Tel: 70 26 48 50
Opret din support sag       Remote support 

NIS2 krav til underleverandører: svar der holder

SMV der udfylder NIS2-leverandørspørgeskema med Microsoft 365 Compliance Manager som dokumentation

NIS2 krav til underleverandører: svar der holder

Af Sten Albert Person A-one Solutions ·
·
Kategori: Compliance

En stor kunde sender et NIS2-spørgeskema og vil have svar på alt fra MFA til logning, backup og leverandørstyring. Hvis I svarer med “vi har antivirus” eller et Word-dokument fra 2019, ryger I bag i bunken. I kan svare bedre uden at starte et dyrt compliance-projekt. Målet er enkelt: ét sted, hvor jeres kontroller, evidens og status kan genbruges hver gang.

Key takeaways

  • Gør svar genbrugelige: Brug Microsoft Purview Compliance Manager til at samle kontroller, opgaver og evidens, så I ikke starter forfra ved hvert spørgeskema.
  • Stop identitets-hullerne først: Skift fra svag MFA (fx SMS) til stærk MFA/Conditional Access i Entra ID – Microsoft Digital Defense Report 2025/26 peger på MFA-mangler som hovedårsag ved kompromitterede konti.
  • Gør sikkerhed målbart: Brug Microsoft Secure Score som “status-tal” til ledelse og kunder, og dokumentér forbedringer måned for måned.
  • Fjern Windows 10-risikoen: Windows 10 er EOL (okt. 2025). I 2026 er det et compliance- og sikkerhedsproblem – planlæg opgradering/udskiftning og dokumentér det.
  • Lav en leverandørpakke: Én side med politikker + en evidensmappe + en standard “leverandørerklæring IT-sikkerhed”, så salgsprocessen ikke går i stå.

Eksempel på NIS2-spørgeskema fra kunde med felter for MFA, logning, backup og leverandørstyring

Hvorfor NIS2 krav til underleverandører rammer jer, selv hvis I ikke er omfattet

I behøver ikke selv være “Essential” eller “Important Entity” for at mærke NIS2. Kundernes tilsyn og leverandørstyring bliver hårdere i 2026 (ENISA, NIS2 implementation status). Derfor bliver jeres svar et indkøbskriterie: Kan I dokumentere kontrollerne, eller kan I ikke?

Tommelfingerregel: Hvis I leverer noget, der giver adgang til kundens data, drift eller brugere (IT, SaaS, udvikling, support, marketing med kundedata), bliver I behandlet som en sikkerhedsrisiko, indtil I har dokumentation.

Sådan svarer I på “det store spørgeskema” uden at drukne

De fleste spørgeskemaer spørger om de samme 20–40 ting. Tricket er at etablere en fast “svar-motor” i Microsoft 365, så I kun vedligeholder én sandhed.

1) Start med tre dokumenter, der næsten altid bliver efterspurgt

  • IT-sikkerhedspolitik (SMV): 1–3 sider med roller, adgang, opdateringer, backup, logning, hændelser og leverandører.
  • Beredskabsplan/Incident plan: Hvem gør hvad, og hvem kontakter I – inkl. 24-timers intern eskalering (matcher NIS2-krav om hurtig rapportering i praksis).
  • Leverandørerklæring IT-sikkerhed: Standardtekst med jeres kontroller, ansvar og kontaktpunkt.

2) Læg evidens ét sted (så I kan vedhæfte i stedet for at forklare)

Lav en SharePoint-side eller et Team til “Compliance & Security Evidence”. Brug mapper som: Identity, Endpoint, Email, Backup, Logging, Policies, Vendors. Sæt retention op, så I kan bevise historik (se også jeres setup under compliance).

Før → Efter #1
Før: Svar skrives manuelt i Excel, og I leder efter screenshots i mailtråde.
Efter: Compliance Manager-opgaver peger på faste evidenslinks i SharePoint; I genbruger samme bilag ved næste kunde. Kvaliteten bliver ens, og svartiden falder markant.

Tjekliste: 12 konkrete kontroller kunder typisk kræver (og hvad I viser som bevis)

Brug listen som “NIS2 dokumentation skabelon” til jeres egen pakke. Når I kan dokumentere disse 12, kan I ofte dække 80% af spørgeskemaet.

