Sikkerhetsporten for offentlig anskaffelse
Offentlige anskaffelsesprosesser for teknologiverktøy er de mest systematisk regulerte av sikkerhetssertifiseringer. Amerikanske føderale kontrakter for skytjenester krever FedRAMP (Federal Risk and Authorization Management Program) godkjenning — en prosess som vanligvis tar 12–24 måneder og koster hundretusener av dollar i samsvarsforberedelse. De fleste programvareleverandører forfølger ikke FedRAMP-godkjenning, noe som effektivt ekskluderer dem fra amerikansk føderal anskaffelse.
For EU-offentlige organer er den ekvivalente standarden ISO 27001, ofte kombinert med lands spesifikke sertifiseringer (Tysklands BSI C5 for skytjenester, Frankrikes SecNumCloud for sensitive offentlige data). UKs offentlige anskaffelse for programvare som håndterer personopplysninger krever vanligvis ISO 27001 som et grunnlag, med Cyber Essentials eller Cyber Essentials Plus som et tilleggskrav for verktøy med direkte tilgang til offentlige systemer.
Den praktiske implikasjonen: et SaaS-verktøy uten ISO 27001-sertifisering er vanligvis ikke kvalifisert for vurdering i EU- og UK-offentlig anskaffelse, uavhengig av dets funksjonelle kapabiliteter, prising eller omdømme. Sikkerhetsporten anvendes før funksjonell evaluering.
Markeder for statlige og lokale myndigheter
Statlige og lokale myndigheter og internasjonale regjeringsorganisasjoner (EU-byråer, FN-organer, NATO) har vanligvis mer fleksible anskaffelsesregler enn nasjonale myndigheter. Mange aksepterer ISO 27001 som sitt sikkerhetsgrunnlag i stedet for å kreve lands spesifikke sertifiseringsprogrammer.
For lokale myndigheter som behandler personopplysninger om innbyggere — byråd, regionale myndigheter, offentlige helseorganisasjoner — krever GDPR-samsvar valg av databehandlere som implementerer passende tekniske tiltak. ISO 27001-sertifisering er den standardmekanismen for å demonstrere disse tiltakene i offentlige anskaffelsessammenhenger.
Kravet om nedstrøms offentlige kontrakter
Organisasjoner som har offentlige kontrakter har ofte "hovedkontrakt" databeskyttelseskrav som flyter ned til deres underleverandører og teknologileverandører. En forsvarsentreprenør som behandler data nært til regjeringen kan under sin hovedkontrakt bli pålagt å bruke kun ISO 27001-sertifisert programvare for databehandling. En EU-byrå tjenesteleverandør kan stå overfor lignende krav for verktøy som berører prosjektdata.
Denne flyten av hovedkontrakt betyr at ISO 27001-sertifisering åpner ikke bare direkte offentlige anskaffelsesmuligheter, men også det mye større indirekte offentlige markedet — teknologileverandører til hovedentreprenører, konsulentfirmaer som betjener offentlige kunder, og teknologiforhandlere hvis kunder inkluderer organisasjoner nært til regjeringen.
Et digitalt transformasjonsprogram fra en britisk offentlig etat som krever ISO 27001 for alle leverandører kan godkjenne verktøyet umiddelbart, uten en separat sikkerhetsvurdering. Sertifiseringen er bevispakken. Prosjekt tidslinjer forlenges ikke av forsinkelser i leverandørens sikkerhetsvurdering.
Kilder: