Checklista: Leverantörsbedömning enligt NIS2 för compliance

maj 3, 2026, Jesper Thornberg

NIS2 ställer krav som förändrar hur svenska organisationer måste arbeta med sin leverantörskedja. Det räcker inte längre att säkra din egen IT-miljö. Varje leverantör, underleverantör och tredjepartslösning som rör kritiska system eller känslig data måste bedömas systematiskt. NIS2-direktivet kräver riskbaserad kartläggning av hela leveranskedjan, inklusive underleverantörer, med riskprofiler som styr kontrakt och uppföljning. Den här artikeln ger dig en konkret checklista och praktisk vägledning för att möta kraven, minimera risker och säkerställa compliance.

Innehållsförteckning

Viktiga Insikter

Punkt Detaljer
Kartläggning är avgörande Du måste identifiera alla leverantörer och kopplingar till kritiska system för att möta NIS2.
Riskprofil styr hantering Riskbedömningen avgör vilka krav och vilken uppföljning som är nödvändig.
Edge cases kräver extra kontroll Internationella leverantörer och nya teknologier som AI måste riskbedömas och hanteras separat.
Certifikat räcker inte ISO 27001 eller SOC 2 underlättar compliance men due diligence måste alltid göras.
Kontinuerlig monitorering är central Regelbunden uppföljning och revision är en vital del av NIS2-arbetet.

Så identifierar du kritiska leverantörer och beroenden

Grunden för all leverantörsbedömning enligt NIS2 är en fullständig kartläggning. Många organisationer underskattar hur komplex deras leverantörskedja faktiskt är. En tjänst du upphandlar kan i sin tur förlita sig på tio underleverantörer, varav flera befinner sig i högriskjurisdiktioner eller hanterar känsliga personuppgifter utan att du vet om det.

En man sitter vid ett stökigt skrivbord och försöker få ordning på leverantörslistor.

Börja med att kartlägga samtliga leverantörer och koppla dem till specifika system och datamängder. Frågan du ställer dig är inte bara “vem levererar vad?” utan också “vad händer med vår verksamhet om den här leverantören faller bort eller drabbas av ett angrepp?” Det är den frågan som avgör om en leverantör är kritisk eller inte.

Enligt checklistan för leverantörsbedömning ska du genomföra följande steg i rätt ordning:

  1. Kartlägg leverantörer och koppla dem till kritiska system och data
  2. Genomför riskbedömning baserad på datakänslighet, geografisk placering och historik
  3. Samla in enkätsvar, externa datakällor och utför sårbarhetsskanning
  4. Ställ krav på certifieringar som ISO 27001 eller SOC 2
  5. Inkludera kontraktskrav på incidentrapportering och revisionsrätt
  6. Etablera löpande monitorering och planera för årliga granskningar

Följande faktorer avgör om en leverantör klassificeras som kritisk:

  • Tillgång till känsliga personuppgifter eller affärskritisk information
  • Integration med produktionssystem, OT-miljöer eller säkerhetsfunktioner
  • Beroenden som påverkar tillgängligheten i din kärnverksamhet
  • Geografisk placering utanför EU och EES med begränsad rättslig insyn
  • Historik av säkerhetsincidenter eller bristfällig incidentrapportering

Kom ihåg: En leverantör som verkar perifer kan vara en avgörande svag länk. En molntjänst för e-postsignering som har tillgång till interna dokument kan utgöra en större risk än ett mer synligt system.

Det finns också edge cases som kräver extra uppmärksamhet. En underleverantör som levererar open source-komponenter till din mjukvaruleverantör är tekniskt sett en del av din leverantörskedja, men syns sällan i traditionella avtal. Detsamma gäller SaaS-tjänster som medarbetare börjat använda utan IT-avdelningens vetskap.

Förståelse för risker i leverantörskedjan kräver att du behandlar kartläggningen som ett levande dokument, inte ett engångsprojekt. Leverantörers teknikstackar förändras, ägande skiftar och nya integrationer tillkommer löpande. Det är ett kontinuerligt arbete, inte en årsrapport.

Riskbedömning enligt NIS2: Metoder och verktyg

När kartläggningen är gjord är nästa steg att genomföra en strukturerad riskbedömning. Målet är att skapa individuella riskprofiler för varje leverantör, profiler som sedan styr kontraktskrav, uppföljningsfrekvens och eskaleringsrutiner.

