norppa.io
Guider

NIS2-guide · 9 min

NIS2-leverantörsfrågeformulär (SAQ): vad man ska fråga, hur man poängsätter det, och en gratis mall

Leverantörens säkerhetsfrågeformulär är där det mesta av NIS2:s due diligence enligt artikel 21(2)(d) börjar — och där mycket av den tyst misslyckas. De vanliga är för långa för att slutföras, poängsatta av ingen och aldrig stämda mot verkligheten. Den här guiden tar upp vad det faktiskt är värt att fråga, hur man förvandlar svar till beslut, vad man gör när en leverantör brister, och den enda blinda fläck som varje frågeformulär delar. Den avslutas med en mall du kan lyfta rakt in i din egen process.

Viktigaste punkterna

  • Sex beslutsinriktade områden bär tyngden — motstå lusten att lägga till rutor ingen någonsin kommer att poängsätta.
  • Poängsätt svaren och läs "pågående" som en brist; ett frågeformulär är bara värt att skicka om det kan ändra ett beslut.
  • Varje svar är leverantören som betygsätter sig själv — para ihop det med externt tekniskt bevis för att fånga motsägelserna.

Vad man ska fråga — de sex områden som spelar roll

Ett frågeformulär förtjänar sin plats genom att vara kort och träffsäkert. Täck dessa sex områden väl och sluta där; de femtio extra rutorna ingen poängsätter ger längd, inte trygghet.

1

Styrning och ansvar

Vem äger egentligen säkerheten, och tittar ledningen på den eller bara godkänner den? NIS2 sätter ledningsorganet på pottan, så detta är den första avläsningen av om en leverantör tar resten på allvar.

2

Åtkomstkontroll och autentisering

Svag autentisering är fortfarande den vanligaste vägen in. Multifaktorautentisering och minsta behörighet är golvet här, inte extrapoäng.

3

Incidenthantering och anmälan

Du vill ha en leverantör som kan upptäcka problem, begränsa dem och berätta för dig snabbt — för din egen klocka enligt artikel 23 kan börja gå på deras incident, inte din.

4

Verksamhetskontinuitet och säkerhetskopior

Om de går ner eller utsätts för utpressning, hur snabbt kommer din tjänst tillbaka? En testad säkerhetskopia och en angiven återställningstid säger mer än en lugnande mening.

5

Leveranskedja och fjärdepartsrisk

Deras leverantörer är din risk också. Fråga om de bedömer sina egna kritiska underleverantörer och om de meddelar dig när dessa ändras.

6

Teknik och dataskydd

Kryptering, patchtakt och var dina data bor — de konkreta kontroller en extern skanning senare kan bekräfta eller motsäga.

Hur man poängsätter svar — samla dem inte bara

Ett frågeformulär som arkiverats och glömts har kostat dig tid och gett dig inget. Värdet ligger i att poängsätta det:

  • Vikta efter kritikalitet — ett "nej" på MFA från en leverantör som har dina kunddata väger långt tyngre än ett saknat policydokument från en leverantör på låg nivå. Bestäm vikterna innan du skickar det, inte efter att svaren kommit.
  • Läs "pågående" som "nej" — tills en kontroll är på plats och belagd är den en brist med ett åtgärdsdatum, inte ett godkänt. Goda avsikter överlever inte en revision.
  • Var uppmärksam på icke-svaren — vaga eller undvikande svar är i sig ett svar. Kräv det konkreta eller bevis i stället för att ta en ikryssad ruta för given.
  • Gör om grundmätningen enligt schema — svar blir inaktuella. Ett frågeformulär ifyllt en gång om året beskriver en dag, inte de elva månader som följer.

Vad man gör när en leverantör brister

En brist är inte automatiskt ett skäl att släppa en leverantör, men den måste leda någonstans. Kom överens om en åtgärdsplan med namngivna ägare och datum, anteckna den, och gör de väsentliga bristerna avtalsmässiga: en rätt till bevis, ett åtgärdsdatum och en eskaleringsväg om det glider.

För kritiska leverantörer, knyt åtgärden till relationen — ombedömning före förnyelse, säkerhetsklausuler i avtalet, och rätten att begära bevis i stället för att ta försäkringar på förtroende. Anteckna beslutet i vilket fall som helst. Att acceptera en restrisk är ett fullt legitimt val, men bara när det är ett skriftligt, ägt beslut och inte något som halkat igenom.

Frågeformulärets blinda fläck: självdeklaration

Varje svar är ett påstående leverantören gör om sig själv. Vissa är ärliga, vissa hoppfulla, vissa helt enkelt inaktuella när du läser dem. Ett frågeformulär berättar vad en leverantör tror — eller vill få dig att tro — om sin säkerhet; det berättar inte vad som faktiskt är exponerat på internet den här morgonen.

Därför ställer de starkaste programmen frågeformuläret bredvid externt tekniskt bevis. När en leverantör skriver "ja, all trafik är krypterad" och en skanning hittar ett utgånget certifikat eller ett inloggningsformulär i klartext har du en motsägelse värd ett samtal. Frågeformuläret fångar process och avsikt; löpande extern övervakning bekräftar det — eller avslöjar bluffen. Poängen är inte att välja det ena. Det är att använda båda.

En gratis frågeformulärsmall du kan anpassa

Lyft in dessa avsnitt i din egen process. Håll svaren till ja / nej / pågående plus ett bevisfält, så att varje påstående senare kan styrkas — eller plockas isär.