Kontrol Hvad kunden vil vide Hvad I kigger efter Evidens (praktisk)
MFA / adgang Er login beskyttet? Ingen undtagelser for admin; undgå SMS-MFA hvor muligt Conditional Access policies + skærmbillede af “MFA enforced”
Admin-roller Hvem kan hvad? Min. privilegier, separate admin-konti Liste over roller (Entra ID) + godkendelsesflow
Enheder Er pc’er styret? Intune compliance; kryptering; skærmlås Intune compliance rapport + policy-oversigt
Windows 10 Er I på supporteret OS? 0 aktive Windows 10-enheder i drift Enhedsliste + migrationsplan
Patch/updates Hvor hurtigt opdaterer I? Fast patch-vindue og undtagelser registreres Update rings/rapporter + change log
Email-sikring Stopper I phishing? Anti-phishing policies; DMARC/DKIM/SPF Policy-udskrift + domæneopsætning
Backup Kan I gendanne? RPO/RTO defineret; testet restore Backup-rapport + restore-test log
Logning Kan I efterforske? Central log, adgang til audit logs Log-retention indstillinger + eksempel på audit event
Hændelseshåndtering Hvem gør hvad ved angreb? Telefonliste, ansvar, tidslinje for eskalering Incident plan + seneste tabletop-øvelse
Dataklassificering Hvordan håndterer I data? Minimum: “offentlig / intern / fortrolig” Purview labels/policy + brugervejledning
Leverandører Styrer I jeres kæde? Liste over kritiske leverandører + review-frekvens Vendor register + review-noter
AI-brug Risikerer I “Shadow AI”? Politik for hvilke værktøjer der må bruges AI-politik + teknisk kontrol (DLP/tenant indstillinger)

Tjekliste over NIS2-kontroller med evidens, fx MFA, Intune, backup og logning

Sådan bruger I Microsoft Compliance Manager som jeres “dokumentationsmotor”

Compliance Manager (i Microsoft Purview) er stærk, fordi den kobler krav til konkrete actions og giver jer et sted at vedligeholde evidens. Brug den som arbejdsværktøj – ikke som pynt.

  1. Vælg relevant template/assessment: Brug en assessment, der matcher kundens kravsæt (ofte ISO/NIS-inspireret). I behøver ikke perfektion – I skal kunne vise retning og fremdrift.
  2. Fordel ansvar: Sæt en ejer pr. kontrol (IT, HR, ledelse). En “ingen ejer” kontrol bliver aldrig færdig.
  3. Link evidens: Peg på jeres SharePoint-evidensmappe i hver opgave. Undgå at gemme dokumentation på lokale drev.
  4. Brug score som styring: Vis status i ledelsesmødet én gang om måneden sammen med Microsoft Secure Score.

Før → Efter #2
Før: “Vi er nok sikre” bliver en mavefornemmelse og ender i lange mailtråde med kunden.
Efter: I sender et kort svar + vedhæfter en status fra Compliance Manager/Secure Score og en liste over planlagte forbedringer. Kunden kan se modenhed uden at læse 20 sider.

Vil I kunne svare på kundernes NIS2-krav på under en uge?

Vi kan lave et Security & Compliance Health Check i jeres Microsoft 365: Secure Score, identitetskontroller, enheder, logning og en konkret prioriteringsplan, der kan genbruges i spørgeskemaer.

Tag fat i os via kontakt eller se vores tilgang til IT-sikkerhed og drift/MSP.

Fejl der koster jer aftaler (og hvordan I retter dem hurtigt)

1) MFA er “slået til”, men ikke håndhævet

Microsoft Digital Defense Report 2025/26 peger på, at kompromitterede konti ofte mangler MFA eller bruger svage metoder. Beslutningsregel: Hvis en konto kan logge ind uden moderne MFA, så er det et fund – ikke en detalje. Løs det med Conditional Access og stærke metoder (Authenticator/passkey hvor muligt).

2) I har stadig Windows 10 i produktion

Windows 10 udgik i oktober 2025. I 2026 er det svært at forsvare over for en kunde, at endpoints kører på et OS uden standard-support. Beslutningsregel: Hvis enheder bruges til mail, filer eller kundedata, skal de være på et supporteret OS. Dokumentér en plan, hvis I ikke kan være 100% i mål endnu.

3) Ingen kan vise en restore-test

“Vi tager backup” er ikke det samme som “vi kan gendanne”. Beslutningsregel: Hvis I ikke har en log på seneste restore-test (hvad blev gendannet, hvor lang tid tog det, og hvad lærte I), så forvent at kunden markerer jer som høj risiko.

Hvordan vælger I mellem Secure Score og “compliance score” i dialogen med kunden?

Brug dem til hvert sit formål:

  • Microsoft Secure Score: Teknisk sikkerheds-hygiejne i Microsoft 365 (identity, device, apps). God til at styre drift og vise forbedring.
  • Compliance Manager: Arbejdsplan + evidens til krav (processer, politikker, dokumentation). God til leverandørspørgeskemaer og audits.

