NIS2-direktivet är kanske främst riktat till samhällsviktiga verksamheter, men i praktiken påverkar det hela leverantörskedjan. Som underleverantör är du en nyckelspelare: dina rutiner, din säkerhetsnivå och din förmåga att snabbt agera vid incidenter kan avgöra om din kund klarar sina lagkrav – och om du får vara kvar som leverantör. (Säkerhet i leveranskedjan, artikel 21.2 d i direktiv (EU) 2022/2555)
Vad innebär NIS2 för dig som underleverantör?
NIS2 ställer krav på att verksamhetsutövare – alltså dina kunder – måste ha full kontroll på sina leverantörer och kunna visa att hela kedjan håller en hög säkerhetsnivå. Det innebär att du som leverantör behöver kunna visa upp:
- Tydliga cybersäkerhetsrutiner: Hur arbetar ni med säker utveckling, riskhantering och incidentrapportering?
- Kompetens och utbildning: Har personalen rätt kunskap och är bakgrundskontroller genomförda?
- Avtal och kravställning: Är era avtal uppdaterade med krav på cybersäkerhet, incidentrapportering och hantering av sårbarheter?
- Transparens och spårbarhet: Kan ni snabbt visa vilka system, tjänster och processer ni levererar – och hur ni hanterar förändringar och uppdateringar?
- Underleverantörer till er: Om ni i er tur anlitar underleverantörer, måste även de leva upp till samma krav.
Så här påverkas du konkret
Det handlar inte bara om teknik – utan om styrning, dokumentation och en kultur där säkerhet är en naturlig del av affären. Dina kunder kommer att kräva mer dokumentation, fler kontroller och tätare uppföljning. Du kan behöva visa upp processer för säker utveckling, rutiner för hantering av sårbarheter och bevis på att du snabbt kan agera vid incidenter. Det kan också bli aktuellt med revisioner, krav på utbildning och tydliga rutiner för vad som händer vid avtalsslut.
Det kan kännas överväldigande – men det är också en chans att stärka ditt erbjudande, bygga förtroende och bli en ännu mer attraktiv partner. De leverantörer som tidigt anpassar sig till NIS2-kraven kommer att ha ett tydligt försprång när kunderna väljer samarbetspartners.
Sammanfattning – från krav till konkurrensfördel
NIS2 är här för att stanna, och även om du inte direkt omfattas av direktivet så påverkas du indirekt genom dina kunders krav. Genom att arbeta proaktivt med cybersäkerhet, dokumentation och leverantörsstyrning stärker du både din egen och dina kunders konkurrenskraft. Det handlar om att våga ta kontroll, se över sina processer och göra säkerhet till en naturlig del av affären.
Behöver du hjälp att tolka, implementera eller följa upp NIS2-kraven?
Indeed IT har lång erfarenhet av både strategiskt och operativt cybersäkerhetsarbete. Vi hjälper dig att förstå vad som gäller, identifiera risker och skapa rutiner som fungerar i praktiken – oavsett om du är leverantör eller verksamhetsutövare. Kontakta oss för behovsanalys och ta första steget mot en tryggare och mer konkurrenskraftig verksamhet!