Choose language

Varför avtalshantering är fundamentet i NIS2-efterlevnad

Många tror att NIS2-direktivet bara handlar om IT-säkerhet och brandväggar, men i själva verket flyttas ansvaret från den tekniska avdelningen till högsta ledningen och styrelsen. Artiklarna 21 och 23 kräver effektiv kontroll över bolagsstyrning och leveranskedjor. Därför är avtal med underleverantörer den mest effektiva platsen att börja på.

En man sitter i ett möte framför en presentation på en stor skärm

För att sammanfatta

  • NIS2 flyttar ansvaret för cybersäkerhet från IT-team till verkställande ledning och styrelse.
  • Artiklarna 21 och 23 kräver dokumenterad kontroll över både verksamhet och leverantörskedjor.
  • Avtal är den primära mekanismen för att fördela och säkerställa cybersäkerhetsansvar.
  • Strukturerad avtalshantering möjliggör transparens, ansvarstagande och revisionsberedskap.
  • En avtalscentrerad ansats gör NIS2-efterlevnad till en strategisk styrkefaktor.

Hur avtalshantering förhåller sig till NIS2

Det tar en stund att fullt ut inse detta: effektiv avtalshantering är den mest robusta grunden för att uppnå de cybersäkerhetskrav som NIS2 ställer.

På House of Control ställer vi ofta frågan vad följande områden har gemensamt med avtalshantering: IFRS 16 leasingredovisning, kostnadskontroll, Corporate Sustainability Due Diligence Directive (CSDDD) eller Digital Operational Resilience Act (DORA)?

Den gemensamma nämnaren är densamma som för NIS2. Oavsett om målet är regelefterlevnad, kartläggning, riskhantering eller kontroll är företagets avtal med sina underleverantörer den mest effektiva platsen att börja på – och att fortsätta från.

I 20 år har House of Control vuxit genom att erbjuda en marknadsledande plattform för avtalshantering. På denna grund har vi byggt avancerade lösningar som ger ledning och styrelse trygghet. Dessa verktyg säkerställer att företaget inte bara uppfyller krävande regelverk, utan använder processerna för att bli en mer robust verksamhet.

NIS2 är inget undantag. Direktivet introducerar ett nytt paradigm för cyberrisk. Tidigare fokuserade kraven på tekniska kontroller. Enligt NIS2 läggs lika stor vikt vid styrning, ansvarstagande och kontroll över tredjepartsberoenden.

Den stora frågan i praktiken är: Var ska man börja? I artiklarna 21 och 23 förklaras att efterlevnad kräver struktur, överblick och tydligt ansvar. Det är här som avtalsförvaltningen blir hörnstenen; det handlar inte bara om att uppfylla kraven i NIS2, utan om att få bättre kontroll över riskerna i hela organisationen.

Vad kräver artiklarna 21 och 23 i NIS2?

Artiklarna 21 och 23 utgör tillsammans grundlinjen för hur cybersäkerhet ska hanteras på både operativ och strategisk nivå.

Sammantaget gör dessa artiklar cybersäkerhet till en ledningsdisciplin. Risker ska identifieras, begränsas och dokumenteras, och ledningen måste kunna visa att den har kontroll över alla ”rörliga delar” i verksamheten.

Varför är avtalsförvaltning avgörande för artikel 21?

Säkerhet i leverantörskedjan är grundläggande för att uppfylla artikel 21. I praktiken definieras och säkerställs denna säkerhet genom avtal.

Avtalen fastställer:

  • vilken part som är ansvarig för specifika säkerhetsåtgärder.
  • hur och när incidenter ska rapporteras.
  • rätten till revision och verifiering: NIS2 förväntar sig att du ska kontrollera att leverantörerna faktiskt gör vad de lovat. Utan en uttrycklig klausul om "rätt till revision" har du ingen verklig möjlighet att verifiera säkerhetsnivån.
  • kontinuitet och exitstrategier: Om en leverantör utsätts för en attack måste ditt avtal säkerställa din rätt att hämta data och flytta tjänsten. Avtalshantering avslöjar farliga inlåsningsrisker som hotar verksamhetens motståndskraft.

