Når du skal købe biler til en offentlig organisation, skal du overholde de udbudsretlige principper. Det betyder blandt andet, at kravene skal være nødvendige, forholdsmæssige og saglige i forhold til dit behov. Det er ikke nok at fokusere på pris og funktionalitet – du skal også tage højde for bilernes digitale sikkerhed, især hvis bilen skal bruges i kritiske funktioner eller har adgang til data og netværk.
SKI anbefaler derfor, at du foretager en konkret risikovurdering, når du køber biler, fx baseret på NIS2-direktivet. Til det har SKI sammen med det nye dynamiske indkøbssystem for biler udviklet et værktøj, der kan hjælpe dig med at foretage din risikovurdering.
En risikovurdering kan i visse tilfælde betyde, at du må udelukke produkter eller leverandører, hvis de ikke kan leve op til nødvendige sikkerhedskrav. Det skaber ifølge kontraktjurist i SKI, Michael Hamer, et dilemma, fordi ligebehandling er et grundprincip i udbudsloven.
”Derfor er det vigtigt at kunne dokumentere, at eventuelle krav og udelukkelser er sagligt begrundet, og det kan kun opnås gennem en grundig risikovurdering. Risikovurderingen sikrer, at de krav, der stilles til bilerne, er proportionale og nødvendige i forhold til de konkrete sikkerhedsrisici,” siger han.
I dag findes der ikke specifikke informationssikkerhedskrav for biler – ligesom der heller ikke findes vedtagne standarder for sikkerhedsforanstaltninger, som anvendes bredt i markedet. Derfor har SKI udarbejdet et vejledende risikovurderingsværktøj, som du kan anvende ved indkøb af biler.
”Med risikovurderingsværktøjet håber vi at kunne hjælpe den offentlige sektor med at navigere i krydsfeltet mellem saglige sikkerhedsmæssige forhold og udbudsretlige forhold. Det er ikke en facitliste, men en praktisk hjælp til at identificere og vurdere relevante risici,” fortæller Michael Hamer.
Han understreger vigtigheden af, at du sagligt forholder dig til de identificerede risici og kun stiller nødvendige krav til bilernes funktionalitet og egenskaber – og passende og nødvendige sikkerhedskrav.
Sådan fungerer risikovurderingsværktøjet
Risikovurderingsværktøjet består af 10 spørgsmål, som hjælper dig med at vurdere:
- Risici i din organisation
- Risici for samfundet
- Risici for persondata
- Risici forbundet med leverandøren eller producenten af biler.
Til nogle af spørgsmålene finder du også forslag til formulering af krav til informationssikkerheden.
Afhængig af den samlede vurdering kan du vælge at stille krav til sikkerhedsforanstaltninger eller krav om udelukkelse – og ved lav risiko kan du vælge helt at udelade at stille krav.
SKI anbefaler:
- Lav risiko: Krav er som udgangspunkt ikke nødvendige
- Medium/høj risiko: Stil konkrete, proportionale krav til sikkerhed
- Uacceptabel risiko: Udeluk biler fra lande med høj eller meget høj cybertrussel jf. Styrelsen for Samfundssikkerheds (SAMSIK’s) trusselsvurdering.
SKI vil løbende vurdere, om der vil være behov for at tilpasse eller opstille nye krav til informationssikkerhedsforanstaltninger til biler, som du kan indarbejde som krav til sikkerhed.
Du finder både værktøj og vejledning på aftalesiden på ski.dk under ’Aftaledokumenter' - 'Andet aftale dokument’ og inde i selve det dynamiske indkøbssystem i fanen ’Øvrige vilkår’ under punktet ’Sikkerhed’ og ’Datasikkerhed’.
Samtidig med lanceringen af risikovurderingsværktøjet er 50.86 Biler – SKI’s dynamiske indkøbssystem til biler – gået i luften. Aftalen er et genudbud af den tidligere bilaftale med samme navn, men med fokus på en forbedret indkøbsrejse for både ordregivere og leverandører.
Systemet er testet grundigt for at sikre, at det er intuitivt både at oprette indkøb samt afgive tilbud. Både indkøbere og leverandører bliver guidet digitalt og ledes igennem systemet ved hjælp af faneblade og uddybende vejledningstekster.
Læs mere om aftalen, og gå til det dynamiske indkøbssystem her.
I alt er 52 leverandører optaget i det dynamiske indkøbssystem, og flere kan løbende blive optaget. Dermed er den offentlige sektor sikret at kunne købe biler, der dækker deres behov mange år frem.
Se den aktuelle liste over leverandører på aftalesiden. Her er det også muligt at finde en vejledning til, hvordan man som virksomhed søger om optagelse.
50.86 Biler er et genudbud af den tidligere bilaftale af samme navn. Aftalen indeholder fire kategorier:
- Kategori 1a: Personbiler
- Kategori 1b: Personbiler
- Kategori 2a: Arbejdsbiler
- Kategori 2b: Arbejdsbiler
Indkøb i kategorierne angivet med ’a’ tildeles på baggrund af TCO (totalomkostninger), mens indkøb i kategorierne angivet med ’b’ tildeles på baggrund af både TCO og APV (arbejdspladsvurdering).