Som ansvarlig for it-indkøb i en offentlig organisation har du en vigtig opgave: at beskytte borgernes data. Og en enkelt sikkerhedsbrist kan koste en offentlig organisation millioner af kroner.
I en tid med stigende cybertrusler er det derfor vigtigt, at offentlige it-indkøb lever op til høje sikkerhedsstandarder. Men hvordan får du de nødvendige sikkerhedskrav indarbejdet, når du køber ind og indgår kontrakter med leverandører?
”Det handler ikke kun om det tekniske, men også om governance – hvordan sikkerhed tænkes ind i hele processen fra risikovurdering til kontraktens udløb,” siger informationssikkerhedskonsulent i SKI, Annette Kirstine Skov Pedersen.
SKI gennemfører grundige risikovurderinger, stiller præcise sikkerhedskrav og sikrer løbende overvågning. Alle SKI-aftaler indeholder grundlæggende sikkerhedskrav, der opdateres ved hvert genudbud. Leverandører på fx SKI’s it-konsulentaftaler 02.15 It-rådgivning og 02.17 It-konsulenter skal følge et obligatorisk sikkerhedsbilag med dokumentation via revisionserklæring.
”SKI’s risikovurderinger dækker brede trusselsbilleder, men offentlige organisationer bør altid selv vurdere deres it-sikkerhedsrisici, når de indgår en kontrakt med en leverandør via en SKI-aftale, eller når de indgår deres egne aftaler,” siger Annette Kirstine Skov Pedersen.
Her deler hun sine bedste råd og fremhæver de vigtigste overvejelser, du bør gøre dig for at beskytte din organisations data og systemer – uanset om du køber ind via eget EU-udbud eller en SKI-aftale.
Når offentlige organisationer køber it-løsninger, er det vigtigt at stille de rette sikkerhedskrav. Ifølge Annette Kirstine Skov Pedersen er det afgørende at tænke sikkerhed ind i kontrakten fra starten.
"Sikkerhed skal være en integreret del af kontrakten, og leverandøren skal kunne dokumentere, at de lever op til de nødvendige sikkerhedskrav. Du skal tage udgangspunkt i, hvilken type information produktet eller ydelsen skal håndtere, og hvilken adgang leverandører og eventuelle underleverandører vil have. Det er også vigtigt at overveje konsekvenserne, hvis noget går galt,” siger hun.
SKI har udviklet en række værktøjer og skabeloner, der gør det lettere for offentlige organisationer at stille de nødvendige sikkerhedskrav. På en ny side om informationssikkerhed kan du blandt andet:
- Læse mere om, hvordan SKI arbejder med informationssikkerhed på aftalerne
- Blive guidet til at købe it- og cybersikkerhed på SKI's it-aftaler
- Få it-sikkerhedshjælp til dine egne indkøb
- Få hjælp til at stille de nødvendige krav til it- og informationssikkerhed på SKI's aftaler, herunder til din organisations risikovurdering.
Før du indgår en kontrakt, er det vigtigt at overveje, hvor kritisk ydelsen eller produktet er for den daglige drift.
"Din risikovurdering skal afspejle, hvor essentiel løsningen er for driften. Jo mere kritisk, desto vigtigere er det at specificere kravene korrekt. Du skal også vurdere, hvilken adgang leverandøren kræver, og hvilke konsekvenser det har for organisationens risikoprofil. Derudover er det vigtigt at inddrage de rette personer med den nødvendige viden og ekspertise til at vurdere både risici og krav," siger Annette Kirstine Skov Pedersen.
Hun tilføjer, at SKI holder nøje øje med udviklingen inden for it-sikkerhed:
"Vi forventer, at it-sikkerhed vil få en stadig større betydning i offentlige indkøb. Derfor følger SKI området tæt og arbejder målrettet på at understøtte den offentlige sektor med relevante sikkerhedskrav. Vi samarbejder desuden med relevante myndigheder for at sikre, at vores løsninger altid lever op til god praksis. Kravene vurderes og opdateres hver gang en aftale genudbydes for at imødekomme den nyeste udvikling."
På SKI-aftaler kan du finde et bredt sortiment af sikkerhedsprodukter og -løsninger, men du er også sikret, at der er stillet relevante sikkerhedskrav til leverandørerne på de enkelte aftaler.
SKI-aftaler skal kunne bruges af mange forskellige offentlige institutioner. Nogle institutioner kræver særligt høje informationssikkerhedskrav på grund af deres ressortområde eller opgavernes natur, mens andre kan klare sig med knap så høje sikkerhedskrav.
SKI sørger for at indarbejde så højt et sikkerhedsniveau som muligt i vores indkøbsaftaler, men det er op til den enkelte offentlige organisation at vurdere egne behov og risici. Hvis SKI sætter for høje sikkerhedskrav, kan det føre til øgede omkostninger, begrænset leverandørfelt, mindre fleksibilitet og en mere kompleks udbudsproces.
Vi råder derfor altid de enkelte offentlige organisationer til selv at vurdere deres risici, når de skal indgå en kontrakt med en leverandør. Det kan du få hjælp til her.