Styring av IKT-leverandørrisiko i matbransjen

Bakgrunn og formål

I et stadig mer digitalisert samfunn er matbransjens evne til å håndtere IKT-leverandørrisiko en forutsetning for forsyningssikkerhet og bransjens tillit i samfunnet. Matindustrien er en samfunnskritisk funksjon, og dens robusthet hviler nå like mye på digitale systemer som på fysisk infrastruktur. Den kommende innføringen av EU-direktivet om nettverks- og informasjonssikkerhet (NIS2) krever at bransjen har en omfattende og integrert forståelse av digital og fysisk motstandskraft.

Formålet med denne veilederen er å hjelpe virksomheter i matbransjen med å styre leverandørrisiko knyttet til informasjons- og kommunikasjonsteknologi (IKT) på en systematisk og effektiv måte og i tråd med kravene i EUs NIS2-direktiv. Matbransjen er definert som viktige virksomheter under NIS2. Dette innebærer et særlig ansvar for å beskytte operasjonell stabilitet og sikre kontinuitet i matforsyningen. Ettersom mange virksomheter er avhengige av en kompleks kjede av leverandører for kjernefunksjoner som råvarer, produksjonsutstyr, automasjon, sporingsteknologi, logistikk og databehandling, er en strukturert tilnærming til risikostyring helt avgjørende. En sårbarhet hos én enkelt leverandør kan forplante seg og få alvorlige konsekvenser for hele verdikjeden.

Denne veilederen er utarbeidet i samarbeid med bransjeaktørene som inngår i prosjektet CYMAT. Vi retter en stor takk til Bama, Coop, Felleskjøpet Agri, NorgesGruppen, Nortura, Orkla Foods og Rema 1000 som har bidratt medsin tid og innsikt.

Hvorfor har vi basert veilederen på NIS2?

Når vi nå publiserer denne veilederen i oktober 2025, er det bare uker siden Digitalsikkerhetsloven, som er basert på NIS1, trådte i kraft i Norge. Er det da prematurt å gi ut en veileder basert på et direktiv som enda ikke er innført i norsk rett?

Vår vurdering er det er nettopp nå vi skal gi ut en slik veileder. Direktivet er allerede innført i EU, og selv om det skulle komme visse justeringer når det etterhvert blir innført i Norge må vi anta at hovedessensen består. Bedrifter som allerede opererer i både Norge og i EU må allerede nå forholde seg til direktivet. For alle andre bedrifter i norsk matbransje, og leverandørene til disse, må de trolig påregne å gjøre et stykke arbeid for å møte direktivets krav. Dette vil ta tid, og vi tror at denne veilederen vil være til stor nytte i arbeidet.

Veilederens oppbygging

Veilederen tar utgangspunkt i de fem hovedfasene i livssyklusen til en leverandørrelasjon:

1. Planlegging.

Forberedelse og identifisering av behov og risiko knyttet til tjenesteleveransen.

2. Vurdering og valg av leverandør.

Vurdering og valg av IKT-leverandører basert på risiko og krav.

3. Avtaleinngåelse og oppstartsfase.

Etablering av tydelige krav i kontrakter og hva man bør tenke på for å sikre effektive prosesser ved etablering av tjenester med IKT-leverandører.

4. Kontinuerlig oppfølging og overvåkning.

Beskrivelse av tilnærming og hjelpemidler for løpende overvåking og evaluering av leverandørytelse og risiko.

5. Exit-strategi og avslutning av samarbeidet.

Planlegging og gjennomføring av en strukturert avslutning av leverandørforholdet når det er nødvendig.

Praktiske vedlegg

Veilederen inkluderer praktiske sjekklister og maler som kan brukes for å styrke risikostyringsprosessene:

Vedlegg A: Veileder for vurdering av kritikaliteten på leveransen

Dette vedlegget inneholder en guide for å vurdere kritikaliteten til en IKT-leverandørs tjeneste. Den bygger på virksomhetens egen konsekvensanalyse (BIA).

Vedlegg B: Standard sjekkliste for risikovurdering av leverandører

En sjekkliste for due diligence av mulige leverandører. Listen dekker generelle risikoområder innen informasjonssikkerhet og OT-sikkerhet. Sjekklisten er ment brukt sammen med virksomhetens eksisterende rammeverk for risikovurdering.

Vedlegg C: Standardiserte krav til kontrakter og vedlegg

Dette vedlegget inneholder konkrete kravpunkter som kan inkluderes i kontrakter med IKT-leverandører for å sikre etterlevelse av NIS2 Artikkel 21. Punktene dekker alt fra sikkerhetstiltak og revisjonsrettigheter til håndtering av underleverandører og hendelsesrapportering.

Vedlegg D: Sjekkliste for oppfølging av IKT-leverandører

En sjekkliste strukturert etter en strategisk, taktisk og operasjonell modell for kontinuerlig overvåking og styring av leverandørforholdet.

Vedlegg E: Innhold til exitplan

En mal som beskriver de sentrale elementene en omfattende exitplan for en kritisk eller viktig IKT-leverandør bør inneholde, i tråd med kravene til forretningskontinuitet i NIS2.

Vedlegg F: Sjekkliste for exitplan

En detaljert sjekkliste for å verifisere at alle nødvendige vurderinger er gjort ved utarbeidelse av en exitplan.

Vedlegg G: Triggere for iverksettelse av exitplan

En liste med eksempler på hendelser og scenarioer (triggere) som bør utløse en gjennomgang eller iverksettelse av en exitplan, for eksempel vedvarende tjenesteavbrudd, sikkerhetsbrudd eller endringer hos leverandøren.