NIS2 och den nya svenska cybersäkerhetslagen gör att din leverantörskedja blir lika viktig som din egen IT-miljö – kanske viktigare.
NIS2-direktivet och den kommande svenska cybersäkerhetslagen innebär att organisationer inte längre kan nöja sig med att “ha ordning på sitt eget hus”. Leverantörskedjan, alla tredjepartsleverantörer och underleverantörer, blir en integrerad del av din säkerhetsnivå – juridiskt, tekniskt och praktiskt. Den nya cybersäkerhetslagen implementerar NIS2 i svensk rätt och föreslås träda i kraft den 15 januari 2026. I den här artikeln går vi igenom vad era leverantörskedjor i praktiken innebär: hur NIS2 kopplas till cybersäkerhetslagen, varför leverantörskedjan är en central risk, vilka konkreta krav som ställs på leverantörer och en steg-för-steg-modell för third-party risk management enligt NIS2.
Varför leverantörskedjan är en huvudrisk i NIS2
Kort sagt: NIS2 ser leverantörskedjan som en av de största källorna till cyberrisk – en svag länk hos en leverantör kan slå ut din verksamhet.
I en modern digital verksamhet är IT-miljön nästan alltid uppbyggd av:
- Molntjänster (SaaS, PaaS, IaaS)
- Driftleverantörer och integratörer
- Underleverantörer som bearbetar data, loggar, betalningar eller kundinformation
NIS2 slår fast att riskhantering måste omfatta hela ekosystemet, inte bara din interna IT.
Från intern säkerhet till supply chain security
Fokus flyttas från ”hur säkra är våra egna system?” till ”hur robust är vår totala leverantörskedja?”.
Förr kunde organisationer säga: ”Vi har patchade system, MFA och bra brandväggar – vi är säkra.”
Med NIS2 och ett modernt hotlandskap räcker inte detta. Leverantörskedjan kan innehålla:
- Tredjepartsleverantörer som hanterar kärnsystem (ERP, CRM, journalsystem m.m.)
- Underleverantörer till dina leverantörer (t.ex. hosting, supportcenter, utvecklingspartners)
- Specialiserade nischleverantörer (logghantering, monitoring, identitetslösningar)
Om en kritisk leverantör drabbas av ransomware, dataintrång eller långvarigt driftstopp påverkas:
- Din möjlighet att leverera samhällsviktiga tjänster
- Dina incidentrapporteringsskyldigheter enligt cybersäkerhetslagen
- Ditt legala ansvar och potentiella sanktionsrisker
NIS2 lyfter därför uttryckligen supply chain security som ett eget riskområde.
Exempel: incident hos leverantör som får NIS2-konsekvenser
En incident hos en SaaS-leverantör kan få stora konsekvenser för din verksamhet.
Tänk dig följande scenario:
- Du använder en molnbaserad driftleverantör för ett kritiskt verksamhetssystem.
- Leverantören drabbas av ett cyberangrepp som krypterar deras miljö.
- Din tjänst ligger nere i 36 timmar. Kunddata kanske inte läcker, men din tjänst är otillgänglig.
Konsekvenser i ett NIS2-perspektiv:
- Tillgängligheten i en samhällsviktig tjänst påverkas kraftigt.
- Du kan behöva rapportera incidenten enligt cybersäkerhetslagen (inom specificerade tidsfrister).
- Tillsynsmyndigheten kan begära information om:
- Din riskanalys av leverantören
- Vilka avtalskrav du ställt
- Hur du har fört uppföljning och revisioner
- Om leverantörsrelationen visar sig vara undermåligt styrd kan du få kritik – även om det formella angreppet skedde hos leverantören.
NIS2 krav på leverantörer och tredjepartsrisk
NIS2 kräver att du riskbedömer, reglerar och följer upp dina leverantörer – från avtal till löpande kontroll och incidentrapportering.
Direktivet och den kommande cybersäkerhetslagen betonar att nis2 krav på leverantörer både är tekniska och organisatoriska. Organisationer ska ha processer för nis2 tredjepartsrisk, inklusive due diligence, avtalskrav, kontroll av efterlevnad och uppföljning.
Riskanalys och klassificering av leverantörer
Du måste veta vilka leverantörer som är kritiska och vilka risker de innebär – du kan inte behandla alla lika.
Så här gör du:
- Inventera alla leverantörer som har koppling till nätverks- och informationssystem.
- Klassificera leverantörer utifrån:
- Kritikalitet för din tjänst (”kritiska leverantörer”)
- Vilken typ av information de hanterar (t.ex. känsliga personuppgifter, loggar, affärskritiska data)
- Tekniskt beroende (”single point of failure”)
- Genomför riskanalys per kategori:
- Hot och sårbarheter (t.ex. SaaS med svag autentisering, bristande loggning)
- Juridiska risker (t.ex. tredjelandsöverföringar, bristande dataskyddsavtal)
- Operationella risker (t.ex. låg mognad, resursbrist, hög incidenthistorik)
Resultatet ska bli en tydlig riskbild för leverantörskedjan, där kritiska leverantörer får hårdare krav och mer omfattande uppföljning.
