Secify.com

Så arbetar du kontinuerligt med leverantörsrisker

7 april, 2026
Uppskattad lästid: 3 min

Leverantörsrisker är inget projekt – så bygger du kontinuerlig uppföljning

När organisationer börjar arbeta med leverantörsrisker enligt cybersäkerhetslagen är det lätt att tänka i projektform. Man kartlägger leverantörer, skickar ut enkäter, gör en första bedömning – och känner att man har kommit igång. Men det är också här många stannar.

Problemet är att leverantörsrisker inte är statiska. En leverantör som uppfyller alla krav idag kan vara en helt annan risk imorgon – beroende på förändringar i teknik, organisation eller hotbild. Det innebär att en initial granskning aldrig kan vara tillräcklig i sig.

Det är därför kontinuerlig uppföljning inte är ett ”nästa steg” – utan själva fundamentet i arbetet.

Jonas Stewén sätter ord på det tydligt:

”Det här är inte en engångsföreteelse. Du måste kunna visa att du arbetar med det här över tid – att du följer upp, att du fångar upp förändringar och att du faktiskt agerar när något avviker.”

Det handlar alltså inte bara om att samla in information, utan om att kunna visa ett löpande ansvarstagande.

Interview

Vad innebär kontinuerlig uppföljning i praktiken?

En vanlig missuppfattning är att kontinuerlig uppföljning innebär att man måste göra samma omfattande granskning om och om igen. I praktiken är det tvärtom.

Det handlar om att skapa ett arbetssätt där du:

  • vet vad du behöver följa upp
  • vet hur ofta det ska ske
  • och framför allt – vad som ska trigga en fördjupning

Det är här många organisationer behöver justera sina förväntningar.

Du kommer inte ha full insyn hela tiden.
Du kommer inte ha perfekta svar.
Och du kommer inte kunna eliminera alla risker.

Men du ska kunna:

  • upptäcka förändringar
  • reagera på avvikelser
  • och visa att du har kontroll över processen

Jonas är inne på just den balansen:

”Du måste kunna visa att du gör det här på ett strukturerat sätt. Inte bara att du har gjort en granskning – utan hur du följer upp den och vad du gör när något förändras.”

Om du bara gör det en gång per år – gör du det fel

En av de tydligaste signalerna på att något inte fungerar är när uppföljningen blir för tung.

Om arbetet är så omfattande att det bara går att genomföra en gång per år, är det ett tecken på att modellen är fel utformad.

Jonas uttrycker det rakt:

”Om det här tar så mycket tid att du bara orkar göra det en gång om året – då behöver man fundera på om man har lagt sig på rätt nivå. För särskilt när det gäller kritiska leverantörer behöver du kunna följa upp oftare än så.”

Det innebär att uppföljning måste designas för att vara återkommande.

För kritiska leverantörer kan det handla om kvartalsvisa avstämningar.
För andra kan det räcka med mer översiktliga uppdateringar.

Poängen är inte frekvensen i sig – utan att uppföljningen är tillräckligt lätt för att faktiskt bli av.

Inspektion

Alla leverantörer kräver inte samma uppföljning

Precis som med kravställning handlar uppföljning om att prioritera. Det är varken effektivt eller nödvändigt att följa upp alla leverantörer på samma sätt. Istället behöver insatsen stå i relation till risken.

Jonas beskriver det som en naturlig förlängning av segmenteringen:

”Du börjar med de mest kritiska leverantörerna. Det är där du behöver lägga din tid, och där du behöver ha en uppföljning som faktiskt ger dig en verklig bild av hur det ser ut.”

Det innebär att vissa leverantörer kräver:

  • tätare dialog
  • djupare insyn
  • och ibland teknisk granskning

Medan andra kan följas upp mer övergripande. Det viktiga är att det finns en tydlig logik – inte att allt behandlas lika.

Uppföljning handlar om att förstå – inte bara samla in svar

En annan viktig justering handlar om vad uppföljningen faktiskt ska ge. Många organisationer fastnar i att samla in data – men får ändå begränsad förståelse. Särskilt om uppföljningen bygger på samma frågor varje gång.

