Nessco – krav til leverandører

Nessco er sertifisert iht kvalitetsstandarden ISO 9001, miljøstandarden ISO 14001 og HMS-standarden ISO 45001, og snarlig ISO 27001 for informasjonssikkerhet. Vi stiller krav til oss selv og jobber kontinuerlig med å forbedre våre interne prosesser, informasjonssikkerhet, vårt arbeid innen helse, miljø- og sikkerhet, samt påvirkning av det ytre miljø. Vi krever at våre leverandører har samme fokus på disse områdene. Vi forventer at våre leverandører har en positiv og proaktiv holdning innen disse områdene, og at de søker bærekraftige løsninger i tett samarbeid med Nessco.

Leverandører av varer og tjenester som anskaffes skal ikke opptre i strid med gjeldende lover og regler 1 , sentrale FN-konvensjoner, ILO- konvensjoner 2 og nasjonal arbeidslovgivning på produksjonsstedet. FNs verdenserklæring om menneskerettigheter skal respekteres.

Ved bruk av underleverandører som direkte medvirker til å oppfylle kontrakter, er leverandøren forpliktet til å videreføre disse kravene til underleverandøren.

HMS
HMS-arbeid er høyt prioritert og målrettet i Nessco. Våre leverandører skal legge vekt på å opprettholde trygge og sikre arbeidsforhold, inkludert et sunt og helsefremmende arbeidsmiljø for alle ansatte. Vi forventer at våre leverandører oppfyller alle krav i gjeldende HMS-lovgivning.

Leverandører sertifisert i henhold til ISO 45001 eller tilsvarende vil bli foretrukket i konkurranse med andre. Alle våre leverandører skal arbeide systematisk og målrettet med HMS.

Ytre miljø
Nessco ønsker å bidra til best mulig bevaring av miljøet. Våre produkter skal være blant de beste innen sitt område og vi skal bestrebe produktutvikling med fokus på energibesparende løsninger og et minimum av forurensning og avfallsmengder i hele produktets livssyklus. Våre leverandører må i sin virksomhet etterstrebe dette.

Sertifiserte leverandører med ISO 14001 sertifisering eller tilsvarende, vil i konkurranse være den foretrukne leverandør. Alle våre leverandører må vise til systematisk og målrettet arbeid innen påvirkning av det ytre miljø.

Kvalitet
Leverandører skal ha et tilfredsstillende kvalitetssikringssystem tilpasset leveransen og kunne dokumentere at definerte kvalitetskrav inngår som en naturlig del av virksomhetens aktiviteter.

Nessco har vært ISO 9001sertifisert siden 1993, og vi foretrekker leverandører med tilsvarende sertifisering.

Informasjonssikkerhet og IT
Alle leverandører til Nessco skal benytte egnede tekniske og organisatoriske tiltak for å beskytte informasjon relatert til Nessco. Dette gjelder uavhengig av om leverandøren har direkte tilgang til Nessco sine systemer.

Som et minimum skal leverandører:

• Beskytte konfidensialitet, integritet og tilgjengelighet for informasjon mottatt fra Nessco.
• Sikre at tilgang til informasjon er begrenset til autorisert personell.
• Opprettholde grunnleggende beskyttelse mot skadelig programvare, uautorisert tilgang og tap av data.
• Håndtere informasjonsutveksling med Nessco på en sikker måte.
• Rapportere enhver informasjonssikkerhetshendelse eller mistanke om brudd som kan påvirke Nessco, uten ugrunnet opphold.

Nivået på implementerte tiltak skal stå i forhold til type leveranse av utstyr eller tjeneste, og tilhørende risiko.

Leverandører sertifisert i henhold til ISO 27001 eller tilsvarende vil bli foretrukket i konkurranse med andre. Alle våre leverandører skal dokumentere systematisk og målrettet arbeid innen informasjonssikkerhet.

Se under for flere detaljer om Nessco sine forventninger til informasjonssikkerhet og IT sikkerhet hos våre leverandører.

Etikk
Vi forventer at våre leverandører, så vel som våre ansatte, utfører sin virksomhet og arbeid på en etisk og lovlig måte, samt handler med integritet og i samsvar med alle gjeldende lover, inkludert konkurranselovgivningen.

