Secify.com

När din kund omfattas av cybersäkerhetslagen - vad du som leverantör faktiskt behöver förstå och göra

18 april, 2026
Uppskattad lästid: 4 min

Från den 15 januari 2026 gäller den nya svenska cybersäkerhetslagen (CSL) som implementerar EU:s NIS2-direktiv i svensk rätt. Syftet med både direktivet och lagen är att säkerställa en hög och gemensam nivå av cybersäkerhet för samhällsviktiga och viktiga tjänster i hela EU med tydligare och mer omfattande krav än tidigare.
Även om ditt bolag inte omfattas av NIS2 kan dina kunder göra det. Då blir din säkerhetsnivå en del av deras lagstadgade riskhantering.

Blå bakgrund med klossar där det står risk, bredvid finns ett förstoringsglas

Cybersäkerhetslagen handlar inte om teknik, det handlar om riskhantering

I CSL är kärnan inte bara att ha tekniska kontroller utan det är att hantera cybersäkerhetsrisker på ett systematiskt, strukturerat och dokumenterat sätt. Lagens riskhanteringskrav omfattar inte bara den egna organisationen utan det inkluderar uttryckligen säkerheten i hela leverantörskedjan, inklusive relationen mellan kunden och dig som leverantör.

Det betyder konkret:

  • Din kund (som omfattas) måste kunna identifiera och bedöma risker som påverkar deras verksamhet, inklusive risker i sina leverantörer (ditt bolag).
  • Kunden måste kunna visa att riskerna är hanterade och kontrollerade, inklusive genom avtal och uppföljning med dig.
  • Det räcker inte med interna rutiner utan kunden måste kunna visa genom dokumentation och uppföljning att leverantörens (din) säkerhet faktiskt är kontrollerad.

Med andra ord: din cybersäkerhet är en del av kundens regulatoriska efterlevnad.

Leverantörer påverkas även om lagen inte gäller direkt för dem

NIS2 tillämpar sina krav formellt på så kallade “väsentliga” och “viktiga” enheter i 18 definierade sektorer. Men här är den viktiga praktiska poängen:

Om du levererar tjänster eller system som är kritiska för en kund som omfattas av NIS2 så kommer dina kunder ställa krav på dig som om du också behövde vara NIS2-kompatibel eftersom de måste kunna visa det i sin egen efterlevnad.

Detta sker i praktiken genom:

  • krav i avtal
  • säkerhetsbilagor
  • dokumentations- och revisionsrättigheter
  • krav på incidentrapportering och spårbarhet

Du blir inte övervakad av tillsynsmyndigheter i kraft av NIS2 men du blir en del av din kunds dokumenterade efterlevnad.

Riskhantering i leverantörskedjan – vad det betyder för dig

När din kund gör sin NIS2-riskanalys måste denna även omfatta:

  • Direkta leverantörer
  • Underleverantörer som används via dig
  • Tjänster och system som du levererar

Direktivet kräver uttryckligen att organisationer tar hänsyn till risker i sina leveranskedjor och relationer med leverantörer.

Det betyder att leverantörer måste hjälpa sina kunder med:

Dokumenterad cybersäkerhetspraxis
Riskanalyser, sårbarhetshantering, autentiseringskontroller och säker konfiguration behöver vara dokumenterade och spårbara.

Transparent kommunikation
Dina kunder måste kunna se hur du hanterar incidenter, svarar på hot och hur du säkerställer kontinuitet i tjänsterna du levererar.

Kontroll över egen leverantörskedja
Det räcker inte att du säger att allt är säkert utan du måste själv ha kontroll över eventuella underleverantörer på samma sätt.

Incidentrapportering

NIS2 innebär skärpta rapporteringskrav för händelser som påverkar informations- eller nätverkssäkerhet. Din kund måste rapportera till relevant myndighet inom korta tidsfrister.

Om en incident som påverkar kunden har sitt ursprung i din tjänst så måste kunden:

  • kunna få incidentdata från dig snabbt, strukturerat och användbart
  • kunna bedöma om det är en betydande incident
  • agera i tid enligt lagens krav

Det innebär att du behöver ha processer för:

  • upptäckt och analys
  • intern och extern kommunikation
  • att kunna ge tekniska och tidsmässiga detaljer på begäran

Det är en praktisk och operativ förmåga och inte bara en klausul i ett avtal.