Jonas lyfter att värdet ligger någon annanstans:

”Det räcker inte att bara få svar. Du behöver förstå hur det faktiskt fungerar i praktiken. I vissa fall behöver du också kunna be leverantören visa det – inte bara beskriva det.”

Det är här uppföljning går från administrativ aktivitet till faktisk riskhantering. För kritiska leverantörer kan det innebära att man går djupare:

”Om det är en leverantör som är affärskritisk – då finns det ett värde i att faktiskt kunna granska hur det ser ut, eller ta hjälp av någon som gör det åt dig.”

Det handlar inte om att göra det överallt – men att veta när det behövs.

Vad du kan förvänta dig – och vad du inte kan

En viktig del i att lyckas med kontinuerlig uppföljning är att ha rätt förväntningar. Du kommer inte att få full transparens i alla lägen att kunna verifiera allt i detalj eller eliminera risken helt. Men du ska kunna se när något förändras, förstå var riskerna finns och ha en tydlig väg framåt när något behöver hanteras. Det är just den förmågan cybersäkerhetslagen i praktiken kräver.

Uppföljning bygger relation, inte bara kontroll

När uppföljning sker löpande förändras också relationen till leverantören. Istället för att vara en punktinsats där krav ”trycks ut” blir det en del av det löpande samarbetet. Det skapar bättre förutsättningar för transparens – och gör det lättare att hantera problem innan de växer.

Jonas lyfter vikten av just det:

”Det handlar inte bara om att ställa krav och sedan vänta. Man behöver ha en dialog och kunna vara transparent kring hur man jobbar, så att man tillsammans kan hantera riskerna.”

Börja där det gör skillnad

För organisationer som vill komma vidare handlar det inte om att bygga ett perfekt system från början.

Det handlar om att börja med de mest kritiska leverantörerna, definiera vad som ska följas upp och göra det till en återkommande del av arbetet. Resten kan du utveckla över tid för det är först när uppföljningen blir en naturlig del av hur man arbetar (inte något man gör vid sidan av) som leverantörsrisker faktiskt går att hantera.

Och det är där skillnaden ligger, inte i vad du gör en gång utan i vad du fortsätter göra.

<a id=”Contact”></a>Hör av dig!

Behöver du hjälp med att höja säkerhetsnivån på ditt företag? Skicka ett meddelande med kontaktfunktionen eller lyft på luren och ring 020-66 99 00.


    2026-04-07T16:12:38+02:00
    Henrik Petterson

    Skrivet av: Henrik Petterson

    Med ett öra mot omvärlden och fokus på relevant kommunikation ser jag till att du får rätt innehåll, rätt vägledning och insikter som hjälper dig att fatta tryggare beslut kring din cybersäkerhet. Jag arbetar med allt från vårt månadsbrev och innehåll på webben till kampanjer, digital annonsering, MA, film och analys.

    Henrik Pettersons senaste inlägg

    NYHETSBREV

    Konsulttjänster

    Säkerhetstester

    Managerade tjänster

    Intelligens

    Secify

    Secify logo vit

    Secify erbjuder rådgivning och säkerhetslösningar inom cybersäkerhet, informationssäkerhet och dataskydd. Vi som arbetar här har lång erfarenhet och djupa kunskaper inom vårt område. Tillsammans kan vi leverera heltäckande lösningar för att skydda dina anställda och din verksamhet.

    Jönköping (huvudkontor)
    Östra Storgatan 28c, 553 21 Jönköping

    Stockholm
    Warfvinges väg 45, 112 51 Stockholm

    Halmstad
    Tre Hjärtans väg 2, 302 41 Halmstad

    Växjö
    Storgatan 82A, 352 27, Växjö

    Cirklar secifyprofil dekoration
    Cookiepolicy

    Orgnr: 559316-2513
    Tel: 020-66 99 00 | Kontakt

    Till toppen