Ledelse

Kære Bestyrelse – Kender I jeres digitale værdikæde?

Digitaliseringen har gjort værdikæden både mere effektiv og mere sårbar. Data, cloudløsninger, automatiserede processer og adgang til kritiske systemer betyder, at leverandørstyring ikke længere kun handler om pris, kvalitet og bæredygtighed.

Foto: SIRIUS advokaters billedgalleri

Virksomheder skal også vide, hvem der behandler data, driver systemer og i praksis kan påvirke drift, compliance og omdømme. EU’s mange reguleringer inklusiv blandt andet GDPR, NIS2, DORA og CRA peger alle i samme retning: Opgaver kan uddelegeres, men ansvaret kan ikke blot sendes videre. Transparens i den digitale værdikæde er derfor ikke bare forretningskritisk risikostyring, men i høj grad også en juridisk disciplin, der forudsætter due diligence, risikoklassificering, kontraktstyring og løbende opfølgning. Det kræver også samarbejde på tværs af jura, IT, compliance og forretning. Lykkes man med det, bliver transparens til gengæld ikke kun compliance, men strategisk modstandskraft. 

Når forretningskritiske processer er databårne: Jura og transparens i værdikæden  

Værdien af at sikre transparens i leverandørkæden har for mange traditionelt handlet om bæredygtighed, herunder sikring mod leverandørers brug af børnearbejde eller mod leverandørers skadelige virkning på klimaet. I tråd hermed har transparens og styring handlet om at kunne placere et ansvar.  

I takt med den digitaliserede æra er data også blevet en central og integreret del af infrastrukturen. Data medbringer samtidig sin egen iboende sårbarhed ind i kernen af virksomhedens drift. Shipping, logistik, produktion, finans, forsikring og platforme hænger sammen gennem cloud, dataudveksling, tracking og automatiserede processer, der alle er omfattet af det generelle cybertrusselsbillede. 

En høj grad af dataafhængighed ændrer derfor markant i trusselsbilledet hos den enkelte virksomhed, og kræver, at den enkelte virksomhed ved, hvem der behandler virksomhedens data, og hvem der driver virksomhedens systemer. Altså ved, hvem der i praksis kan påvirke virksomhedens centrale drift, compliance og omdømme. 

Fakta

I den digitaliserede værdikæde skal virksomheden vide, hvem der behandler data, og hvem der driver systemer og har adgang til kritiske processer.  Disse aktører har ikke bare omdømmemæssig betydning. De har i praksis adgang til stopknappen, der helt eller delvist kan slukke virksomhedens drift. Det være sig midlertidigt eller permanent. 

Fra leverandørstyring til værdikædestyring  

En leverandør er ikke kun en kommerciel modpart. Leverandøren kan være databehandler, cloud- eller softwareleverandør, rådgiver eller operatør af kritiske systemer, og man er ofte kritisk afhængig af sin leverandør. Har virksomheden ikke overblik over sin leverandørkæde, har virksomheden heller ikke overblik over sine reelle forretningsrisici.   

Datarisikostyring bør derfor ikke behandles som et isoleret GDPR-projekt eller som et rent IT-sikkerhedsprojekt. Det bør indgå i virksomhedens almindelige forretningsmæssige risikostyring. Ved vurdering af leverandører bør spørgsmål om behandling, kontrol og adgang til data samt tredjelandsoverførsler og afhængighed indgå på linje med pris og leveringssikkerhed.

Transparens er en adgang (og dermed evne) til at kunne svare konkret på spørgsmål som: 

  • Hvilke leverandører er kritiske?
  • Hvilke data behandler de – og hvor?
  • Hvilke underleverandører indgår?
  • Hvad sker der, hvis de eller deres underleverandører bliver ramt af ransomware eller andre kritiske sikkerhedshændelser?

For mange virksomheder ligger den største sårbarhed i øvrigt ikke i de leverandører, der er synlige i indkøbsbudgettet. Den ligger i de digitale afhængigheder, der ligger nedenunder. Det er ofte her, en kritisk hændelse hurtigt kan sprede sig. Ikke fordi en enkelt leverandør nødvendigvis har ringe og ustabil sikkerhed, men fordi kunden ikke har tilstrækkeligt overblik over afhængigheder, adgangsrettigheder, sikkerhedsforanstaltninger og eskalationsveje systemerne imellem.  