1. Styrning och ansvar

  • Finns det en namngiven person som ansvarar för informationssäkerheten?
  • Har ledningen godkänt en säkerhetspolicy under de senaste 12 månaderna?
  • Får personalen säkerhetsmedvetenhetsutbildning minst årligen?

2. Åtkomstkontroll och autentisering

  • Är multifaktorautentisering framtvingad för fjärr- och administratörsåtkomst?
  • Granskas åtkomsträttigheter och återkallas de snabbt när roller ändras?
  • Tillämpas minsta behörighet på system som har våra data?

3. Incidenthantering och anmälan

  • Finns det en dokumenterad incidentresponsplan, testad de senaste 12 månaderna?
  • Kan ni meddela oss om en relevant incident inom 24 timmar?
  • Har ni haft ett anmälningspliktigt intrång de senaste 24 månaderna? Om så, vad ändrades efteråt?

4. Verksamhetskontinuitet och säkerhetskopior

  • Är säkerhetskopior krypterade, testade och lagrade offline eller oföränderligt?
  • Vilket är ert återställningstidsmål (RTO) för tjänsten ni tillhandahåller oss?
  • Har ni en katastrofåterställningsplan, och när övades den senast?

5. Leveranskedja och fjärdepartsrisk

  • Bedömer ni säkerheten hos era egna kritiska underleverantörer?
  • Meddelar ni oss om ändringar av underbiträden som behandlar våra data?
  • Har ni relevanta certifieringar (t.ex. ISO 27001)? Kan ni dela omfattningen?

6. Teknik och dataskydd

  • Är data krypterade i transit och i vila enligt aktuella standarder?
  • Kör ni regelbunden sårbarhetsskanning och patchar enligt ett definierat schema?
  • I vilka jurisdiktioner lagras och behandlas våra data?

Källa: Direktiv (EU) 2022/2555 (NIS2), artikel 21(2)(d) — leveranskedjans säkerhet — koppla dina frågor till åtgärderna i artikel 21 och din nationella genomförandelag.

Hur norppa.io hjälper

norppa.io skickar självbedömningsformuläret till dina leverantörer direkt från plattformen — inga kalkylblad, inget jagande av e-posttrådar. Svaren kommer tillbaka spårade, versionshanterade och poängsatta efter den viktning du satt.

Den avgörande delen: varje svar ställs bredvid leverantörens tekniska riskprofil i realtid — fler än hundra kontroller, uppdaterade dagligen. Där ett självsäkert "ja" krockar med vad skanningen faktiskt ser flaggar norppa.io det, så att du läser inte bara vad en leverantör säger utan om det håller. Precis den blinda fläcken från avsnittet ovan, sluten.

Skicka din första SAQ — och se den korskontrollerad

Titta på en exempelrapport för en leverantör, eller hur frågeformuläret fungerar i norppa.io.

Visa exempelrapport Om SAQ

Relaterade guider

NIS2 och leveranskedjekravet — vad det innebär i praktiken

NIS2 kräver att viktiga och betydande aktörer bedömer cyberriskerna i sina leveranskedjor. Leverantörstierning, fjärdepartsrisk, Art. 23-anmälan och vad revisorer letar efter.

NIS2 Art. 21(2) — säkerhetschecklista för leverantörer

Checklista för inköps- och säkerhetsteam: vad man ska fråga, vilka bevis man ska samla in och hur man reagerar när en leverantör brister. Inkluderar förslag på styrkande dokument.

Leverantörens cyberriskbedömning: vad automatiserad NIS2-övervakning kontrollerar

Alla kontrollkategorier förklaras: ransomware, dark web-läckor, TLS/DNSSEC, cookie-säkerhet, CVE/EPSS, sanktioner, MX-svartlistor och SAQ. Fyndens livscykel och NIS2-artikelmappning.

Vem omfattas av NIS2? Väsentliga och viktiga aktörer, sektorer och storlekströsklar

Avgör om NIS2 gäller dig: de två nivåerna, sektorerna i bilaga I/II, storlekströsklarna, storleksoberoende undantag och hur leveranskedjan drar in dig även utan utpekning.

NIS2 vs DORA: hur de skiljer sig, var de överlappar och vilken som gäller dig

Hur de två EU-regelverken skiljer sig och överlappar, varför DORA är lex specialis för finansiella enheter, vilken som gäller dig, och vad båda innebär för tredjepartsrisk.

NIS2 och ledningens ansvar: vad styrelse och ledning måste veta

Vad NIS2 förväntar sig av ledningsorganet: godkännande- och tillsynsplikt, personligt ansvar (art. 20), utbildning, styrelse-KPI:er och sanktionerna enligt art. 34.

NIS2-incidentrapportering: 24- och 72-timmarsfristerna förklarade

Vad som är en betydande incident, tidslinjen i artikel 23 (24-timmars tidig varning, 72-timmars anmälan, slutrapport på en månad) och när en leverantörs incident blir din skyldighet.

ISO 27001 och NIS2: vad ditt LIS redan täcker — och luckorna det inte gör

Om du har ISO 27001: vad som förs över till NIS2 och inte — lagstadgad incidentrapportering, ledningens ansvar, registrering och kontinuerlig leveranskedjesäkring — och hur du täpper till luckan.