Det finns flera metoder du kan använda, beroende på verksamhetens storlek och komplexitet:

  1. Enkätbaserad bedömning: Du skickar strukturerade frågeformulär till leverantören och utvärderar svaren mot ett fastställt poängsystem. Enkelt att skala upp men sårbart för felaktiga eller förskönade svar.
  2. Extern datainhämtning: Använd tjänster som samlar in offentliga data om leverantörens säkerhetshistorik, exponerade system och publicerade sårbarheter. Ger en objektiv bild utan att förlita dig på leverantörens egna uppgifter.
  3. Teknisk sårbarhetsskanning: Aktivt skanna leverantörens exponerade ytor, om avtal tillåter det. Ger konkreta tekniska data men kräver juridisk och avtalsmässig klarhet.
  4. Dokumentgranskning: Granska policyer, certifikat, revisionsrapporter och incidenthistorik direkt. Tidskrävande men ger djupast insyn.
  5. AI-driven TPRM (third-party risk management): Automatiserade plattformar som kontinuerligt övervakar leverantörer, flaggar förändringar och prioriterar uppföljningsinsatser baserat på riskpoäng.

NIS2-riskbedömningen kräver att fokus läggs på datakänslighet, systemberoenden och leverantörens historik. Det är inte en statisk bedömning utan ett underlag för löpande styrning.

En viktig insikt som många organisationer missar: certifiering ersätter inte due diligence. En ISO 27001-certifiering berättar att leverantören har ett ledningssystem för informationssäkerhet. Den berättar inte om alla underleverantörer uppfyller samma krav, hur incidenter faktiskt hanteras i praktiken eller om er specifika integration är säker.

Det är också värt att beakta ISO 27002 för riskhantering och andra ISO-standarder som stöd för att strukturera din bedömningsprocess. Dessa standarder ger ramverk för kontroller som kan tillämpas systematiskt på leverantörsbedömningar.

Glöm inte att juridiska risker vid leverantörsval påverkar hela riskbilden. Avtalskonstruktion, ansvarsfördelning och rätt till revision är juridiska frågor som måste hanteras parallellt med den tekniska riskbedömningen.

Proffstips: Bygg en gemensam riskmatris som kombinerar tekniska fynd, enkätsvar och kontraktsstatus för varje leverantör. Det gör det möjligt att jämföra leverantörer på ett rättvist och konsekvent sätt, och underlättar prioritering av uppföljningsinsatser.

Utvärderingskriterier och krav för leverantörer

Med riskprofilen på plats behöver du definiera vilka krav leverantören faktiskt måste uppfylla. NIS2 ställer tydliga förväntningar, och de konkretiseras bäst som specifika, mätbara kriterier som kan verifieras och följas upp.

Utvärderingskriterierna enligt NIS2 inkluderar bland annat:

  • Resiliens: Leverantören ska ha dokumenterade RTO (Recovery Time Objective) och RPO (Recovery Point Objective) på under fyra timmar för kritiska tjänster
  • SDLC-processer: Säkerhet ska vara inbyggd i hela mjukvaruutvecklingscykeln, inklusive kodgranskning och automatiserade säkerhetstester
  • Patchning: SLA för säkerhetspatchar ska vara max 30 dagar för kritiska sårbarheter
  • Incidenthantering: Dokumenterade rutiner med tydliga eskaleringsvägar och rapporteringsskyldigheter mot dig som kund
  • Tabletop-övningar: Leverantören ska genomföra regelbundna scenariobaserade övningar för att testa sin förmåga att hantera cyberincidenter
  • Penetrationstester: Regelbundna pentester av system och integrationer mot din miljö ska genomföras och dokumenteras

NIS2 artikel 21(2)(d) kräver supply chain security med vendor assessments, kontraktkrav och kontinuerlig monitorering. Kraven alignar med ISO 27001 men är mer krävande vad gäller dokumentation och styrelseansvar.

Nedan presenteras en översikt av vanliga kriterier och hur de relaterar till NIS2 respektive ISO 27001:

Kriterium NIS2-krav ISO 27001-kontroll Miniminivå
Resiliens (RTO/RPO) Obligatoriskt A.17 Under 4 timmar
Incidentrapportering Obligatoriskt A.16 Inom 24 timmar
Patchhantering Obligatoriskt A.12.6 Max 30 dagar
Penetrationstest Rekommenderas A.18 Minst årligen
Certifiering Underlättar Hela standarden ISO 27001 eller SOC 2
Revisionsrätt Obligatoriskt A.15 Avtalad och dokumenterad

NIS2 efterlevnad kräver att dessa kriterier inte bara dokumenteras utan också följs upp systematiskt. Det räcker inte att inkludera dem i ett avtal om det saknas rutiner för att verifiera efterlevnad.

