Först: rätt punkt, rätt språk

I äldre texter ser jag ofta två vanliga fel. Det första är att man hänvisar till fel punkt. Leverantörskedjan ligger i artikel 21.2 d, inte i 21.2 c. Punkt c handlar om kontinuitet.

Det andra är att man använder NIS1‑språk. NIS2 talar om väsentliga enheter och viktiga enheter, inte om operatörer av samhällsviktiga tjänster som begrepp i samma juridiska mening. Det låter petigt, men det gör skillnad när du möter tillsyn (European Union, 2022).

Vad artikel 21.2 d faktiskt kräver

Artikel 21.1 sätter ramen. Åtgärderna ska vara lämpliga och proportionerliga och minska effekten av incidenter. Artikel 21.2 listar områden som ska täckas. Punkt d handlar om säkerhet i leverantörskedjan och relationen till leverantörer och tjänsteleverantörer.

Det viktiga är att NIS2 inte säger att du måste köpa en viss tjänst eller ett visst verktyg. Den säger att du måste hantera risken i kedjan, och att du ska ta hänsyn till sårbarheter hos varje direkt leverantör och den samlade kvaliteten i deras cybersäkerhet, inklusive deras säkra utvecklingsrutiner (European Union, 2022).

Varför det här blev ‘snackisen’

Skälet är krasst: angrepp går ofta via kedjor. ENISA analyserade supply‑chain‑incidenter 2020 till första halvåret 2021 och noterade att angripare i 66 procent av fallen fokuserade på leverantörens kod för att nå slutkunden (ENISA, 2021).

I Sverige har MSB i sin rapport om digitala leveranskedjor visat att två tredjedelar av incidenterna som rapporterats in av NIS‑leverantörer under perioden 2020 till juni 2021 hade sitt ursprung i en leveranskedja (MSB, 2021).

Svensk tillämpning: det är inte teori längre

I Sverige trädde Cybersäkerhetslagen (2025:1506) och Cybersäkerhetsförordningen (2025:1507) i kraft den 15 januari 2026. Det gör leverantörskedjan till en tillsynsfråga, inte bara en upphandlingsfråga (Sveriges riksdag, 2025a; Sveriges riksdag, 2025b; Regeringen, 2026).

Det som ofta går fel i praktiken

Den vanligaste missen är att man gör en kontroll vid upphandling och sedan släpper kedjan fri. Det motsvarar att mäta temperaturen i kylrummet vid leverans och sedan stänga av termometern.

Den näst vanligaste missen är att man blandar ihop krav och bevis. Man skriver fina krav i avtal, men har ingen rutin för att följa upp dem. Ingen telemetri, ingen logginsyn, ingen revision, ingen test av nödavstängning. Och då blir det inte kontroll, utan förhoppning.

Vad ‘kontroll’ betyder utan att bli byråkrati

Här brukar någon säga: ‘men det här blir ju oändligt’. Det behöver det inte bli. Nyckeln är att välja några få saker som ger verklig riskreduktion och göra dem konsekventa.

Jag tänker kontroll i leverantörskedjan som tre byggstenar.

·       Känn kedjan och kritikalitet.

·       Ställ krav som går att mäta.

·       Följ upp i drift, alltid.

Känn kedjan betyder att du vet vilka leverantörer som är kritiska för vilka tjänster, vilka åtkomstvägar som finns, och vad som händer om de faller bort.

Krav som går att mäta betyder att du undviker poetiska formuleringar och i stället skriver sådant som går att kontrollera. Exempel är flerfaktorautentisering för administrativ åtkomst, patch‑tider per kritikalitet, loggning och incidentanmälan inom avtalade tidsramar.

Följ upp i drift betyder att du faktiskt ber om bevis. Inte varje dag och inte för alla, men med en rytm som matchar kritikaliteten. Det är här du undviker suveränitetsteater och compliance‑teater samtidigt.

En sak jag vill vara saklig med: små verksamheter

NIS2 omfattar inte alla. Mikro och små företag är ofta undantagna, men kan omfattas om de är särskilt kritiska. Oavsett om du omfattas eller inte kommer du ofta att beröras indirekt, eftersom stora kunder kommer att kräva kedjekontroll.

Det viktiga är att inte förväxla ‘liten’ med ‘utan risk’. En liten leverantör kan vara en stor sårbarhet om den sitter på rätt plats i kedjan.

Slutkläm

Artikel 21.2 d är, i min värld, en av de mest affärsnära delarna i NIS2. Den tvingar fram ett vuxet samtal om beroenden och ansvar. Och den gör något nyttigt: den flyttar säkerhet från engångskontroll till kontinuerlig kontroll.

Kylkedjan är ett bra lackmustest. Om du bara kontrollerar vid inköp har du egentligen ingen kontroll. Du har en känsla. Och känslor är fina, men de är dåliga incidentplaner.

Referenser

ENISA. (2021). ENISA Threat Landscape for Supply Chain Attacks. European Union Agency for Cybersecurity.

European Union. (2022). Directive (EU) 2022/2555 (NIS2). Official Journal of the European Union, L 333.

MSB. (2021). Hoten mot de digitala leveranskedjorna – 50 rekommendationer för ökad cybersäkerhet. Myndigheten för samhällsskydd och beredskap.

Regeringen. (2026). Cybersäkerhet: den nya cybersäkerhetslagen och cybersäkerhetsförordningen trädde i kraft 15 januari 2026.

Sveriges riksdag. (2025a). Cybersäkerhetslag (2025:1506). Svensk författningssamling.

Sveriges riksdag. (2025b). Cybersäkerhetsförordning (2025:1507). Svensk författningssamling.