norppa.io
Alla guider

Guide · 12 min läsning

NIS2 och leveranskedjakravet — vad det innebär i praktiken

NIS2-direktivet har omformat cybersäkerhetsskyldigheterna i hela Europa. Ett av de mest konkreta kraven gäller leveranskedjan: du måste hantera dina leverantörers cyberrisker, inte bara dina egna. Det handlar inte om ett frågeformulär som skickas en gång om året. Tidsfristen för införlivande (17 oktober 2024) har passerat och skyldigheterna gäller nu; medlemsstaterna inför NIS2 i nationell lag i olika takt, och tillsynen har inletts.

Vem gäller kravet för?

NIS2 delar in organisationer i två kategorier baserat på sektor och storlek:

Väsentliga entiteter

Energi, transport, bank- och finansmarknader, hälso- och sjukvård, dricksvatten, avloppsvatten, digital infrastruktur, statlig IKT och rymden.

Viktiga entiteter

Post- och budtjänster, avfallshantering, kemikalier, livsmedelsproduktion, tillverkning, digitala tjänster och forskningsorganisationer.

Storleksgränsen är vanligtvis 50 anställda eller 10 miljoner euro i årsomsättning. Företag som överstiger denna gräns omfattas automatiskt av NIS2.

Viktigt: Även mindre företag kan bli föremål för krav via avtal — om du levererar kritiska tjänster till en NIS2-skyldig kund kommer denne troligen att ställa efterlevnadskrav i avtalet.

Officiell källa: NIS2-direktivet på EUR-Lex — se särskilt skälen 80–90 och art. 21.

Vad kräver art. 21(2)(d) konkret?

Artikel 21(2)(d) ålägger åtgärder för leveranskedjans säkerhet och leverantörsrelationer. Baserat på ENISA:s vägledning och nationella tillsynsmyndigheters tolkningar har kravet fyra grundläggande element:

1

Riskbedömning av leverantör före avtal

Innan du tar in en ny leverantör måste du bedöma deras cybersäkerhetspostyr. Det är inte bara ett frågeformulär — det innebär en verifierbar bedömning: har leverantören haft ett intrång, finns det kända sårbarheter i deras infrastruktur, är deras certifikat giltiga? Bedömningen bör omfatta leverantörens hela internetexponerade fotavtryck — inte bara huvuddomänen, utan även IP-adresser och infrastruktur utanför den (t.ex. VPN-gateways, e-postreläer, dedikerade värdar).

2

Avtalsklausuler och skyldigheter att anmäla incidenter

Avtal måste innehålla en klausul som kräver att leverantörer rapporterar säkerhetsincidenter utan onödigt dröjsmål. Utan denna kan du inte uppfylla din egen skyldighet att göra en inledande anmälan till tillsynsmyndigheten inom 24 timmar om en leverantörsincident påverkar dina tjänster.

3

Kontinuerlig övervakning under avtalets löptid

Det är här de flesta organisationer fortfarande halkar efter. NIS2:s standard för 'lämpliga åtgärder' kräver i praktiken kontinuerlig övervakning — inte bara en årlig kontroll. En leverantörs situation kan förändras radikalt på en dag: ransomware, ett intrång, en kritisk sårbarhet. En årlig bedömning är osannolikt att fånga upp dessa i tid.

4

Dokumenterade revisionsbevis

Tillsynsmyndigheten kan begära bevis på hur du har hanterat leverantörsrisker. "Vi har övervakat situationen" räcker inte — du behöver tidsstämplad dokumentation av fynd, vidtagna åtgärder och accepterade risker.

Varför årliga bedömningar ensamma inte räcker

En traditionell leverantörsrevision — ett frågeformulär en gång om året, kanske ett certifikat — uppfyller NIS2:s grundintention men tillgodoser inte skyldigheten till kontinuerlig övervakning. Betrakta dessa verkliga scenarier:

!

Din leverantör drabbas av ransomware i januari. Din årsrevision genomfördes i mars. Du får reda på det i juni när ett projekt försenas.

!

Din leverantörs medarbetares inloggningsuppgifter läcker till dark web-marknadsplatser. Du vet ingenting om det tills en angripare använder dem för att komma åt system som leverantören har tillgång till.

!

Din leverantörs TLS-certifikat löper ut och deras tjänst slutar fungera. Du upptäcker det via kundklagomål.

Alla tre är igenkännbara scenarier — typiska sätt på vilka leverantörsrisk materialiseras. Kontinuerlig övervakning innebär att dessa förändringar upptäcks inom dagar, inte månader.

Leverantörsnivåindelning: hur man prioriterar

Alla leverantörer behöver inte övervakas med samma intensitet. Riskbaserad nivåindelning är både praktisk och förenlig med direktivets anda:

Nivå 1 — Kritiska leverantörer

Direkt åtkomst till dina system, data eller produktionsmiljöer. Högsta övervakningsnivå, fullständig SAQ, kontinuerlig teknisk övervakning. Exempel: molnleverantörer, ERP-leverantörer, hanterade säkerhetstjänster.

