Ni «må-krav» til IKT-sikkerhet i anbud og kontrakter

TOPICS::
Anbud365: Ni «må-krav» til IKT-sikkerhet i anbud og kontrakterVassdrags- og energidirektør Kjetil Lund i Norges vassdrags- og energidirektorat (NVE), som har fått råde og anbefalinger om IKT-sikkerhet bruk anbud og kontrakter (foto: Catchlight/NVE).

Innlegg av: Lennart Hovland 16. mars 2023

Skriv ut artikkelen

Ni «må-krav» til IKT-sikkerhet i anbud og kontrakter er utviklet av Sintef Digital på oppdrag fra Norges vassdrags- og energidirektorat (NVE). Det dreier seg om en forstudie, og hensikten har vært å øke kunnskapen om slike krav og gi råd om hvordan det kan gjøres i praksis.

Forstudien om kravsetting: «Sett krav til IKT-sikkerhet i anbud og kontrakter En forstudie» er nå publisert. Sintef Digital har der anbefalinger til kravsetting i anbudsprosess og kontrakter som bygger videre på og supplerer NVEs egne retningslinjer for IKT-sikkerhet i anskaffelser. Kravene til leverandører er delt inn i “må-krav” og ytterligere anbefalinger. Her er «må-kravene»:

  • Periodisk risikovurdering: Leverandører må omfattes av periodisk risikovurdering slik at nettselskaper kan oppfylle sin sikringsplikt. Nettselskapet kan benytte sjekklister.
  • Kartlegge hvordan leverandør kan bistå i en akutt situasjon: Leverandøren må dokumentere hvordan den kan bistå kunden i en akutt situasjon som involverer leverandørens produkter eller tjenester, herunder hendelseshåndtering. Dette skal spesifiseres i leverandørkontrakten eller tilsvarende avtale.

  • Øvelser: Leverandører må involveres i beredskapsøvelser som berører deres produkter og/eller tjenester. Dette skal angis i leverandørkontrakten eller tilsvarende avtale.
  • Dette er ikke ment å tolkes dithen at det ikke skal være mulig å arrangere øvelser uten å involvere alle leverandører dersom nettselskapet anser det som hensiktsmessig å også gjennomføre mer avgrensede beredskapsøvelser.
  • Plassering av servere: Dersom tjenesten som leveres skal behandle sensitiv informasjon (personopplysninger), må servere som benyttes av tjenesten være plassert i et land som tilfredsstiller til enhver tid gjeldende regler for servere og personopplysninger som GDPR-lovverket krever. Dette gjelder også forskjellige former for skyløsninger.
  • Kraftsensitiv informasjon: Dersom tjenesten som leveres skal behandle kraftsensitiv informasjon, må servere som benyttes av tjenesten være plassert i et land som tilfredsstiller krav til anskaffelse av driftskontrollsystem for klasse 2 og høyere.
  • Plassering av ansatte: Dersom tjenesten som leveres skal behandle sensitiv informasjon, må leverandørens ansatte som får tilgang til slik informasjon fysisk befinne seg i EU/EØS.
  • Utover dette kravet, må leverandører også gjøre ytterligere vurdering av nasjonalitet, avhengig av type oppgaver som skal utføres, også når det ikke er behov for sikkerhetsklarering. Strategiske/ledende roller skal ikke fylles av ansatte med nasjonalitet fra land vi ikke har sikkerhetspolitisk samarbeid med.
  • Eierskap til data: For tjenester som innebærer at leverandøren behandler nettselskapets data i leverandørens infrastruktur, må det eksplisitt angis i leverandørkontrakten at eierskapet til slike data beholdes av nettselskapet.

I tillegg er det også ytterlige anbefalinger i rapporten, 11 i tallet. Dette er krav som bør oppfylles dersom det er mulig. Begrunnelse skal gis i de tilfellene man velger å se bort fra dem, heter det.

DEL TWEET PIN DEL

Relaterte innlegg

Bli den første til å kommentere på "Ni «må-krav» til IKT-sikkerhet i anbud og kontrakter"

Legg inn kommentar

Epostadressen din vil ikke vises.


*


Dette nettstedet bruker Akismet for å redusere spam. Lær om hvordan dine kommentar-data prosesseres.