Advania logo
    Kontakta oss
    Gå tillbaka

    TPRM

    Vad är TPRM?

    TPRM (Third-Party Risk Management), på svenska tredjepartsriskhantering, är det systematiska arbetet med att identifiera, bedöma och löpande övervaka risker som uppstår genom externa parter – leverantörer, underleverantörer, molntjänster och partners. Syftet är att verksamheten ska ha kontroll över de risker den "ärver" från sin leverantörskedja, inte bara de risker som finns i den egna miljön.

    Betydelsen av TPRM

    Få organisationer driver i dag sin IT helt själva. Drift, utveckling, molntjänster och support köps från externa parter – och varje sådan relation är en potentiell väg in för angripare eller en punkt där en störning kan slå mot den egna verksamheten. Ett leverantörskedjeangrepp utnyttjar just detta: i stället för att attackera målet direkt komprometteras en betrodd leverantör.

    Regelverken har också gjort TPRM till ett uttryckligt krav. NIS2 kräver att verksamheter hanterar säkerheten i leverantörskedjan, och DORA ställer detaljerade krav på finanssektorns hantering av IKT-tredjepartsrisker – inklusive avtalsinnehåll, register över leverantörsberoenden och exitstrategier. Ansvaret går inte att lägga ut: verksamheten kan delegera arbetet, men aldrig ansvaret.

    Så fungerar TPRM

    Ett fungerande TPRM-program följer leverantörsrelationens hela livscykel:

    • Inventering och klassning: kartlägg alla tredjeparter och klassa dem efter kritikalitet – vilka har åtkomst till känsliga data eller bär kritiska processer?
    • Riskbedömning före avtal: granska leverantörens säkerhetsarbete genom frågeformulär, certifieringar (exempelvis ISO 27001), revisionsrapporter och tekniska bedömningar.
    • Avtalskrav: skriv in säkerhetskrav, incidentrapportering, revisionsrätt, krav på underleverantörer och exitvillkor i avtalet.
    • Löpande övervakning: följ upp leverantörens efterlevnad kontinuerligt – riskbilden förändras över tid, inte bara vid avtalsstart.
    • Incident- och exithantering: ha en plan för hur leverantörsincidenter hanteras och hur ett beroende kan avvecklas under ordnade former.

    Fördelar med TPRM

    Strukturerad tredjepartsriskhantering minskar sannolikheten för att en leverantörsincident blir verksamhetens incident. Den ger beslutsfattare en samlad bild av koncentrationsrisker och kritiska beroenden, gör upphandlingar bättre genom att säkerhetskrav ställs tidigt, och skapar den dokumentation som tillsynsmyndigheter förväntar sig enligt NIS2 och DORA. Inte minst gör den att verksamheten kan agera snabbt när något händer hos en leverantör – för då är frågan inte om man är beroende, utan hur.

    TPRM i praktiken med Advania

    Att bygga upp TPRM kräver både metodik och uthållighet: klassningsmodeller, bedömningsprocesser, avtalsstöd och löpande uppföljning. Advania hjälper organisationer att etablera tredjepartsriskhantering som en del av det bredare risk- och efterlevnadsarbetet – från kartläggning av leverantörsberoenden till processer och verktygsstöd som håller över tid.

    Vanliga frågor och svar om TPRM

    Vad är skillnaden mellan TPRM och vanlig riskhantering?

    TPRM är en specialisering av riskhantering som fokuserar på risker som uppstår genom externa parter. Metodiken är likartad – identifiera, bedöma, åtgärda, följa upp – men objektet är leverantörsrelationer, där insynen är begränsad och kontrollen indirekt via avtal och uppföljning i stället för egna tekniska åtgärder.

    Vilka regelverk kräver tredjepartsriskhantering?

    Tydligast är NIS2, som kräver hantering av säkerhet i leverantörskedjan, och DORA, som ställer detaljerade krav på finanssektorns IKT-tredjepartsrisker. Även ISO 27001 innehåller kontroller för leverantörsrelationer, och GDPR kräver kontroll över personuppgiftsbiträden.

    Hur ofta ska leverantörer riskbedömas?

    Kritiska leverantörer bör följas upp minst årligen och dessutom vid större förändringar – nya tjänster, ägarbyten, incidenter eller förändrad hotbild. Mindre kritiska leverantörer kan följas upp mer sällan. Poängen är att bedömningen är löpande, inte en engångsövning vid avtalsstart.

    Måste vi även kontrollera våra leverantörers underleverantörer?

    Ja, i den mån de påverkar er risk. Fjärdepartsrisker – risker hos leverantörens leverantörer – är en växande del av TPRM. I praktiken hanteras de genom avtalskrav på transparens, register över underleverantörer och rätt att godkänna eller invända mot förändringar i kedjan.

    Viktiga punkter att ta med sig om TPRM
    • Ärvd risk: varje leverantörsrelation innebär att verksamheten tar över delar av leverantörens riskbild.
    • Hela livscykeln: TPRM omfattar klassning, bedömning, avtal, löpande övervakning och exit – inte bara onboarding.
    • Regelkrav: NIS2 och DORA gör tredjepartsriskhantering till en skyldighet, inte en ambition.
    • Ansvaret kvarstår: arbete kan läggas ut på leverantörer, men ansvaret ligger alltid kvar hos verksamheten.
    • Koncentrationsrisk: ha koll på kritiska beroenden och en realistisk exitstrategi för de viktigaste leverantörerna.
    EFTERLEVNAD OCH STYRNING

    Behöver ni stöd i arbetet med regelefterlevnad och informationssäkerhet?

    Så skyddar vi er information

    Andra relevanta ord i samma kategori