Leverandørstyring er der regelverkene møtes i praksis. En skyleverandør kan samtidig være databehandler, kritisk IKT-tjenesteleverandør, del av en forsyningskjede og teknisk underleverandør til et KI-system. Derfor må virksomheten vite hvilken rolle leverandøren har før kravene kan settes riktig.
Sammenligning
| Regelverk | Leverandørrollen | Krav før og i avtalen | Løpende oppfølging |
|---|---|---|---|
| GDPRDatabehandler og underdatabehandler | Leverandør som behandler personopplysninger på vegne av den behandlingsansvarlige | Tilstrekkelige garantier, databehandleravtale, instrukser, sikkerhet og regler for underdatabehandlere | Kontroll med behandling, avvik, sletting/tilbakelevering og eventuelle tredjelandsoverføringer |
| ISO 27001Leverandørforhold | Leverandører som påvirker informasjonssikkerheten, inkludert drift, systemer og tjenester | Sikkerhetskrav basert på risiko, roller, tilgang, rapportering og kontroller fra Tillegg A | Måling, revisjon, avvikshåndtering, endringskontroll og forbedring i ISMS-et |
| DORAIKT-tredjepartsrisiko | IKT-tjenesteleverandører som støtter finansforetak, særlig kritiske eller viktige funksjoner | Strategi, retningslinjer, kontraktskrav, exit-planer, register over IKT-tjenesteavtaler og konsentrasjonsrisiko | Kontroll, rapportering, hendelsesbistand, oppdatering av register og oppfølging av kritiske leverandører |
| NIS2Forsyningskjedesikkerhet | Direkte leverandører og tjenesteytere som kan påvirke nettverks- og informasjonssystemer | Vurdering av leverandørens sikkerhetsnivå, sårbarheter og krav som del av risikostyringstiltakene | Leverandørkartlegging, sikkerhetskrav, hendelsesvarsling og oppfølging av forsyningskjederisiko |
| AI ActKI-rolle i verdikjeden | Leverandør, importør, distributør eller ibruktaker av KI-systemer | Rolleavklaring, teknisk dokumentasjon, samsvarsvurdering og krav til data, tilsyn og bruk | Endringskontroll, brukerkrav, hendelser og ansvar hvis en aktør endrer systemets formål eller funksjon |
| SikkerhetslovenSikkerhetsgradert anskaffelse | Leverandør som får tilgang til sikkerhetsgradert informasjon, objekt eller infrastruktur | Sikkerhetsavtale, vurdering av behov for leverandørklarering og klare sikkerhetskrav | Kontroll med tilgang, sikkerhetskrav, endringer, underleverandører og avslutning av oppdraget |
Én grunnmodell for leverandørstyring
Start med et leverandørregister som ikke bare viser hvem dere kjøper fra, men hva leverandøren faktisk kan påvirke: personopplysninger, kritiske tjenester, sikkerhetsgraderte verdier, KI-systemer, driftstilgang og underleverandører.
Deretter bør hver leverandør ha en eier, en risikoklasse, krav i avtalen, en oppfølgingsrytme og en exit-vurdering. Det er dette som gjør leverandørstyring til et styringssystem, ikke bare en mappe med signerte kontrakter.
Typiske fallgruver
Databehandleravtalen er signert, men ikke brukt
Mange har en databehandleravtale uten å kontrollere om behandlingen faktisk følger instruksene. GDPR krever mer enn papiret: dere må forstå behandlingen, sikkerheten og underleverandørene.
Kritikalitet blir vurdert for sent
DORA, NIS2 og ISO 27001 forutsetter at leverandørens betydning vurderes før den blir uerstattelig. Jo mer kritisk tjenesten er, desto viktigere blir exit-plan, hendelsesbistand og uavhengige bevis.
KI-rollen er uklar
I AI Act kan en virksomhet få nye plikter hvis den endrer et KI-systems formål, markedsfører det under eget navn eller bruker det i en høyrisiko-kontekst. Rolleavklaring bør derfor inn i anskaffelsen, ikke først ved lansering.
Relaterte oppslag i ordlisten
Status per 16. juni 2026: DORA gjelder i Norge fra 1. juli 2025. NIS2 og AI Act er fortsatt ikke gjennomført i norsk rett. Sikkerhetsloven og ekomloven gjelder allerede, og GDPR-kravene til databehandlere gjelder uavhengig av sektor.