(Roger Bang Eie) – Vil gjerne ha mer dialog før utlysning av konkurranser hvor det stilles krav innenfor sikkerhet og beredskap. Når kravene knyttes til reelle risikoscenarier fremfor veldig detaljerte sikkerhetsspesifikasjoner, blir det enklere å utvikle og levere løsninger som faktisk møter oppdragsgivers behov. Det forteller Helge Ruud, salgssjef – Sem & Stenersen Prokom til Anbud365, når vi ber om kommentarer til sikkerhet og beredskap i offentlige anskaffelser. – Det vil da trolig også bli enklere for oppdragsgiver å utarbeide mer treffsikre krav, og kanskje også oppnå en bredere konkurranse.
Økt geopolitisk uro, pandemier og ekstremvær har de siste årene gjort sikkerhet og beredskap til et høyaktuelt tema – ikke bare i forsvarssektoren, men i hele offentlig sektor. Nå forventes det også at kommuner, fylkeskommuner og statlige virksomheter vurderer beredskapshensyn i sine anskaffelser. Anbud365 har tatt en runde med noen sentrale aktører for å høre hvordan de opplever at det offentlige inkluderer sikkerhet og beredskap i de ulike anskaffelser – og hvilke erfaringer de gjør seg. Dagens kandidat: Helge Ruud, salgssjef – Sem & Stenersen Prokom.
Helge Ruud, salgssjef i Sem & Stenersen Prokom, har over 30 års erfaring med salg mot offentlig sektor og anbudshåndtering. Han er utdannet økonom, og har kompetanse fra arbeid med løsninger og tilbud som møter kravene i offentlige anskaffelser. For å styrke kunnskapen om regelverk og prosesser har han også gjennomført diverse kurs og DFØs sertifisering (SOA).
Anbud365: Har dere merket at offentlige oppdragsgivere i økende grad stiller krav knyttet til sikkerhet og beredskap i anskaffelser? Hvis ja – på hvilke områder og i hvilken form?
Ruud: Ja, vi opplever en klar økning i krav til sikkerhet og derav også til beredskap. For de løsninger vi leverer til offentlige kunder så gjelder dette særlig innenfor:
- Personvern og generell informasjonssikkerhet – GDPR, datalagring innenfor EU/EØS, krav til sikker overføring og kryptering av data. Dette henger nok også sammen med at det i all hovedsak er skyløsninger som etterspørres og tilbys i de anbud vi besvarer.
- Tilgjengelighet og oppetid – krav til beredskapsplaner for nedetid og rask gjenoppretting av tjenester samt krav til support utover ordinær arbeidstid.
- Kontinuitet og krisehåndtering – at leverandøren kan dokumentere beredskapsrutiner for kritiske hendelser, varsling ved hendelser, krav til logging mv.
- Økt krav til sikkerhet forbundet med eventuell bruk av underleverandører eller innleid personell
Kravene kommer oftest i form av minimumskrav i kravspesifikasjon, men vi ser også at enkelte oppdragsgivere vektlegger informasjonssikkerhet som tildelingskriterium.
Anbud365: Hvilke typer beredskapskrav oppleves som mest krevende å imøtekomme, og hvilke fremstår som mer hensiktsmessige og relevante fra deres ståsted?
Ruud: Mest krevende:
- Krav som er svært detaljerte eller teknisk spesifikke, men ikke helt tilpasset kommunesektoren og/eller den løsningen som etterspørres.
- Krav om dokumentasjon på scenarioer som kanskje er lite relevante for denne type løsninger, men som likevel må oppfylles.
Mest hensiktsmessige og relevante:
- Klare krav til informasjonssikkerhet, GDPR og håndtering av personopplysninger med bakgrunn i den løsning som etterspørres
- Krav til beredskap ved driftsavbrudd (definerte responstider, kommunikasjon- og varslingsrutiner).
- Krav som er tydelig koblet til faktisk risiko for oppdragsgiver ved den konkrete løsningen.
Slike relevante krav gir en god balanse mellom trygghet, kvalitet og mulighet for å levere løsninger som virkelig skaper verdi.
Anbud365: Opplever dere at kravene kommer tydelig frem i konkurransegrunnlaget – og er det vanlig at beredskap er definert som minimumskrav, tildelingskriterium eller kontraktskrav?
Ruud: Det varierer, mange konkurransegrunnlag lister opp beredskap og sikkerhet som minimumskrav, ofte uten at det gis særlig rom for å differensiere seg som leverandør. I noen tilfeller brukes det som tildelingskriterium, men da er det viktig at kriteriene er målbare og forståelige.
Vi ser også at det ofte legges inn som kontraktskrav, der oppdragsgiver forbeholder seg rett til revisjon eller dokumentasjon underveis i kontraktsperioden. Det er forståelig, og noe vi må forholde oss til særlig når kontraktene går over flere år.
Anbud365: Hva er deres råd til offentlige innkjøpere som ønsker å stille krav til sikkerhet og beredskap – hva bør de tenke på for å få relevante og gjennomførbare tilbud fra leverandørmarkedet?
Ruud: Knytt kravene til reelle risikoscenarier for den løsningen som etterspørres: Hva er de mest kritiske funksjonene for oppdragsgiver og hvordan kan leverandøren bidra til å sikre disse?
Vurder hvor samfunns-/organisasjonskritisk løsningen er før dere detaljerer kravene til sikkerhet og beredskap. Unngå overdetaljerte krav som favoriserer store leverandører eller bestemte teknologier, og som gjør det vanskelig for innovative SMB-leverandører å delta. Jeg tror at stor kompleksitet i disse kravene (i forhold til hva anskaffelsen faktisk gjelder) kan gjøre at enkelte leverandører da velger ikke å besvare anbudet.
Skill mellom minimumskrav og differensierende kriterier. Bruk sikkerhet og beredskap som tildelingskriterium der det faktisk er mulig å skape merverdi. Fokus på konkrete beredskapsplaner og rutiner for den løsningen som etterspørres, heller enn omfattende generell dokumentasjon som ikke alltid er like relevant. Inviter gjerne til dialog om kravene før utlysning av anskaffelsen, for eksempel ved å benytte en RFI eller gjennomføre dialogmøter: Da kan oppdragsgiver utarbeide mer treffsikre krav, og kanskje også oppnå en bredere konkurranse.
Bli den første til å kommentere på "Beredskap og sikkerhetshensyn i offentlige anskaffelser (I): Vil gjerne ha dialog i forkant for å kunne møte reelle behov"