NIS2 leverandørerklæring for AgentBase
| Felt | Værdi |
|---|---|
| Dokumenttitel | Leverandørerklæring for AgentBase under NIS2 |
| Version | 1.0 |
| Senest opdateret | 2026-05-18 |
| Dokumentejer | syv.ai (kontakt: mads@syv.ai) |
| Reviewfrekvens | Mindst én gang årligt og ved væsentlige ændringer i platformen, datahåndtering eller risikobillede |
| Tilhørende dokumenter | Systembeskrivelse, Dataflow, Databehandleraftale, Underdatabehandlere, DORA-erklæring |
Denne side er udarbejdet til kunder, der er omfattet af NIS2 (Europa-Parlamentets og Rådets direktiv (EU) 2022/2555) typisk væsentlige eller vigtige entiteter inden for fx finans, energi, sundhed, transport eller offentlig forvaltning. Dokumentet beskriver, hvordan AgentBase som leverandør understøtter kundens forpligtelser under direktivets art. 21 (foranstaltninger til styring af cybersikkerhedsrisici) og art. 23 (rapportering af væsentlige hændelser).
I Danmark er NIS2 implementeret ved lov nr. 1690 af 30. december 2024 om foranstaltninger til sikring af et højt cybersikkerhedsniveau (NIS2-loven). Henvisninger nedenfor er til direktivets artikler, da disse er teknisk identiske med lovens bestemmelser.
1. Indledning og afgrænsning
1.1 Parternes roller
| Rolle under NIS2 | Part |
|---|---|
| Væsentlig eller vigtig entitet (kunden) | Kunden, der er omfattet af NIS2 jf. bilag I/II i direktivet eller efter den nationale implementering |
| Leverandør i kundens IKT-forsyningskæde | syv.ai ApS som udbyder af AgentBase |
1.2 AgentBase's egen status under NIS2
syv.ai ApS er en mindre dansk virksomhed (CVR 44671247) og er på nuværende tidspunkt ikke selvstændigt omfattet af NIS2 hverken som væsentlig eller vigtig entitet idet syv.ai hverken opererer i en af de sektorer, som omfattes af bilag I/II, eller overskrider de størrelseskriterier, der er fastsat i direktivet.
Vi anerkender ikke desto mindre, at vores kunder, der er omfattet af NIS2, har en forpligtelse efter art. 21, stk. 2, litra d, til at vurdere og styre cybersikkerhedsrisici i deres forsyningskæde, herunder hos leverandører som syv.ai. Denne side er den dokumentation, kunden kan anvende ved den vurdering.
1.3 Hvad denne erklæring ikke dækker
- Kundens egne integrationer: Hvis kunden konfigurerer agents, der kalder kundens egne eksterne systemer (via
http_request-,email-,cvr_lookup- ellersql-noder), er behandlingen ikke en del af AgentBase's egen forsyningskæde, jf. Dataflow §5. - Kundens egen NIS2-compliance: Denne side dokumenterer kun AgentBase som leverandør. Kunden er selv ansvarlig for sin samlede NIS2-overholdelse, herunder bestyrelses- og ledelsesgodkendelse efter art. 20.
2. AgentBase som understøttelse af kundens art. 21-foranstaltninger
Tabellen mapper hver af de ti foranstaltninger i NIS2 art. 21, stk. 2, litra a–j, til den dokumentation eller platformfunktion hos AgentBase, der understøtter kunden. Tabellen er ikke en erklæring om, at AgentBase opfylder kundens forpligtelse det er kunden, der er ansvarlig men en oversigt over, hvilke kontroller og dokumenter kunden kan henvise til i sin egen risikovurdering og sit eget tilsyn med leverandøren.
