by Decree
Compliance

NIS2 leverandørstyring: 14-punkts checkliste til IT-leverandører

 · 12 min read

NIS2 leverandørstyring kræver dokumenteret due diligence. 14-punkts checkliste med konkrete spørgsmål og hvad et godt svar lyder som.

Indholdsfortegnelse

NIS2-direktivet trådte i kraft i EU i januar 2023, blev implementeret i dansk ret med vedtagelsen af NIS2-loven, og tilsynet starter i 1. halvår 2026. For omkring 1.500 danske virksomheder, klassificeret som kritiske eller væsentlige enheder, betyder det, at leverandørstyring ikke længere er en god idé. Det er et lovkrav.

Hvor den tidligere NIS-direktiv var ret bredt formuleret, er NIS2 langt mere konkret. Direktivet kræver, at I gennemfører dokumenteret risikostyring af jeres leverandører, og det inkluderer alle leverandører af IT-tjenester, der har adgang til jeres systemer eller data. Det er der, NIS2 leverandørstyring kommer ind, og det er der, mange virksomheder står og ser på spørgeskemaer fra deres leverandører uden at vide, hvad et godt svar lyder som.

Denne artikel giver jer en konkret 14-punkts checkliste, I kan bruge til at vurdere jeres IT-leverandører. For hvert punkt formulerer vi det konkrete spørgsmål til leverandøren og beskriver, hvad et godt svar lyder som. Brug listen som arbejdsdokument, ikke som teoretisk reference.

Skal I have styr på datasuverænitet og leverandørrisiko? Decree er dansk ejet, dansk hostet, og CLOUD Act-fri. Læs mere om vores sikkerhedstilgang eller se vores subprocessors.

Hvorfor NIS2 leverandørstyring er kritisk i 2026

NIS2 erstatter det tidligere NIS-direktiv og udvider markant både omfanget af berørte virksomheder og kravene til, hvad de skal kunne dokumentere. To forhold gør NIS2 leverandørstyring særligt presserende lige nu.

For det første: Tilsynet starter konkret i første halvår 2026. Center for Cybersikkerhed bliver tilsynsmyndighed for de fleste sektorer, og de har annonceret, at de vil prioritere konkrete inspektioner og dokumentationsgennemgang. Det er ikke længere et spørgsmål om, hvornår en eventuel kontrol kommer, men om hvad I kan fremvise, når den kommer.

For det andet: Bøderne er reelle. Direktivet hjemler bøder på op til 10 millioner euro eller 2 procent af global omsætning for kritiske enheder, og 7 millioner euro eller 1,4 procent for væsentlige enheder. For en typisk dansk SMV med 200-500 medarbejdere er det beløb, der vil have direkte konsekvenser for driften. Hertil kommer det personlige ansvar, der under NIS2 placerer en del af compliance-byrden direkte hos ledelsesmedlemmer.

Den hyppigste fejl vi ser, er at virksomheder dokumenterer egen sikkerhed grundigt, men ignorerer leverandørerne. Det er et åbenlyst hul. Hvis jeres mailleverandør, dokumenthåndteringssystem, CRM, password manager eller signeringsplatform ikke selv lever op til kravene, gør jeres egen indsats det ikke alene. NIS2 er bygget på den indsigt, at en kæde er så stærk som det svageste led.

Hvad NIS2 konkret kræver af leverandørstyringen

NIS2 nævner leverandørstyring direkte i artikel 21, der oplister de minimumsforanstaltninger, en kritisk eller væsentlig enhed skal implementere. Specifikt artikel 21(2)(d) kræver:

“sikkerhed i forsyningskæden, herunder sikkerhedsrelaterede aspekter vedrørende relationerne mellem hver enhed og dens direkte leverandører eller tjenesteudbydere”

I praksis betyder det, at I skal kunne dokumentere:

1. En leverandørliste. Hvem er jeres leverandører af IT-tjenester, hvilken type ydelse leverer de, og hvilken klassifikation har de fra et risikoperspektiv?

2. En risikovurdering pr. kritisk leverandør. Konkret vurdering af leverandørens evne til at opretholde fortrolighed, integritet og tilgængelighed.

3. Kontraktlige sikkerhedskrav. Aftaler med leverandøren skal indeholde konkrete krav til sikkerhed, hændelseshåndtering, audit-rettigheder og kontinuitet.

