NIS2 leverandørkrav

NIS2 og leverandørkjeden: krav til underleverandører

Sist oppdatert: juni 2026 · 7 min lesetid

Mange leverandører blir ikke direkte omfattet av NIS2, men får likevel kravene i fanget via kunder. Dette er den delen som ofte merkes først: sikkerhetsbilag, spørreskjema, revisjonsrett, hendelsesfrister og krav til underleverandører.

Sjekk direkte omfang

Hvorfor

Hvorfor kunder vil stille strengere krav

NIS2 gjør leverandørkjeden til en del av sikkerhetsarbeidet. En omfattet virksomhet kan ikke bare sikre egne systemer og ignorere driftspartner, IT-leverandør, SaaS-plattform, supporttilgang eller underleverandører. Derfor flyttes kravene inn i kontrakter.

Typiske krav

Dette vil kundene spørre om

Sikkerhetsstyring

Har dere policy, risikostyring, ansvar, ledelsesoppfølging og dokumenterte tiltak?

Tilgang og MFA

Brukes flerfaktor, minst privilegium, offboarding og jevnlige tilgangsreviews?

Hendelser

Hvor raskt varsler dere kunden, hvem kontaktes, og hvordan dokumenteres hendelser?

Backup og kontinuitet

Er restore testet, og vet dere hvilke tjenester som må prioriteres først?

Underleverandører

Hvem har tilgang til kundedata eller kritiske tjenester, og hvordan følges de opp?

Revisjon og bevis

Kan dere vise logger, rutiner, testresultater, risikovurdering og tiltaksplan?

Anbud og kontrakt

Slik svarer du uten å love for mye

  1. Skill mellom "på plass" og "planlagt". Ærlighet er bedre enn et ja-svar dere ikke kan bevise.
  2. Legg ved en tiltaksplan. Kunder tåler ofte gap hvis planen er konkret, datert og eid.
  3. Knytt svar til risiko. Vis hvilke tiltak som beskytter kundens tjenester og data.
  4. Vær tydelig på varslingsfrister. Avklar hva dere faktisk kan levere operativt.
  5. Unngå generiske policy-pakker. Kunder spør etter praksis og bevis, ikke bare maler.

Minimum

En realistisk leverandørpakke for SMB

Dokumentasjon Hvorfor kunden spør
Informasjonssikkerhetspolicy og ansvarskart Viser at sikkerhet er styrt, ikke tilfeldig.
Risikoregister med topp 5 risikoer Viser at dere kjenner egne sårbarheter og prioriterer.
Hendelsesrutine med kundeversion Gir kunden trygghet på varsling, kontakt og eskalering.
Tilgangs- og MFA-status Besvarer et av de mest vanlige sikkerhetsspørsmålene.
Backup/restore-test Dokumenterer at kontinuitet ikke bare er beskrevet.
Underleverandøroversikt Hjelper kunden forstå egen leverandørkjederisiko.

FAQ

Vanlige spørsmål

Kan kunder kreve dette selv om vi ikke omfattes direkte?

Ja. Hvis sikkerheten deres påvirker kunden, kan kunden stille krav i avtalen. Det er vanlig leverandørstyring, skjerpet av NIS2.

Må vi ha ISO 27001 for å vinne anbud?

Ikke alltid. Men dere må kunne vise modenhet. ISO 27001 kan gi et sterkt signal, mens en god gap-plan kan være nok i mindre anskaffelser.

Har dere fått sikkerhetsspørsmål fra en kunde?

SPADE kan hjelpe med å svare presist, lage tiltaksplan og rydde dokumentasjonen før anbud eller kontraktsforhandling.