Hantera tredjepartsrisker med kontroll
Era leverantörer är en del av er attackyta. Securapilots leverantörsstyrning ger systematisk tredjepartsriskhantering – från kritikalitetsbedömning och säkerhetsbedömningar till bevis, risker och en extern leverantörsportal.
Tredjepartsrisk under kontroll
En leverantörskedja är bara så säker som sin svagaste länk. Securapilots leverantörsstyrning samlar hela arbetet – leverantörsregister, bedömningar, dokument och risker – på ett ställe, med AI-stöd och en komplett granskningslogg.
Resultatet: ett leverantörsarbete som är systematiskt, riskbaserat och spårbart.
Allt leverantörsarbete i en modul
Leverantörsstyrningsmodulen täcker hela tredjepartsriskhanteringen i sex sammanhängande områden.
Leverantörsregister
En förteckning över verksamhetens tredjepartsleverantörer, med organisationsuppgifter, avtal och status.
Kritikalitetsbedömning
Fastställer hur kritisk en leverantör är och styr hur ofta den ska bedömas.
Leverantörsbedömningar
Säkerhets- och riskbedömningar byggda på adaptiva frågeformulär, internt eller via portalen.
Dokument och bevis
Certifikat och rapporter – SOC 2, ISO 27001, DPA:er – med AI-analys och smart matchning.
Leverantörsrisker
Risker som identifieras kring en leverantör, med poängsättning och behandlingsstrategi.
Leverantörsportalen
En extern självbetjäningsportal där leverantören själv svarar och laddar upp dokument.
Så stödjer modulen ert leverantörsarbete
Konkret stöd i varje del av tredjepartsriskhanteringen – från registrering till uppföljning.
Kritikalitetsbedömning
En poäng 0–12 utifrån verksamhetspåverkan, datakänslighet, utbytbarhet och regulatoriska krav styr bedömningsfrekvensen.
Adaptiva frågeformulär
Färdiga mallar som SIG-Lite, CAIQ, NIS2 och DORA – frågorna förgrenas utifrån svar och leverantörens kritikalitet.
AI-driven dokumentanalys
Uppladdade säkerhetsdokument analyseras automatiskt – nyckelinformation, fynd och risker extraheras.
Smart bevismatchning
AI matchar dokument mot frågeformulärets frågor; verifierade bevis ger en bevisbonus till svaret.
Sammanvägd riskpoäng
En riskpoäng 0–100 räknas fram från fyra viktade komponenter, både som inneboende och residual risk.
Leverantörsrisker med behandling
Åtta risktyper med sannolikhet, konsekvens och behandlingsstrategi – med kanban-uppföljning.
Extern leverantörsportal
Leverantören svarar på frågeformulär och laddar upp dokument via en magic link – utan användarkonto.
Avtals- och bedömningsbevakning
Modulen varnar för bedömningar som förfaller och avtal som löper ut inom 90 dagar.
Bedömningens väg – från skapad till godkänd
Varje leverantörsbedömning följer ett tydligt arbetsflöde.
Skapande
Bedömningen skapas med val av frågeformulärsmall och bedömningstyp.
Start
Bedömningen startas internt eller skickas till leverantören för självbedömning.
Ifyllnad
Frågeformuläret besvaras – internt eller av leverantören i portalen.
Granskning
Bedömningen lämnas in och granskas; enskilda svar kan flaggas för uppföljning.
Avslut
Bedömningen slutförs och godkänns med samlad poäng och risk rating.
Vanliga frågor om leverantörsstyrning
Vilka frågeformulär kan användas i bedömningarna?
Modulen levereras med färdiga, centralt underhållna mallar som SIG-Lite, CAIQ, NIS2 och DORA. Formulären är adaptiva – frågorna förgrenas utifrån tidigare svar, och urvalet anpassas efter leverantörens kritikalitet.
Kan leverantören själv fylla i en bedömning?
Ja. Via leverantörsportalen kan en leverantörskontakt själv svara på frågeformulär och ladda upp dokument. Kontakten får en magic link via e-post och behöver inget användarkonto eller lösenord.
Hur räknas leverantörens riskpoäng ut?
En sammanvägd riskpoäng 0–100 beräknas från fyra viktade komponenter: bedömningspoäng (40 %), öppna risker (25 %), extern poäng (20 %) och efterlevnadsindikatorer (15 %). Poängen beräknas både som inneboende risk och residual risk.
Hur hjälper AI till med dokument och bevis?
AI analyserar uppladdade säkerhetsdokument, identifierar dokumenttyp, föreslår vilka frågor ett dokument styrker och verifierar att beviset stödjer svaret. Verifierade bevis ger en bevisbonus som höjer svarets poäng.
Vad är TPRM och varför är det viktigt för NIS2?
TPRM (Third-Party Risk Management) är systematisk hantering av leverantörsrisker. NIS2 artikel 21.2(d) kräver att väsentliga och viktiga entiteter hanterar säkerhetsrisker i leverantörskedjan.
Hur ofta bör leverantörsbedömningar göras?
Vid avtalsstart och därefter årligen för kritiska leverantörer. Efter incidenter eller leverantörsbyte bör en ny bedömning göras direkt.
Vad ingår i en due diligence av en molnleverantör?
Datacenterets geografi, certifieringar (ISO 27001, SOC 2, ISO 27017), incidenthantering, krypteringspraxis, biträdesavtal (DPA) och tekniska säkerhetsåtgärder.
Vad är skillnaden mellan personuppgiftsbiträde och personuppgiftsansvarig?
Den personuppgiftsansvarige bestämmer ändamål och medel för behandlingen. Biträdet behandlar uppgifter på den ansvariges uppdrag. Vid molntjänster är leverantören oftast biträde.
Få kontroll över hela leverantörskedjan
Boka en demo så visar vi hur leverantörsstyrningsmodulen gör er tredjepartsriskhantering systematisk och spårbar.
Relaterade moduler
Bygg ett komplett ledningssystem genom att kombinera moduler som hänger ihop.