Leverantörsbedömning: 8 kritiska frågor enligt NIS2 Art. 21.2(d)

Varför kräver NIS2 leverantörsbedömning?

NIS2 Art. 21.2(d) gör leverantörskedjesäkerhet till en av de 10 obligatoriska säkerhetsåtgärderna. Motivet: över 60% av allvarliga incidenter hos stora företag börjar hos en underleverantör (ENISA Threat Landscape 2025). Om er molnleverantör hackas påverkas ni direkt.

Art. 21.3 specificerar att ni ska beakta: - Leverantörens egna sårbarheter - Kvaliteten på deras produkter och tjänster - Leverantörens cybersäkerhetspraxis - Icke-tekniska riskfaktorer — t.ex. påverkan från tredjeland

De 8 frågorna vi rekommenderar

1. Har leverantören en dokumenterad informationssäkerhetspolicy godkänd av ledningen? Skriftlig policy är grunden. Begär en kopia eller en utdragssammanfattning.

2. Är leverantören certifierad enligt ISO/IEC 27001, SOC 2 Type II eller motsvarande? Oberoende certifiering från en tredje part är den starkaste indikatorn på mogen säkerhet. Begär certifikatets **Statement of Applicability** — det visar exakt vilka kontroller som omfattas.

3. Har leverantören en dokumenterad incidenthanteringsprocess med åtagande att rapportera utan onödigt dröjsmål? Detta är avgörande för er egen 24/72h-rapportering. Om leverantören tar 3 dagar på sig att berätta om en incident har ni redan missat era egna tidsfrister.

4. Genomförs regelbunden sårbarhetsskanning och penetrationstest? Begär en sammanfattning av senaste pentest-rapporten. Undvik leverantörer som vägrar dela något alls — det är en röd flagg.

5. Krypteras er data både i vila och under överföring, och finns robusta åtkomstkontroller? AES-256 för data i vila, TLS 1.3 för transport. Fråga specifikt om nyckelhantering — är nycklarna åtkomliga för leverantörens personal?

6. Lagras er data inom EU/EES, och är tredjelandsöverföringar transparenta och lagliga? GDPR kräver laglig grund (t.ex. SCC). NIS2 Art. 21.3 lyfter icke-tekniska risker från tredjeland. Var försiktig med leverantörer som har moderbolag eller server-infrastruktur i hög-risk-länder.

7. Har leverantören en dokumenterad driftkontinuitets- och katastrofplan med testade rutiner? Fråga efter testresultat från senaste året. En otestad plan är värdelös. RTO (återställningstid) och RPO (max dataförlust) ska stämma överens med era krav.

8. Ger leverantören er rätt till revision eller tillgång till oberoende revisionsrapporter? Standard i NIS2. Hyperscaler-moln (AWS, Azure, GCP) ger sällan direkt revisionsrätt — de tillhandahåller SOC 2-rapporter istället. Det är acceptabelt så länge rapporterna är aktuella och täcker rätt scope.

Viktning och riskbedömning

Alla frågor är inte lika viktiga. I NIS2Koll:s mall har vi viktat så här: - Vikt 3 (kritiska): ISO 27001, incidenthantering, kryptering/åtkomst - Vikt 2 (höga): policy, datalokalisering, BC/DR, revisionsrätt - Vikt 2 (hög): pentest

Totalt maxpoäng är 20. Vårt system klassar: - ≥75% → Låg risk - 40–75% → Medel risk - <40% → Hög risk

Dokumentationstips

Spara följande för varje kritisk leverantör: - Bedömningsformuläret ifyllt - Certifikat-kopior (ISO 27001, SOC 2) - Senaste pentest-sammanfattning - DPA och SLA - Kontakt till leverantörens incident-jour

Allt detta behövs vid tillsyn. NIS2Koll samlar det automatiskt i en leverantörsmapp per leverantör.

Omprövning

Rekommenderat: bedöm leverantörer årligen och vid händelser som: - Leverantören byter ägarskap eller moderbolag - Leverantören råkar ut för en incident - Ni utökar omfattningen av tjänsten - Ny lagstiftning (t.ex. Data Act, AI Act)