Fra indkøb til compliance: Sådan bygger du en leverandørstyringsmodel der lever op til NIS2

Det er sjældent kontrakten, der vælter en virksomhed — det er leverandøren, der ikke kan levere, når det gælder, eller som bliver indgangen til…

Anders Christensen
Anders Christensen
Skribent, WW Solutions
 · · 10 min læsning

Det er sjældent kontrakten, der vælter en virksomhed — det er leverandøren, der ikke kan levere, når det gælder, eller som bliver indgangen til et sikkerhedsbrud.

Hvis du sidder med ansvar for drift, indkøb eller risiko i en mellemstor eller stor virksomhed, mærker du sandsynligvis et skifte: leverandørstyring er ikke længere “best practice”, men et krav, der skal kunne dokumenteres. Med NIS2 fuldt implementeret og de første konkrete tilsynssager i Europa som bagtæppe i 2026 er forventningen ikke kun, at I har styr på leverandører — men at I kan vise, hvordan I styrer dem, hvorfor I har valgt jeres kontroller, og hvordan I følger op.

Artiklen giver dig et handlingsorienteret framework til at opgradere jeres leverandørpraksis: fra kategorisering efter kritikalitet og due diligence til kontraktkrav, løbende risikovurdering, tilsynsdokumentation og exit-strategier. Du får også typiske faldgruber, hvad det typisk koster i tid og ressourcer, og hvordan du gør arbejdet skalerbart uden at drukne organisationen i skemaer.

Hvorfor leverandørstyring pludselig er blevet et ledelses- og compliance-anliggende

Leverandørstyring handler grundlæggende om at sikre, at eksterne parter leverer stabilt, sikkert og i overensstemmelse med jeres krav — hele vejen fra onboarding til afvikling. En tidlig definition, der er brugbar i praksis, er: Leverandørstyring er den systematiske styring af risiko, performance og compliance i hele leverandørens livscyklus. Det betyder noget, fordi moderne virksomheder i stigende grad “outsourcer” både drift og risiko: cloud, IT-drift, løn, kundeservice, logistik, produktion, dataanalyse og underleverandørkæder.

Det nye er ikke, at leverandører kan fejle. Det nye er, at regulatorer forventer, at ledelsen kan vise et sammenhængende kontrolmiljø: hvem er kritiske, hvilke krav stiller I, hvordan følger I op, og hvordan håndterer I hændelser. NIS2 har accelereret dette skifte, men bevægelsen ses også via krav fra kunder, forsikringsselskaber, revisorer og bestyrelser.

I praksis betyder det, at procurement ikke kan løfte opgaven alene. Leverandørstyring bliver en tværgående disciplin mellem indkøb, IT-sikkerhed, jura, risikostyring, compliance og forretningen. Når det lykkes, får man ikke blot “compliance” — man får færre driftsstop, bedre forhandlingsposition og mere forudsigelig leverancekvalitet.

NIS2 i 2026: Hvad ændrer det konkret i leverandørrelationer?

NIS2 stiller krav til risikostyring og sikkerhedsforanstaltninger, herunder forsyningskædesikkerhed. Det er ikke nok at have en generel sikkerhedspolitik; virksomheder skal kunne vise, at de har vurderet risikoen fra leverandører og implementeret proportionelle kontroller. Det regulatoriske fokus rammer især leverandører, der har adgang til netværk, data, driftssystemer eller som er kritiske for leverancen af væsentlige tjenester.

Typiske spørgsmål, der opstår i 2026, lyder: Hvem er omfattet? Hvilke leverandører er “kritiske”? Hvor dybt skal due diligence gå? Hvornår er en leverandør “god nok”? Svaret er sjældent et enkelt dokument; det er en model, hvor jeres kategorisering, kontrakter, kontroller og opfølgning hænger sammen og kan forklares.

Fra “vi har en kontrakt” til “vi kan dokumentere styring”

Et regulatorisk eftersyn vil ofte lede efter sporbarhed: beslutningsgrundlag, risikovurderinger, godkendelser, opfølgningsmøder, audit-resultater og håndtering af afvigelser. Mange virksomheder har delelementer, men de ligger spredt i indkøbssystemer, e-mailtråde og lokale mapper. Det gør det svært at vise en rød tråd mellem risiko og kontrol.

Supply chain-sikkerhed som en del af forretningskontinuitet

Leverandørstyring under NIS2 hænger tæt sammen med kontinuitet: hvis en kritisk leverandør rammes af ransomware, konkurs eller større driftsnedbrud, er konsekvensen ofte direkte nedetid hos jer. Derfor bliver krav til incident-håndtering, gendannelse og kommunikation lige så centrale som pris og leveringstid.

Byg en leverandørpolitik, der både kan bestå tilsyn og skabe værdi

En moderne leverandørpolitik skal være mere end et princippapir. Den skal definere roller, minimumskrav og beslutningspunkter, så organisationen kan arbejde ensartet — og så ledelsen kan vise, at styringen er implementeret.