| Art. 21, stk. 2 | Foranstaltning | Sådan understøtter AgentBase | Reference |
|---|---|---|---|
| (a) | Politikker for risikoanalyse og informationssystemers sikkerhed | Platformens risikobillede er identificeret og dokumenteret på platformniveau. Idriftsætterens (kundens) supplerende risikovurdering forventes pr. anvendelse | Systembeskrivelse §4 |
| (b) | Hændelseshåndtering | Kørselshistorik, struktureret applikationslogning og auditspor pr. brugerhandling. Hændelsesnotifikation til kunden, jf. §3 nedenfor | Systembeskrivelse §7, §3 i denne erklæring |
| (c) | Forretningskontinuitet, herunder backup-styring, gendannelse og krisestyring | Daglige backups opbevares geografisk adskilt inden for EU/EØS. Drifts- og gendannelsesmål er beskrevet i §4 | Dataflow §4, §4 i denne erklæring |
| (d) | Forsyningskædesikkerhed, herunder sikkerhedsrelaterede aspekter i forhold til direkte leverandører | Komplet, offentlig liste over underdatabehandlere med jurisdiktion, behandlingsformål og DPA-status. Alle underdatabehandlere er EU-baserede | Underdatabehandlere |
| (e) | Sikkerhed i erhvervelse, udvikling og vedligeholdelse af net- og informationssystemer, herunder håndtering af sårbarheder | Versioneret kode med pull request-review, automatiseret CI med enheds-, integrations- og end-to-end-test, statisk analyse, typecheck og automatiseret afhængighedsopdatering via Dependabot. Inputvalidering på alle systemgrænser via Pydantic | Systembeskrivelse §2.5, §6.3 |
| (f) | Politikker og procedurer til vurdering af effektiviteten af risikohåndteringsforanstaltningerne | Kvalitetsstyringspraksis med dokumentationskrav, releaseproces og hændelseshåndtering. Årlig review af denne erklæring og af systembeskrivelsen | Systembeskrivelse §9 |
| (g) | Grundlæggende cyberhygiejne og uddannelse i cybersikkerhed | Adgangskoder hashes med adaptiv hash-algoritme; API-nøgler og hemmeligheder felt-niveau-krypteres; medarbejdere er underlagt tavshedspligt og adgangsstyring efter "least privilege" | Systembeskrivelse §6.3, Underdatabehandlere §3 |
| (h) | Politikker og procedurer for anvendelsen af kryptografi og, hvor det er relevant, kryptering | TLS 1.2+ på al ekstern og intern trafik; AES-256 ved opbevaring; felt-niveau-kryptering af hemmeligheder; krypterede backups inden for EU/EØS | Dataflow §6 |
| (i) | Personalesikkerhed, adgangskontrolpolitikker og forvaltning af aktiver | Rollebaseret adgangskontrol (Bruger, Udvikler, Anmelder, Administrator) med team-isolation. Adgang for syv.ai-medarbejdere efter "least privilege" og under tavshedspligt | Systembeskrivelse §1.3, Roller og rettigheder |
| (j) | Brug af multifaktor-autentificering, sikret tale-, video- og tekstkommunikation samt sikrede nødkommunikationssystemer, hvor det er relevant | TLS 1.2+ på al kommunikation. Autentificering sker via JWT-tokens med konfigurérbar levetid. Multifaktor-autentificering (MFA) for slutbrugere er ikke en del af platformen i den nuværende version kunden kan implementere MFA-foran-AgentBase via SSO/proxy, og MFA er på syv.ai's roadmap. Nødkommunikation ved hændelser sker via e-mail og telefon, jf. §3 | Systembeskrivelse §6.3 |
Hvor en foranstaltning kræver yderligere kontroller, end AgentBase selv kan levere (fx kundespecifik HR-sikkerhed eller MFA på applikationsniveau), er det kunden, der bærer den resterende del af forpligtelsen. Eventuelle gap'er særligt MFA er nævnt eksplicit, så de kan dokumenteres i kundens egen risikovurdering.
2.1 Kontroller under udvikling
For at understøtte kundernes egne tilsyns- og risikovurderingsprocesser arbejder syv.ai aktivt på følgende kontroller. Tidsestimater udleveres ved direkte henvendelse:
| Kontrol | Status | Forventet effekt |
|---|---|---|
| ISO/IEC 27001-certificering af syv.ai's ledelsessystem for informationssikkerhed (ISMS) | Under implementering | Giver kunden uafhængig tredjepartsevidens for foranstaltning (a), (e), (f) og (i) i art. 21, stk. 2 |
| Kunde-administreret kryptering (BYOK) til hemmeligheder og dokumenter | Under udvikling | Supplerer foranstaltning (h) i art. 21, stk. 2 ved at give kunden kontrol over krypteringsnøgler. Eksisterende felt-niveau-kryptering med syv.ai-administrerede nøgler fortsætter som standard |
| Multifaktor-autentificering (MFA) på applikationsniveau | På roadmap | Supplerer foranstaltning (j) i art. 21, stk. 2. Indtil da kan kunden implementere MFA-foran-AgentBase via SSO/proxy |
3. Hændelsesnotifikation og rapporteringskaskade (art. 23)
Kundens egen rapporteringskaskade under art. 23 ved en væsentlig hændelse er:
| Tidsfrist | Rapport | Til |
|---|---|---|
| Inden 24 timer | Tidlig varsling | Center for Cybersikkerhed (CFCS) |
| Inden 72 timer | Hændelsesnotifikation | CFCS |
| Inden 1 måned | Slutrapport | CFCS |
Vi understøtter denne kaskade ved at give kunden besked om hændelser i AgentBase, der kan udløse kundens rapporteringspligt. Følgende vilkår gælder:
| Forhold | Vilkår |
|---|---|
| Notifikationstidspunkt | syv.ai underretter den dataansvarlige uden unødigt ophold og senest 48 timer efter, vi er blevet bekendt med et brud på persondatasikkerheden eller en cybersikkerhedshændelse, der vedrører kundens data, jf. Databehandleraftalen Bestemmelse 10 |
| Kontaktvej | E-mail til den eller de kontaktpersoner, kunden har angivet i Bestemmelse 15 i databehandleraftalen; for akutte forhold også telefon |
| Indhold | Hændelsens karakter, kategorier og omtrentligt antal berørte registrerede, sandsynlige konsekvenser, iværksatte og foreslåede foranstaltninger i overensstemmelse med GDPR art. 33, stk. 3 |
| Samarbejde under kundens rapportering | syv.ai bistår kunden med supplerende oplysninger til CFCS, herunder logudtræk, tidslinjer og dokumentation af mitigerende handlinger |
| Underdatabehandleres hændelser | Hvis en hændelse opstår hos en underdatabehandler (Hetzner, OpenAI, Mistral, Lettermint) og syv.ai bliver bekendt med den, viderebringer vi informationen til kunden uden unødigt ophold |
Kundens kontaktpunkt hos syv.ai for hændelsesnotifikation er mads@syv.ai. For tidskritiske henvendelser uden for almindelig kontortid aftales et telefonnummer ved kontraktindgåelse.
