Det må stilles krav om IKT-sikkerhet ved alle offentlige anskaffelser, og anskaffelsesregelverket bør endres slik at oppdragsgiveren får en slik plikt. IKT-sikkerhet må ivaretas bedre i Statens standardavtaler, og veiledning om IKT-sikkerhet ved anskaffelser må videreutvikles. Disse forslagene fremmes av et statlig utvalg som har vurdert organisering og regulering av nasjonal IKT-sikkerhet.
Utredningen «IKT-sikkerhet i alle ledd» ble avgitt til Justis- og beredskapsdepartementet før jul. Utvalget bak utredningen ble ledet av Hans Christian Holte, nå skattedirektør, tidligere Difi-direktør. Utvalgets oppdrag var å vurdere om dagens regulering av IKT-sikkerhet er hensiktsmessig gitt de samfunnsutfordringene Norge står overfor. Blant utvalgets anbefalinger for å styrke nasjonal IKT-sikkerhet var krav om IKT-sikkerhet ved anskaffelser.
Anskaffelser av IKT-tjenester kan, og vil i mange tilfeller, gi bedre trygghet og mer stabile og tilgjengelige tjenester, heter det i utvalgets innstilling. Med andre ord kan anskaffelser av IKT-tjenester være et fornuftig IKT-sikkerhetstiltak.
Ikke risikofritt
– Anskaffelser av slike tjenester er imidlertid ikke risikofritt, fremholder utvalget, som mener at den største utfordringen med anskaffelser er manglende bevissthet om risikoen. For å kunne iverksette hensiktsmessige sikkerhetstiltak, er det avgjørende at virksomhetene vurderer risikoen ved alle anskaffelser. Virksomheter som blir omfattet av utvalgets forslag til ny lov om IKT-sikkerhet plikter å vurdere slik risiko.
Utvalget mener at det må stilles krav om IKT-sikkerhet ved alle offentlige anskaffelser. Anskaffelsesregelverket bør endres slik at oppdragsgiveren får en slik plikt. Statens standardavtaler (SSA) brukes av en rekke private virksomheter, i tillegg til offentlig sektor. Utvalget anbefaler at SSAene endres slik at IKT-sikkerhet blir tydeligere ivaretatt.
Utvalget legger til grunn at det innenfor rammene av anskaffelsesregelverket er fullt mulig å stille krav om IKT-sikkerhet ved anskaffelse av IKT-produkter og -tjenester. For utvalget er det ikke like tydelig om det er anledning til å stille krav om IKT-sikkerhet ved anskaffelse av andre produkter og tjenester som ikke like intuitivt kan innebære en digital risiko.
Behov for kompetanse og veiledning
– Det er et stort behov for kompetanse og veiledning om IKT-sikkerhet ved anskaffelser, understreker utvalget. Dette omfatter blant annet hva virksomhetene må vurdere når det gjelder sikkerhet ved anskaffelser, og hvordan dette bør gjenspeiles i kravene som stilles i konkurransedokumentene og kontraktene. Utvalget mener det er viktig at den eksisterende veiledningen på anskaffelsesområdet videreutvikles til å inkludere IKT-sikkerhet i større grad. Veiledningen om anskaffelser og SSAer bør samkjøres med annen veiledning om IKT-sikkerhet.
Det er ikke enkelt å tallfeste kostnadene ved eventuelle IKT-sikkerhetskrav i offentlige anskaffelser, selv om de kvalitativt lar seg identifisere. Hvis det er slik at noen leverandører får konkurransefortrinn og større markedsmakt, kan det føre til at de tar høyere priser slik at det potensielt opp-står samfunnsmessige effektivitetstap, påpeker utvalget i sin innstilling. Det kan allikevel være samfunnsøkonomiske nyttevirkninger av et slikt tiltak. Det er hovedsakelig fordi krav i anskaffelser kan endre adferden til både innkjøpere og tilbydere, slik at nødvendig sikkerhet prioriteres. Det kan også forventes at krav om IKT-sikkerhet i anskaffelser vil øke bevisstheten både hos de som kjøper og de som tilbyr tjenester.
Bli den første til å kommentere på "Foreslår plikt til å stille krav om IKT-sikkerhet ved alle anskaffelser"