Så påverkar NIS2-direktivet leverantörskedjan – nya krav på cybersäkerhet och efterlevnad

EU:s nya cybersäkerhetsdirektiv NIS2 är på väg att bli svensk lag. Syftet är att stärka motståndskraften mot cyberhot, men konsekvenserna stannar inte hos de företag som direkt omfattas av reglerna – hela leverantörskedjan påverkas. Det betyder att även du som levererar varor eller tjänster kan möta nya krav från dina kunder.

Vad är NIS2?

NIS2 är en uppdatering av EU:s regler för nätverks- och informationssäkerhet. Det omfattar fler sektorer än tidigare och ställer hårdare krav på bland annat riskhantering, incidentrapportering och styrning av cybersäkerhet. Även andra regelverk som Dora och GDPR har nära kopplingar till NIS2, vilket innebär att företag behöver ha en samlad cybersäkerhetsstrategi för företag.

Leverantörer kan påverkas av NIS2 på två sätt, både direkt och indirekt. Vissa företag omfattas direkt av reglerna, till exempel om de verkar inom samhällsviktiga sektorer, uppfyller storlekskriterierna på över 50 anställda och 10 miljoner euro i omsättning, eller erbjuder digitala tjänster som molntjänster och datacenter. Men även de leverantörer som inte träffas direkt kommer märka av NIS2 genom sina kundrelationer. Företag som själva omfattas av direktivet måste nämligen säkerställa att deras leverantörer inte utgör en säkerhetsrisk, vilket i praktiken innebär nya krav i avtal som certifieringar, tydligare säkerhetsrutiner, incidentrapportering och regelbundna granskningar.

Vad innebär NIS2 för leverantörer?

För leverantörer innebär efterlevnad av NIS2 i praktiken att man kan behöva räkna med ökade kostnader, till exempel för investeringar i IT-säkerhet, personalutbildning, certifieringar och mer omfattande dokumentation. Samtidigt öppnas nya möjligheter: företag som kan visa upp ett starkt cybersäkerhetsarbete får en tydlig konkurrensfördel och blir mer attraktiva samarbetspartners, särskilt för större kunder med höga krav. Dessutom kan arbetssätten i vardagen förändras, med fler rutiner för riskhantering, tydligare processer för att rapportera incidenter och en mer kontinuerlig övervakning av säkerhetsläget.

För att ligga steget före och möta kundernas förväntningar på cybersäkerhet kan ni arbeta strukturerat med följande områden:

Kartlägg kunderna: Vilka av mina kunder kommer att omfattas av NIS2?

Analysera gap: Hur väl lever ni redan upp till förväntade cybersäkerhetskrav för leverantörer?

Bygg upp ramverk: Ta fram interna rutiner för cybersäkerhet, dokumentera dem och överväg att certifiera er enligt ISO 27001.

Utbilda personalen: Säkerställ att hela organisationen förstår vad som krävs.

Var transparenta: Kommunicera tydligt till kunderna vilka åtgärder ni har på plats.

Slutsats

NIS2 innebär både utmaningar och möjligheter för leverantörer. Det avgörande är att stå väl förberedd när kunderna börjar ställa högre krav, för den som kan visa på ett starkt och strukturerat cybersäkerhetsarbete blir en attraktiv partner och har chansen att vinna marknadsandelar när konkurrenter inte håller måttet. Nyckeln är att kartlägga nuläget, identifiera eventuella brister och bygga upp de processer som krävs för att möta förväntningarna.

Vill ni ha stöd i det arbetet eller diskutera vad NIS2 kan betyda för just er verksamhet är ni varmt välkomna att kontakta oss.

demark and associated risks of use and registration.

Dela med dig.

Relaterade artiklar

Insikter och vägledning för företag som vill undvika greenwashing

20 maj, 2025

Vikten av att ha tydlig koppling mellan avtal och allmänna villkor

10 oktober, 2024

Corporate Awareness

2 september, 2024