norppa.io
Alla guider

Guide · 9 min läsning

NIS2 Art. 21(2) — säkerhetschecklista för leverantörer

En praktisk checklista för upphandlings- och säkerhetsteam. Använd den vid både integrering av nya leverantörer och årliga granskningar — vad man ska fråga, vilka bevis som ska samlas in och hur man reagerar när en leverantör brister.

NIS2 Art. 21(2)(d) förpliktigar dig att bedöma dina leverantörers cybersäkerhetspostyr som en del av din egen riskhantering för leveranskedjan. Kravet gäller både nya leverantörer och befintliga relationer — en årlig granskning är minimum.

Denna checklista täcker de sex Art. 21(2)-underklausuler som är mest relevanta för leveranskedjans säkerhet. Varje avsnitt innehåller tre frågor, en kort förklaring av varför det är viktigt och ett förslag på bevisdokument.

OBS: Denna checklista är rådgivande — din behöriga myndighet eller revisor kan kräva ytterligare åtgärder baserat på din sektor eller organisationsstorlek. För avtalskrav, konsultera en jurist.

Art. 21(2)(a)Riskhantering

NIS2 kräver att dina leverantörer hanterar cybersäkerhetsrisker systematiskt — inte bara årligen, utan kontinuerligt. Begär bevis på processen, inte bara ett ja/nej-svar.

  • Leverantören har en dokumenterad process för hantering av cybersäkerhetsrisker (t.ex. ISMS eller ISO 27001-certifiering)
  • Riskhantering granskas regelbundet av ledningen eller styrelsen — datum för senaste granskning är känt
  • Kritiska informationssystem och databehandlingsansvar är inventerade och klassificerade

Föreslagna bevisdokument:

  • · Riskhanteringspolicy eller ISMS-dokumentation
  • · ISO 27001-certifikat eller likvärdig revisionsrapport

Art. 21(2)(b)Incidenthantering

NIS2 Art. 23 kräver att betydande incidenter rapporteras till tillsynsmyndigheten inom 24 timmar. I praktiken är detta bara möjligt om din leverantör meddelar dig i tid — varför meddelandeskyldigheten bör skrivas in i avtalet.

  • Leverantören har en dokumenterad incidentresponsprocess med ett testat IR-plan
  • Leverantören förbinder sig i avtalet att meddela dig inom 24 timmar efter att ha detekterat en betydande incident
  • En namngiven incidentkontakt (CSIRT-liaison) är utsedd och tillgänglig dygnet runt

Föreslagna bevisdokument:

  • · Sammanfattning av incidentresponsplan
  • · Skriftligt 24-timmarsmeddelande i avtalet

Art. 21(2)(d)Leveranskedja

NIS2 sträcker sig till dina leverantörers leverantörer — den så kallade fjärdepartsrisken. Du måste veta vem som har åtkomst till dina data eller system, även indirekt via underleverantörer.

  • Leverantören känner sina egna kritiska underleverantörer som har tillgång till data eller system
  • Leverantören har en process för att bedöma sina egna underleverantörers säkerhet minst årligen
  • Säkerhetskrav är inskrivna i leverantörens egna avtal — inte bara en allmän hänvisning

Föreslagna bevisdokument:

  • · Underleverantörsregister eller sammanfattning av kritiska 4e parter
  • · Beskrivning av fjärdepartsbedömningsprocess

Art. 21(2)(e)Upphandling och utveckling

Kända sårbarheter och mjukvara i slutet av livscykeln är bland de vanligaste attackvektorerna. Leverantören måste demonstrera aktiv sårbarhetshantering.

  • Inga mjukvaruversioner i slutet av livscykeln eller stöd körs i produktionsmiljön
  • Kritiska sårbarheter (CVSS ≥ 9,0) åtgärdas inom 30 dagar från offentliggörandet
  • CISA KEV-listade sårbarheter åtgärdas inom 48 timmar från att de lagts till listan

Föreslagna bevisdokument:

  • · Beskrivning av sårbarhetshanteringsprocess
  • · Senaste patchrapport eller sårbarhetsstatus-snapshot

Art. 21(2)(h)Kryptografi

Utgångna TLS-certifikat, saknade HTTPS-omdirigeringar och felkonfigurerad e-postsäkerhet är tekniska luckor som norppa.io kontrollerar automatiskt varje dag.

  • Alla offentliga tjänster använder ett giltigt, icke utgånget TLS-certifikat — inga självsignerade eller utgångna certifikat
  • HTTPS-omdirigering tillämpas på alla webbegenskaper och API-slutpunkter
  • E-postsäkerhet är korrekt konfigurerad: SPF (hardfail), DKIM (signerat) och DMARC (minst karantänpolicy)

Föreslagna bevisdokument:

  • · Beskrivning av TLS-certifikathanteringsprocess
  • · DMARC-rapport eller DNS-konfigurationsutskrift

Art. 21(2)(i)Åtkomstkontroll

Stulna inloggningsuppgifter är den vanligaste utgångspunkten för cyberattacker. Leverantören måste demonstrera både förebyggande av missbruk av inloggningsuppgifter och snabb detektering.