4. Løbende kontrol. Vurderingen skal opdateres med passende mellemrum, typisk årligt eller ved væsentlige ændringer.

5. Plan for substituering. I skal kunne dokumentere, at I har overvejet, hvad der sker, hvis en kritisk leverandør falder fra.

Hertil kommer en ny dimension under NIS2: Cooperation Group har udgivet vejledninger om leverandørrisikostyring, der i praksis vil danne grundlag for den konkrete tilsynspraksis. Tendensen er klar: tilsynet vil stille konkrete spørgsmål, og I skal kunne svare med dokumenter, ikke med tilkendegivelser.

Vores side om datasikkerhed gennemgår, hvordan Decree opfylder de konkrete sikkerhedskrav, en kritisk leverandør bør kunne dokumentere.

Den 14-punkts checkliste

Her er den konkrete checkliste. Hvert punkt indeholder spørgsmålet til leverandøren og en beskrivelse af, hvad et godt svar lyder som. Brug den som arbejdsdokument og dokumenter svarene.

1. Ejerskab og jurisdiktion

Spørgsmål: Hvem ejer leverandørselskabet, og hvilken jurisdiktion er det underlagt? Findes der amerikanske datterselskaber eller datterselskaber i andre tredjelande?

Hvad et godt svar lyder som: En klar redegørelse for ejerskabet, helst dokumenteret med en udskrift fra Erhvervsstyrelsen eller tilsvarende. For en europæisk leverandør bør svaret være, at selskabet er ejet af europæiske enheder uden datterselskaber i USA eller andre tredjelande, der kan tvinge udlevering af data. Hvis leverandøren er amerikansk-ejet, skal svaret indeholde en redegørelse for, hvordan CLOUD Act-eksponeringen håndteres.

2. Hostinglokation og datacentre

Spørgsmål: Hvor opbevares jeres data fysisk, og hvilke datacentre anvendes? Hvem driver datacentrene?

Hvad et godt svar lyder som: Konkrete adresser eller mindst lande, sammen med navnene på datacenteroperatørerne. For en dansk virksomhed bør hostingen ske inden for EU/EØS, helst i Danmark eller et nabotland med klar jurisdiktion. Svaret bør også adressere, om der er backup eller disaster recovery i andre lokationer.

3. Underdatabehandlere (subprocessors)

Spørgsmål: Hvilke underdatabehandlere bruger I, og hvor er de etableret? Findes der en offentlig liste, og hvordan informeres I om ændringer?

Hvad et godt svar lyder som: En komplet, opdateret liste over alle underdatabehandlere med jurisdiktion og funktionsbeskrivelse. Listen bør være offentligt tilgængelig på leverandørens hjemmeside. Ændringer bør varsles med minimum 30 dages frist. En leverandør, der ikke kan eller vil oplyse subprocessor-listen, skal afvises.

4. Databehandleraftale (DPA)

Spørgsmål: Har I en standard DPA, og hvilke krav opfylder den under GDPR artikel 28?

Hvad et godt svar lyder som: En komplet skriftlig DPA, der adresserer alle krav under GDPR artikel 28, inklusiv klare bestemmelser om underdatabehandlere, sikkerhedsforanstaltninger, hændelseshåndtering, sletning og audit-rettigheder. Vores DPA er et eksempel på, hvordan en moderne DPA bør være struktureret.

5. Certificeringer og tredjepartsrevisioner

Spørgsmål: Hvilke certificeringer har I (ISO 27001, ISAE 3402, SOC 2, andre)? Hvornår blev I sidst auditeret, og kan I dele rapporten?

Hvad et godt svar lyder som: Mindst én aktiv certificering relevant for SaaS-leverandører, typisk ISO 27001. Auditrapporter bør deles under NDA. En leverandør, der ikke har nogen tredjepartsverifikation af sikkerhedsstyringen, skal vurderes med ekstra forsigtighed.

6. Hændelseshåndtering og notifikation

Spørgsmål: Hvordan håndterer I sikkerhedshændelser, og hvor hurtigt notificerer I os ved en hændelse, der berører vores data?

