NIS2 & EU AI Act
Sikkerhedsspørgeskema fra kunder: sådan består I kravene
Flere og flere B2B-aftaler afhænger af kundens sikkerhedsspørgeskema. Se hvad NIS2 og AI Act kræver af jer som leverandør, og hvor de typiske huller er.
Hvorfor får vi overhovedet sikkerhedsspørgeskemaer?
Fordi jeres kunder er forpligtede til at stille kravene. NIS2-direktivet (Direktiv (EU) 2022/2555, i Danmark gennemført ved lov nr. 434 af 6. maj 2025, i kraft 1. juli 2025) pålægger væsentlige og vigtige enheder at styre sikkerhed i hele leverandørkæden.
Det betyder, at selv hvis I ikke selv er direkte omfattet, bliver I ramt gennem jeres kunder: en omfattet kunde skal kræve dokumentation, kontraktklausuler og løbende evidens fra sine leverandører, uanset leverandørens størrelse. Kaskaden gør den reelle målgruppe langt større end de direkte regulerede.
Hvad kræver NIS2 artikel 21 konkret af os som leverandør?
- Leverandørkæde-sikkerhed (art. 21(2)(d)): dokumentér identitet, dataadgang, hosting-region og en sikkerhedskontakt.
- Hændelseshåndtering: kunden har 24-timers varsling og 72-timers notifikation, så en kontraktlig 12-24 timers leverandør-til-kunde-SLA kræves ofte.
- Driftskontinuitet: kan tjenesten køre videre, og findes en exit-plan?
- Cyberhygiejne og uddannelse: dokumenteret sikkerhedstræning af personale, der rører kundens data.
Bøder op til 10 mio. € eller 2 % af global omsætning for væsentlige enheder.
Hvad har EU AI Act med spørgeskemaerne at gøre?
- Artikel 50 (transparens): AI, der interagerer med mennesker eller genererer indhold, skal oplyses/mærkes. Anvendelsesdato 2. august 2026.
- Artikel 4 (AI-kompetence): i kraft siden 2. februar 2025. Digital Omnibus foreslår at blødgøre ordlyden (Rådets godkendelse 29. juni 2026), men det er endnu ikke offentliggjort i EU-Tidende og er ikke gældende ret.
- Højrisiko (Annex III), fx AI i rekruttering: operativ 2. august 2026 under gældende ret; Omnibus foreslår udskydelse til 2. december 2027 (ikke i kraft).
Hvilke spørgeskemaer taler vi om?
SIG (Standardized Information Gathering), CAIQ (Consensus Assessment Initiative Questionnaire), kundens eget skema, og et stigende krav om et offentligt trust center til selvbetjening.
Sådan svarer I hurtigt uden at starte forfra hver gang
- Byg en genbrugelig svarbank koblet til den underliggende evidens.
- Saml evidens, der holder i en revision, et svar uden dokumentation er i praksis ikke bevisbart.
- Gør beviset verificerbart: kryptografisk signeret evidens med tydelig datering og navngivet menneskeligt sign-off fjerner tvivlen hurtigere end et regneark.
Sådan hjælper PowerQuant
PowerQuant leverer jeres compliance-evidens som en kryptografisk signeret pakke (Ed25519), hostet i EU, med navngivet menneskeligt sign-off, bygget til at lægge direkte ved et sikkerhedsspørgeskema eller vise i et trust center.
- Tag det gratis 2-minutters scope-tjek og se præcis hvilke krav der rammer jer.
- Quick Scan (fast pris): en signeret readiness-rapport, I kan sende til kunden.
De første fem partnere får en gratis signeret readiness-pilot mod en kort udtalelse, vi må bruge på hjemmesiden.
Ofte stillede spørgsmål
Er vi omfattet af NIS2 som lille SaaS-leverandør? Måske ikke direkte, men leverer I til virksomheder i regulerede eller kritiske sektorer, rammer NIS2 jer via kundernes leverandørkrav, uanset størrelse.
Erstatter ISO 27001 eller SOC 2 spørgeskemaet? Det hjælper meget, men erstatter det sjældent helt. Kunder beder ofte om begge dele plus specifik evidens.
Gælder AI Act os, hvis vi kun bruger AI internt? Artikel 4 om AI-kompetence gælder allerede (siden 2. februar 2025) for organisationer, der bruger AI, også internt.
Vejledende overblik, ikke juridisk rådgivning. Datoer og beløb verificeret mod Reg. (EU) 2024/1689, Direktiv (EU) 2022/2555 og lov nr. 434 af 6. maj 2025. Digital Omnibus-ændringer er markeret som forslag og endnu ikke offentliggjort i EU-Tidende.