Som minimum bør jeres politik og tilhørende standarder/procedurer adressere:

  • Scope: Hvilke leverandører og ydelser er omfattet (inkl. underleverandører hvor relevant)?
  • Kategorisering: Metode til at klassificere leverandører efter kritikalitet og risiko.
  • Due diligence: Krav til vurdering før kontrakt (sikkerhed, økonomi, compliance, kapacitet).
  • Kontraktkrav: Sikkerhedskrav, audit-rettigheder, underleverandører, SLA, hændelsesrapportering.
  • Løbende tilsyn: Frekvens, KPI’er, risikoreviews, revision/audit og håndtering af afvigelser.
  • Hændelseshåndtering: Eskalationsveje, kommunikation, tidsfrister og samarbejde ved incidents.
  • Exit og substituering: Plan for afvikling, dataretur/sletning, overgang og nødløsninger.

Det vigtigste designvalg er at gøre politikken proportionel: jo mere kritisk leverandøren er, jo flere krav og mere opfølgning. Ellers ender I med en model, der er for tung til at blive brugt.

Kategorisér leverandører efter kritikalitet: En model der virker i praksis

Kategorisering er motoren i hele setup’et. Uden den bliver due diligence enten for overfladisk (høj risiko overses) eller for tung (alle behandles som kritiske). En enkel, men effektiv tilgang er at kombinere to dimensioner: (1) forretningskritikalitet og (2) cyber-/compliance-risiko.

Et konkret klassifikationsforslag (3 niveauer)

Du kan implementere dette uden store værktøjsprojekter:

  1. Kritisk: Leverandøren er nødvendig for kerneydelser, har adgang til kritiske systemer/data, eller et stop vil give væsentlig nedetid, lovbrud eller stor økonomisk skade.
  2. Vigtig: Leverandøren påvirker drift og kvalitet, men kan erstattes inden for en overskuelig periode, eller har begrænset adgang til systemer/data.
  3. Standard: Lav påvirkning, lav adgang, nem substituering.

Hvad du konkret måler på

Brug 6–10 faste kriterier, fx: adgangsniveau (admin/brugere/API), datatyper (persondata, forretningshemmeligheder), integrationer, afhængighed af underleverandører, geografisk/juridisk eksponering, historik med hændelser, og RTO/RPO-krav (hvor hurtigt I skal være oppe igen). En god tommelfingerregel er, at hvis en leverandør kræver 24/7 beredskab hos jer, er den sjældent “standard”.

Due diligence og onboarding: Indbyg sikkerhed og jura fra start

De fleste leverandørproblemer opstår, fordi onboarding bliver behandlet som en indkøbsopgave med en IT-checkliste til sidst. Den rækkefølge giver dyre efterregninger: kontrakter uden audit-ret, uafklarede underleverandører, eller “midlertidige” adgange der aldrig bliver lukket.

En moden onboarding har faste gates: (1) risikovurdering, (2) minimumskrav, (3) kontraktkrav, (4) teknisk adgangsstyring, (5) go-live, (6) første opfølgningsreview efter 60–90 dage.

Hvad skal due diligence indeholde?

For kritiske leverandører bør due diligence typisk dække:

  • Sikkerhedsdokumentation (fx ISO 27001-certifikat, SOC 2 Type II-rapport eller tilsvarende kontroller)
  • Hændelsesberedskab: procedurer, kontaktpunkter, øvelser, tidsfrister for notificering
  • Teknisk arkitektur og integrationsmønstre (hvor går data hen, og hvordan beskyttes de?)
  • Underleverandører: hvem, hvor, og hvilke kontroller gælder videre i kæden?
  • Økonomisk robusthed (særligt ved single points of failure)
  • Compliance-krav (GDPR, eksportkontrol, branchekrav)

Vær opmærksom på faldgruben “papir-compliance”: et certifikat kan være relevant, men det erstatter ikke forståelsen af jeres konkrete brugsscenarie. Jeg har set leverandører med flotte rapporter, hvor den konkrete integration alligevel blev sat op med for brede API-nøgler og uden logning, fordi det ikke var en del af den fælles onboarding.

Kontraktuelle sikkerhedskrav: Gør forventninger målbare og håndhævelige

Hvis krav ikke kan håndhæves, er de i praksis ønsker. Kontrakten er derfor jeres vigtigste styringsværktøj — ikke for at “vinde” juridisk, men for at skabe klare forventninger og en mekanisme til at rette op, når noget afviger.

Midt i arbejdet med at operationalisere kravene giver det mening at bruge NIS2 som referencepunkt for, hvad “god leverandørstyring” forventes at indeholde. Mange virksomheder tager udgangspunkt i leverandørstyring under NIS2 som en ramme for at koble risikovurdering, kontraktkrav og løbende tilsyn sammen, så det kan forklares konsistent over for både ledelse og tilsyn.

