I de seneste år har lovgivningsmæssige tiltag som fx GDPR og NIS2 pålagt offentlige organisationer et minimum af sikkerhed og modstandskraft mod tyveri og misbrug af de informationer om borgere og samfundet, organisationerne ligger inde med.
SKI hjælper dig til sikre it-indkøb
Når du indgår en kontrakt med en leverandør, bør du sikre dig, at sikkerhed tænkes ind i kontrakten, og at leverandøren kan leve op til de nødvendige sikkerhedskrav. Derfor er sikkerhed en væsentlig del af SKI’s aftaler.
- SKI’s aftaler indeholder relevante sikkerhedskrav, som leverandørerne skal leve op til
- SKI’s aftaler understøtter, at din organisation får sikre leverancer på SKI-aftaler.
SKI er i gang med at kortlægge, hvilke eksisterende og kommende SKI-aftaler, der skal opdateres med relevante NIS2-krav til leverandørerne, så din organisation kan leve op til jeres forsyningskædeansvar, når I køber ind på en SKI-aftale.
Rammeaftaler: SKI’s sikkerhedskrav er obligatoriske.
Dynamiske indkøbssystemer: Det er forskelligt fra aftale til aftale, om SKI’s sikkerhedskrav er obligatoriske, eller om de offentlige organisationer kan fravælge dem og benytte egne sikkerhedskrav.
SKI-aftaler skal kunne bruges af mange forskellige offentlige institutioner. Nogle institutioner kræver særligt høje informationssikkerhedskrav på grund af deres ressortområde eller opgavernes natur, mens andre kan klare sig med knap så høje sikkerhedskrav.
SKI sørger for at indarbejde så højt et sikkerhedsniveau som muligt i vores indkøbsaftaler, men det er op til den enkelte offentlige organisation at vurdere egne behov og risici. Hvis SKI sætter for høje sikkerhedskrav, kan det føre til øgede omkostninger, begrænset leverandørfelt, mindre fleksibilitet og en mere kompleks udbudsproces.
For at sikre en balance i sikkerhedskravene samarbejder SKI med eksperter og myndigheder som Styrelsen for Samfundssikkerhed (SAMSIK) og Digitaliseringsstyrelsen (DIGST). Vi bruger anerkendte standarder som ISO 27001, tilbyder fleksible sikkerhedspakker, udarbejder vejledninger samt evaluerer og justerer kravene løbende.
Det skal du vide om sikkerhedskrav i SKI
Nedenfor kan du få overblik over, hvordan SKI konkret stiller sikkerhedskrav på aftalerne samt hvad du som offentlig organisation selv skal tage højde for:
For løbende at hæve standarden for sikkerhed i SKI-aftaler samarbejder vi med forskellige offentlige og private organisationer.
Information Security Forum (ISF): SKI er medlem og anvender ISF’s værktøjer og standarder som ISO 27001/2, CIS18-kontrollerne og NIST Cybersecurity Framework, fx når vi udarbejder sikkerhedsbilag til aftalerne.
Kommunernes Databehandler Sekretariat: Regelmæssige møder med repræsentanter med fokus på kommunernes behov for sikkerhedskrav og databehandleraftaler.
Styrelsen for Samfundssikkerhed (SAMSIK): Rådgivning og dialog om sikkerhedskrav, særligt for aftaler, der omfatter kritisk infrastruktur, fx tele og data-aftalerne 50.48 og 02.08.