Vi forventer at våre leverandører aksepterer og etterlever Nessco sine etiske retningslinjer/Code of Conduct.

Etterlevelse
Ved vesentlige brudd på våre krav til leverandørene, vil en ytterste konsekvens være å heve kontrakt/samarbeid med leverandør. Vi vil dog i første omgang bestrebe et samarbeid for å gi leverandør mulighet til å korrigere og forebygge eventuelle mislighold, gjennom målsetting og handlingsplaner.

Vi forventer at våre leverandører har fokus på og arbeider systematisk med helse, miljø, sikkerhet og informasjonssikkerhet i egen virksomhet og i samarbeid med andre. Leverandørene må kunne verifisere og dokumentere dette arbeidet på forespørsel.

1) Med lover og regler menes lovgivning i leveransens opprinnelses- og bearbeidingsland.
2) International Labour Organization (ILO) er FNs internasjonale særorganisasjon for arbeidslivet.
ILO er en sammenslutning av representanter for verdens regjeringer, arbeidstakerorganisasjoner og arbeidsgiverorganisasjoner.
ILO har nedfelt mange konvensjoner der de viktigste og mest sentrale konvensjonene omtales som ILOs kjernekonvensjoner. Mer informasjon om kjernekonvensjonene kan lastes ned fra Etiskhandel.no.

Rev. 01 – Oslo, 21.01.2026

Nessco sine forventninger til informasjonssikkerhet og IT-sikkerhet hos våre leverandører
Alle leverandører til Nessco AS skal iverksette egnede tekniske og organisatoriske tiltak for å beskytte informasjon knyttet til Nessco AS. Dette gjelder uavhengig av om leverandøren har direkte tilgang til Nessco sine systemer. Nivået på de implementerte tiltakene skal stå i forhold til arten av de leverte varene eller tjenestene og tilhørende risiko.

Leverandører med tilgang til større mengder eller mer sensitiv informasjon er underlagt strengere sikkerhetskrav som en del av vår leverandørevaluering.

Nessco forventer følgende sikkerhetskontroller:

Styring av informasjonssikkerhet

Risikostyring
- Leverandører skal identifisere, vurdere og håndtere informasjonssikkerhetsrisiko knyttet til tjenestene.
- Sikkerhetskontrollene skal stå i forhold til risikoen.

Tilgangskontroll
- Tilgang til kundedata skal begrenses til autorisert personell (minste privilegium).
- Sterk autentisering, rollebasert tilgang og rettidig fjerning av tilganger.

Personellsikkerhet
- Bakgrunnssjekk der dette er lovlig tillatt.
- Obligatorisk opplæring for bevissthet rundt informasjonssikkerhet og taushetsplikt for ansatte.

Beskyttelse av informasjonsverdier
- Klassifisering av informasjon og tilhørende regler for håndtering.
- Kryptering av sensitiv informasjon under overføring og lagring der dette er relevant.

Hendelseshåndtering og varsling
- Definerte prosesser for å oppdage, håndtere og reagere på sikkerhetshendelser.
- Plikt til å varsle kunden om hendelser uten ugrunnet opphold.

Forretningsberedskap og tilgjengelighet
- Tiltak for sikkerhetskopiering, gjenoppretting og kontinuitet som er passende for tjenestens kritiske karakter.
- Regelmessig testing av kontinuitetsplaner.

Kontroll av underleverandører
- Leverandøren skal stille tilsvarende sikkerhetskrav til underleverandører.
- Leverandøren skal ha åpenhet rundt underleverandører som har tilgang til kundens informasjon.

Revisjon og sikkerhetsbekreftelse
- Rett til å gjennomføre revisjon eller motta sikkerhetsbekreftelse (f.eks. ISO 27001-sertifisering eller revisjonsrapporter).
- Samarbeid ved sikkerhetsgjennomganger og vurderinger.

Samsvar og juridiske krav
- Etterlevelse av gjeldende lover og forskrifter (f.eks. personvern, beskyttelse av data).
- Sikker retur eller sletting av data ved kontraktens opphør.