Guide · 10 min läsning
Leverantörens cyberriskbedömning — vad automatiserad NIS2-övervakning kontrollerar
En fullständig genomgång av alla kontrollkategorier, deras relevans för NIS2 och hur fynd översätts till åtgärder.
Passiv underrättelse — ingen trafik till leverantören
Automatiserad övervakning baseras på passiv underrättelse: all data samlas in från offentliga källor — certifikatregister, DNS-poster, ransomware-databaser, HIBP-intrångsdatabaser, sanktionsregister och öppna OSINT-flöden. Ingen trafik skickas till leverantörens nätverk, och inget samtycke från leverantören krävs.
Hela kontrollsviten körs dagligen, ransomware- och dark web-flöden ungefär var 6:e timme. Kritiska fynd — som en ransomware-offerlistning eller ett aktivt dark web-dataläckage — utlöser omedelbart en e-postavisering.
Ransomware-offerövervakning
Art. 21(2)(b)Flera ransomware-underrättelseflöden kontrolleras ungefär var 6:e timme. Om din leverantör dyker upp på en offerlista — ett tecken på ett aktivt eller nyligt ransomware-angrepp — får du en avisering samma dag. Detta kan motivera ett brådskande samtal med leverantören om huruvida du eller dina data är i riskzonen.
Stulna inloggningsuppgifter på dark web
Art. 21(2)(i)Infostealer-malware-databaser och dark web-marknadsplatser skannas efter e-post-lösenordspar kopplade till leverantörens domän. Komprometterade inloggningsuppgifter är den vanligaste attackingångspunkten — läckta inloggningsuppgifter från din leverantörs anställda kan sluta med att de riktar sig mot dina system.
E-postsäkerhet
Art. 21(2)(h)Saknat eller felkonfigurerat SPF, DKIM eller DMARC tillåter att leverantörens domän missbrukas för e-postförfalskning. Kontrollerar också MTA-STS (transportlagrets e-postskydd), TLS-RPT-rapporteringspost och BIMI-varumärkesindikator. Alla är kryptografiska krav enligt NIS2 Art. 21(2)(h).
TLS-certifikat och DNSSEC
Art. 21(2)(h)TLS-certifikatens giltighet kontrolleras med aviseringar 14 dagar före utgång. DNSSEC-validering kontrollerar om DNS-kedjan är signerad och intakt — saknad DNSSEC utsätter leverantören för DNS-förfalskning. CAA-poster indikerar om certifikatutfärdande är begränsat till godkända CA:er.
Webbsäkerhetskonfiguration
Art. 21(2)(c)Cookie-säkerhetsattribut (Secure, HttpOnly, SameSite) kontrolleras — saknade attribut möjliggör sessionskapning eller XSS-attacker. robots.txt analyseras för avslöjande av känsliga sökvägar. security.txt kontrolleras för att bekräfta existensen av en ansvarsfull kanal för sårbarhetsinformation.
Sårbarheter och CVE/EPSS-poäng
Art. 21(2)(e)CISA KEV-listningar (Known Exploited Vulnerabilities) kopplade till CVE:er associerade med leverantörens infrastruktur identifieras omedelbart. EPSS-poäng (Exploit Prediction Scoring System) prioriterar sårbarheter efter exploaterbarhetssannolikhet — inte bara efter CVSS-allvarlighetsklassificering.
Sanktioner och MX-svartlistekontroller
Art. 21(2)(e) & Art. 21(2)(j)EU:s, FN:s och OFAC:s sanktionslistor kontrolleras mot leverantörens organisation. Leverantörens e-postservrar (MX-poster) IP-adresser kontrolleras mot fyra realtids-svartlistor (RBL:er) — svartlistning indikerar e-postmissbruk eller tidigare kompromiss.
SAQ — självutvärderingsfrågeformulär
Art. 21(2)(a) & (b) & (d)Teknisk övervakning täcker den externt synliga attackytan. Processkrav — riskhantering, incidenthantering, styrning av leveranskedjan — täcks genom att skicka leverantören ett SAQ-självutvärderingsfrågeformulär från norppa.io-portalen. Svar lagras och kombineras med den tekniska riskprofilen.
Riskpoängsättning och allvarlighetsnivåer
Varje fynd klassificeras i en av fyra allvarlighetsnivåer: kritisk (omedelbar åtgärd), hög (åtgärd inom 7 dagar), medel (åtgärd inom 30 dagar) och låg (informativ). Riskpoängen (0–100, 100 = ren) beräknas baserat på allvarligheten hos öppna fynd.
Riskpoängen är avsedd som ett prioriteringsverktyg, inte som en absolut sanning. En leverantör kan få ett lågt poäng på grund av en enda kritisk sårbarhet även när deras övergripande säkerhetsposition är stark.
Fynds livscykel
Ett fynd skapas när en kontroll upptäcker en avvikelse. Det förblir öppet tills problemet är löst — kontrollanten bekräftar åtgärden automatiskt vid nästa körning. Om ett fynd representerar en känd, accepterad risk kan det markeras som "accepterad risk" med en kommentar. Samma fynd utlöser inte nya aviseringar om inte statusen ändras.
Alla fynd mappas automatiskt till motsvarande NIS2 Art. 21(2)-underpunkt — de visas både i portalens realtidsvy och i den månatliga PDF-rapporten.
NIS2-mappning och rapportering
Den månatliga rapporten innehåller en AI-verksamhetssammanfattning, NIS2-poäng per artikel, leverantörsspecifika riskprofiler och en prioriterad åtgärdslista. Rapporten är utformad för presentation på ledningsnivå — inte bara för tekniska team.
Rapporten innehåller också fynd som har accepterats som dokumenterade risker. Detta är viktigt för revisionsändamål: NIS2 kräver inte noll fynd — det kräver dokumenterad riskhantering.
Din egen domän — omfattande extern bedömning
Leverantörsdomäner bedöms med passiv OSINT — endast offentligt tillgängliga data. Din egen domän kan dessutom få en månadsvis extern säkerhetsbedömning: exponerade portar och tjänster, kända sårbarhetsrisker och SSL/TLS-konfiguration. Ingen integration, ingen åtkomst till ditt interna nätverk.