Choose language

Hvorfor kontraktshåndtering er grunnmuren i NIS2-etterlevelse

Mange tror at NIS2-direktivet utelukkende handler om IT-sikkerhet og brannmurer, men i virkeligheten flyttes ansvaret fra teknisk avdeling til toppledelsen og styret. Artikkel 21 og 23 krever effektiv kontroll over virksomhetsstyring og leverandørkjeder. Derfor er kontraktene med underleverandørene det mest effektive stedet å starte.

En mann sitter i et møte foran en presentasjon på en storskjerm

Oppsummering

  • NIS2 flytter ansvaret for datasikkerhet fra IT-avdelingen til toppledelsen og styret.
  • Artikkel 21 og 23 krever dokumentert kontroll over både drift og leverandørkjeder.
  • Kontrakter er det viktigste verktøyet for å plassere og følge opp ansvar for IT-sikkerhet.
  • Systematisk kontraktshåndtering sikrer synlighet, tydelig ansvarsfordeling og gjør virksomheten klar for tilsyn.
  • En kontraktssentrert strategi snur NIS2-krav til en fordel for virksomhetens overordnede kontroll og styring.

Slik henger kontraktshåndtering sammen med NIS2

Man må stoppe opp litt for å virkelig forstå dette: God kontraktshåndtering er den sikreste grunnmuren for å møte kravene til IT-sikkerhet i NIS2.

I House of Control får vi ofte spørsmål om hva følgende temaer har til felles med kontraktsstyring: IFRS 16-leieregnskap, kostnadskontroll, Corporate Sustainability Due Diligence (CSDDD) eller Digital Operational Resilience Act (DORA)?

Fellesnevneren er den samme som for NIS2. Enten målet er etterlevelse, kartlegging, risikostyring eller kontroll, er kontraktene en virksomhet har med sine underleverandører det mest effektive stedet å begynne – og å fortsette.

I 20 år har House of Control vokst ved å tilby en markedsledende plattform for avtalehåndtering og kontraktstyring. På denne plattformen har vi bygget sofistikerte løsninger som gir ledelsen og styret trygghet. Disse verktøyene sikrer at selskapet ikke bare overholder krevende regelverk, men også utnytter disse prosessene til å bli en mer robust virksomhet.

NIS2 følger det samme mønsteret. Direktivet fører med seg en helt ny måte å se på cyberrisiko. Der kravene før handlet mest om tekniske tiltak, legger NIS2 nå like stor vekt på virksomhetsstyring, ansvar og kontroll på underleverandører.

Det store spørsmålet i praksis er: Hvor begynner man? Artikkel 21 og 23 forklarer at etterlevelse krever struktur, oversikt og tydelig ansvar. Her blir kontraktshåndtering grunnmuren; det handler ikke bare om å oppfylle kravene i NIS2, men om å få bedre kontroll på risikoen i hele bedriften.

Hva krever artikkel 21 og 23 i NIS2?

Artikkel 21 og 23 danner til sammen grunnlinjen for hvordan cybersikkerhet må håndteres på både operasjonelt og strategisk nivå.

Til sammen gjør disse artiklene at IT-sikkerhet blir et fagfelt for ledere. Man må kartlegge, redusere og dokumentere risiko, og ledelsen må bevise at de har full kontroll på alle de ulike delene av virksomheten.

Hvorfor er kontraktstyring avgjørende for artikkel 21?

Sikkerhet i leverandørkjeden er helt sentralt for å etterleve artikkel 21. I praksis er det gjennom kontraktene at denne sikkerheten blir definert og håndhevet.

Kontrakter bestemmer:

  • Hvilken part som har ansvar for spesifikke sikkerhetstiltak.
  • Hvordan og når hendelser skal rapporteres.
  • Rett til revisjon og verifisering: NIS2 forventer at du kontrollerer at leverandørene faktisk gjør det de har lovet. Uten en eksplisitt klausul om «rett til revisjon» (Right to Audit), har du ingen reell mulighet til å verifisere sikkerhetsnivået.
  • Kontinuitet og exit-strategier: Hvis en leverandør blir rammet av et angrep, må kontrakten sikre din rett til å hente ut data og flytte tjenesten. Kontraktsstyring avdekker farlig «innlåsing» (lock-in risiko) som truer virksomhetens robusthet.

«Magien» med kontraktsstyring ligger i å berike avtaler med strukturerte data og automatiserte varslinger. Uten denne strukturen forblir forpliktelsene spredt i ulike dokumenter, e-poster og gamle avtaler. Dette gjør det umulig å opprettholde en tydelig risikoprofil eller svare på kritiske spørsmål:

  1. Hvilke leverandører støtter våre essensielle tjenester?
  2. Hvilke kontrakter inneholder sikkerhetskrav som er i tråd med NIS2?
  3. Hvor samsvarer ikke de kontraktsfestede forpliktelsene med våre interne retningslinjer?

