Uppstarten Bounded Systems larmar när någon i leverantörskedjan ökar din sä-kerhetsrisk. För enligt Cybersäkerhetslagen är det du som är ansvarig för att hålla leverantörskedjan säker.

EU-direktivet NIS-2 blev lag i Sverige i januari under namnet Cybersäkerhetslagen. Den ställer hårda krav på dig som säljer sam-hällsviktiga tjänster. Det gäller tjänster inom energi, transport, medicinteknik, optik, elektronik, med mera – totalt 18 vertikaler.

Du har med den nya lagen ett tungt ansvar för att skydda nätverks- och informationssystem, och visa att du har kontroll på risker-na.

Lagen ger dig en checklista att pricka av. En av punkterna är att du övervakar dina leverantörers status. Det räcker inte med att din egen drift är säker om en kritisk leverantör har brister. Du förväntas identifiera och hantera den risken.

Du står med andra ord inför ett löpande kontrollarbete. Det är här Bounded Systems – grundad i höstas – kommer in i bilden.

De tar hand om leverantörsbevakningen.

Hanna Bergqvist Jackson

– Vi är ett intelligenslager för digitala leveranskedjor, beskriver Hanna Bergqvist Jackson, en av företagets två grundare.

– Vi kartlägger digitala leveranskedjor löpande och automatiskt. Och visar beroenden djupt ner i kedjan.

Det kniviga är att förhållandena kan ändras. Säg att din leverantörs leverantör tappar sin ISO 27001-certifiering. Eller lägger till en leverantör i ett land som EU klassar som en cybersäkerhetsrisk.

Då larmar Bounded dig.

Deras verktyg är en stor databas som ska omfatta hela ekosystemet – från molnjättar som Microsoft till mindre aktörer som Fort-nox (ett bokföringssystem för små och medelstora företag).

De bygger upp databasen nu.

– Vi bygger leverantörsprofiler utifrån en kombination av kundens underlag och tillgängliga källor. Profilerna kopplas ihop till en levande bild av leverantörskedjan. Förändringar flaggas löpande.

Sedan drar de pilar mellan dig och dina leveranskedjor. Affärsmodellen är att du prenumererar på en kontinuerlig bevakning.

– Det går inte att kolla en gång om året och säga att du har säkerställt leveranskedjan. För saker ändras hela tiden. Vi är inte en årlig hälsokontroll utan en smartwatch – vi tar hela tiden pulsen på bolagen.

Databasen byggs upp efter information på företagens egna hemsidor.

– I första hand. Sen kompletterar vi när något saknas eller förändras.

Det finns ingen färdig databas därute?

– Det finns källor som vi kan ta av, men de är inte strukturerade särskilt bra. Vi kan använda dem till viss del. Men vi måste ändå göra om ganska mycket.

AI hjälper till att systematisera och strukturera informationen. AI-agenter tränade på Hannas erfarenhet som jurist granskar mot kraven i Cybersäkerhetslagen. En människa kvalitetsgranskar allt i en sista vända.

Kontrakten med dina leverantörer är grunddata. Dessutom undersöker Bounded via metadata vilka digitala verktyg dina anställda faktiskt använder i jobbet – det kallas ”shadow IT” – numera även ”shadow AI” med användningen av chattbottar och -agenter.

Vad är alternativet till er?

– På den amerikanska marknaden finns ett par aktörer. Vi har inte sett någon på den europeiska, absolut inte i Sverige.

– Manuella metoder är vad som har funnits till hands. Vi löser ett stort problem genom att erbjuda det här. Det är något som före-tag kommer att behöva göra.

Den andra grundaren, Martin Lichstam, är civilingenjör med bakgrund hos Apple och Twilio. Han har utvecklat den automatise-rade lösningen för att övervaka den digitala leveranskedjan.

Ett mål för framtiden är att utvidga tjänsten till att kartlägga alla former av datarörelser inom företaget. Kodbibliotek skulle kunna skannas för att kartlägga beroenden. De hoppas även kunna automatisera efterlevnad av GDPR.

Bounded

Bounded Systems grundades hösten 2025. Bolaget är helägt av de två grundarna. Finansiering sker hittills via egna besparingar.

Pilotkunder är under förhandling.

Bounded är partner i ett treårigt EU-projekt för reaktiv och proaktiv kartläggning av cybersårbarheter. F-Secure och Linköpings universitet deltar i samma projekt.

Cybersäkerhetslagen

EU-direktivet NIS2 implementerades i Sverige som Cybersäkerhetslagen den 15 januari 2026. Om du är verksam inom en av 18 samhällskritiska sektorer måste du skydda nätverks- och informationssystem. Detta regleras i 2 kap. 3 § och omfattar tio områden, varav ett är säkerhet i leveranskedjan.

Straffet kan bli näringsförbud eller böter upp till 10 miljoner euro eller 2 procent av global omsättning.

Utöver att du måste hålla koll på leverantörskedjan måste du bland annat göra riskanalyser, kryptera data och använda åtkomstkontroller.