I sin rapport fra juni 2023 om Good Practice for Supply Chain Cybersecurity indleder The European Union Agency for Cybersecurity (ENISA) med at fremhæve, at forsyningskædesikkerhed efter NIS2 anses som en integreret del af cybersikkerhedsrisikostyring, og at god praksis bør omfatte bl.a. strategisk tilgang til supply chain risk management, supplier relationship management, sårbarhedshåndtering og kvaliteten af leverandørers produkter og praksis. Rapporten peger også på udfordringen ved, at mange organisationer ganske vist har dokumenterede politikker, men at der mangler dedikerede roller og ansvar for informationssikkerhed (ICT), for operationel IT-sikkerhed (OT) og for leverandørcybersikkerhed.   

ENISA’s senere rapport fra december 2025 om Technical Advisory for Secure Use of Package Managers understreger pointen om, at den digitale værdikæde ikke kun består af de leverandører, virksomheden har kontrakt med. Den omfatter også de softwarepakker, biblioteker, plugins mv., som indgår i virksomhedens systemer, og som hver for sig kan trække en hel kæde af underliggende afhængigheder med sig. Eventuelle sårbarheder i disse komponenter bliver dermed en del af virksomhedens egen angrebsflade, hvilket understreger behovet for, at leverandør- og datastyring også omfatter software supply chain security. 

De regulatoriske krav: EU’s komplekse regelsæt  

EU’s omfattende datasikkerhedsregelsæt i form af bl.a. GDPR, NIS2, DORA og CRA trækker i samme retning: Virksomheden kan uddelegere opgaven – men aldrig ansvaret.    

General Data Protection Regulation (GDPR)’s sikkerhedskrav i bl.a. artikel 32 er risikobaserede, og kræver derfor, at den dataansvarlige og databehandleren under hensyn til bl.a. teknisk niveau, omkostninger, behandlingens karakter, omfang, kontekst og formål samt risikoen for de registreredes rettigheder og frihedsrettigheder implementerer passende tekniske og organisatoriske sikkerhedsforanstaltninger – og det gælder hele datakæden (også hos underdatabehandlere). Leverandørstyring efter GDPR kan derfor ikke reduceres til at få underskrevet en databehandleraftale. Datatilsynet formulerer det helt konkret: Det er ikke nok blot at indgå databehandleraftaler. Der skal følges op på databehandleren og eventuelle underdatabehandlere for at sikre, at behandlingen sker i overensstemmelse med det aftalte, og at sikkerhedsforanstaltningerne er som beskrevet. GDPR’s mange og ubetingede krav til beskyttelsesniveau ved tredjelandsoverførsler er også et eksempel på, at leverandørstyring og transparens er nødvendig.   

Datatilsynet har i den forbindelse understreget, at det ikke er nok at se på, om data “opbevares i EU”. Der kan stadig ske behandling i eller fra tredjelande, fx via support, metadata, opdateringer, sikkerhedskomponenter, ekstra serverkapacitet eller kontraktmæssige adgangsmuligheder. Support via kiggeadgang fra et tredjeland vil i den forbindelse også udgøre en tredjelandsoverførsel af data.  

GDPR handler om personoplysninger, men værdikædens datarisiko stopper ikke dér. Den efterhånden omfattende cyberregulering flytter fokus fra de private/personlige data til forretningsrobusthed og -kontinuitet og dermed de generelle samfundsmæssige økonomiske hensyn:   

Network Information System Directive (NIS2) er i dansk ret gennemført ved NIS2-loven, som trådte i kraft 1. juli 2025. NIS2-direktivet kræver i artikel 21, at væsentlige og vigtige enheder har en tæt ledelsesforankret styring af cybersikkerheds- og forsyningskæderisici med bl.a. løbende opfølgning og sikring af uddannelse i cybersikkerhedsrisikostyring.   

Til NIS2-loven hører Bekendtgørelse om udpegning af kompetente myndigheder og digital kommunikation omfattet af NIS2-loven (BKG nr. 620 af 2. juni 2025), der for hver sektor angiver, hvem der er kompetent tilsynsmyndighed. Eksempelvis er Energistyrelsen kompetent myndighed for affaldsforbrændingsanlæg, Digitaliseringsstyrelsen er kompetent myndighed for onlinemarkedspladser, onlinesøgemaskiner og platforme for sociale netværkstjenester, Søfartsstyrelsen er kompetent myndighed for rederier, Sundhedsstyrelsen er kompetent myndighed for sundhedssektoren og for fremstilling af medicinsk udstyr og Styrelsen for Samfundssikkerhed er kompetent myndighed for fremstilling af computere, elektroniske produkter og udstyr samt generelt for produktion af maskiner og udstyr, der ikke er omfattet af de øvrige.   

