NIS2-guide

NIS2-guide · 8 min

NIS2 leverantörsavtalsklausuler: vad du bör kräva av dina leverantörer

NIS2 gör dig ansvarig för cyberrisken som dina leverantörer bär (artikel 21.2 d), och det ansvaret kan du inte lägga ut. Avtalet är där skyldigheten blir verklig: det är vad som låter dig begära bevis, få veta om incidenter i tid för att klara dina egna rapporteringsfrister, och hålla en leverantör till en säkerhetsnivå. Detta är en praktisk checklista över de klausuler som spelar roll: varför var och en finns och hur du gör dem verkställbara snarare än dekorativa.

Viktigaste punkterna

  • Leveranskedjeskyldigheten är din; avtalet är hur du för den vidare nedåt i kedjan.
  • Klausulen om anmälningstid skyddar dina egna frister enligt artikel 23.
  • En undertecknad klausul är ingen försäkran: kombinera den med ett sätt att verifiera leverantören löpande.

Varför avtalsklausuler, inte bara ett frågeformulär

Ett frågeformulär fångar en leverantörs påståenden en enda dag. Ett avtal skapar skyldigheter du kan agera på: en nivå de måste uppfylla, en plikt att berätta för dig när något brister, och en rätt att kontrollera. NIS2 artikel 21.2 d förväntar att du styr säkerheten i relationen till dina direkta leverantörer, och artikel 23 kan göra en leverantörs incident till din rapporteringsfrist. Inget av detta fungerar på god tro allena; båda måste skrivas ned.

Officiell källa: NIS2-direktivet på EUR-Lex — artikel 21.2 d (leveranskedjeåtgärder) och artikel 23 (incidentrapportering).

Klausulerna att inkludera

Anpassa formuleringen till din sektor och ditt juridiska ombud, men täck var och en av dessa. De motsvarar direkt de åtgärder NIS2 förväntar och de frister den ålägger.

1

Säkerhetsnivå kopplad till NIS2-åtgärder

Kräv att leverantören upprätthåller de åtgärder i artikel 21.2 som är relevanta för tjänsten: riskhantering, åtkomstkontroll, MFA, kryptering, sårbarhetshantering och patchning samt testade säkerhetskopior. Hänvisa uttryckligen till åtgärderna så att normen är objektiv och inte en vag 'branschpraxis'.

2

Anmälningsfönster för incidenter

Sätt en hård frist (vanligen 24 timmar) för att leverantören ska anmäla en säkerhetsincident som påverkar din tjänst, en namngiven kontakt som svarar utanför kontorstid, och de minsta uppgifter anmälan ska innehålla. Detta är vad som låter dig klara din egen tidiga varning inom 24 timmar och anmälan inom 72 timmar enligt artikel 23.

3

Rätt att begära bevis och att granska

Förbehåll dig rätten att begära bevis på kontrollerna (certifikat, testresultat, skanningsutdata) och, för leverantörer med högre risk, att granska eller beställa en oberoende bedömning. Utan den är 'vi är säkra' inte verifierbart.

4

Vidareföring till underleverantörer (fjärde part)

Kräv att leverantören ålägger motsvarande säkerhets- och anmälningsskyldigheter på sina egna underleverantörer, och redovisar dem som väsentligt behandlar dina data eller stöder tjänsten. Din risk slutar inte vid din direkta leverantör.

5

Åtaganden om sårbarheter och patchning

Definiera förväntade tidsramar för att åtgärda aktivt utnyttjade och kritiska sårbarheter på de system som betjänar dig, och skyldigheten att informera dig om en relevant sårbarhet inte kan åtgärdas i tid.

6

Dataplats och transparens om underbiträden

Kräv redovisning av var dina data behandlas och lagras och vilka underbiträden som används, med förvarning före väsentliga ändringar. Det stöder både din NIS2-leveranskedjebild och dina GDPR-skyldigheter.

7

Samarbete, åtgärdande och inträdesrätt

Ålägg leverantören att samarbeta i din incidenthantering och med myndigheter, att åtgärda fynd inom överenskomna tidsramar, och ge dig själv påföljder (åtgärdsplan, eskalering, ytterst uppsägning) om så inte sker.

8

Fortsatt giltighet och återlämning av data vid avslut

Säkerställ att sekretess, bevisskyldigheter och säker återlämning eller radering av dina data överlever uppsägningen, så att en avgående leverantör inte blir en oövervakad exponering.

Se hur dina leverantörer faktiskt presterar

7 dagars gratis · inget kreditkort · avsluta när som helst

Underteckna, verifiera sedan löpande

En avtalsklausul fastställer skyldigheten; den säger inte om leverantören faktiskt uppfyller den idag. Gapet mellan underskriften och verkligheten är där leveranskedjeincidenter inträffar. Kombinera klausulerna med löpande, extern övervakning av varje leverantörs läge så att du, när något driver iväg (ett certifikat som löper ut, läckta inloggningsuppgifter, en nyligen exponerad tjänst), ser det och kan åberopa klausulen, i stället för att få veta det via incidentanmälan.

Vanliga misstag

  • En vag norm om 'lämpliga säkerhetsåtgärder' utan något objektivt att verkställa.
  • Ingen anmälningsfrist, så att du får veta om en leverantörsincident först när din egen klocka redan har börjat ticka.
  • Klausuler som stannar vid den direkta leverantören och bortser från underleverantörer.
  • Underteckna en gång och aldrig verifiera, och behandla avtalet som slutet på aktsamheten snarare än början.

Se leverantörsövervakning på NIS2-nivå

En exempelrapport (fynd, NIS2-koppling och evidens) på två minuter.

