Att blint lita på sin IT-leverantör är numera ett lagbrott enligt de nya europeiska regelverket

News Flash

Att blint lita på sin IT-leverantör är numera ett lagbrott enligt de nya europeiska regelverket

Ett avtal med en underleverantör befriar aldrig en styrelse från ansvaret för verksamhetens kritiska data.

Att outsourca IT-drift är en etablerad affärsstrategi som skapar effektivitet, men riskerna flyttar inte med servrarna. Enligt en färsk rapport från Myndigheten för samhällsskydd och beredskap har sårbarheter i leveranskedjor blivit en primär väg in i svenska verksamheter. Detta sker samtidigt som tillsynen och kraven på verksamhetsutövare skärps avsevärt. Förra veckan belyste även Europeiska unionens cybersäkerhetsbyrå hur bristande kontroll över tredjepartsleverantörer direkt hotar kontinuiteten i kritisk infrastruktur.

För en vd innebär detta att en allvarlig incident hos en underleverantör mycket snabbt utvecklas till en intern kris. Regelverk som NIS2 och DORA ställer nu explicita och tvingande krav på att ledningen ska förstå och hantera dessa leverantörsrisker. Det är inte längre juridiskt eller affärsmässigt tillräckligt att förlita sig på standardiserade avtalsklausuler. Styrelsen måste aktivt och regelbundet kräva in bevis på att leverantörerna faktiskt levererar den säkerhetsnivå de lovar. Om ett kritiskt avbrott inträffar är det alltid den egna ledningen som hålls ansvarig, aldrig leverantören. Affärsrisken är i dessa fall direkt kopplad till förlorat kundförtroende, produktionsbortfall och potentiellt mycket kännbara sanktionsavgifter.

För mig visar detta att säkerhetskraven i inköpsprocessen är exakt lika kritiska som prislappen. Ledning och styrelse måste omgående integrera kontinuerlig leverantörsgranskning i sin övergripande riskhantering. Att sakna djupgående insyn i hur externa partners skyddar er data är numera ett direkt brott mot god bolagsstyrning.

Vad många underskattar Ansvaret för en incident hos en underleverantör faller alltid tillbaka på den egna ledningen. Många beslutsfattare tror felaktigt att ett skrivet avtal fungerar som en sköld mot sanktioner.

Tre saker att göra nu

  1. Inventera omedelbart vilka externa partners som idag hanterar verksamhetens absolut mest kritiska tillgångar.
  2. Begär in oberoende granskningsrapporter från dessa leverantörer för att verifiera att deras säkerhetsarbete fungerar.
  3. Uppdatera styrelsens rapporteringskrav så att tredjepartsrisker alltid finns med på agendan och utvärderas.

Källor:
Cyberhot mot Sverige Myndigheten för samhällsskydd och beredskap https://www.msb.se/sv/amnen/informationssakerhet-och-cybersakerhet/
ENISA Threat Landscape Europeiska unionens cybersäkerhetsbyrå https://www.enisa.europa.eu/publications/enisa-threat-landscape

Senaste

Arkivet

© 2026 JAMSEC - Säkerhetskultur, Informationssäkerhet och Säkerhetsskydd. Byggt med hjälp av WordPress och temat EmpowerWP.