NIS2 krever ikke at du fjerner all tredjepartsrisiko; det krever at du forstår og håndterer den. Det starter med å vite hva som er avtalt og hvordan det blir fulgt opp. Hvordan støtter så kontraktsstyring kravet om ansvarliggjøring i artikkel 23?

Les mer: NIS2-dokumentasjon: Dette forventer revisor.

Hvordan støtter kontraktsstyring kravet om ansvarliggjøring i artikkel 23?

Artikkel 23 slår fast at cybersikkerhet er et ledelsesansvar som ikke lenger kan delegeres bort uten fullt innsyn. Ledelsen må dokumentere sitt overoppsyn, noe som krever pålitelig innsikt i hvordan risikoen er fordelt mellom virksomheten og dens underleverandører.

Strukturert kontraktsstyring gir ledelsen:

  • Oversikt over tredjepartsavhengigheter.
  • Klarhet i hvor viktige sikkerhetsforpliktelser ligger.
  • Forsikring om at kontraktene er i tråd med interne retningslinjer.
  • Mulighet til å spore risikoeksponering etter hvert som kontrakter endres eller fornyes.

Dette gjør det mulig å ta beslutninger basert på fakta fremfor antakelser. Godkjenning under artikkel 23 er kun meningsfull når ledelsen forstår det underliggende risikobildet. Kontraktene utgjør det faktiske fundamentet for denne forståelsen.

Kan etterlevelse dokumenteres uten god styring?

Teoretisk sett kan man basere seg utelukkende på retningslinjer og risikoregister. I praksis er dette en sårbar tilnærming. Tilsynsmyndighetene vil vurdere om sikkerhetstiltakene er juridisk bindende og integrert i den daglige driften. For tredjepartsrisiko betyr dette full kontroll over kontraktene: strukturert informasjon, effektiv oversikt og proaktive varslinger.

NIS2 legger også vekt på proporsjonalitet. Organisasjoner må prioritere tiltak basert på risiko. Uten en klar oversikt over kontraktsforpliktelsene er det vanskelig å rettferdiggjøre disse valgene.

God kontraktsstyring skaper sporbarhet:

  • Fra risikovurderinger til kontraktsfestede forpliktelser.
  • Fra interne retningslinjer til leverandørkrav.
  • Fra ledelsens beslutninger til operasjonell gjennomføring.

Fra dokumentlagring til aktiv risikostyring

Tradisjonell kontraktshåndtering har ofte handlet om lagring og gjenfinning. Under NIS2 er ikke dette lenger tilstrekkelig.

Virksomheter trenger nå:

  • Strukturerte kontraktsdata, ikke bare statiske dokumenter.
  • Tydelige koblinger mellom kontrakter, leverandører og kritiske tjenester.
  • Kontinuerlig oversikt over forpliktelser og risikoeksponering.
  • Evnen til å rapportere og dokumentere etterlevelse ved behov.

Når kontrakter behandles som aktive styringsverktøy i stedet for arkivdokumenter, skaper de en bro mellom den operative cybersikkerheten og ledelsens ansvar.

Les mer: NIS2-direktivets 24-timers regel: Håndtering av krav til rapportering av hendelser.

Hovedpunkter

  • Behandle kontrakter som et sentralt sikkerhetstiltak, ikke som en ren formalitet.
  • Bruk kontrakter til å dokumentere, håndheve og overvåke leverandørrisiko i tråd med artikkel 21.
  • Sørg for at ledelsens overoppsyn og beslutninger dokumenteres i samsvar med kravene i artikkel 23.
  • Etabler kontinuerlig oversikt over kontraktsforpliktelser, risiko og avhengigheter.
  • Bruk strukturert, digital kontraktsstyring for å gå fra å reparere feil til å forebygge dem.

 

Viktig informasjon: House of Control er et programvareselskap. Vi tilbyr ikke rådgivningstjenester knyttet til NIS2-etterlevelse. Det å følge denne veiledningen garanterer derfor ikke samsvar med alle juridiske krav i NIS2. Innholdet i denne artikkelen er basert på vår egen gjennomgang av NIS2-kravene og vår erfaring med etterlevelse av regelverk, samt inspirasjon fra ulike aktører som tilbyr rådgivningstjenester. Vi påtar oss ikke ansvar for manglende etterlevelse av NIS2-krav eller for konsekvenser som følge av bruken av denne veiledningen.

Categories

Related blog posts