7 dagars gratis · inget kreditkort · avsluta när som helst

Relaterade guider

Så uppfyller du NIS2: en steg-för-steg-färdplan

Stegen till NIS2-efterlevnad i ordning: bekräfta omfattning, registrera dig, ledningens ansvar (art. 20), åtgärderna i art. 21.2, leveranskedjesäkerhet, incidentrapportering (art. 23) och löpande, styrkt säkring.

Vem omfattas av NIS2? Väsentliga och viktiga aktörer, sektorer och storlekströsklar

Avgör om NIS2 gäller dig: de två nivåerna, sektorerna i bilaga I/II, storlekströsklarna, storleksoberoende undantag och hur leveranskedjan drar in dig även utan utpekning.

NIS2 för leverantörer: du är inte utpekad, men dina kunder är det

De flesta företag utpekas aldrig enligt NIS2, men många måste ändå följa den. Hur en omfattad kunds leveranskedjeskyldighet (artikel 21.2 d) flödar ner till dig, vad de begär och hur du svarar trovärdigt.

NIS2 och leveranskedjekravet: vad det innebär i praktiken

NIS2 kräver att väsentliga och viktiga aktörer bedömer cyberriskerna i sina leveranskedjor. Leverantörstierning, fjärdepartsrisk, Art. 23-anmälan och vad revisorer letar efter.

Leverantörens cyberriskbedömning: vad automatiserad NIS2-övervakning kontrollerar

Alla kontrollkategorier förklaras: ransomware, dark web-läckor, TLS/DNSSEC, cookie-säkerhet, CVE/EPSS, sanktioner, MX-svartlistor och SAQ. Fyndens livscykel och NIS2-artikelmappning.

NIS2 Art. 21(2): säkerhetschecklista för leverantörer

Checklista för inköps- och säkerhetsteam: vad man ska fråga, vilka bevis man ska samla in och hur man reagerar när en leverantör brister. Inkluderar förslag på styrkande dokument.

NIS2-leverantörsenkät (SAQ): vad du ska fråga, hur du poängsätter och en gratis mall

Vad du ska fråga leverantörer enligt art. 21.2 d, hur du poängsätter svar och hanterar brister, varför självdeklaration behöver verifieras, plus en gratis enkätmall.

NIS2-incidentrapportering: 24- och 72-timmarsfristerna förklarade

Vad som är en betydande incident, tidslinjen i artikel 23 (24-timmars tidig varning, 72-timmars anmälan, slutrapport på en månad) och när en leverantörs incident blir din skyldighet.

NIS2 och ledningens ansvar: vad styrelse och ledning måste veta

Vad NIS2 förväntar sig av ledningsorganet: godkännande- och tillsynsplikt, personligt ansvar (art. 20), utbildning, styrelse-KPI:er och sanktionerna enligt art. 34.

ISO 27001 och NIS2: vad ditt LIS redan täcker, och luckorna det inte gör

Om du har ISO 27001: vad som förs över till NIS2 och inte (lagstadgad incidentrapportering, ledningens ansvar, registrering och kontinuerlig leveranskedjesäkring) och hur du täpper till luckan.

NIS2-böter och sanktioner: hur mycket, vem är ansvarig och hur du undviker dem

Vad NIS2-sanktioner är: taken i artikel 34 (10 M€ / 2 % för väsentliga, 7 M€ / 1,4 % för viktiga aktörer), ledningens personliga ansvar (art. 20, art. 32), icke-monetära åtgärder och hur du undviker dem.

NIS2 vs DORA: hur de skiljer sig, var de överlappar och vilken som gäller dig

Hur de två EU-regelverken skiljer sig och överlappar, varför DORA är lex specialis för finansiella enheter, vilken som gäller dig, och vad båda innebär för tredjepartsrisk.

GDPR vs NIS2: överlapp, skillnader och när en incident utlöser båda

Hur GDPR och NIS2 skiljer sig och överlappar, när en incident utlöser båda (GDPR art. 33 72 h till tillsynsmyndigheten vs NIS2 art. 23 24 h/72 h/en månad till CSIRT), art. 35-samarbetet och förbudet mot dubbel sanktion, och vad båda innebär för leverantörsgranskning.

EU:s cyberresiliensförordning (CRA): omfattning, tidslinje och vad den betyder för din leveranskedja

Vad CRA kräver, dess stegvisa datum (i kraft 2024, rapportering sep 2026, full efterlevnad dec 2027), vem som omfattas och varför ren SaaS ofta inte gör det, hur den kompletterar NIS2 och vad den betyder för upphandling och leverantörsgranskning.

EU:s AI-förordning: risknivåer, tidslinjen och vad tillhandahållare av AI i drift måste göra (artikel 26)

Vad EU:s AI-förordning kräver: risknivåerna, de stegvisa datumen (i kraft 2024, förbjudet feb 2025, GPAI aug 2025, hög risk aug 2026), skyldigheterna i drift enligt art. 26, hur den staplas med NIS2 och GDPR, och vad den betyder för AI-upphandling.

NIS2:s införlivandestatus: i vilka EU-länder den gäller

Vilka av de 27 EU-medlemsstaterna som skrivit in NIS2 i nationell lag och vilka som ännu slutför, och varför skillnaderna ändå når din leveranskedja.

Senast granskad: 19 juni 2026

Den här guiden är allmän information om EU-rätt, inte juridisk rådgivning. NIS2 träder i kraft genom varje EU-medlemsstats nationella genomförandelag, som kan skilja sig i detalj. Verifiera de skyldigheter som gäller dig med din behöriga myndighet eller juridiska rådgivare.