Hvad et godt svar lyder som: En dokumenteret hændelsesprocedure med klar eskaleringskæde og konkrete tidsfrister for notifikation. Under NIS2 skal kritiske enheder rapportere hændelser inden for 24 timer (tidlig advarsel) og 72 timer (formel notifikation), og leverandørens notifikation til jer skal kunne understøtte den tidsramme.

7. Adgangsstyring og logning

Spørgsmål: Hvem hos jer har adgang til vores data, hvordan godkendes denne adgang, og hvordan logges den?

Hvad et godt svar lyder som: Princippet om mindst privilegium skal være implementeret. Adgang til kundedata bør være begrænset til et navngivet team og kræve dokumenteret godkendelse. Al adgang skal logges, og logfiler skal opbevares minimum 12 måneder.

8. Kryptering i hvile og i transit

Spørgsmål: Hvordan er vores data krypteret, både under transmission og ved opbevaring? Hvem holder krypteringsnøglerne?

Hvad et godt svar lyder som: TLS 1.2 eller højere for al transmission. AES-256 eller tilsvarende for opbevaring. For særligt følsomme anvendelser, mulighed for at kunden selv holder krypteringsnøglerne (BYOK) eller anvender klient-side kryptering, hvor leverandøren ikke har adgang til klartekst.

9. Backup og disaster recovery

Spørgsmål: Hvor ofte tages backup, hvor opbevares de, og hvad er jeres dokumenterede genoprettelsesmål (RTO og RPO)?

Hvad et godt svar lyder som: Daglig backup som minimum, opbevaret geografisk adskilt fra primær drift, fortsat inden for EU/EØS. Klare RTO- og RPO-tal, helst dokumenteret i SLA. Periodisk afprøvning af genoprettelsesprocedurer bør være dokumenteret.

10. Driftskontinuitet og SLA

Spørgsmål: Hvad er jeres dokumenterede oppetid, og hvilke kompensationsmekanismer findes ved manglende SLA-overholdelse?

Hvad et godt svar lyder som: Mindst 99,5 procent oppetid målt månedligt for ikke-kritiske systemer, 99,9 procent for kritiske. Klar definition af, hvad der tæller som nedetid, og hvilken kompensation der gælder ved overskridelse. Historiske oppetidstal bør deles på forespørgsel.

11. Personalets uddannelse og baggrundscheck

Spørgsmål: Hvordan sikrer I, at jeres medarbejdere er kompetente til at håndtere kundedata, og hvilke baggrundscheck gennemføres?

Hvad et godt svar lyder som: Dokumenteret uddannelsesprogram for alle medarbejdere med adgang til kundedata, opdateret minimum årligt. Baggrundscheck af medarbejdere med privilegeret adgang. Klare bestemmelser om tavshedspligt og konsekvenser ved brud.

12. Sårbarhedsstyring og pen-test

Spørgsmål: Hvordan håndterer I sårbarheder, og hvor ofte gennemføres ekstern penetrationstest?

Hvad et godt svar lyder som: Dokumenteret procedure for sårbarhedsstyring, herunder håndtering af zero-day-sårbarheder. Ekstern penetrationstest minimum årligt, gerne hyppigere for kritiske systemer. Resultater fra seneste test bør være tilgængelige under NDA.

13. Exit-procedure og dataoverdragelse

Spørgsmål: Hvad sker der, hvis vi ønsker at opsige aftalen? Hvordan udleveres vores data, og hvor lang tid tager det?

Hvad et godt svar lyder som: Klar exit-procedure med konkret tidsramme. Data skal kunne udleveres i et åbent, læsbart format (CSV, JSON, standard mailformater). Sletning af data hos leverandøren skal ske inden for en defineret periode efter opsigelse, typisk 30-90 dage, og bestilles med skriftlig bekræftelse.

14. Audit-rettigheder

Spørgsmål: Har vi ret til at gennemføre audit hos jer, eller modtager vi rapporter fra tredjepartsauditorer?

Hvad et godt svar lyder som: Enten ret til egen audit (typisk ved kritiske aftaler) eller dokumenteret tredjepartsaudit (ISAE 3402, ISO 27001), hvis rapporter deles. For mindre kunder er den anden model normalt acceptabel, så længe rapporterne er aktuelle og af tilstrækkeligt omfang.

Hvad gør I, hvis en leverandør dumper?

