Det är inte längre ovanligt för ett bolag med tio anställda att få en fyrtio frågor lång säkerhetsenkät från en potentiell kund. Det som en gång var en granskning förbehållen stora IT-leverantörer är i dag vardag för SME-bolag i alla branscher.
Förklaringen är enkel: reglering och ansvar vandrar nedåt i leverantörskedjan.
Varför händer det här?
Stora organisationer — myndigheter, börsbolag, banker, sjukhus — är numera skyldiga att hantera risker i sin leverantörskedja. GDPR kräver att de kontrollerar sina personuppgiftsbiträden. NIS2 kräver att de hanterar leverantörsrisker systematiskt. Deras egna revisorer och styrelser ställer frågor om tredjepartsrisker.
Svaret på det trycket är enkäter, frågeformulär och ibland formella säkerhetsgranskningar — som skickas nedåt till er.
Vad frågorna handlar om
De vanligaste ämnena i leverantörsenkäter från stora kunder:
GDPR och personuppgiftshantering — Har ni en registerförteckning? Hur länge lagrar ni uppgifter? Var finns era system geografiskt? Vem är personuppgiftsansvarig?
Informationssäkerhet — Har ni en säkerhetspolicy? Hur hanteras åtkomstkontroll? Gör ni säkerhetskopior? Hur hanteras incidenter?
Leverantörer och underbiträden — Vilka tredjepartstjänster använder ni? Har ni PUB-avtal med dem? Var lagrar de data?
Kontinuitet — Vad händer om era system går ner? Hur lång är er återställningstid?
Varför många SME-bolag får problem
Problemen är sällan att bolag gör fel saker. De flesta har rimliga rutiner. Problemet är att rutinerna inte är dokumenterade, och att det inte finns någon som snabbt kan samla svaren på frågorna.
Enkäten landar hos VD eller en säljare. Ingen annan i organisationen har svaren. Det tar veckor att samla ihop dem. Kunden väntar. Affären försenas.
Hur ni svarar bra på enkäter
Det bästa ni kan göra är att ha svaren klara i förväg — inte för varje enskild enkät, utan som en kompakt sammanfattning av er compliance-status som kan anpassas.
Skapa ett internt dokument som beskriver: hur ni hanterar personuppgifter och GDPR, er säkerhetspolicy i korthet, vilka tredjepartsleverantörer ni använder och hur de hanteras, och er grundläggande incidenthanteringsprocess.
Det dokumentet fungerar som råmaterial till nästan alla enkäter ni får. Det kortar svarstiden från veckor till timmar.
Den strategiska poängen
Bolag som svarar snabbt och trovärdigt på compliance-frågor signalerar mognad. Det är inte en liten sak — för inköpare som ska motivera ett val internt är det enklare att välja en leverantör som har ordning.
Compliance är i det sammanhanget inte bara riskhantering. Det är ett säljargument.