Riskhantering

Leverantörsrisk i praktiken: Så granskar du leveranskedjan

NIS2 kräver säkerhet i hela leveranskedjan. Här är en praktisk guide till leverantörsgranskning med 5-stegsmodell och checklista.

S
Securapilot Compliance-experter
5 min läsning
  1. 62%
    av cyberattacker kommer via leverantörskedjan
    Ponemon Institute 2025
  2. 30,000
    organisationer i Tyskland omfattas av NIS2:s leverantörskrav
    BSI Tyskland
  3. Leverantörssäkerhet
    Leverantörssäkerhet är ett explicit krav i NIS2 Artikel 21
    NIS2-direktivet
Riskanalytiker utvärderar en leverantörsbedömning på en laptop

Din säkerhet är inte starkare än svagaste länken

Majoriteten av organisationer har tiotals eller hundratals leverantörer med någon form av access till system eller data. Varje sådan koppling är en potentiell attackväg. NIS2 erkänner detta och ställer därför explicita krav på säkerhet i leveranskedjan.

Det handlar inte om att misstro sina partners. Det handlar om att systematiskt hantera en risk som annars lätt förbises.

Verkligheten: Enligt Ponemon Institute kommer 62% av cyberattacker via leverantörskedjan. Angripare vet att det ofta är lättare att ta sig in via en mindre leverantör än via målorganisationen direkt.

Vad kräver NIS2?

NIS2 Artikel 21: Leverantörssäkerhet:

Organisationer ska vidta lämpliga åtgärder för att hantera säkerhetsrisker i leveranskedjan, inklusive:

  • Säkerhetsrelaterade aspekter av förhållandet till leverantörer
  • Säkerhetskvaliteten hos leverantörernas produkter och tjänster
  • Cybersäkerhetsmetoder hos leverantörer, inklusive deras utvecklingsprocesser
  • Sårbarhetshantering och rapportering

5-stegsmodell för leverantörsgranskning

  1. Inventera och kategorisera Börja med att lista alla leverantörer som har tillgång till system, data eller lokaler. Kategorisera dem efter kritikalitet: Kritisk (verksamhetspåverkan vid bortfall), Hög (betydande påverkan), Medium, Låg. Fokusera på de kritiska och höga först.
  2. Definiera krav per kategori Olika leverantörer kräver olika nivåer av säkerhetskrav. En kritisk molnleverantör kräver omfattande krav, medan en kontorsleverantör kräver mindre. Skapa kravnivåer som är proportionerliga mot risken.
  3. Genomför bedömning Använd frågeformulär, begär in dokumentation, och vid behov genomför revisioner. Fokusera på: säkerhetspolicyer, incidenthantering, åtkomstkontroll, kryptering, backup och affärskontinuitet.
  4. Uppdatera avtal Säkerställ att avtalen innehåller säkerhetskrav, incidentrapportering (leverantören måste meddela er vid incidenter), rätt till revision, krav på underleverantörer, och ansvar vid säkerhetsbrister.
  5. Följ upp kontinuerligt Leverantörsgranskning är inte en engångsåtgärd. Etablera regelbunden uppföljning, bevaka leverantörernas säkerhetsstatus och reagera på förändringar i riskbilden.

Vad ska bedömas?

Säkerhetsförmåga

OmrådeFrågor att ställa
PolicyerFinns dokumenterade säkerhetspolicyer? Hur ofta uppdateras de?
CertifieringarHar leverantören ISO 27001 eller liknande? Är certifikatet giltigt?
IncidenthanteringHur snabbt kan de rapportera incidenter till er? Har de testat sin plan?
ÅtkomstkontrollHur hanteras access till era system/data? Loggas åtkomst?
KrypteringKrypteras data i transit och vila? Vilka standarder används?
BackupHur säkerhetskopieras era data? Testas återställning?
UnderleverantörerVilka underleverantörer används? Hur kontrolleras de?

Röda flaggor

Inga dokumenterade policyer

En leverantör som inte kan uppvisa grundläggande säkerhetsdokumentation har sannolikt inte mogen säkerhetsstyrning.

Vägrar revision

Om en leverantör kategoriskt vägrar ge insyn eller besvara frågor är det ett varningstecken. Legitima leverantörer förstår behovet.

Oklar incidenthantering

Om leverantören inte kan beskriva hur de skulle meddela er vid en incident kan ni inte uppfylla era egna rapporteringskrav.

Omfattande underleverantörer

Om leverantören använder många underleverantörer utan kontroll förlängs riskkedjan okontrollerat.