  • MFA tillämpas på alla kritiska system och administratörskonton — inga undantag tillåtna
  • Övervakning av inloggningsdataläckor finns på plats (dark web-källor, HIBP eller likvärdig tjänst)
  • Komprometterade inloggningsuppgifter roteras omedelbart vid detektering och incidenten dokumenteras

Föreslagna bevisdokument:

  • · Skärmdump av MFA-tillämpningskonfiguration eller policy
  • · Leverantör av inloggningsdataläcksövervakning eller processbeskrivning

Vad gör man när en leverantör misslyckas med checklistan?

En enda lucka innebär inte automatiskt att leverantörsrelationen avslutas. Det viktiga är att reagera systematiskt och dokumentera de åtgärder som vidtagits.

1–2 luckor: dokumentera och acceptera

Registrera luckorna i ditt leverantörsregister, be leverantören tillhandahålla en åtgärdsplan inom 90 dagar och följ upp vid nästa årsrevision.

3–5 luckor eller en lucka i Art. 21(2)(b): förstärkt övervakning

Höj leverantören till en högre risknivå. Begär en skriftlig åtgärdsplan med deadlines. Överväg att begränsa åtkomsten till de mest kritiska systemen tills luckorna är åtgärdade.

6+ luckor eller en kritisk teknisk sårbarhet: eskalera

Eskalera till CISO eller senior ledning. Utvärdera användningen av avtalsrättsliga åtgärder. Om leverantören har tillgång till produktionsdata eller -system, överväg att stänga av åtkomsten tills situationen är löst.

Vilka punkter kan automatiseras?

Sex punkter på denna checklista är tekniska till sin natur — de förändras över tid utan att leverantören nödvändigtvis informerar dig. Manuell årlig bedömning uppfyller sannolikt inte NIS2:s standard för 'lämpliga åtgärder' avseende löpande övervakning.

norppa.io kontrollerar dessa punkter automatiskt varje dag för alla dina leverantörer:

  • Art. 21(2)(h): TLS-certifikats giltighet och HTTPS-omdirigeringar, SPF/DKIM/DMARC-konfiguration, DNSSEC
  • Art. 21(2)(i): Inloggningsdataläckor från dark web-källor och HIBP-dataintrångsdatabaser
  • Art. 21(2)(e): CISA KEV-listningsövervakning, sårbarhetsfynd baserade på CVE/EPSS-poängsättning
  • Art. 21(2)(b): Ransomware-offerlistningar — omedelbar varning om en leverantör dyker upp på en offerlista

Processnivåpunkter (Art. 21(2)(a), (b), (d)) täcks av norppa.io SAQ-självbedömningsformuläret, som du kan skicka till leverantörer direkt från portalen.

Officiella källor

Automatisera tekniska kontroller med norppa.io

norppa.io kontrollerar automatiskt de tekniska punkterna på denna checklista dagligen — för alla dina leverantörer samtidigt. Fynd mappas automatiskt till NIS2 Art. 21(2)-underklausuler.

Visa exempelrapportFyll i SAQ

Relaterade guider

NIS2 och leveranskedjekravet — vad det innebär i praktiken

NIS2 kräver att viktiga och betydande aktörer bedömer cyberriskerna i sina leveranskedjor. Leverantörstierning, fjärdepartsrisk, Art. 23-anmälan och vad revisorer letar efter.

Leverantörens cyberriskbedömning: vad automatiserad NIS2-övervakning kontrollerar

Alla kontrollkategorier förklaras: ransomware, dark web-läckor, TLS/DNSSEC, cookie-säkerhet, CVE/EPSS, sanktioner, MX-svartlistor och SAQ. Fyndens livscykel och NIS2-artikelmappning.

Vem omfattas av NIS2? Väsentliga och viktiga aktörer, sektorer och storlekströsklar

Avgör om NIS2 gäller dig: de två nivåerna, sektorerna i bilaga I/II, storlekströsklarna, storleksoberoende undantag och hur leveranskedjan drar in dig även utan utpekning.

NIS2-leverantörsenkät (SAQ): vad du ska fråga, hur du poängsätter och en gratis mall

Vad du ska fråga leverantörer enligt art. 21.2 d, hur du poängsätter svar och hanterar brister, varför självdeklaration behöver verifieras, plus en gratis enkätmall.

NIS2 vs DORA: hur de skiljer sig, var de överlappar och vilken som gäller dig

Hur de två EU-regelverken skiljer sig och överlappar, varför DORA är lex specialis för finansiella enheter, vilken som gäller dig, och vad båda innebär för tredjepartsrisk.