4. Forretningskontinuitet og operationel modstandskraft
Følgende gælder for platformens egen modstandskraft. Dette afsnit dækker AgentBase som leverance; kundens overordnede operationelle modstandskraft (BCM, kriseplan, alternative arbejdsgange ved leverandørudfald) er kundens ansvar.
| Forhold | Beskrivelse |
|---|---|
| Hosting | Hetzner Online GmbH, datacentre i Tyskland (Nürnberg / Falkenstein). ISO/IEC 27001-certificerede, døgnbemandet adgangskontrol, brand- og strømsikring |
| Backups | Daglige automatiske backups af PostgreSQL-databasen, opbevaret geografisk adskilt inden for EU/EØS. Backups er krypteret |
| Gendannelsesmål | Vi tilstræber RPO ≤ 24 timer (data tabes maksimalt fra seneste daglige backup) og RTO ≤ 8 timer for fuld genoprettelse efter alvorligt udfald. Konkrete servicemål kan aftales individuelt i en separat servicelevelaftale, jf. DORA-erklæringen §4 (i) |
| Regionalt udfald | Ved udfald af en Hetzner-region kan platformen rejses på en anden EU/EØS-region. Migration og adgangsgenoprettelse foregår under syv.ai's drift |
| Test af gendannelse | Backups verificeres ved automatiseret indlæsning i et adskilt miljø; resultaterne dokumenteres internt |
| Eksterne afhængigheder ved udfald | Hvis OpenAI eller Mistral er utilgængelig, vil de pågældende noder fejle med en sporbar fejlmeddelelse, men resten af platformen og agents uden disse noder kører videre. Kundens agents kan designes med fallback-logik (conditional-node) |
Kunden kan supplere ovenstående ved at eksportere strukturerede logs (LOG_JSON=true) til kundens eget SIEM-/observabilitetsmiljø og dermed opretholde uafhængig sporbarhed, jf. Dataflow §7.
5. Forsyningskædesikkerhed
AgentBase anvender fire underdatabehandlere, alle EU-baserede:
| Underdatabehandler | Rolle | Lokalitet |
|---|---|---|
| Hetzner Online GmbH | Hosting og drift | Tyskland |
| OpenAI Ireland Ltd. | LLM-inference (Zero Data Retention) | EU/EØS |
| Mistral AI SAS | OCR / dokumentudtræk | Frankrig |
| Lettermint B.V. | E-mailafsendelse | Nederlandene / Frankrig |
Den fulde og løbende ajourførte liste inklusive juridiske enheder, behandlingsformål, DPA-status og bemærkninger pr. underdatabehandler findes i Underdatabehandlere. syv.ai underretter kunden skriftligt med mindst 30 dages varsel om planlagte ændringer i kredsen af underdatabehandlere, og kunden har inden for varslet ret til at gøre indsigelse, jf. Databehandleraftalen Bestemmelse 7.3.
Alternative LLM- eller OCR-leverandører og medbragte API-nøgler til ikke-godkendte udbydere kan ikke konfigureres i platformen. Dette er bevidst, så kredsen af underdatabehandlere er kendt og kontrollerbar.
6. Bestyrelses- og ledelsesgodkendelse (art. 20)
NIS2 art. 20 pålægger kundens øverste ledelse at godkende og føre tilsyn med risikohåndteringsforanstaltningerne denne forpligtelse kan ikke delegeres til leverandøren. AgentBase leverer den dokumentation, kundens ledelse skal anvende til godkendelsen: denne erklæring, Systembeskrivelsen, Dataflow og Underdatabehandlere samlet under Sikkerhed og compliance.
7. Kontakt
Spørgsmål til denne erklæring, anmodning om kopi af indgåede underdatabehandleraftaler eller henvendelser om sikkerhedshændelser kan rettes til:
syv.ai ApS Middelfartgade 18, 2100 København Ø CVR 44671247 E-mail: mads@syv.ai
8. Revisionshistorik
| Version | Dato | Ændring | Ansvarlig |
|---|---|---|---|
| 1.0 | 2026-05-18 | Første udgave af NIS2-leverandørerklæringen. | syv.ai |