Blogg: NIS2 endrer spillereglene for leverandørstyring

NIS2-direktivet stiller skjerpede krav til sikkerhet i leverandørkjeden – men hva innebærer det for virksomheter og deres leverandører? Følg våre seks anbefalinger til anskaffelsesprosessen.

Tredjepartsrisiko har lenge vært en kjent utfordring innen cybersikkerhet, og i NIS2-direktivet er dette et sentralt fokusområde. Direktivet medfører økte krav både til de som kjøper tjenester og de som leverer dem. Virksomheter må sikre at deres leverandører ikke blir et svakt punkt i verdikjeden, og leverandører må tilpasse seg nye krav og forventninger fra kunder for å forbli konkurransedyktige. 

Virksomheters ansvar: kravstilling og oppfølging av leverandører

Dagens digitale verdikjeder er ofte komplekse og består av mange aktører og avhengigheter, fra direkte leverandører til underleverandører som støtter kritiske funksjoner. Denne kompleksiteten øker risikoen, da sårbarheter hos én aktør kan få konsekvenser for hele verdikjeden. For å redusere risikoen, er det avgjørende å ha god kontroll på avhengighetene i verdikjeden og forstå hvordan disse påvirker hverandre. 

Seks viktige steg i prosessen

Å håndtere tredjepartsrisiko krever en systematisk tilnærming til leverandørstyring. BDO anbefaler å ta utgangspunkt i følgende seks steg ved anskaffelsesprosesser:

  1. Kartlegg behov og avhengigheter – start med en grundig kartlegging av behovet, ikke bare med fokus på funksjonalitet, men også på ytelse og sikkerhet. Vurder hvor kritisk tjenesten er for virksomheten, hvordan den samspiller med eksisterende løsninger og prosesser, og hvordan den påvirker forretningsprosessene.
  2. Definer tydelige krav – når behovet er kartlagt, er neste steg å definere krav til tjenesten og leverandøren. Det kan være nyttig å etablere to kravsett som kan brukes ved en anskaffelse: en liste med minimumskrav som alltid må oppfylles, og en mer omfattende liste med krav som kan legges til basert på tjenestens art og kritikalitet. 
  3. Vurder leverandørenes besvarelse – neste steg er å innhente og gjennomgå besvarelser fra potensielle leverandører for å sikre at de er i stand til å oppfylle kravene til sikkerhet, funksjonalitet og ytelse. 
  4. Avtaleinngåelse og oppstart – når leverandør er valgt, bør sikkerhetskrav, revisjonskrav og rapporteringsrutiner fastsettes i kontrakten. Det er også viktig å etablere faste møteplasser for løpende dialog, slik at eventuelle sikkerhetsutfordringer kan håndteres raskt og effektivt.
  5. Oppfølging av leverandør – leverandørforholdet må følges opp regelmessig for å sikre at avtalte krav fortsatt overholdes. Dette kan for eksempel gjøres gjennom leverandørrevisjoner, utsending av egenevalueringer, eller ved å etterspørre tredjepartsrapporter som ISAE 3000, ISAE 3402, SOC1/SOC2 og sertifiseringer som gir et objektivt bilde av leverandørens internkontroll. 
  6. Lag en god exit-strategi – når samarbeidet skal avsluttes, er det viktig å ha en plan som sikrer virksomhetens interesser. Sørg for å opprettholde kontinuiteten i kritiske funksjoner, og sikre at virksomhetens informasjon blir returnert eller slettet på en sikker måte.

Leverandørens rolle: hvordan møte nye krav og forventninger

For leverandører av tjenester til kritiske og viktige sektorer, kreves en mer proaktiv tilnærming til sikkerhetsstyring for å møte økte krav og forventninger fra kundene. Virksomheter som kjøper tjenester, vil i større grad kreve at leverandørene kan dokumentere hvordan sikkerheten ivaretas. Leverandører som ikke oppfyller kravene, risikerer å miste kunder. De som imøtekommer kravene tidlig, kan derimot få et konkurransefortrinn og styrke sin posisjon i markedet. 

For å møte økte krav og forventninger anbefaler BDO følgende tre steg:

  1. Etabler et ledelsessystem for informasjonssikkerhet – ta utgangspunkt i anerkjente standarder og rammeverk for sikkerhetsstyring, slik som ISO/IEC 27001, NIST CSF eller NSMs grunnprinsipper.
  2. Dokumenter sikkerhetstiltak og etterlevelse – vær forberedt på revisjoner og dokumentasjonskrav fra kundene, og sørg for at etablerte sikkerhetstiltak er godt dokumentert slik at dette kan fremvises og gjennomgås på forespørsel.
  3. Utfør internrevisjoner og innhent uavhengige tredjepartsvurderinger – etabler et internkontrollregime som fremmer kontinuerlig forbedring, og engasjer en uavhengig tredjepart for å evaluere internkontrollen og utstede en rapport på dette (for eksempel iht. ISAE3000, ISAE3402, SOC1/SOC2).


NIS2 endrer spillereglene for leverandørstyring, og både virksomheter og leverandører må tilpasse seg de nye kravene. For virksomheter innebærer dette en mer systematisk tilnærming til leverandørstyring og oppfølging, mens leverandører må vise at de er pålitelige partnere med robuste sikkerhetstiltak. De som tar grep tidlig, vil ikke bare sikre etterlevelse, men også styrke sin konkurransekraft i et stadig mer sikkerhetsbevisst marked.

Vil du lære mer om NIS2 og leverandørkjeden? BDO inviterer til et frokostseminar 3. april i våre nye lokaler i Bygdøy Allé 2. Her går vi i dybden på hva de nye kravene betyr for både virksomheter og leverandører. Meld deg på for å få innsikt, praktiske råd, og mulighet til å diskutere dine utfordringer med våre fageksperter.