Checklista för leverantörsavtal

Säkerhetskrav:

  • Referens till organisationens säkerhetspolicy
  • Specifika tekniska krav (kryptering, åtkomstkontroll, etc.)
  • Krav på personalutbildning
  • Krav på säkerhetsincidentrapportering

Incidenthantering:

  • Skyldighet att rapportera incidenter inom [X] timmar
  • Kontaktvägar och eskaleringsprocess
  • Skyldighet att bistå vid utredning
  • Ansvar för kostnader vid incident

Revision och insyn:

  • Rätt att genomföra säkerhetsrevisioner
  • Tillgång till relevanta loggar och rapporter
  • Skyldighet att informera om förändringar
  • Krav på att tillhandahålla certifikat och attestationer

Underleverantörer:

  • Krav på godkännande av underleverantörer
  • Samma säkerhetskrav ska gälla nedåt i kedjan
  • Lista över godkända underleverantörer

Avslut:

  • Hur data återlämnas eller destrueras
  • Tidsram för övergång
  • Fortsatt konfidentialitet efter avslut

Frågor att ställa till leverantörer

Initial screening

  1. Har ni en dokumenterad informationssäkerhetspolicy?
  2. Har ni någon säkerhetscertifiering (ISO 27001, SOC 2, etc.)?
  3. Hur hanterar ni säkerhetsincidenter?
  4. Hur skyddar ni data som ni hanterar för kunders räkning?
  5. Vilka underleverantörer använder ni?

Fördjupad bedömning (kritiska leverantörer)

  1. Kan vi få kopior på relevanta policyer och procedurer?
  2. När genomfördes senaste penetrationstestet? Kan vi se rapporten?
  3. Hur hanterar ni sårbarhetspatchning? Vilka SLA:er har ni?
  4. Hur loggas och övervakas access till våra system/data?
  5. Vad är ert RTO och RPO för tjänster till oss?
  6. Har ni genomfört incidentövningar det senaste året?

Vanliga utmaningar och lösningar

Hundratals leverantörer

Lösning: Prioritera baserat på kritikalitet och risk. Börja med de 10-20 viktigaste. Använd självdeklarationer för lägre risknivåer.

Leverantören vägrar krav

Lösning: Utvärdera alternativa leverantörer. Om byte inte är möjligt, implementera kompenserande kontroller och dokumentera riskacceptans.

Resursbrist

Lösning: Automatisera där möjligt. Använd standardfrågeformulär och verktyg för leverantörshantering.

Underleverantörskedja

Lösning: Kräv insyn i underleverantörer och ställ krav på att samma standard gäller nedåt i kedjan.

Så kan Securapilot hjälpa

Securapilots leverantörshanteringsmodul effektiviserar hela processen:

  • Leverantörsregister: Centraliserad översikt över alla leverantörer
  • Riskklassificering: Automatisk kategorisering baserad på kritikalitet
  • Frågeformulär: Standardiserade bedömningsformulär
  • Spårbarhet: Full historik över bedömningar och beslut
  • Påminnelser: Automatiska påminnelser för uppföljning
  • Rapporter: Exportera status för ledning och revision

Boka en demo och se hur vi kan hjälpa er ta kontroll över leverantörsriskerna.

Vanliga frågor

Vilka leverantörer måste vi granska enligt NIS2?

Fokusera på leverantörer som har tillgång till era system, hanterar era data, eller levererar tjänster som är kritiska för er verksamhet. Det inkluderar IT-leverantörer, molntjänster, driftpartners och andra med privilegierad åtkomst.

Vad ska finnas i leverantörsavtal enligt NIS2?

Avtalen ska innehålla säkerhetskrav anpassade efter risknivå, krav på incidentrapportering, rätt till revision, krav på underleverantörskontroll, och tydliga ansvarsfördelningar vid säkerhetsincidenter.

Hur ofta ska leverantörer granskas?

Frekvensen beror på kritikalitet och risk. Kritiska leverantörer bör granskas årligen, övriga med längre intervall. Alla leverantörer bör genomgå en initial bedömning innan avtal tecknas.

Vad gör vi om en leverantör inte uppfyller kraven?

Börja med dialog och åtgärdsplan. Om leverantören inte kan eller vill förbättra sig, överväg att byta leverantör eller implementera kompenserande kontroller. Dokumentera era beslut och riskacceptans.

#leverantörsrisk#NIS2#leveranskedja#riskhantering#vendor management#supply chain

Fler artiklar

Vi använder anonym statistik utan cookies för att förbättra webbplatsen. Läs mer