Digitale Løsninger & Måling

Leverandørstyring og NIS2: Sådan undgår du at outsource din risiko

Magnus Holm
Magnus Holm
Redaktør, CO2 Web Balance
 · 18. februar 2026 · 9 min læsning

Leverandører og underleverandører er blevet en af de største kilder til driftsstop, databrud og compliance-problemer. Når du køber it, drift, rådgivning, produktion eller logistik, køber du samtidig adgang, afhængigheder og risici. Denne artikel guider dig gennem supplier due diligence, kontraktkrav, sikkerhedskrav til underleverandører og løbende monitoring, så du kan reducere risiko uden at drukne i papirarbejde.

Du får en praktisk model til at vurdere leverandører, formulere tydelige krav, indføre proportionelle kontroller og følge op med data i stedet for mavefornemmelser. Undervejs får du konkrete eksempler, typiske faldgruber og anbefalinger til, hvad der realistisk kan automatiseres, samt hvad det normalt koster i tid og penge.

Hvad betyder supplier due diligence, og hvorfor er det vigtigt?

Supplier due diligence er en struktureret proces, hvor du vurderer en leverandørs evne til at levere sikkert, stabilt og lovligt, før og mens samarbejdet kører. Pointen er at skabe dokumenteret tillid: ikke bare at vælge den bedste pris, men at vælge den leverandør, der kan håndtere dine data, din drift og dine krav til beredskab.

Det betyder noget, fordi leverandørkæden ofte er den nemmeste vej ind for en angriber, og fordi fejl hos en underleverandør kan ramme dig direkte via nedetid, læk, bøder eller tab af kunder. Gode vurderinger og klare krav flytter risiko fra overraskelser til styrbarhed.

Mini-konklusion: Hvis du kan forklare, hvorfor du stoler på en leverandør, har du allerede gjort mere end de fleste.

Overblik: Hvilke risici skal du faktisk styre?

Leverandørstyring starter med at forstå, hvilke risici der er relevante for netop dit setup. En cloud-leverandør, en rengøringspartner og en softwarekonsulent kan alle skabe risiko, men på meget forskellige måder. Målet er at matche kontrolniveau med konsekvensen, hvis noget går galt.

De klassiske risikokategorier

  • Informationssikkerhed: adgangsstyring, logning, sårbarheder, kryptering, patching.
  • Privatliv og compliance: databehandleraftaler, underdatabehandlere, opbevaring, sletning.
  • Drift og kontinuitet: SLA, redundans, backup, gendannelse, incident response.
  • Finansiel og kommerciel risiko: konkurs, lock-in, prisstigninger, licensvilkår.
  • Operativ kvalitet: bemanding, ændringsstyring, test, dokumentation.
  • Tredjepartsafhængigheder: kritiske underleverandører, datacentre, open source.

Risikoscreening på 15 minutter

Hvis du mangler tid, kan du starte med tre spørgsmål: Har leverandøren adgang til følsomme data? Er leverancen kritisk for drift? Kan leverandøren ændre noget uden din godkendelse? Tre ja’er peger på høj risiko og behov for dybere due diligence.

Mini-konklusion: En enkel risikoklassificering gør det muligt at være konsekvent og retfærdig i kravene.

Due diligence i praksis: Fra spørgeskema til bevis

Mange virksomheder bruger et langt sikkerhedsspørgeskema og håber på det bedste. Det virker sjældent, fordi svarene bliver generiske, og fordi ingen efterprøver dem. Effektiv due diligence handler om at få bevis for kontroller og at vurdere modenhed, ikke perfekte formuleringer.

Dokumentation du kan bede om

  1. Aktuel sikkerhedspolitik og ansvar (roller, CISO, sikkerhedsorganisation).
  2. Risikovurdering eller ISMS-oversigt, gerne med scope.
  3. Seneste revisionsrapport, fx ISAE 3000/3402, SOC 2 eller ISO 27001-certifikat.
  4. Penetrationstest-resumé og sårbarhedshåndtering.
  5. Beredskabsplan, incident-procedure og øvelseslog.
  6. Dataflow- og underleverandørliste (hvem gør hvad, hvor).

Hvis leverandøren ikke kan dele detaljer, så bed om en tredjepartsattestation eller et redigeret uddrag. Transparens er ikke alt, men fraværet af den er et signal.