Minimumskrav i kontrakter (særligt for kritiske leverandører)

  • Incident-notifikation: klare tidsfrister, kontaktveje og krav til indhold (hvad, påvirkning, afhjælpning).
  • Audit- og tilsynsret: ret til at modtage relevante rapporter, gennemføre audits eller få tredjepartsverifikation.
  • Underleverandørstyring: krav om godkendelse/varsling ved ændringer og flow-down af sikkerhedskrav.
  • SLA og servicekreditter: mål for oppetid, responstid og gendannelse, koblet til konsekvenser.
  • Datahåndtering: datalokation, kryptering, logning, sletning/retur ved ophør, adgange.
  • Change management: krav om varsling ved ændringer, der påvirker sikkerhed eller drift.

En praktisk sammenligning: Hvis du kan specificere tolerancer på leverandørens leveringstid i minutter eller dage, kan du også specificere tolerancer på sikkerhed og drift — fx “kritiske sårbarheder patches inden X dage” eller “gendannelse inden Y timer”.

Løbende risikovurdering og leverandørtilsyn: Sådan gør du det skalerbart

Den største misforståelse er, at leverandørstyring er et engangsprojekt. Det er en driftsdisciplin. Leverandører skifter underleverandører, ændrer platforme, flytter data, opdaterer produkter og får nye sårbarheder. Derfor skal risikovurdering og tilsyn være en cyklus.

En skalerbar model kan fx se sådan ud:

  1. Årlig reklassificering af alle leverandører (hurtig screening)
  2. Kvartalsvis review for kritiske leverandører (KPI/SLA, incidents, ændringer)
  3. Halvårlig kontrol af sikkerhedsdokumentation for kritiske (rapportpakke, afvigelser)
  4. Ad hoc review ved større ændringer (nye integrationer, nye datatyper, M&A, cloud-migration)

Faldgruben her er “møder uden output”. Tilsyn skal resultere i beslutninger: accepteret risiko, afhjælpningsplan med deadlines, eller ændringer i scope/kontrakt. Hvis I ikke kan vise, hvad I gjorde, når en risiko blev identificeret, vil tilsyn ofte vurdere, at kontrollen ikke virker.

Dokumentation der holder til et regulatorisk eftersyn (uden at blive bureaukratisk)

Dokumentation er ikke lig med flere dokumenter. Det er lig med sporbarhed. I praksis handler det om at kunne svare på: Hvilke leverandører er kritiske? Hvilke krav gælder? Hvilke kontroller har I udført? Hvilke afvigelser fandt I? Hvad gjorde I ved dem? Hvem godkendte risici?

Et “minimum viable” dokumentationssetup, jeg har set fungere godt, består af:

  • En leverandøroversigt med klassifikation, ejer, servicebeskrivelse og afhængigheder
  • Risikoprofil pr. kritisk leverandør (1–2 sider eller et struktureret skema)
  • Kontrakt- og kravmatrix (hvilke klausuler/krav er dækket hvor)
  • Tilsynslog (dato, input, findings, beslutninger, actions, ansvarlig, deadline)
  • Incident-log koblet til leverandører (hændelser, impact, lessons learned)

Det er ofte nok til at demonstrere modenhed — især hvis det er opdateret og konsekvent. En klassisk fejl er at have flotte politikker, men en leverandøroversigt der ikke matcher virkeligheden, fordi ingen “ejer” data og opdateringer.

Exit-strategier og forretningskontinuitet: Den del alle udskyder

Exit er ikke kun relevant ved konflikt. Det er en del af risikostyring: hvad gør I, hvis leverandøren bliver ramt af et større sikkerhedsbrud, mister nøglecertificeringer, går konkurs eller ikke kan levere? Under NIS2-logikken bliver dette også et spørgsmål om modstandsdygtighed.

En robust exit-strategi for kritiske leverandører bør indeholde:

  1. Dataretur og sletning: format, frister, verifikation og logning
  2. Overdragelse: dokumentation, runbooks, konfigurationer, nøglekontakter
  3. Substituering: alternative leverandører eller midlertidige løsninger (inkl. pris- og tidsestimat)
  4. Adgangslukning: plan for deprovisioning, API-nøgler, certifikater, VPN
  5. Kommunikation: interne og eksterne interessenter, kunder og myndigheder hvis relevant

Her er faldgruben at tro, at exit kan “købes” som en klausul. Exit kræver, at I løbende holder jeres egen dokumentation og arkitektur i en tilstand, hvor en overgang er realistisk. Hvis al viden ligger hos leverandøren, er I låst, uanset hvad der står på side 37 i kontrakten.

Hvad koster det at professionalisere leverandørstyring — og hvordan prioriterer man?

Omkostningen afhænger af udgangspunkt, antal leverandører og kompleksitet. I praksis ser jeg ofte, at virksomheder undervurderer den interne tid og overvurderer behovet for store systemer. En typisk modenhedsopgradering kan gennemføres i faser:

  • 0–6 uger: klassifikationsmodel, leverandørovers
Anders Christensen
Om forfatteren
Anders Christensen
Redaktør & ansvarlig · WW Solutions

Digital markedsføringskonsulent med 12 års erfaring inden for SEO, content marketing og digital strategi. Specialiseret i at hjælpe danske virksomheder med at vokse gennem data-drevet markedsføring og moderne digitale løsninger.

Læs også