PowerQuantSESkicka ert frågeformulär

Säkerhetsformulär från kunder: så klarar ni kraven

Allt fler B2B-affärer avgörs av ett dokument ni aldrig bett om: kundens säkerhetsformulär. Det dyker upp sent i säljprocessen, det är långt, och det ska besvaras snabbt annars drar affären ut på tiden eller faller. För programvaru- och IT-leverantörer är det idag en av de mest återkommande flaskhalsarna i försäljningen.

Varför får vi säkerhetsformulär överhuvudtaget?

För att era kunder är skyldiga att ställa kraven. NIS2 är i Sverige genomfört genom Cybersäkerhetslagen (SFS 2025:1506), som trädde i kraft den 15 januari 2026. Lagen ålägger väsentliga och viktiga entiteter att hantera säkerhet i hela leverantörskedjan.

Det betyder att även om ni själva inte är direkt omfattade, träffas ni via era kunder: en omfattad kund måste kräva dokumentation, avtalsklausuler och löpande bevisning från sina leverantörer, oavsett leverantörens storlek. Kaskaden gör den verkliga målgruppen långt större än de direkt reglerade.

Vad kräver NIS2 konkret av oss som leverantör?

  • Leverantörskedjesäkerhet: kunden ska kunna dokumentera säkerheten hos er som underleverantör, inklusive dataåtkomst, hostingregion och en säkerhetskontakt.
  • Incidenthantering: kunden har tidig varning inom 24 timmar och incidentrapport inom 72 timmar. Därför krävs ofta en avtalad 12-24 timmars leverantör-till-kund-SLA.
  • Kontinuitet: kan er tjänst drivas vidare, och finns en exit-plan?
  • Cyberhygien och utbildning: dokumenterad säkerhetsutbildning för personal som hanterar kundens data.

Böterna är kännbara, upp till 10 miljoner EUR eller 2 procent av global omsättning för väsentliga entiteter.

Vad har EU:s AI-förordning med formulären att göra?

Innehåller er produkt AI tillkommer fler fält:

  • Artikel 50 transparens: AI som interagerar med människor eller genererar innehåll ska upplysas/märkas. Tillämpas 2 augusti 2026. Böter upp till 15 miljoner EUR / 3 procent.
  • Artikel 4 AI-kunnighet: gäller redan sedan 2 februari 2025. Digital Omnibus föreslår att mjuka upp ordalydelsen, men förslaget är ännu inte offentliggjort i EUT och utgör inte gällande rätt.
  • Högrisk (bilaga III), t.ex. AI i rekrytering: operativ 2 augusti 2026 enligt gällande rätt; Digital Omnibus föreslår uppskjutning till 2 december 2027 (ej i kraft).

Vilka formulär talar vi om?

SIG (Standardized Information Gathering), CAIQ (Consensus Assessment Initiative Questionnaire), kundens egna formulär, samt ett växande krav på ett publikt trust center för självbetjäning.

Så svarar ni snabbt utan att börja om varje gång

  1. Bygg en återanvändbar svarsbank kopplad till underliggande bevisning.
  2. Samla bevisning som håller i en revision, ett svar utan dokumentation är i praktiken inte bevisbart.
  3. Gör beviset verifierbart: kryptografiskt signerad bevisning med tydlig datering och namngivet mänskligt godkännande skingrar kundens tvivel snabbare än ett kalkylark.

Så hjälper PowerQuant

PowerQuant levererar er efterlevnadsbevisning som ett kryptografiskt signerat paket (Ed25519), hostat i EU, med namngivet mänskligt godkännande, byggt för att läggas direkt till ett säkerhetsformulär eller visas i ett trust center.

Vanliga frågor

Är vi omfattade om vi bara är en liten SaaS-leverantör? Kanske inte direkt, men om ni levererar till kunder i reglerade eller kritiska sektorer träffas ni via deras leverantörskrav, oavsett er storlek.

Ersätter ISO 27001 eller SOC 2 formuläret? Det hjälper mycket men ersätter det sällan helt. Kunder ber ofta om både och plus specifik bevisning.

Gäller AI-förordningen oss om vi bara använder AI internt? Artikel 4 om AI-kunnighet gäller redan för organisationer som använder AI, även internt.


Vägledande översikt, inte juridisk rådgivning. Datum och belopp verifierade mot förordning (EU) 2024/1689, direktiv (EU) 2022/2555 och Cybersäkerhetslagen (SFS 2025:1506) per 1 juli 2026. Digital Omnibus-ändringar är markerade som förslag och ännu inte offentliggjorda i EUT.