For navnlig søfartssektoren fremhæver Søfartsstyrelsen for eksempel, at danske rederier over en vis størrelse er væsentlige eller vigtige enheder, og at kravene for disse – som forudsat i NIS2 – blandt andet omfatter risikohåndtering, forsyningskædesikkerhed, leverandørstyring, hændelses-håndtering og ledelsesansvar.   

Digital Operational Act (DORA), der har fundet anvendelse fra 17. januar 2025, gælder for den finansielle sektor og går, endnu længere i retning af formaliseret ICT-tredjepartsrisikostyring. DORA fastslår i artikel 28, at finansielle enheder skal håndtere ICT-tredjepartsrisiko som en integreret del af ICT-risikostyringsrammen, og at de bl.a. skal have strategi for ICT-tredjepartsrisiko og et register over kontraktuelle arrangementer med ICT-tredjepartsleverandører.   

Cyber Resilience Act (CRA), som trådte i kraft 10. december 2024, fastlægger sikkerhedskrav til hardware- og softwareprodukter med digitale elementer, der stilles til rådighed på EU-markedet. Forordningen indfører blandt andet centrale produktkrav krav til design, udvikling, produktion og vedligeholdelse, som finder anvendelse fra 11. december 2027. Forordningen indfører også en forpligtelse til at rapportere udnyttede sårbarheder og alvorlige sikkerhedshændelser. Denne rapporteringspligt gælder fra 11. september 2026.   

De tydelige fællesnævnere: Robust styring og ingen outsourcing af ansvar

Det samlede regelsæt bærer tydeligt præg af et fokus på (også) de risici, der ligger uden for forretningen. Dem der ligger hos leverandørerne. Leverandørkæden skal derfor kortlægges, dokumenteres, risikovurderes og styres løbende som en del af virksomhedens samlede interne risikostyring.

Fra kontraktbilag til reel risikostyring  

Regelsættet fastlægger også klart, at den regulatoriske risiko som udgangspunkt forbliver hos virksomheden selv. For virksomhedens egen skyld skal man derfor så vidt muligt sikre en afbalanceret regulering af de kommercielle og økonomiske konsekvenser i alle kontrakter med leverandører. 

Som påpeget i ENISA’s rapport – samt af Datatilsynet – er fint udarbejdet dokumentation, der ligger sorteret på fildrevet eller i skuffen, jo heller ikke lig med reel governance, der lever op til den forventede faktiske risikostyring. 

Mange virksomheder har bunker af databehandleraftaler, ISO-certifikater og sikkerhedsbilag,  men de mangler som oftest en samlet model, der integrerer jura, IT og forretning. 

Fakta

GDPR, NIS2, DORA og CRA stiller hver for sig detaljerede krav til risikostyring, leverandørkontrol og hændelseshåndtering.  

Leverandørstyring er derfor i høj grad også en juridisk disciplin, der sikrer, at de lovpligtige politikker, kontraktvilkår og kontroller går hånd i hånd med både de forretningskritiske og de kommercielle elementer. 

En praktisk model for leverandør- og datastyring kan med fordel bygges op som en trinvis proces, hvor virksomheden først skaber overblik over sine leverandører, dataflows og systemafhængigheder, og derefter omsætter risikovurderingen til governance, kontraktkrav, kontroller og løbende opfølgning. 

Kilde: Advokat (H) Kira Kolby Christensen, SIRIUS advokater. Foto: SIRIUS advokater

Som fastslået ovenfor, har virksomheden – og dermed bestyrelsen – det ultimative ansvar for værdikæden og risikostyring. Bestyrelsen bør i denne forbindelse sikre en samlet leverandør- og datakortlægning, hvori virksomheden navnlig har identificeret  

  • Leverandører og underleverandører med adgang til følsomme data eller kritisk drift (fx væ-sentlige hosting-, support- og sikkerhedsleverandører)
  • Kritiske ICT- eller OT-leverancer, inklusive beskrivelser af afhængigheder, integrationer og adgangsrettigheder.

