NIS2-guide

NIS2-guide · 7 min

Leverantörsimitation och vd-bedrägeri (BEC): e-postförfalskning, DMARC och NIS2

En av de vanligaste leveranskedjeattackerna kräver inget intrång alls: en angripare skickar e-post som ser ut att komma från en leverantör (eller från dig) och styr om en betalning eller stjäl data. Det är vd-bedrägeri (BEC) och leverantörsimitation, möjliggjort av svag e-postautentisering som vem som helst kan kontrollera utifrån. Under NIS2 ansvarar du för säkerheten i dina leverantörsrelationer (artikel 21.2 d), och e-postförfalskning är en av de tydligaste och billigaste signalerna att åtgärda. Denna guide förklarar hur attacken fungerar, vilka SPF-, DKIM- och DMARC-inställningar som stoppar den och hur den passar in i NIS2.

Viktiga punkter

  • BEC och leverantörsimitation utnyttjar svag e-postautentisering, inte ett tekniskt intrång.
  • SPF, DKIM och en tillämpad DMARC-policy blockerar förfalskad e-post, och de är publikt kontrollerbara.
  • Under NIS2 hör detta till säkerheten i leverantörsrelationen och skyddar både dig och dina leverantörer.

Så fungerar leverantörsimitation och BEC

Angriparen behöver inte hacka någon. Om en domän inte tillämpar e-postautentisering kan hen skicka e-post som ser ut att komma från den: en falsk faktura med nya bankuppgifter 'från din leverantör', eller en brådskande begäran 'från din vd'. Mottagaren litar på den bekanta avsändaren och agerar. Eftersom leverantörer och kunder mejlar varandra ständigt blir en svag domän i kedjan allas problem. NIS2 artikel 21.2 d gör hanteringen av denna relationsrisk till ditt ansvar.

Officiell källa: NIS2-direktivet på EUR-Lex — artikel 21.2 (säkerhetsåtgärder, inkl. säker kommunikation) och 21.2 d (leveranskedjesäkerhet).

Kontrollerna som stoppar förfalskning

Dessa är standard, gratis att införa i DNS och publikt verifierbara. De motsvarar grunden för säker kommunikation i artikel 21.2 och hur attacken faktiskt fungerar.

1

SPF (Sender Policy Framework)

Publicerar vilka servrar som får skicka e-post för din domän. Utan den, eller med en alltför tillåtande post, passerar förfalskade avsändare okontrollerat. Publicera SPF och håll den korrekt när du lägger till e-posttjänster.

2

DKIM (DomainKeys Identified Mail)

Signerar din utgående e-post kryptografiskt så att mottagare kan verifiera att den inte ändrats och verkligen kom från din domän. Aktivera DKIM på varje tjänst som skickar i ditt namn.

3

DMARC med tillämpad policy

Kopplar SPF och DKIM till din synliga Från-adress och talar om för mottagare vad de ska göra med e-post som misslyckas. En policy p=none övervakar bara; gå till p=quarantine eller p=reject för att faktiskt blockera förfalskning.

4

DMARC-rapporter (rua) och övervakning

Aggregerade rapporter visar vem som skickar i din domäns namn, så att du kan hitta dina legitima avsändare före tillämpning och upptäcka missbruk efteråt. Dirigera rapporterna dit de läses.

5

MTA-STS och TLS-rapportering (extra härdning)

Tvinga krypterad leverans till din domän och bli meddelad när det misslyckas, vilket stänger en nedgraderingsväg som en angripare annars kan använda för att avlyssna e-post.

Se hur dina leverantörer faktiskt presterar

7 dagars gratis · inget kreditkort · avsluta när som helst

Varför det spelar roll under NIS2, för dig och dina leverantörer

Tillämpad e-postautentisering skyddar dina kunder och partner från att luras i ditt namn och skyddar dig från en leverantörs förfalskade faktura. Eftersom den är externt synlig är den precis den signal en kund kontrollerar när den bedömer dig som leverantör under NIS2, och det en angripare sonderar först. Kontinuerlig övervakning av din egen domän och dina leverantörer lyfter fram en svag eller glidande DMARC-policy (till exempel fortfarande p=none) och kopplar den till leveranskedjeplikten i artikel 21.2 d, så att den åtgärdas innan den utnyttjas.