Det vil ske. Når I gennemgår jeres leverandørliste med ovenstående 14 punkter, vil I næsten med sikkerhed finde leverandører, der ikke kan svare tilfredsstillende. Spørgsmålet er, hvad I gør så.

Den juridiske ramme under NIS2 er klar: I er forpligtet til at træffe forholdsmæssige foranstaltninger. Det betyder ikke, at enhver mangel skal udløse leverandørskift. Det betyder, at I skal kunne dokumentere en bevidst, vægtet beslutning.

I praksis har I tre realistiske handlinger:

1. Risikoaccept med kompenserende foranstaltninger. Hvis manglen er begrænset, og I kan etablere kompenserende kontroller (ekstra logning, kryptering på jeres side, begrænset databrug), kan I dokumentere risikoen og acceptere den. Dokumentationen skal være skriftlig og godkendt af ledelsen.

2. Forhandling med leverandøren. Mange leverandører kan tilpasse deres tilbud, særligt hvis I er en betydningsfuld kunde. Bed om konkrete forbedringer med tidsplan, og dokumenter aftalen.

3. Leverandørskift. Hvis manglen er fundamental (typisk CLOUD Act-eksponering, fravær af DPA, manglende grundlæggende sikkerhedscertificering), og kompenserende foranstaltninger ikke er realistiske, må I planlægge skift. Det kan tage tid, men beslutningen og planen skal dokumenteres.

Det værste valg er at lade leverandørrisikoen ligge udokumenteret. En NIS2-revision vil opdage hullet, og bøden eller påbuddet vil være svært at undgå.

Dokumentation og audit-trail

NIS2-tilsynet vil ikke kun spørge, hvad I har gjort. De vil spørge, hvor det står dokumenteret. En god tommelfingerregel er, at hver leverandørvurdering skal kunne fremvises som et selvstændigt dokument med:

  • Dato for vurdering
  • Hvem der har gennemført vurderingen
  • Hvilke spørgsmål der blev stillet (de 14 punkter ovenfor)
  • Hvilke svar leverandøren gav
  • Hvilken risikoklassifikation vurderingen førte til
  • Hvilke handlinger eller accepter ledelsen har truffet
  • Hvornår vurderingen skal gentages

Dokumentet kan være en simpel skabelon i Word eller et regneark. Det vigtige er, at det findes og er konsistent på tværs af jeres leverandørportefølje.

For større organisationer kan det betale sig at investere i dedikerede leverandørstyringsværktøjer (RISMA, RiskFinder, ServiceNow GRC), men de er ikke et lovkrav. En velholdt dokumentationsmappe er typisk tilstrækkelig for de fleste danske SMV’er.

Hertil kommer arkivpligten: Dokumentationen skal opbevares så længe leverandørrelationen pågår, plus typisk 5 år, afhængig af hvilke databehandlinger leverandøren støtter.

Vores DPA-skabelon er et godt udgangspunkt for at strukturere de kontraktlige forhold, men husk at den ikke erstatter selve risikovurderingen, den supplerer den.

Ofte stillede spørgsmål om NIS2 leverandørstyring

Hvilke virksomheder er omfattet af NIS2 i Danmark?

Direktivet omfatter omkring 1.500 danske virksomheder, fordelt på 18 sektorer. Sektorerne inkluderer energi, transport, finans, sundhed, drikkevand, digital infrastruktur, offentlig administration, post og rumfart. Inden for hver sektor er der typisk en størrelseskvalifikation (medarbejderantal og omsætning), der afgør om I er kritisk eller væsentlig enhed. Center for Cybersikkerhed har offentliggjort konkrete vejledninger til hver sektor.

Skal alle leverandører gennem den 14-punkts checkliste?

Nej, kun leverandører af IT-tjenester, der har adgang til jeres systemer eller data, eller som leverer kritiske ydelser til jeres drift. Almindelige indkøb af kontorartikler er ikke omfattet. En god afgrænsning er: alle SaaS-leverandører, alle hosting-leverandører, alle systemintegratorer med adgang til produktion, alle leverandører af kritiske integrationer.

Hvor ofte skal vurderingen opdateres?

Som hovedregel årligt for kritiske leverandører, hvert andet år for væsentlige. Hertil kommer ad hoc-opdateringer ved væsentlige ændringer hos leverandøren (ejerskift, certificeringsbortfald, betydelige hændelser) eller hos jer (ny anvendelse, øget databehandling).