Praktisk regel: Hvis kunden spørger “hvad har I sat op?”, vis Secure Score + konkrete policies. Hvis kunden spørger “hvordan sikrer I det over tid?”, vis Compliance Manager-opgaver, ejerskab og evidens.

FAQ: typiske spørgsmål om NIS2 og leverandørkrav

Hvad betyder NIS2 krav til underleverandører i praksis?

At jeres kunder forventer dokumentation for adgangskontrol, patching, backup, logning, hændelseshåndtering og leverandørstyring. I bliver vurderet på bevis – ikke på intentioner.

Skal vi have en ISAE 3402 for at få nye kunder?

Ikke altid. Mange kunder accepterer en lettere “pakke”, hvis den er konsistent: politikker + evidens + måling (Secure Score) + en plan med deadlines. ISAE 3402 bliver typisk aktuelt, når I driver kritiske driftsydelser for større kunder eller håndterer meget følsomme data.

Hvad er den hurtigste NIS2 dokumentation skabelon, vi kan lave?

Lav (1) IT-sikkerhedspolitik på 1–3 sider, (2) incident/beredskabsplan på 1–2 sider, og (3) en evidensmappe i SharePoint med faste bilag: MFA/Conditional Access, Intune compliance, backup-rapport, log-retention, leverandørliste.

Hvilken Microsoft Compliance Manager guide giver mest værdi først?

Start med at oprette en assessment, tildele ejere pr. kontrol og linke evidens. Når I har 10–15 kontroller med beviser, kan I genbruge materialet i næsten alle kunde-spørgeskemaer.

Hvad er et realistisk Microsoft Secure Score benchmark for en SMV?

Brug score som trend, ikke som trofæ. En praktisk regel er at sigte efter “stabilt opad” og fokusere på høj-effekt actions (MFA/Conditional Access, device compliance, admin-hærdning). Hvis scoren står stille i måneder, mangler der ejerskab eller driftstid.

Hvordan håndterer vi “Shadow AI” uden at forbyde alt?

Lav en enkel AI-politik: hvilke værktøjer må bruges, hvilke data må ikke ind, og hvem godkender nye tools. Kombinér politik med teknisk håndhævelse (klassificering/DLP hvor relevant). ConnectWise/MSP Threat Report 2026 peger på, at mange SMB’er mangler AI-politik – det bliver et nyt spørgsmål i spørgeskemaer.

Hvad svarer vi, når kunden spørger om NIS2 bøder størrelse?

Hold jer til det, I kan stå på mål for: I kan ikke “love bødefrihed”, men I kan dokumentere risikoreduktion og governance. Svar med jeres kontroller, jeres proces for hændelser og jeres plan for lukning af gaps. Det er det, indkøb og compliance kan handle på.

Sådan kommer I i gang de næste 10 arbejdsdage

  1. Dag 1–2: Udpeg en intern ansvarlig for leverandørspørgeskemaer og lav en mappe til evidens i SharePoint.
  2. Dag 3–4: Håndhæv stærk MFA/Conditional Access for alle brugere og særskilt for admins. Fjern undtagelser.
  3. Dag 5: Træk en enhedsliste og lav en plan for at fjerne sidste Windows 10-maskiner fra produktion.
  4. Dag 6–7: Dokumentér backup og gennemfør én restore-test. Gem rapporten i evidensmappen.
  5. Dag 8: Opret Compliance Manager assessment, fordel ejerskab og link evidens til de første 12 kontroller.
  6. Dag 9: Lav en én-sides leverandørerklæring IT-sikkerhed, som I kan vedhæfte i tilbud.
  7. Dag 10: Aftal et månedligt “score-møde” (Secure Score + Compliance Manager), og læg 3 forbedringer i en 30-dages plan.

Graf der viser forbedring i Secure Score over tid som dokumentation til kunder

Facebook Linkedin

Artikler om Sikkerhed

E-mail sikkerhed er en gratis garanti hos os!

E-mail sikkerhed er en gratis garanti hos os!

Bya-os.dk 07/03/2024
Microsoft 365 Backup & Archive – hurtig og præcis hjælp

Microsoft 365 Backup & Archive – hurtig og præcis hjælp

Bya-os.dk 10/10/2023

Tilmeld dig vores nyhedsbrev

Synes du også det er fantastisk at lære nye ting? Tilmeld dig til vores nyhedsbrev, og få opdateringer og tilbud.

Ved at tilmelde, accepterer du vores datapolitik

Kontakt os

Har du flere spørgsmål? Vi står klar ved linjen

Du kan ringe til dette nummer for alle relvante sprøgsmål eller support.

+45 70 26 48 50

Book møde