Lovgivning som GDPR og NIS2 stiller krav til offentlige organisationer om at sikre et minimum af sikkerhed og modstandskraft mod tyveri og misbrug af de informationer om borgere og samfundet, organisationerne ligger inde med.
Sikkerhed er en del af SKI’s aftaler
Når du indgår en kontrakt med en leverandør, bør informationssikkerhed tænkes ind fra start. Derfor arbejder SKI systematisk med sikkerhed i aftalerne. Hver gang, vi udbyder en ny aftale, stiller vi relevante sikkerhedskrav baseret på:
- Gældende lovgivning og krav
- Det aktuelle trusselsbillede
- Behov i den offentlige sektor.
Ovenstående udvikler sig. Derfor er der forskel mellem kravene på aftalerne. SKI arbejder hele tiden for at indarbejde så højt et sikkerhedsniveau som muligt i vores indkøbsaftaler og undersøger løbende, hvor langt vi kan gå for at understøtte sikkerhedsdagsordenen i den offentlige sektor bedst muligt.
SKI’s krav til informationssikkerhed afspejler de relevante krav og behov på udbudstidspunktet af vores rammeaftaler. For dynamiske indkøbssystemer opdaterer vi løbende kravene.
Rammeaftaler: SKI’s sikkerhedskrav er obligatoriske. På nogle aftaler giver forskellige sikkerhedsniveauer mulighed for at stille krav på det niveau, der matcher din organisations behov.
Dynamiske indkøbssystemer: Det er forskelligt fra aftale til aftale, om SKI’s sikkerhedskrav er obligatoriske, eller om de offentlige organisationer kan fravælge dem og benytte egne sikkerhedskrav.
Hvad gør SKI – og hvad skal du selv gøre?
Når SKI udarbejder sikkerhedskrav til leverandørerne på SKI-aftaler, vurderer vi risici i forhold til informationssikkerheden på aftaleområdet samt i forhold til den specifikke leverance og hvilke elementer, der indgår i den, herunder om der fx er tale om konsulenter, infrastruktur, software eller hardware. SKI kategoriserer de forskellige aftaler efter de vurderede risici og udvælger derefter de sikkerhedskrav, som skal indgå i udbudsmaterialet.
I risikovurderingen indgår også trusselsvurderinger fra Styrelsen for Samfundssikkerhed (SAMSIK).
SKI udarbejder sikkerhedskravene i de enkelte aftaler på baggrund af kendte standarder som ISF’s Standard of Good Practice for Information Security, ISO 27002, CIS18 og NIST Cybersecurity Framework.
SKI’s risikovurdering kan ikke tage højde for alle lokale forhold i din organisation. Derfor skal du altid selv vurdere risici i forbindelse med dit specifikke indkøb.
På rammeaftalerne 02.15 It-rådgivning (2025) og 02.17 It-konsulenter (2025) indgår et sikkerhedsbilag, som er obligatorisk for leverandørerne at følge og dokumentere ved en revisionserklæring. Her kan du vælge mellem forskellige niveauer af sikkerhed.
I det dynamiske indkøbssystem 02.14 It-konsulenter (DIS) kan de offentlige organisationer vælge at benytte SKI’s sikkerhedsbilag med forskellige sikkerhedspakker, eller uploade eget sikkerhedsbilag.
På 50.48 Tele og data indgår et sikkerhedsbilag, der blandt andet stiller krav til netsikkerhed, trusselsbeskyttelse, logning og overvågning.