Sikkerhedsgate for Offentligt Indkøb
Offentlige indkøbsprocesser for teknologiværktøjer er de mest systematisk regulerede af sikkerhedscertificeringer. Amerikanske føderale kontrakter for cloud-tjenester kræver FedRAMP (Federal Risk and Authorization Management Program) godkendelse — en proces, der typisk tager 12–24 måneder og koster hundredtusindvis af dollars i overholdelsesforberedelse. De fleste softwareleverandører søger ikke FedRAMP-godkendelse, hvilket effektivt udelukker dem fra amerikanske føderale indkøb.
For EU-offentlige organer er den ækvivalente standard ISO 27001, ofte kombineret med landspecifikke certificeringer (Tysklands BSI C5 for cloud-tjenester, Frankrigs SecNumCloud for følsomme offentlige data). UK-offentligt indkøb for software, der håndterer persondata, kræver typisk ISO 27001 som baseline, med Cyber Essentials eller Cyber Essentials Plus som et yderligere krav for værktøjer med direkte adgang til offentlige systemer.
Den praktiske implikation: et SaaS-værktøj uden ISO 27001-certificering er typisk ikke berettiget til overvejelse i EU- og UK-offentligt indkøb, uanset dets funktionelle kapabiliteter, pris eller omdømme. Sikkerhedsgaten anvendes før funktionel evaluering.
Stat og Lokale Regeringsmarkeder
Stat og lokale regeringsorganer samt internationale regeringsorganisationer (EU-agenturer, FN-organer, NATO) har typisk mere fleksible indkøbsregler end nationale regeringer. Mange accepterer ISO 27001 som deres sikkerhedsbaseline i stedet for at kræve landspecifikke certificeringsprogrammer.
For lokale regeringsorganer, der behandler persondata fra borgere — byråd, regionale myndigheder, offentlige sundhedsorganisationer — kræver GDPR-overholdelse, at der vælges databehandlere, der implementerer passende tekniske foranstaltninger. ISO 27001-certificering er den standardmekanisme, der anvendes til at demonstrere disse foranstaltninger i offentlige indkøbssammenhænge.
Kravet om Offentlige Kontrakter Nedenfor
Organisationer, der har offentlige kontrakter, har ofte "prime contract" databeskyttelseskrav, der flyder ned til deres underleverandører og teknologileverandører. En forsvarsentreprenør, der behandler data relateret til regeringen, kan under deres prime contract være forpligtet til kun at bruge ISO 27001-certificeret software til databehandling. En EU-agentur tjenesteudbyder kan stå over for lignende krav for værktøjer, der berører projektdata.
Denne prime contract flowdown betyder, at ISO 27001-certificering åbner ikke kun direkte offentlige indkøbsmuligheder, men også det meget større indirekte offentlige marked — teknologileverandører til prime contractors, konsulentfirmaer, der betjener offentlige kunder, og teknologiforhandlere, hvis kunder inkluderer organisationer relateret til regeringen.
Et britisk regeringsagents digital transformationsprogram, der kræver ISO 27001 for alle leverandører, kan godkende værktøjet straks, uden en separat sikkerhedsvurdering. Certificeringen er bevispakken. Projekt tidslinjer forlænges ikke af forsinkelser i leverandørens sikkerhedsvurdering.
Kilder: