Era största kunder får nya krav. Nästa fråga är till er.
«Kan ni visa att ni hanterar era leverantörer systematiskt?» NIS2 är i kraft och CSRD-rapporteringen har börjat. CSDDD kommer från 2028. Storföretagen ställer redan krav nedåt i kedjan, och det som var «nice to have» är nu ett krav för att behålla kontraktet.
Används av organisationer i hela leverantörskedjan, från tillverkare till tjänsteföretag
Kravkaskaden
NIS2 och CSRD driver redan krav nedåt i leverantörskedjan, och CSDDD kommer från 2028. Klicka på varje nivå för att se vilka krav som når er.
Storföretag
t.ex. Volvo, SKF, Ericsson
Tier 1 — Direktleverantör
Systemleverantör, komponenttillverkare
Tier 2 — Underleverantör
Mindre tillverkare, tjänsteleverantör
Er organisation
Det ni behöver ha på plats
Spridda kalkylblad och mejltrådar
- Leverantörslista i Excel — senast uppdaterad 2023
- Certifikat som PDF-bilagor i mejl — vem har kollat utgångsdatum?
- Utvärderingar i Word — olika format beroende på vem som skrev
- Riskbedömningar? Vilka riskbedömningar?
- Kunden frågar efter dokumentation — tre dagar att samla ihop
Er största kund har fått CSRD-krav. Nästa kvartal frågar de om era leverantörsprocesser, utvärderingar och riskbedömningar. Är ni redo?
Kravkaskaden har börjat, och mer är på väg
EU:s nya regelverk har ett gemensamt drag: de kräver att stora företag tar ansvar för sin leverantörskedja. NIS2 är i full kraft (i Sverige genom cybersäkerhetslagen, SFS 2025:1506, sedan januari 2026) och ställer cybersäkerhetskrav nedåt i kedjan. CSRD (våg 1) innebär att rapporterande storföretag behöver hållbarhetsdata från sina leverantörer, vilket skapar avtalsmässig press, även om CSRD inte riktar sig direkt till er. CSDDD träder i kraft stegvis från juli 2028 och ställer krav på due diligence genom hela värdekedjan.
Resultatet är detsamma oavsett regelverk: era storföretagskunder börjar ställa krav på strukturerad leverantörshantering: bedömningskriterier, ansvar, uppföljningscykler och underlag för revisorer. Organisationer som inte kan visa att de har en fungerande process riskerar att förlora kontrakt.
CSRD
Hållbarhetsrapportering för stora företag (våg 1 från 2024). Våg 2 och 3 har skjutits fram genom EU:s Stop-the-Clock. Rapporterande företag behöver hållbarhetsdata från leverantörer, vilket skapar avtalsmässig press nedåt i kedjan.
NIS2
Cybersäkerhetskrav för kritisk infrastruktur, i Sverige genom cybersäkerhetslagen sedan januari 2026. Kräver riskbedömning av leverantörer och deras säkerhetsrutiner.
CSDDD
Due diligence-krav som tvingar företag att kartlägga och adressera negativa konsekvenser i hela värdekedjan. Fas 1 gäller från juli 2028 (de största företagen), fas 2 följer juli 2029.
Registrera. Koppla. Följ upp.
Leverantörshantering är mer än ett register. I AmpliFlow definierar ni bedömningskriterier, tilldelar ansvar, schemalägger uppföljningar och dokumenterar resultat. Allt kopplat till inköp och ert ledningssystem.
Registrera
Centralt register med kontaktuppgifter, organisationsnummer och adress. Importera befintliga listor direkt.
Koppla
Länka leverantörer till inköpsordrar och artiklar. Se direkt vilka produkter och tjänster ni köper från vem.
Utvärdera med aktiviteter
Använd AmpliFlows checklistor och aktiviteter för att bygga egna utvärderingsformulär. Koppla dem till leverantören.
Följ upp
Dokumentera leverantörsrelationen över tid. Ha allt samlat när revisorn eller kunden frågar.
Leverantörsrisk är verksamhetsrisk
En kritisk leverantör som inte lever upp till kraven är en risk för hela er verksamhet. I AmpliFlow hanterar ni leverantörsrelaterade risker i ert riskregister, med samma systematik som alla andra verksamhetsrisker.
- Skapa risker kopplade till leverantörsberoenden i riskregistret
- Bedöm sannolikhet och konsekvens med samma riskmatris som övriga risker
- Koppla riskreducerande åtgärder med ansvarig och deadline
- Underlag för ledningens genomgång och ISO-revisioner
«Allt fler av våra kunder berättar samma sak: deras storföretagskunder har börjat ställa krav på dokumenterad leverantörshantering. Det som var «nice to have» är nu ett krav för att behålla kontraktet.»
— Baserat på samtal med AmpliFlow-kunder under 2024–2026
Vanliga frågor om leverantörshantering
Svar på det vi oftast får höra.
Måste vi ha CSRD-krav på oss själva för att behöva detta?
Nej. CSRD riktar sig till stora rapporterande företag (våg 1 sedan 2024, våg 2 och 3 framskjutna genom Stop-the-Clock). Men de företagen behöver hållbarhetsdata från sin leverantörskedja, vilket skapar avtalsmässig press nedåt. Om ni levererar till ett storföretag kommer ni att behöva visa strukturerad leverantörshantering (bedömningskriterier, uppföljning och dokumentation) oavsett om CSRD gäller er direkt.
Vi har redan ett Excel med leverantörer. Räcker inte det?
Ett Excel-ark visar vilka leverantörer ni har, men det saknar koppling till inköp, aktiviteter och ert ledningssystem. Vid en revision eller kundförfrågan behöver ni visa att leverantörshanteringen är en del av ert systematiska arbete, inte en isolerad lista.
Kan vi importera befintliga leverantörslistor?
Ja, ni kan importera leverantörer via kalkylbladsformat. Kopiera in data direkt i AmpliFlows rutnät eller ladda upp en fil med leverantörsinformation.
Hur hänger leverantörshantering ihop med riskhantering?
Ni kan skapa risker kopplade till leverantörsberoenden i AmpliFlows riskregister. Riskerna hanteras med samma systematik som alla andra verksamhetsrisker: sannolikhet, konsekvens, åtgärder och ansvariga.
Uppfyller detta ISO 9001-krav 8.4?
ISO 9001:2015 krav 8.4 kräver att ni styr och utvärderar externa leverantörer. AmpliFlows leverantörsregister ger er strukturen, och med aktiviteter och checklistor kan ni bygga utvärderingsprocesser som dokumenteras och följs upp.
Kan vi skapa egna utvärderingsformulär för leverantörer?
Ni använder aktiviteter och checklistor för att bygga egna utvärderingsformulär som kopplas till leverantören. Det ger er flexibilitet att utforma processen efter era behov.
Redo att strukturera er leverantörshantering?
Boka ett möte så visar vi hur AmpliFlow hjälper er gå från kalkylblad till systematisk leverantörshantering, innan kunden frågar.