När träder NIS2 i kraft? - Senast 17 oktober 2024 skulle alla EU-länder ha infört NIS2 - Kraven gäller därefter löpande Vem omfattas av NIS2? - Väsentliga verksamheter: energi, transport, bank/finans, vård, vatten, digital infrastruktur - Viktiga verksamheter: industri, livsmedel, avfall, digitala tjänster - Storlek: >50 anställda eller >10 miljoner euro Nya krav i och med NIS2: - Riskhantering - Incidentrapportering (24h / 72h) - Ledningsansvar - Leverantörsrisker - Säkerhetsåtgärder - Dokumentation Vem följer upp efterlevnad? - Nationella tillsynsmyndigheter (t.ex. MSB, PTS, Finansinspektionen) - Revisioner, granskningar och kontroller - Sanktioner vid brister Inköp blir en del av cybersäkerheten: - Leverantörer = attackyta - Inköpsbeslut = säkerhetsbeslut Sammanfattning: Inköp måste säkerställa att lösningar är säkra, dokumenterade och redo för granskning. Läs vidare hur vi kan hjälpa er här!

EU:s Cybersecurity Act (CSA) har förändrat hur organisationer behöver tänka kring inköp av digitala produkter och tjänster. Det som tidigare främst handlade om funktion, pris och leverans handlar idag i allt större utsträckning om säkerhet, tillit och efterlevnad. En ny verklighet för inköp Cybersecurity Act inför ett europeiskt ramverk för cybersäkerhetscertifiering av produkter, tjänster och processer. Det innebär att säkerhet inte längre är något “nice to have” – det är en mätbar och reglerad faktor i inköpsbeslut. För inköpsfunktionen betyder detta ett skifte: - Från fokus på kostnad och funktion - Till fokus på risk, säkerhetsnivå och certifiering Certifiering blir en ny urvalsparameter En av de största förändringarna är införandet av EU-gemensamma certifieringssystem. Vid inköp behöver organisationer nu: - kontrollera om leverantören har relevant cybersäkerhetscertifiering - jämföra olika säkerhetsnivåer (basic, substantial, high) - väga säkerhetscertifiering lika tungt som pris

1. Klassificering styr inköpet När du upphandlar AI måste du först förstå vilken riskklass systemet har: - Låg risk – relativt fritt att köpa (t.ex. enkla chatbots) - Hög risk – omfattande krav (t.ex. AI i HR, kreditbedömning, medicin) - Otillåten AI – får inte köpas alls Inköpsprocessen börjar alltså med riskbedömning, inte bara pris/funktion. 2. Nya krav på leverantörer Du kan inte längre köpa “black box”-AI hur som helst. Som inköpare behöver du säkerställa att leverantören: - uppfyller AI Act-krav - har dokumentation och transparens - kan visa compliance (CE-märkning i vissa fall) - har riskhantering och datakvalitet på plats Praktiskt: fler krav i upphandling/RFP. 3. Ökat ansvar för köparen (användaren) Det räcker inte att leverantören är compliant. Som organisation som använder AI måste du: - använda systemet enligt instruktioner - övervaka användningen - hantera risker och incidenter - ibland registrera systemet Inköp innebär även ansvar för drift och governance. 4. Dataskydd oc

Inom finans- och försäkringssektorn är inköpsprocessen starkt kopplad till regulatorisk efterlevnad. Leverantörer kan innebära betydande operativa, legala och finansiella risker, vilket gör att tillsynsmyndigheter ställer höga krav på styrning, kontroll och transparens – särskilt vid outsourcing och tredjepartsleverantörer. 1. Tolkning av regulatoriska krav i kontext Regelverk som DORA, EBA/EIOPA:s outsourcingriktlinjer, AML, GDPR och ESG/CSRD påverkar inköpsprocessen. Nyckelprincipen är att översätta dessa till konkreta inköpskrav såsom due diligence och dokumentation. 2. Klassificering av leverantörer och tjänster Inför modeller för att klassificera leverantörer, t.ex. kritiska funktioner och ICT-leverantörer. 3. Förstärkt due diligence-process Inkluderar finansiell stabilitet, regelefterlevnad, informationssäkerhet och ESG-risker. 4. Uppdatering av avtal och klausuler Inkluderar revisionsrätt, incidentrapportering, exit-strategier och kontinuitetsplaner. 5. Integrering i inköpsproce

Inledning Digital Operational Resilience Act (DORA) innebär skärpta krav på finansiella aktörers hantering av IKT-risker, incidentrapportering, tredjepartsrisk och kontinuitet. En central del är hur organisationer styr och följer upp sina IKT-leverantörer. För många verksamheter väcker detta en oro: Kommer DORA innebära fler möten, fler dokument, fler kontroller och mer administration i leverantörssamverkan? Det behöver det inte göra. Tvärtom kan ett redan etablerat samverkansforum med leverantörer bli ett kraftfullt verktyg för att uppfylla DORA – om det struktureras rätt. Nyckeln är att integrera DORA-kraven i befintliga forum och processer istället för att skapa parallella spår. 1. Börja i rätt ände: Vad är syftet med forumet? Många leverantörsforum har vuxit fram organiskt med fokus på operativ uppföljning, roadmap, incidenter och relation. DORA förändrar inte behovet av dessa forum – men det tydliggör att de också behöver stödja strukturerad riskuppföljning, tydlig incidenttransp

Digital operativ motståndskraft handlar inte enbart om teknik, processer och regelverk. Minst lika viktigt är hur människor och funktioner samverkar inom och mellan organisationer. I detta sammanhang blir samverkansforum ett centralt verktyg för att möta kraven i DORA – Digital Operational Resilience Act. DORA ställer höga krav på styrning, riskhantering och uppföljning av IT-relaterade risker. Dessa krav kan sällan uppfyllas av en enskild funktion. I stället krävs strukturerade forum där inköp, IT, informationssäkerhet, risk, compliance och verksamhet möts och fattar gemensamma beslut. Varför samverkansforum är avgörande enligt DORA DORA utgår från ett helhetsperspektiv på digitala risker och förutsätter att organisationen har samlad kontroll över sina ICT-risker, tydliga beslutsvägar och fungerande rapportering. Från informella möten till etablerade styrforum Samverkansforum enligt DORA ska vara formaliserade, dokumenterade och kopplade till tydliga mandat och ansvar. Samverkansforum