Interview og teknisk afklaring

Et 60-minutters møde med drift og sikkerhed afslører ofte mere end 60 spørgsmål. Spørg konkret: Hvordan roterer I nøgler? Hvordan håndterer I adgang for konsulenter? Hvad er jeres RTO/RPO? Hvornår testede I restore sidst? God due diligence er at gå fra “vi gør” til “vi kan vise”.

Mini-konklusion: Du behøver ikke 100% sikkerhed, men du skal kunne se, at leverandøren arbejder systematisk.

Kontraktkrav: Sådan omsætter du risici til håndterbare vilkår

Kontrakten er din håndbog, når noget går galt. Den skal være tydelig nok til at kunne bruges af drift, jura og ledelse, og fleksibel nok til ikke at kvæle samarbejdet. De bedste kontraktkrav er målbare, proportionelle og koblet til opfølgning.

Minimumskrav der næsten altid giver mening

  • Scope og datatyper: hvad behandles, hvor, og med hvilket formål.
  • SLA og servicemål: tilgængelighed, svartider, vedligeholdelsesvinduer.
  • Incident-notifikation: tidsfrister, indhold, kontaktpunkter, samarbejde.
  • Ændringsstyring: godkendelse ved kritiske ændringer og release-noter.
  • Audit-rettigheder: rapporter, on-site/remote, frekvens, omkostningsdeling.
  • Exit og overdragelse: dataudlevering, sletning, format, supportperiode.

Krav til underleverandører i kontrakten

Indbyg kædeansvar: Leverandøren må kun bruge underleverandører, der lever op til tilsvarende krav, og du skal have ret til at blive informeret og gøre indsigelse ved kritiske ændringer. Kræv en opdateret liste over underleverandører og datalokationer samt en proces for ændringer. Hvis du ikke kan se kæden, kan du ikke styre den.

Mini-konklusion: Den bedste kontrakt er den, der gør forventninger klare, før konflikten opstår.

Sikkerhedskrav til underleverandører: Kontroller, der kan verificeres

Sikkerhedskrav bør formuleres, så de kan testes eller dokumenteres. Det betyder mindre fokus på modeord og mere fokus på outcomes: hvem har adgang, hvordan logges det, og hvad sker der ved fejl. Kravene bør afspejle risikoklassen fra din screening.

Midt i arbejdet med krav og governance er det nyttigt at kende rammerne, der ofte nævnes i regulering og kundekrav; se fx NIS2 leverandørkrav som et pejlemærke for, hvilke områder mange organisationer forventer dækket i leverandørkæden.

Kernekrav til it- og dataleverandører

  • Adgangsstyring: MFA, mindst mulige rettigheder, periodisk recertificering.
  • Logning og overvågning: relevante logs, alarmer, retention og review.
  • Kryptering: i transit og i hvile, nøglehåndtering og adskillelse.
  • Sårbarhedsstyring: scanning, patch-frister, undtagelser med risikobegrundelse.
  • Backup og gendannelse: testede restores, defineret RPO/RTO.
  • Secure development: kode-review, secrets management, dependency scanning.

Fysisk og organisatorisk sikkerhed

Selv leverandører uden “it” kan være kritiske. Kræv baggrundstjek hvor relevant, onboarding/offboarding, politik for mobile enheder, samt procedurer for adgang til lokationer og nøgler. Husk også krav til træning og awareness, især hvis de håndterer dine lokaler eller dine brugere.

Mini-konklusion: Krav uden verifikation er ønskelister; krav med bevis bliver til kontrol.

Monitoring: Løbende opfølgning uden at brænde teamet af

Due diligence er ikke en engangsøvelse. Virksomheder ændrer sig, platforme opdateres, og underleverandører skiftes. Monitoring handler om at opdage afvigelser tidligt og holde leverandøren ansvarlig for forbedringer. Det behøver ikke være tungt, hvis du arbejder risikobaseret.

Hvad skal du monitorere?

  1. SLA-performance: oppetid, svartider, backlog, kundeservice.
  2. Security events: incidents, nærved-hændelser, eskalationer og læring.
  3. Ændringer i underleverandører: nye datacentre, nye sub-processors.
  4. Revisions- og rapportpakker: årlige attestationer, kvartalsvise KPI’er.
  5. Sårbarheder: kritiske CVE’er, patch-status og kompenserende kontroller.
  6. Finansielle signaler: kreditvurdering, ejerændringer, nedskæringer.

