenden och underleverantörerna bakom dem framträder när de uppstår, kopplade till de NIS2- och AI-förordningsskyldigheter de utlöser, i stället för vid nästa granskningscykel.
Vanliga misstag
- ✕Ett leverantörsformulär som aldrig frågar om AI.
- ✕Att bedöma den direkta leverantören men bortse från tredjepartsmodellen eller AI-API:et bakom tjänsten.
- ✕Att behandla AI enbart som ett innovationsämne, inte som leveranskedjesäkerhet och efterlevnad av AI-förordningen.
- ✕Ingen avtalsskyldighet att redovisa AI-användning eller att anmäla AI-specifika incidenter.
Se hur leverantörs- och AI-risk kopplas till NIS2
En exempelrapport om en leverantör (fynd, NIS2-koppling och evidens) på två minuter.
7 dagars gratis · inget kreditkort · avsluta när som helst
Relaterade guider
Så uppfyller du NIS2: en steg-för-steg-färdplan
Stegen till NIS2-efterlevnad i ordning: bekräfta omfattning, registrera dig, ledningens ansvar (art. 20), åtgärderna i art. 21.2, leveranskedjesäkerhet, incidentrapportering (art. 23) och löpande, styrkt säkring.
Vem omfattas av NIS2? Väsentliga och viktiga aktörer, sektorer och storlekströsklar
Avgör om NIS2 gäller dig: de två nivåerna, sektorerna i bilaga I/II, storlekströsklarna, storleksoberoende undantag och hur leveranskedjan drar in dig även utan utpekning.
NIS2 för leverantörer: du är inte utpekad, men dina kunder är det
De flesta företag utpekas aldrig enligt NIS2, men många måste ändå följa den. Hur en omfattad kunds leveranskedjeskyldighet (artikel 21.2 d) flödar ner till dig, vad de begär och hur du svarar trovärdigt.
NIS2 och leveranskedjekravet: vad det innebär i praktiken
NIS2 kräver att väsentliga och viktiga aktörer bedömer cyberriskerna i sina leveranskedjor. Leverantörstierning, fjärdepartsrisk, Art. 23-anmälan och vad revisorer letar efter.
Leverantörens cyberriskbedömning: vad automatiserad NIS2-övervakning kontrollerar
Alla kontrollkategorier förklaras: ransomware, dark web-läckor, TLS/DNSSEC, cookie-säkerhet, CVE/EPSS, sanktioner, MX-svartlistor och SAQ. Fyndens livscykel och NIS2-artikelmappning.
NIS2 Art. 21(2): säkerhetschecklista för leverantörer
Checklista för inköps- och säkerhetsteam: vad man ska fråga, vilka bevis man ska samla in och hur man reagerar när en leverantör brister. Inkluderar förslag på styrkande dokument.
NIS2-leverantörsenkät (SAQ): vad du ska fråga, hur du poängsätter och en gratis mall
Vad du ska fråga leverantörer enligt art. 21.2 d, hur du poängsätter svar och hanterar brister, varför självdeklaration behöver verifieras, plus en gratis enkätmall.
NIS2-incidentrapportering: 24- och 72-timmarsfristerna förklarade
Vad som är en betydande incident, tidslinjen i artikel 23 (24-timmars tidig varning, 72-timmars anmälan, slutrapport på en månad) och när en leverantörs incident blir din skyldighet.
NIS2 och ledningens ansvar: vad styrelse och ledning måste veta
Vad NIS2 förväntar sig av ledningsorganet: godkännande- och tillsynsplikt, personligt ansvar (art. 20), utbildning, styrelse-KPI:er och sanktionerna enligt art. 34.
ISO 27001 och NIS2: vad ditt LIS redan täcker, och luckorna det inte gör
Om du har ISO 27001: vad som förs över till NIS2 och inte (lagstadgad incidentrapportering, ledningens ansvar, registrering och kontinuerlig leveranskedjesäkring) och hur du täpper till luckan.
NIS2-böter och sanktioner: hur mycket, vem är ansvarig och hur du undviker dem
Vad NIS2-sanktioner är: taken i artikel 34 (10 M€ / 2 % för väsentliga, 7 M€ / 1,4 % för viktiga aktörer), ledningens personliga ansvar (art. 20, art. 32), icke-monetära åtgärder och hur du undviker dem.
NIS2 vs DORA: hur de skiljer sig, var de överlappar och vilken som gäller dig
Hur de två EU-regelverken skiljer sig och överlappar, varför DORA är lex specialis för finansiella enheter, vilken som gäller dig, och vad båda innebär för tredjepartsrisk.
GDPR vs NIS2: överlapp, skillnader och när en incident utlöser båda
Hur GDPR och NIS2 skiljer sig och överlappar, när en incident utlöser båda (GDPR art. 33 72 h till tillsynsmyndigheten vs NIS2 art. 23 24 h/72 h/en månad till CSIRT), art. 35-samarbetet och förbudet mot dubbel sanktion, och vad båda innebär för leverantörsgranskning.
EU:s cyberresiliensförordning (CRA): omfattning, tidslinje och vad den betyder för din leveranskedja
Vad CRA kräver, dess stegvisa datum (i kraft 2024, rapportering sep 2026, full efterlevnad dec 2027), vem som omfattas och varför ren SaaS ofta inte gör det, hur den kompletterar NIS2 och vad den betyder för upphandling och leverantörsgranskning.
EU:s AI-förordning: risknivåer, tidslinjen och vad tillhandahållare av AI i drift måste göra (artikel 26)
Vad EU:s AI-förordning kräver: risknivåerna, de stegvisa datumen (i kraft 2024, förbjudet feb 2025, GPAI aug 2025, hög risk aug 2026), skyldigheterna i drift enligt art. 26, hur den staplas med NIS2 och GDPR, och vad den betyder för AI-upphandling.
NIS2:s införlivandestatus: i vilka EU-länder den gäller
Vilka av de 27 EU-medlemsstaterna som skrivit in NIS2 i nationell lag och vilka som ännu slutför, och varför skillnaderna ändå når din leveranskedja.
NIS2 leverantörsavtalsklausuler: vad du bör kräva av dina leverantörer
Avtalsklausulerna som gör NIS2:s leveranskedjeskyldighet verkställbar: säkerhetsnivå, anmälningsfönster, bevis- och granskningsrätt, vidareföring till underleverantörer, och löpande verifiering.
Din externa säkerhetsställning under NIS2: vad leverantörer och kunder ser
De publikt synliga signaler som kunder bedömer enligt NIS2 art. 21.2 d: e-postförfalskning (SPF/DMARC), certifikathygien, internetexponerade system och läckta uppgifter, varför var och en spelar roll och hur du kontrollerar och åtgärdar dem.
Leverantörsimitation och vd-bedrägeri (BEC): e-postförfalskning, DMARC och NIS2
En av de vanligaste leveranskedjeattackerna kräver inget intrång: förfalskad e-post som styr om en betalning eller stjäl data. Hur BEC och leverantörsimitation fungerar, vilka SPF-, DKIM- och DMARC-inställningar som stoppar dem, och hur det passar in i NIS2 art. 21.2 d.
Senast granskad: 19 juni 2026
Den här guiden är allmän information om EU-rätt, inte juridisk rådgivning. NIS2 träder i kraft genom varje EU-medlemsstats nationella genomförandelag, som kan skilja sig i detalj. Verifiera de skyldigheter som gäller dig med din behöriga myndighet eller juridiska rådgivare.