Sikkerhed er i dag en grundbetingelse for kommunale it-indkøb. Et mere komplekst trusselsbillede, skærpede regulatoriske krav og øget afhængighed af digitale løsninger betyder, at kommuner og andre offentlige organisationer i stigende grad skal kunne dokumentere og forklare deres risikovurderinger, også i indkøbsfasen.
Som et nyt, konkret redskab har SKI netop indført fire risikomarkører på sine rammeaftaler for it-hardware. Risikomarkørerne – der kan ses på de enkelte hardwareprodukter i SKI’s e-kataloger – skal give kommuner et mere gennemsigtigt og faktabaseret grundlag for at vurdere sikkerhedsrelaterede risici ved de produkter, de køber ind.
Ét greb i en bredere sikkerhedsindsats
Risikomarkørerne er ikke et enkeltstående initiativ, men en del af SKI’s samlede indsats for at styrke sikkerheden i offentlige it-indkøb. Indsatsen omfatter blandt andet skærpede sikkerhedskrav på aftalerne, øget fokus på leverandørkæder og bedre understøttelse af dokumentation før, under og efter indkøb.
“Vi har digitaliseret meget hurtigt og meget omfattende, og det betyder, at vores samfund – og ikke mindst den kommunale drift – er ekstremt afhængig af digitale løsninger. Derfor har vi brug for et bedre og mere gennemsigtigt grundlag for at vurdere risici, også når vi køber ind,” siger Signe Lynggaard Madsen, administrerende direktør i SKI.
Risikomarkørerne skal netop bidrage til at gøre centrale oplysninger om produkter og producenter lettere tilgængelige og anvendelige i praksis.
Understøtter kommunernes egne løbende vurderinger
De fire risikomarkører giver indsigt i produktets oprindelsesland, producentens juridiske hjemsted, potentiel risiko for dataeksponering samt eventuel tilstedeværelse på internationale kontrol og sanktionslister. Markørerne viser oplysninger, som kan være relevante i forbindelse med den enkelte organisations egen risikovurdering i indkøbet og er tænkt som et supplement til kommunernes eksisterende sikkerhedsarbejde, fortæller Signe Lynggaard Madsen.
“Risikomarkørerne er ikke en vurdering af, om et produkt er sikkert eller usikkert. De er et redskab, der gør relevante oplysninger synlige, så kommunerne lettere kan lave deres egne risikovurderinger og dokumentere de valg, de træffer i indkøbet. De skal understøtte de lokale vurderinger, der tager højde for det konkrete it miljø, trusselsniveau og forretningskritiske behov. Og så kommer risikomarkørerne jo på toppen af de sikkerhedskrav, der er stillet på SKI’s aftaler i samarbejde med Styrelsen for Samfundssikkerhed.”
Fælles sprog mellem it, indkøb og ledelse
For mange kommuner er en væsentlig udfordring at skabe sammenhæng mellem it-sikkerhed, indkøbsbeslutninger og ledelsesmæssige prioriteringer. Her kan risikomarkørerne fungere som et fælles sprog, der gør det lettere at forklare, hvorfor bestemte produkter vælges til eller fra og dokumentere beslutningerne over for ledelse, revision og tilsyn.
Henrik Brix, formand for KITA og Digitaliseringschef i Favrskov Kommune hilser de nye risikomarkører velkomne: ”Vi oplever en stigende kompleksitet i forhold til vores indkøb i kommunerne pga. uforudsigelige geopolitiske forhold, globale leveranceproblemer samt et hastigt stigende trusselsniveau. Det er forhold som hverken SKI eller kommunerne kan gøre noget ved, men blot er nødt til at forholde sig til.
Risikovurderinger er blevet en konstant og nødvendig følgesvend i vores hverdag og her er de fire risikomarkører et rigtig godt værktøj, som hurtigt kan vise os, om vi har brug for at være ekstra opmærksomme på et produkt eller løsning.
Kommunerne har brug for klare retningslinjer for, hvad vi ”må” købe og hvad vi skal undgå. Jeg har fuld forståelse for, at det er umuligt at lave en skarp opdeling på ”må” og ”må ikke” men det gør desværre arbejdet med at lave risikovurderinger på så mange områder endnu større. Og samtidig kommer kommunerne i sagens natur ofte frem til noget forskelligt. Men med risikomarkørerne har vi fået god hjælp til opgaven”.
Fakta:
Risikomarkørerne er netop indført i SKI’s e-kataloger og skal anvendes som et praktisk redskab i kommunernes daglige arbejde med sikre og robuste it-indkøb som en del af en samlet indsats, der spænder fra kontraktkrav til risikovurdering og beredskab i drift.
Du kan finde mere information om SKI’s samlede arbejde med sikkerhed i offentlige it-indkøb på www.ski.dk/sikkerhed.