”Magin” i avtalshantering ligger i att berika avtal med strukturerad data och automatiserade aviseringar. Utan denna struktur förblir åtaganden splittrade mellan dokument, e-post och äldre avtal. Det gör det omöjligt att upprätthålla en tydlig riskprofil eller besvara kritiska frågor:

  • Vilka leverantörer stödjer våra viktiga tjänster?
  • Vilka avtal innehåller säkerhetskrav i linje med NIS2?
  • Var brister de avtalsmässiga åtagandena i förhållande till interna policyer?

NIS2 kräver inte att du tar bort alla tredjepartsrisker, utan att du förstår och hanterar dem. Det börjar med att man vet vad man har kommit överens om och hur det ska följas upp. 

Hur stödjer avtalshantering ansvar enligt artikel 23?

Artikel 23 fastslår att cybersäkerhet är ett ledningsansvar som inte längre kan delegeras utan insyn. Ledningen måste dokumentera sin tillsyn, vilket kräver tillförlitlig insikt i hur risk är fördelad mellan företaget och dess underleverantörer.

Strukturerad avtalshantering ger ledningen:

  • en översikt över tredjepartsberoenden.
  • tydlighet om var viktiga säkerhetsskyldigheter ligger
  • försäkran om att avtalen är i linje med interna policyer
  • möjlighet att spåra riskexponeringen när avtal ändras eller förnyas

Detta gör det möjligt att fatta beslut baserade på fakta snarare än antaganden. Ett godkännande enligt artikel 23 är endast meningsfullt när ledningen förstår den underliggande riskbilden. Avtalen är den faktiska grunden för denna förståelse.

Kan efterlevnad dokumenteras utan stark styrning?

Teoretiskt kan man förlita sig enbart på policyer och riskregister. I praktiken är detta skört. Tillsynsmyndigheter kommer att bedöma om kontroller är juridiskt bindande och integrerade i den dagliga verksamheten. När det gäller tredjepartsrisk innebär detta full kontroll över avtal: strukturerad information, effektiva översikter och proaktiva aviseringar.

NIS2 betonar också proportionalitet. Organisationer måste prioritera åtgärder baserat på risk. Utan en tydlig översikt över avtalsförpliktelser är det svårt att motivera dessa val.

Stark avtalsstyrning skapar spårbarhet:

  • från riskbedömningar till avtalsförpliktelser
  • från interna policyer till leverantörskrav
  • från ledningsbeslut till operativ implementering

Från dokumentförvaring till aktiv riskhantering

Traditionellt har avtalshantering ofta fokuserat på lagring och åtkomst. Enligt NIS2 är detta otillräckligt.

Organisationer behöver nu:

  • strukturerad avtalsdata, inte bara statiska dokument
  • tydliga kopplingar mellan avtal, leverantörer och kritiska tjänster
  • kontinuerlig insyn i åtaganden och riskexponering
  • möjlighet att rapportera och visa efterlevnad på begäran

När avtal behandlas som aktiva styrningsverktyg snarare än arkivposter blir de den praktiska bryggan mellan operativ cybersäkerhet och verkställande ansvar.

Viktiga punkter

  • Behandla avtal som en viktig säkerhetsåtgärd, inte bara som en formalitet.
  • Använd avtal för att dokumentera, genomdriva och övervaka leverantörsrisker i enlighet med artikel 21.
  • Säkerställ att ledningens tillsyn och beslut dokumenteras i enlighet med kraven i artikel 23.
  • Upprätta en kontinuerlig översikt över avtalsenliga skyldigheter, risker och beroenden.
  • Använd strukturerad, digital avtalshantering för att gå från att reparera misstag till att förebygga dem.

 

Viktig information: House of Control är ett mjukvaruföretag. Vi tillhandahåller inte konsulttjänster relaterade till efterlevnad av NIS2. Att följa denna guide garanterar därför inte efterlevnad av alla rättsliga krav i NIS2. Innehållet i denna artikel baseras på vår egen granskning av NIS2-kraven och vår erfarenhet av regelefterlevnad, samt inspiration från olika organisationer som tillhandahåller konsulttjänster. Vi tar inte på oss något ansvar för bristande efterlevnad av NIS2-kraven eller för konsekvenser som uppstår till följd av användningen av denna guide.

Categories

Related blog posts