Avtal, säkerhetsbilagor och due diligence
Avtalen måste innehålla tydliga säkerhetskrav, och du behöver kunna visa att du gjort rimlig due diligence – både före och efter avtalsskrivning.
NIS2 och modern third-party risk management innebär att du bör ha:
- Avtalskrav (contractual obligations) kring:
- Informationssäkerhet och tekniska kontroller
- Åtkomstkontroll och identitetshantering
- Loggning, övervakning och incidenthantering
- Krav på underleverantörer (flow-down-krav)
- Säkerhetsbilagor där du specificerar:
- Minimala säkerhetsnivåer (t.ex. kryptering, MFA, backup, patchrutiner)
- Krav på incidentrapportering till dig (tidsfrister, kontaktvägar, innehåll)
- Rätt till revision eller tredjepartsgranskning
- Due diligence-processer:
- Innan avtal – bedöm leverantörens säkerhetsmognad (policyer, certifikat, revisioner, historik).
- Under avtalstiden – följ upp att säkerhetskraven faktiskt efterlevs (rapporter, revisioner, tester).
Detta är kärnan i third-party risk management nis2 – NIS2 tredjepartsrisk går inte att hantera utan strukturerade avtalskrav och uppföljning.
Konsekvenser vid incident hos leverantör
En brist hos en leverantör kan leda till driftstopp, regulatoriska åtgärder och skada på varumärket – även om felet inte ligger i din egen IT-miljö.
Möjliga konsekvenser:
- Operativa konsekvenser
- Avbrott i samhällsviktiga eller viktiga tjänster.
- Förseningar, produktionsstopp, dataotillgänglighet.
- Juridiska konsekvenser
- Tillsynsmyndighet kan inleda utredning kring efterlevnaden av cybersäkerhetslagen.
- Vid bristande styrning av leverantörskedjan kan sanktioner bli aktuella (administrativa sanktionsavgifter enligt NIS2-ramen).
- Reputationsrisk
- Förlorat förtroende hos kunder, användare och allmänhet.
- Negativ medial uppmärksamhet, särskilt vid samhällspåverkan.
I utredningar efter en större incident tittar myndigheter ofta inte bara på vad som hände, utan hur ni arbetat med riskhantering, avtal, due diligence och uppföljning av leverantörer. Där blir din struktur för nis2 tredjepartsrisk avgörande.
| Hur hänger NIS2 och cybersäkerhetslagen ihop när det gäller leverantörer? | NIS2 sätter EU-kraven och cybersäkerhetslagen gör dem bindande i Sverige – även för leverantörskedjan. NIS2 definierar ett antal minimikrav, bland annat inom supply chain security och hantering av tredjepartsrisker. Den svenska cybersäkerhetslagen genomför dessa krav i svensk rätt, med tillsyn, sanktionsmöjligheter och detaljerade regler om säkerhetsåtgärder och incidentrapportering. |
| Måste alla leverantörer omfattas av samma NIS2-krav? | Nej – kraven ska vara riskbaserade och proportionerliga. NIS2 bygger på riskhantering, vilket innebär att du ska lägga mest fokus på kritiska leverantörer. Små, okritiska leverantörer kan omfattas av enklare kontroller, medan leverantörer som är affärs- eller samhällskritiska kräver djupare riskanalys, tydligare avtalskrav och mer omfattande uppföljning. |
| Hur detaljerade behöver avtalen med leverantörer vara? | Tillräckligt detaljerade för att du ska kunna visa att du uppfyller NIS2-kraven – särskilt för kritiska leverantörer. För kritiska och viktiga leverantörer bör avtalen innehålla: Tydliga beskrivningar av säkerhetsnivå och tekniska/organisatoriska kontroller. Reglering av incidentrapportering, tidsfrister och informationsdelning. Rätt för dig att ta del av revisioner eller tredjepartsrapporter. För mindre kritiska leverantörer kan kraven vara mer övergripande, men det bör fortfarande framgå att de förväntas följa relevanta säkerhetskrav. |
| Vad räknas som en NIS2-relevant incident hos en leverantör? | En incident hos en leverantör blir NIS2-relevant om den påverkar din förmåga att leverera samhällsviktiga eller viktiga tjänster på ett allvarligt sätt. Exempel på NIS2-relevanta incidenter: Långvarigt driftstopp i ett kritiskt system som levereras av en SaaS-leverantör. Cyberangrepp hos leverantör som leder till omfattande otillgänglighet eller integritetsbrott. Incidenter som kräver manuell reservrutin under längre tid och påverkar många användare. Det är din organisation som behöver bedöma om incidenten når nivån för rapportering enligt cybersäkerhetslagen, men bedömningen måste omfatta även leverantörer. |
| Hur ofta bör vi följa upp och revidera våra leverantörer? | Minst årligen för kritiska leverantörer – och oftare om riskbilden förändras eller allvarliga incidenter inträffar. En vanlig struktur är: Årlig genomgång av alla kritiska och viktiga leverantörer. Fördjupad revision vartannat eller vart tredje år (eller vid större förändringar). Ad hoc-uppföljning efter större incidenter, ägarbyten, plattformsbyten eller stora förändringar i tjänsten. Det viktiga är inte exakta intervall, utan att det finns en dokumenterad, riskbaserad plan för uppföljning. |
