Næringslivets
sikkerhets-
råd
Meny

Fra risiko til kontroll - Robuste leverandørkjeder for SMB

26. nov 2025
Lesetid: 5 min

Kravene til leverandøroppfølging er blitt skjerpet globalt - både i lover og i de nyeste versjonene av ledende rammeverk. Nasjonal sikkerhetsmyndighet (NSM) peker i Risiko 2025 på at et godt totalforsvar forutsetter at sikkerheten er på plass hos alle involverte. De advarer samtidig om at trusselaktører søker den enkleste veien til målet.

Trine Dunker Windvik. Bjarte Malmedal.

Trine Dunker Windvik. Bjarte Malmedal.

- Dette kan for eksempel være utnyttelse av tilgangen til en leverandør med fjernaksess til et viktig system, eller at en ansatt klikker på en lenke i en godt laget phishing-epost fra en kompromittert konto hos en samarbeidspartner, forklarer Bjarte Malmedal, fagdirektøren for digital sikkerhet i Næringslivets Sikkerhetsråd .

Ifølge Malmedal er et gjennomgående problem at mange virksomheter fortsatt har mangelfulle risikovurderinger før anskaffelser, og at de ikke følger opp leverandørenes sikkerhet gjennom hele tjenestens levetid.- Når virksomhetene ikke har god nok kontroll over verdiene sine – i verste fall verdier av betydning for nasjonal sikkerhet – øker risikoen betraktelig, advarer fagdirektøren.

Skjerpede krav og nye lover

Trine Dunker Windvik, Senior GRC-konsulent i Orange Cyberdefense, har med lang erfaring innen IT og informasjonssikkerhet særlig innsikt i hvordan virksomheter kan omsette de nye kravene til praktisk leverandørstyring.

Hun forklarer at kravene blant annet er skjerpet gjennom NIS2-direktivet og DORA (Digital Operational Resilience Act) i finanssektoren. NIS2-direktivet, som dekker flere sektorer enn tidligere, stiller krav til avtaler, varsling, bruk av underleverandører og rutiner for jevnlig oppfølging av leverandørenes sikkerhetspraksis. NIS2 skal etter hvert innføres i norsk rett gjennom den nye Digitalsikkerhetsloven som trådte i kraft 1. oktober.

DORA-forordningen, som trådte i kraft 1. juli i år, stiller strenge krav til håndtering av tredjepartsrisiko, blant annet en grundig evaluering av IKT-leverandørens sikkerhetspraksis, deres evne til å levere tjenester i henhold til avtaler og exit-strategier. ISO/IEC 27001 har i sin nyeste versjon tydeliggjort at virksomheter må definere prosesser og prosedyrer for leverandørstyring, og jevnlig følge opp risiko i kontrakter og leverandørkjeder.

I tillegg stiller sikkerhetsloven omfattende krav til anskaffelser som gir tilgang til sikkerhetsgradert informasjon eller skjermingsverdige objekter.

- Slike virksomheter må blant annet gjennomføre risikovurderinger, sikre forsvarlig sikkerhetsnivå og ha kontroll på både personellsikkerhet og leverandøravhengigheter. NSM eller sektordepartementet skal varsles, det må inngås sikkerhetsavtale, og det kan kreves leverandørklarering, forteller hun.

Komplekse leverandørkjeder skaper utfordringer

Virksomheter fungerer ofte samtidig som kunde, leverandør og underleverandør i komplekse verdinettverk, fortsetter GRC-konsulenten.

- For at vi skal få en trygg flytur, må for eksempel en rekke tjenester på flyplassen fungere - alt fra værdata og flysikkerhet til logistikksystemer og tekniske leveranser.

Mens nye prosjekter ofte har klare krav til sikkerhet og risikovurdering, er situasjonen annerledes for eldre systemer.

- Etter at systemet er på plass, er ressursene sjelden like tydelig allokert. Ofte sitter en travel systemeier igjen med oppfølgingsansvar for mange leverandører og tjenester.

Windvik advarer om at dette kan føre til at viktige rutiner, som oppdaterte kontaktregistre for hendelsesvarsling, ikke fungerer i praksis.

- Hvis selv enkle tiltak svikter, hvordan skal man da kunne vurdere personellsikkerhet hos underleverandører eller kvaliteten på deres gjenopprettingsplaner?