Avtal

Avtal – regleringen av NIS2-efterlevnad

NIS2 ställer inga direkta krav på dig som leverantör i lagtexten men det driver fram krav i avtal mellan dig och kunden.

De vanligaste områdena där avtalskrav dyker upp är:

  • Krav på tekniska och organisatoriska riskhanteringsåtgärder (artikel 21.1–21.2).
  • Krav kopplade till säkerhet vid förvärv, utveckling och underhåll av nätverks- och informationssystem inklusive hantering och rapportering av sårbarheter (artikel 21.2 d).
  • Krav på incidenthantering inklusive skyldighet att utan dröjsmål informera kunden om incidenter som påverkar tjänsten (artikel 21.2 b samt artikel 23).
  • Krav på åtgärder för verksamhetskontinuitet såsom säkerhetskopiering, katastrofåterställning och krishantering (artikel 21.2 c).
  • Krav som rör säkerhet i leverantörskedjan inklusive säkerhetsaspekter i relationen mellan den reglerade enheten och dess direkta leverantörer eller tjänsteleverantörer (artikel 21.2 d).

Kunden kan inte uppfylla sina skyldigheter om du inte kan leverera det som krävs.

Sammanfattning – ta med dig det här!

  1. NIS2 gör leverantörssäkerhet till en del av kundens lagstadgade riskhantering. Du omfattas inte direkt av lagen men dina kunder måste kunna visa att riskerna med din tjänst/produkt är identifierade, hanterade och följs upp.
  2. Kraven som ställs på dig ska vara proportionerliga i förhållande till den risk du innebär för kundens verksamhet. Du behöver alltså inte spegla hela kundens säkerhetsnivå men du måste ha en dokumenterad och fungerande grundnivå av säkerhetsstyrning som motsvarar din roll i leverantörskedjan.
  3. Ju mer kritisk din tjänst är för kundens drift, informationshantering eller systemåtkomst desto högre blir kraven på styrning, dokumentation, incidentberedskap och kontinuitetsförmåga.
  4. I praktiken bör du som leverantör kunna:
    • visa att du arbetar med strukturerad och dokumenterad riskhantering
    • ha en etablerad incidentprocess med förmåga att rapportera utan dröjsmål
    • kunna redogöra för hur du hanterar sårbarheter och säkerhetsuppdateringar
    • ha dokumenterad kontinuitets- och återställningsförmåga när tjänsten är affärskritisk
    • ha kontroll över underleverantörer som påverkar leveransen
  5. Det är riskexponeringen som avgör vilken säkerhetsnivå som är rimlig. Förmågan att uppvisa denna säkerhetsstyrning är därför inte bara en regulatorisk anpassning utan även en tydlig konkurrensfördel i relationen till kunder som omfattas av NIS2.

Hör av dig!

Behöver du hjälp med att höja säkerhetsnivån på ditt företag? Skicka ett meddelande med kontaktfunktionen eller lyft på luren och ring 020-66 99 00.


    2026-04-28T22:07:01+02:00
    Aida Rokni

    Skrivet av: Aida Rokni

    Aida har en juristexamen och arbetar som externt dataskyddsombud för ett flertal olika organisationer. Hon har bred erfarenhet inom privat sektor där hon arbetat med större internationella koncerner samt fackförbund.

    Aida Roknis senaste inlägg

    NYHETSBREV

    Konsulttjänster

    Säkerhetstester

    Managerade tjänster

    Intelligens

    Secify

    Secify logo vit

    Secify erbjuder rådgivning och säkerhetslösningar inom cybersäkerhet, informationssäkerhet och dataskydd. Vi som arbetar här har lång erfarenhet och djupa kunskaper inom vårt område. Tillsammans kan vi leverera heltäckande lösningar för att skydda dina anställda och din verksamhet.

    Jönköping (huvudkontor)
    Östra Storgatan 28c, 553 21 Jönköping

    Stockholm
    Warfvinges väg 45, 112 51 Stockholm

    Halmstad
    Tre Hjärtans väg 2, 302 41 Halmstad

    Växjö
    Storgatan 82A, 352 27, Växjö

    Cirklar secifyprofil dekoration
    Cookiepolicy

    Orgnr: 559316-2513
    Tel: 020-66 99 00 | Kontakt

    Till toppen