Kan jeg outsource leverandørstyringen?

Ja, men ansvaret kan ikke outsources. I er fortsat dataansvarlig og NIS2-pligtig enhed. Konsulenter kan udføre arbejdet, men dokumentationen skal være jeres, og beslutningerne skal være truffet af jeres ledelse.

Hvad er forskellen på NIS2-leverandørstyring og GDPR-databehandlerstyring?

GDPR fokuserer på persondata. NIS2 fokuserer på cybersikkerhed bredt, herunder også systemer der ikke behandler persondata. Mange af de samme leverandører vil falde under begge regimer, og en godt struktureret leverandørmappe kan tjene begge formål. Men de to regelsæt har forskellige krav, og I skal kunne dokumentere overholdelse af begge separat.

Hvad sker der, hvis en leverandør ændrer sin subprocessor-liste?

I skal informeres med rimelig frist (typisk 30 dage), og I skal kunne gøre indsigelse. Ved indsigelse må leverandøren enten finde en anden underdatabehandler eller acceptere, at I opsiger aftalen uden bod. Tjek at jeres DPA indeholder denne klausul.

Findes der en officiel dansk skabelon for leverandørrisikovurdering under NIS2?

Center for Cybersikkerhed har udgivet vejledninger og skabeloner, der løbende opdateres. Brug dem som udgangspunkt, men suppler med jeres egne sektorspecifikke krav. ENISA (EU’s cybersikkerhedsagentur) har også omfattende vejledninger, der er anvendelige.

Læs også

Vil du samle din virksomheds digitale rygrad hos én dansk leverandør? Decree bygger og driver hele stakken (mail, signering, telefoni, CRM, dokumenter, eLearning) plus skræddersyede SaaS-platforme og mobilapps. Alt hostet i EU, CLOUD Act-fri, samlet i én DPA. Se platformen eller kontakt os for en samtale.

  • nis2
  • leverandørstyring
  • compliance
  • risikovurdering
  • due diligence
Share:
Back to News

Related articles

See all articles »

Why Decree

Built for Danish businesses that can't afford doubt about data sovereignty

The market is starting to ask the questions we already answered.

1
data center
0
US transfers
1
data processing agreement
1
vendor
01

One data center, zero international data transfers

All your data sits with Scaleway in Paris. No replication to the US, no subprocessor spaghetti, zero Schrems II exposure.

02

CLOUD Act-free infrastructure

Decree is Danish-owned and EU-hosted. We don't fall under US jurisdiction. Microsoft's sovereign cloud doesn't solve it — we do.

03

NIS2-ready vendor in your supply chain

NIS2 took effect in Denmark on 1 July 2025. We have the documentation ready when your auditor asks about your vendor risk assessment.

04

Battle-tested in critical infrastructure

Mit Beredskab runs alarms on schools. Foreningen Neptun sails offline-first on the other side of the world. We don't build to usually-work.

05

One vendor to call

When something goes wrong it's our job to find it, close it and explain it. You don't chase information between fifteen vendors.

06

Custom-built without enterprise bureaucracy

You talk to the people building the solution. Custom modules in days, not in a six-month discovery phase.

Solutions

All solutions

The whole digital backbone. Pick the modules you use, pay for the rest when you grow.

Custom SaaS

Custom SaaS

Web platforms built on Decree's infrastructure.

Read more →
Mobile apps

Mobile apps

Native and cross-platform apps.

Read more →
Email

Email

Your own mail server, run by Decree, EU-hosted.

Read more →
E-signature

E-signature

EU-hosted, legally binding, integrated with CRM.

Read more →
Telephony

Telephony

Danish telephony, integrated into the platform.

Read more →
eLearning

eLearning

Course flows, tests and certificates.

Read more →
Documents and files

Documents and files

EU-hosted document storage.

Read more →
CRM

CRM

Leads, customers and pipeline management.

Read more →
Password manager

Password manager

Shared credentials, EU-hosted.

Read more →
Web forms

Web forms

Form builder for lead capture and e-signature.

Read more →
Websites

Websites

Design, hosting and maintenance.

Read more →
Social media manager

Social media manager

Plan and publish across LinkedIn, Facebook, Instagram and X.

Read more →

Hosted in the EU. Built for Denmark.

Start a conversation