Vanliga misstag

  • Att publicera DMARC på p=none och aldrig gå till tillämpning, så att inget faktiskt blockeras.
  • SPF eller DKIM på huvuddomänen men inte på subdomäner eller tredjeparts sändtjänster.
  • Att anta att en leverantörs fakturamejl är äkta för att avsändarnamnet ser rätt ut.
  • Ingen process för att verifiera en betalning eller ändrade bankuppgifter via en andra kanal.

Du behöver inte läsa rapporterna själv

Aggregerade DMARC-rapporter är dagliga XML-filer, och ingen vill läsa dem för hand. norppa.io tar emot dem åt dig på en unik rapportadress, gör dem till godkännandegradsanalys och en avsändarinventering och lyfter aktiva förfalskningskällor som prioriterade fynd. TLS-RPT-rapporter hanteras på samma sätt. Hostat i EU, endast aggregerad data, ingår i varje plan.

Se hur övervakningen av e-postsäkerhet fungerar →

Se hur din e-postställning kopplas till NIS2

En exempelrapport om en leverantör (fynd, NIS2-koppling och evidens) på två minuter.

7 dagars gratis · inget kreditkort · avsluta när som helst

Relaterade guider

Så uppfyller du NIS2: en steg-för-steg-färdplan

Stegen till NIS2-efterlevnad i ordning: bekräfta omfattning, registrera dig, ledningens ansvar (art. 20), åtgärderna i art. 21.2, leveranskedjesäkerhet, incidentrapportering (art. 23) och löpande, styrkt säkring.

Vem omfattas av NIS2? Väsentliga och viktiga aktörer, sektorer och storlekströsklar

Avgör om NIS2 gäller dig: de två nivåerna, sektorerna i bilaga I/II, storlekströsklarna, storleksoberoende undantag och hur leveranskedjan drar in dig även utan utpekning.

NIS2 för leverantörer: du är inte utpekad, men dina kunder är det

De flesta företag utpekas aldrig enligt NIS2, men många måste ändå följa den. Hur en omfattad kunds leveranskedjeskyldighet (artikel 21.2 d) flödar ner till dig, vad de begär och hur du svarar trovärdigt.

NIS2 och leveranskedjekravet: vad det innebär i praktiken

NIS2 kräver att väsentliga och viktiga aktörer bedömer cyberriskerna i sina leveranskedjor. Leverantörstierning, fjärdepartsrisk, Art. 23-anmälan och vad revisorer letar efter.

Leverantörens cyberriskbedömning: vad automatiserad NIS2-övervakning kontrollerar

Alla kontrollkategorier förklaras: ransomware, dark web-läckor, TLS/DNSSEC, cookie-säkerhet, CVE/EPSS, sanktioner, MX-svartlistor och SAQ. Fyndens livscykel och NIS2-artikelmappning.

NIS2 Art. 21(2): säkerhetschecklista för leverantörer

Checklista för inköps- och säkerhetsteam: vad man ska fråga, vilka bevis man ska samla in och hur man reagerar när en leverantör brister. Inkluderar förslag på styrkande dokument.

NIS2-leverantörsenkät (SAQ): vad du ska fråga, hur du poängsätter och en gratis mall

Vad du ska fråga leverantörer enligt art. 21.2 d, hur du poängsätter svar och hanterar brister, varför självdeklaration behöver verifieras, plus en gratis enkätmall.

NIS2-incidentrapportering: 24- och 72-timmarsfristerna förklarade

Vad som är en betydande incident, tidslinjen i artikel 23 (24-timmars tidig varning, 72-timmars anmälan, slutrapport på en månad) och när en leverantörs incident blir din skyldighet.

