Informationssäkerhet och upphandling: Två sidor av samma mynt för offentlig sektor av Eva Solberg

I en tid då digitalisering och cyberhot går hand i hand, måste offentlig sektor prioritera informationssäkerhet och upphandling. Det är en absolut nödvändighet att dessa två områden samverkar väldigt tätt. Att kombinera dessa två områden är för många en utmaning, men det finns många vägar att gå får att nå målet, nedan beskriver mina tips efter många års arbete med offentlig upphandling och informationssäkerhet.  För att svara på frågan varför det är så viktigt att dessa två områden samverkar tätt behöver vi dyka djupare in i varför informationssäkerhet och upphandling måste integreras – och varför det är hög tid att vi gör det rätt. 

Smarta lösningar måste vara säkra: Digitala lösningar har revolutionerat offentlig sektor, men med dessa möjligheter kommer också risker. Det är inte längre acceptabelt att upphandla den billigaste eller den mest praktiska lösningen utan att tänka på säkerheten. Lagstiftningar som NIS2, säkerhetsskydd och GDPR är inte bara hinder att hoppa över – de är fundamentala byggstenar för att skydda medborgarnas integritet och vår nationella säkerhet. Varje offentlig myndighet eller organisation måste säkerställa att verksamhetskrav, motståndskraft, konfidentialitet, riktighet och tillgänglighet uppfylls i varje upphandling. 

Informationssäkerhet måste vara en integrerad del av upphandlingsprocessen redan från start. Detta innebär att man ska genomföra en noggrann behovsanalys tillsammans med verksamhetens nyckelpersoner – dataskyddsombud, informationssäkerhetssamordnare, IT, arkivarie och andra relevanta roller. Genom att klassificera informationstillgångarna innan inköp eller upphandling görs, säkerställer man att alla aspekter av konfidentialitet, riktighet och tillgänglighet är täckta. 

Praktiska steg för en säker upphandling: En effektiv strategi börjar med en robust behovsanalys som leder till en noggrant utformad kravspecifikation. Därför bör man göra en informationsklassning både före och efter upphandling för att säkerställa att alla lag-, säkerhets- och verksamhetskrav är uppfyllda. Detta inkluderar även, där det behövs, bjuda in leverantören för att beskriva de tekniska lösningarna och deras säkerhetsåtgärder. 

Rutiner och processer som inkluderar säkerhet: Varje organisation bör utveckla rutiner och processer som tydligt beskriver när och vem som ansvarar för att informationssäkerhet inkluderas i upphandlingsprocessen. Detta gäller alla inköp, stora som små, det är givetvis viktigt att dessa rutiner och processer efterlevs av samtliga medarbetare. Rutiner och processer ska kontinuerligt och framförallt vid förändringar kommuniceras internt och extern, eftersom även små upphandlingar kan få stora konsekvenser för informationssäkerheten. 

Att ställa rätt krav: Det är inte alltid enkelt att veta vilka krav som ska ställas. Här är det viktigt att vara innovativ och att aktivt söka dialog med marknaden. Genom att använda en RFI (Request for Information) inför en upphandling kan man få en bredare förståelse för vad som finns tillgängligt och vad som krävs för framtida behov. Även andra typer av informationsinsamling, exempelvis samråd samt omvärldsbevakning och andra samrådsprocesser kan behövas, men det är något som få idag hinner med. För att tiden att både omvärldsbevaka och reflektera om hur förändringar och skeenden påverkar olika delar av sin organisation behöver man strukturera upp ett antal frågor i förväg. Nedan följer några exempel på frågor som man bör ställa:

Fråga rätt frågor till leverantörerna  

Ställ specifika frågor som: 

  • Hur ser ert systematiska informationssäkerhetsarbete ut?  
  • Har ni utbildningar för era medarbetare och underleverantörer?  
  • Utför ni bakgrundskontroller på personal och underleverantörer?  

Dessa frågor hjälper till att säkerställa att leverantörerna kan uppfylla de strikta krav som ställs på informationssäkerhet. 

Varje organisation bör utveckla rutiner och processer som tydligt beskriver när och vem som ansvarar för att informationssäkerhet inkluderas i upphandlingsprocessen.

Efterlevnad och uppföljning: För att garantera efterlevnad krävs det att leverantörerna tillhandahåller dokumentation som visar deras kapacitet att hantera och skydda information enligt relevanta standarder. Många leverantörer kanske inte har ISO 27001:2 certifiering eller ens motsvarande. Däremot kanske befintliga och blivande leverantörer blir NIS2 leverantörer (i NIS2 och Cybersäkerhetslagen är alla delar av en leverans från start till slut och alla leverantörer inkluderas) och att de därmed blir en del av leveranskedjan och inkluderade i myndighetens informationssäkerhetsarbete. Informationssäkerhet och respektive parts ansvar och skyldigheter bör sedan inkluderas i avtalen. Att inkludera tydliga klausuler om informationssäkerhet som leverantören måste uppfylla under hela avtalstiden. 

Om en handlingsplan där informationssäkerhet finns med, inte funnits med i upphandlingsprocessen, är det nu dags att omvärdera och uppdatera befintliga processer och avtal. Detta är särskilt kritiskt för verksamheter som omfattas av NIS2-direktivet. Dialogen med leverantörerna bör initieras omedelbart för att säkerställa att alla delar av upphandlingsprocessen blir NIS2-kompatibla. 

Grundprincipen i offentlig upphandling är lika behandling av alla potentiella anbudsgivare. Genom att noggrant granska leverantörernas förmåga att uppfylla informationssäkerhetskrav kan organisationen säkerställa att bara de mest kvalificerade leverantörerna får kontraktet, givetvis kopplat till att genomförts en transparent och rättvis Utvärdering. 

Sammanfattning 

Informationssäkerhet och upphandling är inte separata processer utan två sidor av samma mynt. Genom att integrera informationssäkerhet i upphandlingsprocessen kan offentliga organisationer inte bara skydda känslig information utan också säkerställa att de får de bästa möjliga lösningarna för sina behov. Det är dags för ledare inom offentlig sektor att ta sitt ansvar på allvar och säkerställa att informationssäkerhet inte bara är något man tar med för att man måste utan som en central del av varje upphandling.  


Eva Solberg, informationssäkerhetsexpert och certifierad offentlig upphandlare på ArkivIT.

Brinner för sunda, säkra offentliga affärer- van föreläsare om informationssäkerhet och inköp/upphandling.