Rytme og ansvar

Lav en fast cadence: månedlige driftsmøder for kritiske leverancer, kvartalsvis sikkerhedsreview og årlig re-assessment. Tildel intern ejer: en service owner, der kan samle jura, it og forretning. En tydelig ejer er ofte den billigste risikoreduktion.

Mini-konklusion: Monitoring virker, når det er planlagt, målbart og knyttet til beslutninger.

Hvad koster supplier due diligence og leverandørkontrol?

Omkostninger afhænger af risikoniveau og modenhed. For lavrisiko-leverandører kan en screening og standardkontrakt være nok, mens kritiske it-leverancer kræver workshops, tekniske reviews og løbende rapportering. Du betaler typisk med tid fra indkøb, it-sikkerhed, drift og jura.

Som tommelfingerregel bruger mange organisationer 2–10 timer på lav risiko, 10–30 timer på mellem risiko og 30–80 timer på høj risiko i onboarding-fasen. Dertil kommer løbende monitoring, ofte 1–4 timer pr. måned for kritiske leverandører. Nogle leverandører tager ekstra betaling for audit-support eller særlige rapporter; forhandl det ind som en del af aftalen og undgå “time and materials” på compliance-opgaver. Det dyreste er næsten altid et brud, ikke kontrollen.

Mini-konklusion: Budgettér med indsats efter konsekvens, og gør de kritiske leverancer til dem, du kan forklare i bestyrelses-sprog.

Typiske fejl og bedste praksis: Sådan undgår du at blive snydt af processen

Mange falder i de samme fælder: enten bliver kravene for vage, eller også bliver de så tunge, at de aldrig bliver implementeret. Andre glemmer underleverandørerne, eller de indsamler dokumenter uden at læse dem. En god praksis balancerer hastighed, evidens og opfølgning.

Faldgruber du bør kende

  • At bruge samme spørgeskema til alle, uanset risiko.
  • At acceptere “vi er compliant” uden rapporter eller konkrete kontroller.
  • At glemme exit-plan og dataportabilitet, indtil det er for sent.
  • At lægge alt ansvar på leverandøren uden intern ejer og governance.
  • At overse underleverandører og deres datalocation.
  • At måle på dokumenter i stedet for driftstal og hændelser.

Bedste praksis, der giver effekt hurtigt

Start med en risikomodel, brug standardklausuler, og hold en “evidence-liste” pr. risikoniveau. Automatisér der, hvor det giver mening: indsamling af attestationsrapporter, SLA-dashboards og registrering af underleverandørændringer. Afslut onboarding med en kort plan for de gaps, du accepterer, og hvornår de skal lukkes. Accepterede risici skal være synlige og tidsbundne.

Mini-konklusion: Processen skal beskytte driften, ikke bare tilfredsstille et auditspor.

Handlingsplan: En simpel model du kan implementere på 30 dage

Hvis du vil i gang uden at starte et stort program, så indfør en lille, konsekvent ramme. Den skal kunne bruges af indkøb og leveranceejere og skaleres med risiko. Hold fokus på at skabe gentagelighed: samme trin, samme beslutningspunkter, samme dokumentation.

  1. Definér tre risikoniveauer og kriterier (data, kritikalitet, adgang).
  2. Lav en “minimumspakke” pr. niveau: spørgsmål, evidens og kontraktklausuler.
  3. Indfør godkendelsesflow: hvem signerer lav, mellem og høj risiko.
  4. Opbyg leverandørregister med ejer, scope, underleverandører og review-dato.
  5. Sæt monitoring-rytme: driftstal månedligt for kritiske, sikkerhedsreview kvartalsvis.
  6. Etabler exit-krav og test en enkelt exit-øvelse på en kritisk leverandør.

Mini-konklusion: Når du har en simpel ramme, kan du forbedre den løbende, men uden en ramme forbedrer du ingenting konsekvent.

Magnus Holm
Magnus Holm
Skribent & redaktør · CO2 Web Balance
Magnus Holm er ekspert i grøn omstilling og bæredygtig forretningsudvikling. Med baggrund i klima- og erhvervsstrategi hjælper han virksomheder med at navigere bæredygtighed som konkurrenceparameter og ansvar.