2019 blir informationssäkerhetens år
Lagändringar på informationssäkerhetsområdet kommer ha stor inverkan på upphandlingssverige under det kommande året. Det skriver bolagsjurist Anna Larsson i en krönika. Ta även del av hennes tips på stödmaterial för dig som vill ställa bra krav på informationssäkerhet i upphandlingar framöver.
I november förra året reflekterade min kollega Malin Cope kring Kommentus första halvår med GDPR. Malin konstaterade i sin krönika att få lagar har haft så stor genomslagskraft som GDPR. Jag instämmer självklart, men är också benägen att tro att de lagändringar som sker på informationssäkerhetsområdet kommer få minst lika stor påverkan för upphandlarsverige under de kommande åren. Här följer en mycket kort översikt av ny lagstiftning på informationssäkerhetsområdet och tips på vad jag anser vara bra stödmaterial till den upphandlare som står inför en upphandling där informationssäkerhetskrav är relevanta att ställa.
Utmaningar på upphandlingsområdet
Upphandlande myndigheter upphandlar en stor variation av varor och tjänster, t.ex. stora byggprojekt, trygghetslarmstjänster och IT-baserade administrationssystem. I vissa upphandlingar är det tänkt att hela eller delar av en verksamhet och dess information ska hanteras av en extern leverantör. Oavsett vad upphandlingen avser är de upphandlande myndigheterna beroende av att leverantören hanterar den aktuella informationen på ett tillräckligt säkert sätt och i enlighet med informationssäkerhetslagstiftningen. Beroende på vilken typ av information det rör sig om finns olika krav på myndighetens, och i sin tur leverantörens, skyddsnivå. Det kan t.ex. krävas att viss information måste vara fullständigt korrekt eller att informationen som hanteras inte får tillgängliggöras för utomstående. Den upphandlande myndigheten måste säkerställa informationssäkerheten vid ett överlämnande av uppgifter till en extern aktör. Det gör myndigheten genom att ställa relevanta säkerhetskrav redan i upphandlingen.
Nya regelverk
Vi har under de senaste två åren fått nya regelverk på informationssäkerhetsområdet. NIS-direktivet är ett europeiskt regelverk som genomförts i lagen om informationssäkerhet för samhällsviktiga och digitala tjänster. Lagen ställer krav på säkerhet i nätverk och informationssystem. Den omfattar leverantörer av samhällsviktiga tjänster och vissa digitala tjänster i både privat och offentlig sektor. Digitala tjänster är internetbaserade marknadsplatser, internetbaserade sökmotorer och molntjänster. Samhällsviktiga tjänster är sådana som upprätthåller kritisk samhällelig eller ekonomisk verksamhet. De är indelade i sju sektorer; energi, transporter, bankverksamhet, finansmarknadsinfrastruktur, hälso- och sjukvårdssektorn, leverans och distribution av dricksvatten och digital infrastruktur.
Ny säkerhetsskyddslag i april
Den 1 april i år träder den nya säkerhetsskyddslagen med tillhörande förordning i kraft. Säkerhetsskydd innebär i korthet krav på berörda aktörer att företa förebyggande åtgärder för att skydda Sveriges säkerhet mot spioneri, sabotage, terroristbrott och andra brott mot landets säkerhet. Lagen syftar till att skydda uppgifter som är av betydelse för Sveriges säkerhet eller som ska skyddas enligt ett internationellt åtagande om säkerhetsskydd och gäller för alla som bedriver säkerhetskänslig verksamhet.
I den nya lagstiftningen har tydliggjorts att regleringen gäller för såväl privat som offentlig sektor. Det har även genomförts en utredning av kompletteringar till den nya lagstiftningen (SOU 2018:82). Utredningen har bl.a. kartlagt behovet av att förebygga att säkerhetsskyddsklassificerade uppgifter, eller i övrigt säkerhetskänslig verksamhet, utsätts för risker i samband med utkontraktering, upplåtelse och överlåtelse av sådan verksamhet, och föreslagit olika förebyggande åtgärder. De kompletteringar av lagstiftningen som utredningen föreslagit förväntas träda i kraft den 1 januari 2021.
Berör kommun- och landstingssektorn
Både lagen om informationssäkerhet för samhällsviktiga och digitala tjänster samt de nya säkerhetsskyddförfattningarna berör kommun- och landstingssektorn. Ibland kan det till och med vara så att båda regelverken gäller för en och samma organisation, men för olika delar av verksamheten. Det kommer sannolikt ibland vara svårt att göra gränsdragningen av när information är samhällsviktig eller säkerhetskänslig. Båda lagarna har dock gemensamt att de ställer större krav på myndigheterna, och även på privata aktörer, att klassificera den information som hanteras inom verksamheten och att vidta åtgärder för att hantera de risker som hotar säkerheten. När det gäller säkerhetsskyddslagen införs t.ex. striktare regler gällande utkontraktering (outsourcing), krav på säkerhetsskyddsavtal och samråd med tillsynsmyndigheter. Det blir särskilt viktigt för myndigheterna att beakta den nya regelverken när utförande av verksamhet, och därmed eventuellt även skyddsvärd information, ska överlämnas till en extern aktör, t.ex. genom offentlig upphandling.
Vad kan du göra som upphandlare?
Den nya lagstiftningen kräver att du som är upphandlare måste vara införstådd med hur informationssäkerhet fungerar och kan kravställas. Om du står inför en upphandling kan jag rekommendera att djupdyka i det stöd och de vägledningar som finns att tillgå på informationssäkerhetsområdet.
Myndigheten för samhällsskydd och beredskap (MSB) publicerade i november 2018 en vägledning om informationssäkerhet i upphandling. Vägledningen följer Upphandlingsmyndighetens inköpsprocess och berör hela processen från förberedelser, upphandling och förvaltning. Den tar särskilt upp vad man bör tänka på då man ska upphandla IT-system och programvara. MSB har också tagit fram en vägledning som specifikt riktar sig till upphandlande myndigheter som upphandlar till samhällsviktig verksamhet.
KLASSA - ett verktyg från SKL
Sveriges Kommuner och Landsting (SKL) tillhandahåller självskattningsverktyget KLASSA. Det är ett stöd för SKLs medlemmar när de ska klassificera informationen i verksamhetssystem och datalagring. Verktyget kan användas för att både ta fram en handlingsplan och bedöma befintligt skydd för informationen. Vidare tar det fram säkerhetskrav som kan användas i en upphandling av exempelvis IT-system.
I verktyget bestäms vilka skyddsnivåer som krävs för den information som ska hanteras utifrån konfidentialitet, riktighet och tillgänglighet. Det är även möjligt att välja den lagstiftning som kan tänkas vara relevant för den aktuella upphandlingen (t.ex. GDPR och NIS-direktivet). På SKLs webbplats finns ingående beskrivningar om hur du genomför en informationssäkerhetsklassning.
Viktigt med förstudie och marknadsanalys
Som alltid är det också viktigt att du som upphandlare gör en förstudie och analyserar marknaden och vad potentiella anbudsgivare kan leverera i fråga om säkerhetsnivåer. Krav på informationssäkerhet kan vara kostnadsdrivande och behöver därför beaktas tidigt i upphandlingsprocessen. Om de identifieras senare i upphandlingen, eller till och med efter att organisationen ingått avtal, kan det bli både dyrt och tidskrävande. Med hjälp av MSB:s och SKL:s stöd och vägledningar anser jag att upphandlande myndigheter har mycket goda förutsättningar för att lyckas i sin kravställning.
Kommentarer (0)
Skriv en kommentar