Figur 1: Mulige aktører og koblinger.

Figur 1. Mulige aktører og koblinger

Figur 1. Mulige aktører og koblinger

Mulige løsninger: samarbeid og fellessatsinger

Et viktig spørsmål blir dermed hvordan små og mellomstore virksomheter (SMB) kan følge opp leverandørene sine over tid, og samtidig sikre verdiene sine mot alvorlige cyberhendelser og sanksjoner. En vei videre er samarbeid, mener Windvik. Både Orange Cyberdefense og Næringslivets Sikkerhetsråd arbeider - fra hver sin rolle - for å gjøre det enklere for norske virksomheter å forstå og følge opp leverandørkravene.

- Samarbeid på tvers av bransjer og roller er helt avgjørende dersom vi skal lykkes med å redusere risiko i verdikjedene, sier Windvik.

Nettalliansen AS har for eksempel etablert et prosjekt for å utvikle felles metoder og praksis for leverandøroppfølging, kalt “Risikobasert leverandørstyring”. Prosjektet er støttet av Forskningsrådet og NCC-NO (Norwegian National Coordination Center for research and innovations on cybersecurity).

Næringslivets Sikkerhetsråd (NSR) spiller også en sentral rolle. NSR, som nylig ble utpekt som cybersikkerhetssenter for næringslivet, forvalter et kontaktregister for varsling og informasjonsdeling.

- Hittil i år har NSR varslet rundt 1200 bedrifter om dataangrep. Dette reduserer risikoen for at SMB blir utnyttet i leverandørkjedeangrep, og gir raskere håndtering når hendelser først oppstår, forteller Malmedal.

NSR bygger nå opp senteret i partnerskap med Nærings- og fiskeridepartementet, og vil på sikt tilby både gratis veiledningstjenester og medlemsbasert beredskapshjelp. Et annet initiativ NSR leder, er et samarbeid innen cybersikkerhet i matbransjen. Her har åtte av de største aktørene gått sammen for å løfte sikkerhetsnivået i hele sektoren. Prosjektet lanserte en veileder for IKT-leverandørrisiko i oktober, og arrangerte en gratis konferanse i november.

- Dette prosjektet beskytter den norske matforsyningen mot digitale trusler - og er et forbilde for hvordan andre bransjer kan jobbe sammen om cybersikkerhet, påpeker fagdirektøren.

Samarbeid og verktøy som hjelper

Også i offentlig sektor finnes det flere fora som kan bidra, supplerer Windvik. Som NIFS (Nettverk for informasjonssikkerhet i Digdir) og KiNS (Kommunal Informasjonssikkerhet).

– Mange deler risikovurderinger og sjekklister dersom man spør – og gjerne selv bidrar. Virksomheter som benytter rammeavtaler, kan be om eksisterende risikovurderinger fra de som forvalter avtalene.

NSM har dessuten gode grunnprinsipper og veiledninger, samt det nye verktøyet Cybersjekk, der «leverandørforhold» er en egen kategori. Verktøyet genererer rapporter med konkrete tiltak basert på virksomhetens egne svar. Virksomheter bør også kjenne til Veileder for ivaretakelse av sikkerhet i anskaffelser, som dekker både graderte og ugraderte anskaffelser.

NSM og NorSIS tilbyr dessuten sikkerhetsråd for både privatpersoner og ansatte i bedrifter - som oppdateringer, passordrutiner, totrinnspålogging og phishing-forebygging. Andre tilsynsorganer som Datatilsynet (GDPR) og Finanstilsynet (DORA) har egne temasider og veiledningsmateriell.

Konklusjon

Selv om kravene til leverandørstyring har økt i kompleksitet, finnes det mange initiativer, verktøy og samarbeidsfora som kan hjelpe.

- Ingen virksomhet står alene i møte med trusselbildet. Gjennom samarbeid, kunnskapsdeling og systematisk oppfølging kan også små og mellomstore virksomheter bidra til et tryggere digitalt Norge, avslutter Malmedal

Takk for at du vil laste ned en rapport fra NSR.

  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
Lukk

Takk!

En epost med lenke til nedlasting av ${ this.publicationData ? this.publicationData.title : '' } er sendt til ${ this.email }.

Lukk