NIS2 direktivet kontrakter og krav til compliance

Hvad NIS2-direktivet kræver af dine kontrakter

NIS2 er skabt for at hæve cybersikkerhedsniveauet på tværs af EU, men den virkelige ændring ligger i ansvaret for hele forsyningskæden. Virksomheder skal ikke blot beskytte egne systemer – de skal også sikre, at eksterne partnere lever op til samme standarder. Det betyder, at dine kontrakter skal indeholde tydelige og målbare krav til it-sikkerhed, hændelseshåndtering og rapporteringspligt ved sikkerhedsbrud.

Tidligere kunne man nøjes med en formulering som “leverandøren skal følge god it-sikkerhedspraksis”, men nu skal kravene være konkrete og efterprøvelige. Det kan inkludere procedurer for adgangsstyring, logning, sikkerhedsrevisioner og rapportering. Samtidig forudsætter NIS2, at kravene bliver revideret i takt med, at risikoen ændrer sig. Det gør fleksible klausuler, der giver mulighed for løbende justering, nødvendige.

Et andet centralt krav handler om kontrol og tilsyn. Virksomheder skal kunne dokumentere, at de overvåger, auditerer og evaluerer deres leverandører. Her spiller kontraktuelle rettigheder som auditadgang, leverandørens rapporteringspligt og krav om årlige sikkerhedserklæringer en afgørende rolle. Hvis de ikke er indarbejdet, kan det være svært at håndhæve compliance.

“Kontrakten er ikke længere en formalitet – den er dokumentationen for, at du lever op til NIS2-kravene.”

For mange organisationer ligger udfordringen i skalaen. Hundredvis af kontrakter gør manuelle gennemgange uoverskuelige. Med digitale løsninger som ClearContract kan du hurtigt identificere, hvilke aftaler der allerede har relevante sikkerhedsklausuler, og hvor der skal opdateres. Det skaber et klart overblik og giver et stærkere grundlag for efterlevelse af NIS2.

Leverandøransvar og løbende compliance

Et af de mest markante aspekter ved NIS2 er fokus på forsyningskædesikkerhed. Mange cyberangreb sker gennem tredjepartsleverandører, og direktivet stiller derfor krav om, at du som virksomhed bærer det endelige ansvar. Det betyder i praksis, at både jura, indkøb og it skal samarbejde om at sikre, at leverandørkontrakter afspejler de rette sikkerhedsforventninger fra starten af samarbejdet.

NIS2 kræver ikke én bestemt kontraktmodel, men dokumentation for, at sikkerhed er tænkt ind i samarbejdet. Du skal kunne vise, hvordan risici er identificeret, og hvordan du følger op på leverandørernes efterlevelse. Dette kræver systematisk kontraktstyring og ensartet praksis i hele virksomheden. Når kontrakter ligger i forskellige systemer eller drev, bliver overblikket hurtigt uklart – og dermed også compliance-risikoen større.

Automatisering bliver i stigende grad nødvendigt for at fastholde kontrol og effektivitet. Digitale workflows til kontraktgodkendelser, påmindelser om revision og opfølgning på sikkerhedskrav kan spare tid og sikre, at ingen forpligtelser overses. Platforme som ClearContract tilbyder denne type automatisering, så du nemt kan følge status og efterlevelse i realtid.

NIS2 er implementeret i national lovgivning, og sanktionerne for manglende efterlevelse kan være betydelige. Her bliver kontrakter et centralt bevis på, at virksomheden har arbejdet systematisk med cybersikkerhed. Tydelige aftaler med leverandører sikrer ikke alene kontrol – de bidrager også til dokumentationen, der kan være afgørende ved tilsyn eller hændelser.

Konklusion og næste skridt

• NIS2 handler ikke kun om teknik, men om at forankre cybersikkerhed i klare kontraktvilkår.
• Leverandører skal forpligtes juridisk til at efterleve sikkerhedskrav og rapportere hændelser.
• Forsyningskædesikkerhed kræver løbende overvågning og ajourføring af kontrakter.
• Digital kontraktstyring skaber overblik og dokumentation for compliance.
• Automatisering af workflows og kontrolprocesser gør NIS2-arbejdet langt mere håndterbart.