NIS2 och ledningens ansvar: vad styrelse och ledning måste veta

Vad NIS2 förväntar sig av ledningsorganet: godkännande- och tillsynsplikt, personligt ansvar (art. 20), utbildning, styrelse-KPI:er och sanktionerna enligt art. 34.

ISO 27001 och NIS2: vad ditt LIS redan täcker, och luckorna det inte gör

Om du har ISO 27001: vad som förs över till NIS2 och inte (lagstadgad incidentrapportering, ledningens ansvar, registrering och kontinuerlig leveranskedjesäkring) och hur du täpper till luckan.

NIS2-böter och sanktioner: hur mycket, vem är ansvarig och hur du undviker dem

Vad NIS2-sanktioner är: taken i artikel 34 (10 M€ / 2 % för väsentliga, 7 M€ / 1,4 % för viktiga aktörer), ledningens personliga ansvar (art. 20, art. 32), icke-monetära åtgärder och hur du undviker dem.

NIS2 vs DORA: hur de skiljer sig, var de överlappar och vilken som gäller dig

Hur de två EU-regelverken skiljer sig och överlappar, varför DORA är lex specialis för finansiella enheter, vilken som gäller dig, och vad båda innebär för tredjepartsrisk.

GDPR vs NIS2: överlapp, skillnader och när en incident utlöser båda

Hur GDPR och NIS2 skiljer sig och överlappar, när en incident utlöser båda (GDPR art. 33 72 h till tillsynsmyndigheten vs NIS2 art. 23 24 h/72 h/en månad till CSIRT), art. 35-samarbetet och förbudet mot dubbel sanktion, och vad båda innebär för leverantörsgranskning.

EU:s cyberresiliensförordning (CRA): omfattning, tidslinje och vad den betyder för din leveranskedja

Vad CRA kräver, dess stegvisa datum (i kraft 2024, rapportering sep 2026, full efterlevnad dec 2027), vem som omfattas och varför ren SaaS ofta inte gör det, hur den kompletterar NIS2 och vad den betyder för upphandling och leverantörsgranskning.

EU:s AI-förordning: risknivåer, tidslinjen och vad tillhandahållare av AI i drift måste göra (artikel 26)

Vad EU:s AI-förordning kräver: risknivåerna, de stegvisa datumen (i kraft 2024, förbjudet feb 2025, GPAI aug 2025, hög risk aug 2026), skyldigheterna i drift enligt art. 26, hur den staplas med NIS2 och GDPR, och vad den betyder för AI-upphandling.

NIS2:s införlivandestatus: i vilka EU-länder den gäller

Vilka av de 27 EU-medlemsstaterna som skrivit in NIS2 i nationell lag och vilka som ännu slutför, och varför skillnaderna ändå når din leveranskedja.

NIS2 leverantörsavtalsklausuler: vad du bör kräva av dina leverantörer

Avtalsklausulerna som gör NIS2:s leveranskedjeskyldighet verkställbar: säkerhetsnivå, anmälningsfönster, bevis- och granskningsrätt, vidareföring till underleverantörer, och löpande verifiering.

Din externa säkerhetsställning under NIS2: vad leverantörer och kunder ser

De publikt synliga signaler som kunder bedömer enligt NIS2 art. 21.2 d: e-postförfalskning (SPF/DMARC), certifikathygien, internetexponerade system och läckta uppgifter, varför var och en spelar roll och hur du kontrollerar och åtgärdar dem.

Använder dina leverantörer AI? NIS2:s leverantörsrisk möter EU:s AI-förordning

Leverantörer bäddar allt oftare in AI i tjänster du är beroende av, och deras leverantörer likaså. Var leverantörers och n:te partens AI skapar risk enligt NIS2 art. 21.2 d och AI-förordningen, vad du ska bedöma och hur du behåller överblicken.

Senast granskad: 19 juni 2026

Den här guiden är allmän information om EU-rätt, inte juridisk rådgivning. NIS2 träder i kraft genom varje EU-medlemsstats nationella genomförandelag, som kan skilja sig i detalj. Verifiera de skyldigheter som gäller dig med din behöriga myndighet eller juridiska rådgivare.