(En Anbud365-kommentar) Nasjonal sikkerhetsmyndighet (NSM) registrerer daglig at norske virksomheter blir utsatt for uønskede digitale hendelser. Det kan være i form av f.eks. nettverksoperasjoner hvor virksomhetenes informasjonssystemer blir forsøkt kompromittert. De mest alvorlige sakene nå er mer omfattende og mer komplekse enn tidligere. Offentlige virksomheter, både sivile og militære, blir i økende grad avhengige av privat sektor. Næringslivet kommer i enda større grad til å levere tjenester og utstyr til sektorer av betydning for Norge i fremtiden. Derfor er det viktig at aktørene, både offentlige og private, forstår hvilke risikoer de forvalter og at disse risikoene håndteres på en god måte gjennom risikoreduserende tiltak.
Nærings- og fiskeridepartementet i samarbeid med Forsvarsdepartementet lanserte for en ukes tid siden en veiledning om sikkerhet i offentlige anskaffelser. Her pekes det på hvordan det offentlige kan ta hensyn til sikkerhet i sine innkjøp. Vi vil legge til: Ikke noe for tidlig, men desto mer velkommen. Det er blitt slik at sikkerhetshensyn står sentralt i all aktsomhetsvurdering.
Veiledningen har som mål å synliggjøre handlingsrommet i anskaffelsesregelverket, og gjennom dette hvordan offentlige oppdragsgivere kan ivareta norske sikkerhetsinteresser når de gjør innkjøp. Den har derfor også en omtale av hvordan offentlige oppdragsgivere kan ivareta sikkerhet i anskaffelser som ikke faller inn under sikkerhetsloven, men hvor sikkerhet likevel er et sentralt element. I tillegg gir veiledningen informasjon om risikovurderinger i forkant av anskaffelsen, og hvordan oppdragsgiverne kan gå frem for å gjennomføre slik risikovurderinger.
Informasjonsstrategi
Målene som veiledningen bygger på, fremgår av Nasjonal strategi for digital sikkerhet, hvor offentlig privat samarbeid trekkes frem som et prioritert område. Strategien er tilgjengelig på Justis- og beredskapsdepartementets nettsider. Også eForvaltningsforskriften pålegger forvaltningsorganer å ha mål og strategi for informasjonssikkerhet som skal danne grunnlaget for forvaltningsorganets internkontroll på informasjonssikkerhetsområdet.
Reglene er ikke nødvendigvis lett å forholde seg til når man gjør en slik anskaffelse for første gang, påpeker næringsminister Torbjørn Røe Isaksen. Samtidig er dette viktige regler, som oppdragsgiverne må kunne når de skal gjøre anskaffelser der sikkerhetsloven er relevant.
Skade nasjonale interesser
Sikkerhet i offentlige anskaffelser handler bl.a. om å beskytte informasjon, informasjonssystemer, objekter og infrastruktur som er omfattet av sikkerhetsloven. Dette vil være informasjon som kan skade nasjonale sikkerhetsinteresser, dersom den blir kjent for uvedkommende. Det kan også være informasjonssystemer, objekter og infrastruktur som har sentral betydning for Norges nasjonale sikkerhet.
I tillegg handler det å ivareta sikkerhet, også om å kunne tilby innbyggerne trygge og pålitelige tjenester, å minimere risikoen for utilsiktede hendelser og å sikre at informasjon som er gitt til det offentlige ikke kommer på avveie. Bruk av ny teknologi og nye løsninger gir nye sårbarheter og et stadig endret sikkerhetsrisikobilde. Infrastrukturer og IKT-systemer blir mer komplekse, globale og integrerte. Flere enheter kobles til internett, og bruk av skyløsninger øker. Behovet for å redusere kostnader og øke tilgangen til kompetanse gjør at flere IKT-funksjoner settes ut til private leverandører.
Overordnet mål
Regjeringens overordnede mål er at norske virksomheter digitaliserer på en sikker og tillitsvekkende måte, med bedre evne til egen beskyttelse mot uønskede digitale hendelser, samt at kritiske samfunnsfunksjoner er understøttet av en robust og pålitelig digital infrastruktur. Gode offentlige anskaffelser, som setter krav til ivaretakelse av sikkerhet, er viktig for å nå disse målsettingene.
For å kunne ivareta sikkerhet på en god måte, må oppdragsgiverne ha god forståelse av risikoene den aktuelle anskaffelsen innebærer. Slike risikovurderinger danner utgangspunktet for videre krav til ivaretakelse av sikkerhet.
Gir muligheter for å stille krav
I enkelte anskaffelser foreligger det tungtveiende sikkerhetshensyn som ikke er forenlig med prosedyrene i regelverket. Disse anskaffelsene kan derfor unntas fra anskaffelsesregelverket. Samtidig gir anskaffelsesforskriften, forsyningsforskriften og konsesjonskontraktsforskriften en rekke muligheter til å stille krav og sette kriterier knyttet til ivaretakelse av sikkerhet, også for anskaffelser som ikke er underlagt sikkerhetsloven.
Forsvarsdepartementet har utarbeidet en veiledning til forskrift om forsvars- og sikkerhetsanskaffelser. I tillegg arbeider NSM med en veiledning til sikkerhetsgraderte anskaffelser etter sikkerhetsloven. I en del tilfeller vil det oppstå konkrete problemstillinger hvor det ikke er mulig, eller hensiktsmessig, å ta stilling til spørsmålet på forhånd i en generell veileder. I slike tilfeller er det viktig at oppdragsgiverne tilknytter seg den nødvendige sikkerhetsfaglige kompetansen på det aktuelle området.
Også andre sikkerhetskrav
I mange lover og forskrifter stilles det krav til sikkerhet ut over det som følger av sikkerhetsloven, og som oppdragsgiverne må være oppmerksomme på i sine anskaffelser. For eksempel stilles det krav til informasjonssikkerhet ved behandling av personopplysninger etter personopplysningslovgivningen.
Bli den første til å kommentere på "Anskaffelsesvern mot uønskede digitale tjenester"