En praktisk rekommendation är att dela upp leverantörerna i tre kategorier: kritiska, viktiga och övriga. Kritiska leverantörer bedöms med full checklista och årlig granskning. Viktiga leverantörer genomgår förenklad bedömning med tvåårigt intervall. Övriga leverantörer registreras men kräver minimal löpande uppföljning. Det är ett pragmatiskt sätt att fördela resurser utan att tappa kontrollen.

Kontraktskrav är en annan central del. Varje avtal med en kritisk eller viktig leverantör bör innehålla klausuler om incidentrapporteringsskyldighet, rätt till revision, krav på underleverantörers efterlevnad och sanktioner vid kontraktsbrott. ISO 27002-standard ger konkreta riktlinjer för hur sådana kontroller bör formuleras i leverantörsavtal.

Så hanterar du edge cases och internationella leverantörer

Standardfallet är en EU-baserad leverantör med ISO 27001-certifiering och transparenta underleverantörskedjor. Verkligheten ser sällan ut så. Många organisationer arbetar med leverantörer i USA, Indien, Kanada eller Asien, och det skapar en helt annan juridisk och riskmässig situation.

Internationella leverantörer kräver TIA, Transfer Impact Assessment, för att bedöma konsekvenserna av att data överförs utanför EU. TIA är ett GDPR-krav men hänger nära samman med NIS2 eftersom leverantörens jurisdiktion påverkar din förmåga att ställa krav och driva åtkomsträttigheter.

Utöver TIA tillkommer krav på:

  • Dokumenterad insyn i underleverantörskedjan utanför EU
  • Kompensatoriska åtgärder för högriskjurisdiktioner, exempelvis kryptering och pseudonymisering
  • Avtalade krav på lokalisering av data om det är tekniskt möjligt
  • Bedömning av hur lokal lagstiftning kan kräva att myndigheter ges tillgång till data

En annan växande utmaning är shadow AI. Medarbetare använder AI-tjänster som ChatGPT, Copilot-integrationer och specialiserade branschverktyg utan att IT-avdelningen känner till det. Om känsliga affärsdata, personuppgifter eller konfidentiella kunduppgifter matas in i sådana tjänster uppstår en okontrollerad tredjepartsrisk som inte finns med i någon leverantörslista.

Tredjepartsrisker är ett av de snabbast växande hoten mot svenska organisationer, och en stor andel saknar tillräcklig insyn i sina leverantörers faktiska cybersäkerhet.

Nedan visas en jämförelse mellan standardfall och edge cases:

Faktor EU-leverantör Internationell leverantör Shadow AI
TIA krävs Nej Ja Ofta okänt
Avtalsrätt Tydlig Komplex Saknas
Insyn i kedjan Medel Låg Ingen
Kontrollbarhet God Begränsad Minimal
Risknivå Hantérbar Hög Kritisk

Att identifiera och hantera TIA och ISO-standarder parallellt är nödvändigt för att skapa ett sammanhållet skydd. Dessutom påverkar AI-förordningens påverkan hur du klassificerar och hanterar AI-leverantörer, inklusive interna verktyg och externa SaaS-tjänster med AI-funktioner.

Proffstips: Inför en intern process för att identifiera shadow AI och okänd tredjepartsanvändning. Genomför regelbundna workshops med verksamheten där medarbetare uppmanas att redovisa vilka digitala verktyg de använder, oavsett om de är IT-godkända eller inte. Det är ett enkelt sätt att få insyn som tekniska skanningar missar.

Den obekväma sanningen om leverantörsbedömning enligt NIS2

De flesta organisationer som arbetar med NIS2-compliance gör ett och samma misstag. De litar på checklistan. De samlar in certifikat, fyller i formulär och bockar av punkter i ett kalkylark, och tror sedan att jobbet är gjort. Det är det inte.

Problemet är att en checklista är ett ögonblicksfoto, inte ett skyddssystem. En leverantör kan ha ISO 27001-certifiering i mars och en allvarlig säkerhetsincident i april. Certifikatet gäller fortfarande. Det säger ingenting om vad som faktiskt händer i systemen just nu.