Nivå 2 — Viktiga leverantörer

Viktig roll i verksamheten men begränsad direkt åtkomst till kritiska system. Regelbunden teknisk övervakning, enklare SAQ. Exempel: HR-programvara, marknadsföringsverktyg, logistikpartners.

Nivå 3 — Lågriskleverantörer

Begränsad eller ingen direkt åtkomst till kritiska data. Årlig granskning är tillräcklig. Exempel: kontorsmaterial, städtjänster, catering.

Fjärdeparts-risk — det ofta förbisedda lagret

NIS2 är inte begränsat till dina direkta leverantörer. Dina leverantörers egna leverantörer kan utgöra en risk för dig. Om din molnleverantör använder en underleverantör för datacentertjänster och den underleverantören utsätts för en attack kan konsekvenserna kaskadeffektera genom hela kedjan.

Därför bör leverantörsbedömningen inkludera frågan: känner leverantören sina egna kritiska underleverantörer och bedömer de dem i sin tur?

Art. 23: incidentanmälan vid leverantörsincidenter

Om en leverantörs säkerhetsincident orsakar betydande störningar i dina egna tjänster har du en skyldighet att göra en inledande anmälan till den nationella tillsynsmyndigheten inom 24 timmar, följt av en fullständig anmälan inom 72 timmar och en slutrapport inom en månad.

Det praktiska problemet: för att känna till en leverantörsincident i tid behöver du realtidsinsyn i deras status. Leverantörer rapporterar inte alltid incidenter proaktivt — eller gör det för sent. Kontinuerlig övervakning fyller denna lucka.

ENISA-vägledning: ENISA NIS2-implementeringsresurser — riktlinjer för incidentrapportering och säkerhetsåtgärder.

Vad söker tillsynsmyndigheterna?

Nationella tillsynsmyndigheter bedömer efterlevnad genom praktiska bevis, inte påståenden. Dokument som är användbara vid en revision inkluderar:

  • Leverantörsregister med nivåindelning och riskklassificering
  • SAQ-svar med datum
  • Tekniska övervakningsloggar — vad kontrollerades, när, vad hittades
  • Dokumentation av accepterade risker — ett skriftligt beslut för risker som noterats och accepterats
  • Åtgärdshistorik — hur fynd hanterades och när

Dessa dokument måste kunna tas fram på begäran. Dokumentation som sammanställts i efterhand efter en förfrågan räcker sällan i praktiken.

Hur norppa.io hjälper

norppa.io är utformat för att hantera precis dessa utmaningar. Varje övervakad leverantörsdomain kontrolleras på 100+ kontrollpunkter dagligen, kritiska händelser var sjätte timme — automatiskt, utan manuellt arbete. Fynd mappas automatiskt till NIS2-artiklar, den månatliga PDF-rapporten är i ledningsklart format, och hela historiken kan exporteras som CSV för revisorer.

Självbedömningsformuläret (SAQ) skickas till leverantörer direkt från norppa.io, och svaren kombineras med den tekniska riskprofilen — en enhetlig vy över både process- och tekniska lager.

Vill du se hur rapporten ser ut i praktiken?

norppa.io automatiserar teknisk övervakning och producerar NIS2-revisionsbevis. Se exempelrapporten — riktigt format, fiktiva data.

Visa exempelrapport

Relaterade guider

NIS2 Art. 21(2) — säkerhetschecklista för leverantörer

Checklista för inköps- och säkerhetsteam: vad man ska fråga, vilka bevis man ska samla in och hur man reagerar när en leverantör brister. Inkluderar förslag på styrkande dokument.

Leverantörens cyberriskbedömning: vad automatiserad NIS2-övervakning kontrollerar

Alla kontrollkategorier förklaras: ransomware, dark web-läckor, TLS/DNSSEC, cookie-säkerhet, CVE/EPSS, sanktioner, MX-svartlistor och SAQ. Fyndens livscykel och NIS2-artikelmappning.

Vem omfattas av NIS2? Väsentliga och viktiga aktörer, sektorer och storlekströsklar

Avgör om NIS2 gäller dig: de två nivåerna, sektorerna i bilaga I/II, storlekströsklarna, storleksoberoende undantag och hur leveranskedjan drar in dig även utan utpekning.

NIS2-leverantörsenkät (SAQ): vad du ska fråga, hur du poängsätter och en gratis mall

Vad du ska fråga leverantörer enligt art. 21.2 d, hur du poängsätter svar och hanterar brister, varför självdeklaration behöver verifieras, plus en gratis enkätmall.

NIS2 vs DORA: hur de skiljer sig, var de överlappar och vilken som gäller dig

Hur de två EU-regelverken skiljer sig och överlappar, varför DORA är lex specialis för finansiella enheter, vilken som gäller dig, och vad båda innebär för tredjepartsrisk.