”Et kompas i tågen” - sådan kan NIS2 beskrives. Direktivet er sat i verden for at styrke it-sikkerheden i både private og offentlige organisationer.
For kommunerne betyder det, at de nu også skal implementere særlige it-sikkerhedsforanstaltninger, rapportere it-sikkerhedshændelser og sikre, at deres leverandører lever op til en række skærpede it-sikkerhedskrav. En kompleks opgave, der for mange er omkostningsfuld, øger arbejdsbyrden og stiller højere krav til det daglige arbejde med sikkerhed i de offentliges it-løsninger.
Når du køber ind på en SKI-aftale, får du hjælp til at efterleve den del af direktivet, der vedrører it-sikkerhed i forsyningskæden.
Ny lovgivning udvikler sig hele siden, og SKI følger udviklingen tæt og justerer sikkerhedskravene på vores aftaler løbende.
I boksen nederst i artiklen kan du få overblik over NIS2-krav på de enkelte SKI-aftaler.
På mange af SKI’s aftaler er de kommende lovpligtige it-sikkerhedskrav til leverandørerne allerede indarbejdet. SKI’s øvrige aftaler opdateres i prioriteret rækkefølge, så du som offentlig indkøber ikke behøver at bekymre dig om sikkerhedskravene til forsyningskæden. Annette Kirstine Skov Pedersen, informationssikkerhedskonsulent i SKI, fortæller:
”NIS2 har været undervejs længe, og derfor har SKI allerede taget højde for sikkerhedskrav til leverandørerne på mange af vores aftaler. Vi vurderer trusselsniveauet og dermed de nødvendige sikkerhedskrav for hver enkelt aftale,” siger Annette Kirstine Skov Pedersen.
Foranstaltningerne, som lovomfattede organisationer som minimum skal træffe, er bl.a. politikker for risikoanalyse og informationssystemsikkerhed, håndtering af hændelser, forsyningskædesikkerhed samt forskellige politikker og procedurer for sikkerhed.
SKI’s risikovurderinger dækker det brede trusselsbillede, derfor skal den enkelte organisation altid selv vurdere deres eget risikobillede for vurdere, om der er behov for at stille skærpede sikkerhedskrav i forbindelse med indkøbet.
- Informationssikkerhed er en integreret del af udbudsprocessen.
- Vi anvender egnethedskriterier på informationssikkerhed, når leverandører får adgang til en SKI-aftale. Det sikrer at leverandørerne har de nødvendige sikkerhedsforanstaltninger for at kunne løfte aftalen.
- På de enkelte aftaler er vi transparente om informationssikkerhedsrisici, så de offentlige organisationer kan se, hvilke krav der stilles til leverandørerne, og hvilke sikkerhedsløsninger, der kan købes.
- Vi vejleder og hjælper med at stille konkrete krav i sikkerhedsbilag.
Læs mere om, hvordan SKI arbejder med informationssikkerhed på SKI-aftalerne her.
På nogle rammeaftaler er SKI’s informationssikkerhedskrav obligatoriske, og SKI holder leverandørerne op på kravene med revisionserklæringer. På andre aftaler kan de offentlige indkøbere vælge mellem forskellige niveauer af sikkerhed eller vedlægge egne sikkerhedsbilag. Har du behov for at få hjælp til at navigere i sikkerhedskravene, står SKI’s sikkerhedskonsulenter klar med hjælp.
”Alle behov er forskellige. Selvom vi indarbejder så højt et grundniveau af sikkerhed som muligt i vores aftaler, er der nogle organisationer, der har behov for skærpede sikkerhedskrav. I de tilfælde hjælper vi gerne på vej, så de produkter og ydelser, der er købt gennem en SKI-aftale, har et for dem passende sikkerhedsniveau,” siger Annette Kirstine Skov Pedersen.
I efteråret planlægger SKI at afvikle flere webinarer, hvor du kan få indblik i, hvordan SKI arbejder med sikkerhedskrav, hvorfor vi stiller de krav, vi gør, og hvordan du selv vurderer, om der er behov for yderligere sikkerhedskrav i dit indkøb.
Ud over hjælp til at stille de nødvendige sikkerhedskrav i forbindelse med it-indkøbet har SKI også en række aftaler, hvor det er muligt at købe sikkerhedsløsninger og -ydelser. Dem kan du se her.
Ny lovgivning udvikler sig hele siden, og SKI følger udviklingen tæt og justerer sikkerhedskravene på vores aftaler løbende.
På disse aftaler er der NIS2-relaterede krav:
- Konsulentaftaler: 02.14 It-konsulenter (2024), 02.15 It-rådgivning (2025) og 02.17 It-konsulenter (2025)
- Hardware- og netværksaftaler: 02.08 Tele og data (2025), 50.48 Tele og data (2026), 50.07 Kommunikationsprodukter (2025) samt 50.43 Tablets (2025).
- Softwareaftaler: 50.49 Standardsoftware (2025).
De fleste af disse aftaler er enten trådt i kraft eller klar til brug inden den 1. juli, hvor NIS2 træder i kraft. 02.08, 50.48 og 50.43 træder dog først i kraft efter, loven er trådt i kraft.
På de to nuværende tele- og dataaftaler har SKI dog allerede indarbejdet relevante sikkerhedskrav, som skærpes yderligere på de kommende aftaler. 50.43 vil først få NIS2-relaterede sikkerhedskrav, når den nye aftale træder i kraft i september 2025.
Disse aftaler får NIS2-relaterede krav i løbet af 2025:
I løbet af 2025 får følgende SKI-aftaler opdateret sikkerhedsbilag, så de omfatter de NIS2-relaterede sikkerhedskrav, som du kan benytte i dit indkøb:
- 02.19 Fagsystemer (både rammeaftalen og det dynamiske indkøbssystem)
- 02.22 It-drift
- 02.06 Standardsoftware
- 02.07 Kommunikationsprodukter og -løsninger.
Øvrige rammeaftaler får først NIS2-relaterede krav, når de genudbydes
Herudover indarbejdes NIS2-kravene på alle kommende SKI-rammeaftaler i takt med, at de genudbydes. Da mange af disse aftaler er udarbejdet, inden SKI blev gjort bekendt med NIS2-lovgivningen, er der ikke mulighed for at ændre på kravene, før aftalerne genudbydes.
Er du i tvivl om, du er dækket ind af sikkerhedskravene på en aftale, er du velkommen til at kontakte den it-kundeansvarlige for den relevante aftale. Du finder kontaktinformationer nederst på hver aftaleside.