Leverandørerne skal klassificeres/kategoriseres efter risiko og forretningskritisk betydning. Dernæst skal virksomheden fastlægge passende sikkerhedsforanstaltninger for hver leverandør. Ikke alle leverandører skal behandles ens. En frokostleverandør, en cloudleverandør, en lønadministrator, en bookingplatform og en leverandør af havne- eller logistiksystemer indebærer ikke blot væsentligt forskellige risici, men har også væsentligt forskellig forretningskritisk betydning.   

Når kortlægningen, klassificeringen og de passende sikkerhedsforanstaltninger er på plads, kan man sikre den tilsvarende passende kontraktuelle governancestruktur – herunder ikke mindst sikre passende rapporteringskrav, auditrettigheder og exitplaner.   

Endelig skal modellen leve efter kontraktindgåelsen. Leverandørstyring er en livscyklus og virksomheden skal derfor integrere den kontraktuelle governance-struktur i sine egne procedurer og forretningsgange med også klare interne ”ejere” af leverandørrelationerne.   

Transparens som konkurrenceparameter  

Transparens i værdikæden er ikke kun en sikkerheds- og beredskabsøvelse. Det er også et konkur-renceparameter.  

Kunder, investorer, finansielle samarbejdspartnere, forsikringsselskaber og myndigheder efterspørger i stigende grad dokumentation for, at virksomheder har styr på deres værdikæder og forudsætter derfor due diligence-processer ved leverandørvalg. Til sammenligning sker det på bæredygtighedsområdet via bæredygtighedsdirektivet (CSRD) og bæredygtighedsduediligencedirektivet (CSDDD), der kobler due diligence til governance og rapportering, omend der er sket justering og afgrænsning af reguleringen ved Omnibus I-forenklingen

Behovet for due diligence og klassificering fulgt op med robust leverandørstyring gælder særligt i sektorer, hvor en kritisk sikkerhedshændelse med driftsstop til følge kan få konsekvenser ud over den enkelte virksomhed – eksempelvis for kunder, infrastruktur, miljø og det omkringliggende samfund.  

Virksomheder, der kan dokumentere deres digitale værdikæde, står derfor stærkere. De kan reagere hurtigere på hændelser, skifte leverandører mere sikkert og demonstrere en modenhed, der alt i alt betrygger kunderne i, at deres data er i sikre hænder, selv hvis der skulle opstå en hændelse.  

At nå dertil kræver dog, at Juridisk Afdeling, Afdelingen for Udbud, Afdelingen for IT- og Informationssikkerhed, Afdelingen for Risk og Compliance, Afdelingen for Bæredygtighed, Afdelingerne for Drift, Produktion, Økonomi osv. osv.  alle arbejder sammen og ud fra samme forretnings- og risikoforståelse.   

Hvis Afdelingen for Udbud kun ser pris, Afdelingen for IT- og Informationssikkerhed kun ser tekniske kontroller, Juridisk afdeling kun ser kontrakter, og Afdelingen for Bæredygtighed kun ser emissioner og socialt ansvar, vil Afdelingen for Risk og Compliance aldrig lykkes med at skabe en transparent dataværdikæde, inklusive de hermed forbundne cybersikkerheds- og andre forretningskritiske risici.   

Når der er skabt transparens i dataværdikæden, opnås til gengæld ikke kun compliance. Transparens og compliance bliver også en del af virksomhedens strategiske modstandskraft.  

Konklusion  

Som med al compliance skal virksomhederne have styr på deres forretning og risikoforståelse, før der kan udarbejdes meningsfyldte og retvisende politikker, der placerer ansvar, fordeler roller og fastlægger procedurer for leverandørstyring, databeskyttelse og cybersikkerhed. Det kræver overblik over – og dermed kortlægning af – leverandører, dataflows, systemafhængigheder og forretningskritiske processer.   

@SIRIUS advokater har mange års erfaring med compliance- og governancestrukturer. Vi bistår såvel virksomheder som myndigheder samt foreninger og andre organisationer med at sikre compliance og risikostyring med robust governance.   

Læs mere om vores specialer her. 

Ledelse

22.05.2026SIRIUS advokater I/S

Sponseret

Kære Bestyrelse – Kender I jeres digitale værdikæde?

Udgiver

Horisont Gruppen a/s

Strandlodsvej 44

2300 København S

Telefon: 53506060

www.horisontgruppen.dk

Indhold

Nyhedsbrev
RSS-feed
Partnere
Jobmarked
Events
Rapporter og relevante filer
Digitalt
ESG
Innovation
Ledelse
Sikkerhed
Processer
Branchenyt
Værktøj

Copyright 2023