Certifiering ersätter inte due diligence. Organisationen bär alltid ansvaret för hela leverantörskedjan, oavsett hur många certifikat leverantören kan visa upp. Det är en juridisk realitet under NIS2, och det är en operationell sanning som kräver kontinuerlig uppmärksamhet.

En annan vanlig fallgrop är att behandla leverantörsbedömning som en IT-fråga. Det är det inte enbart. Det är en juridisk fråga, en affärsfråga och en styrningsfråga. Den kräver samverkan mellan IT-säkerhet, juridik och verksamhetsledning. Utan den samverkan uppstår blinda fläckar som ingen avdelning äger.

Det som faktiskt fungerar är att kombinera systematisk dokumentation med kontinuerlig monitorering och tydligt internt ansvar. Den bästa checklistan är värdelös utan en ansvarig person som faktiskt driver uppföljningen. Att fördela ansvar och strategier tydligt inom organisationen är lika viktigt som de tekniska kontrollerna.

Så kan Trustview hjälpa din organisation att möta NIS2

Att arbeta systematiskt med leverantörsbedömning enligt NIS2 kräver rätt verktyg, tydliga processer och juridisk kompetens. Trustview samlar allt detta i en och samma plattform.

https://trustview.se

Med Trustview kan du strukturera hela leverantörsbedömningsprocessen, från kartläggning och riskbedömning till kontraktsuppföljning och incidenthantering. Plattformen kombinerar smarta arbetsflöden med praktisk juridisk expertis. Läs mer om hur du bygger en åtgärdsplan för compliance steg för steg, eller fördjupa dig i hur juridisk expertis för efterlevnad stärker din organisations riskhantering. Vill du veta hur Trustview konkret stödjer din NIS2 efterlevnad? Kontakta oss för att diskutera din situation.

Vanliga frågor om leverantörsbedömning enligt NIS2

Vilka leverantörer måste bedömas enligt NIS2?

Alla leverantörer med koppling till kritiska system eller känslig data ska riskbedömas, inklusive underleverantörer, med utgångspunkt i datakänslighet, systemberoenden och historik.

Måste internationella leverantörer bedömas annorlunda?

Ja, internationella leverantörer kräver TIA och extra insyn i underleverantörskedjan för att hantera juridiska risker och krav på kompensatoriska åtgärder vid högriskjurisdiktioner.

Hur ofta ska leverantörsbedömningen uppdateras?

Bedömningen ska vara löpande med årliga granskningar och kontinuerlig monitorering, inte ett engångsprojekt som görs vid upphandling.

Kan certifieringar som ISO 27001 ersätta leverantörsbedömning?

Nej, certifiering ersätter inte due diligence. Din organisation bär alltid ansvaret för hela leverantörskedjan, oavsett vilka certifikat leverantören presenterar.

Vad är den största risken med tredjepartsleverantörer?

Brist på insyn i leverantörers faktiska cybersäkerhet är ett av de snabbast växande hoten mot svenska organisationer, och det är ett problem som certifikat och enkäter sällan fångar upp.

Rekommendation

Mer att upptäcka

Tre kollegor sitter och diskuterar hur de ska arbeta med att följa reglerna kring integritet och dataskydd.
Akademi
Så organiserar du en effektiv privacyorganisation
Lär dig hur du effektivt organiserar din privacyorganisation med vår steg-för-steg-guide. Skydda ditt företag och uppfyll GDPR!
Läs mer
maj 8, 2026
En HR-specialist går igenom ett CV vid sitt skrivbord i dagsljus.
Akademi
Så genomför du effektiva bakgrundskontroller vid anställning
Lär dig genomföra effektiva bakgrundskontroller vid anställning för att skydda ditt företag och säkerställa rätt rekrytering. Få tips och råd!
Läs mer
maj 7, 2026
Ett litet företagsteam samlas för att diskutera regelefterlevnad i ett avslappnat kontorslandskap.
Akademi
Strukturerad efterlevnad för små bolag steg för steg
Upptäck hur man granskar efterlevnad effektivt för små bolag. Få praktiska tips för att bygga en enkel och kostnadseffektiv process.
Läs mer
maj 6, 2026
Compliance with less effort

Upptäck mer inom området

TrustView kostnadsfritt i 30 dagar!

Compliance är inget du måste älska, men det är något som måste bli gjort. Testa kostnadsfritt innan du bestämmer dig!

Detta fält är dolt när formuläret visas