Säkerhetsporten för offentlig upphandling
Offentliga upphandlingsprocesser för teknikverktyg är de mest systematiskt begränsade av säkerhetscertifieringar. Amerikanska federala kontrakt för molntjänster kräver FedRAMP (Federal Risk and Authorization Management Program) godkännande — en process som vanligtvis tar 12–24 månader och kostar hundratusentals dollar i efterlevnadsförberedelser. De flesta mjukvaruleverantörer strävar inte efter FedRAMP-godkännande, vilket effektivt utesluter dem från amerikansk federal upphandling.
För EU-statliga organ är den motsvarande standarden ISO 27001, ofta kombinerad med landspecifika certifieringar (Tysklands BSI C5 för molntjänster, Frankrikes SecNumCloud för känsliga statliga data). UK:s offentliga upphandling för mjukvara som hanterar personuppgifter kräver vanligtvis ISO 27001 som baslinje, med Cyber Essentials eller Cyber Essentials Plus som ett ytterligare krav för verktyg med direkt åtkomst till statliga system.
Den praktiska implikationen: ett SaaS-verktyg utan ISO 27001-certifiering är vanligtvis inte berättigat till övervägande i EU- och UK-offentlig upphandling, oavsett dess funktionella kapabiliteter, prissättning eller rykte. Säkerhetsporten tillämpas före funktionell utvärdering.
Statliga och lokala marknader
Statliga och lokala myndigheter samt internationella statliga organisationer (EU-myndigheter, FN-organ, NATO) har vanligtvis mer flexibla upphandlingsregler än nationella regeringar. Många accepterar ISO 27001 som sin säkerhetsbaslinje istället för att kräva landspecifika certifieringsprogram.
För lokala myndigheter som behandlar personuppgifter om invånare — kommunfullmäktige, regionala myndigheter, folkhälsomyndigheter — kräver GDPR-efterlevnad att man väljer databehandlare som implementerar lämpliga tekniska åtgärder. ISO 27001-certifiering är den standardmekanism som används för att visa dessa åtgärder i offentliga upphandlingssammanhang.
Kravet på nedströms statliga kontrakt
Organisationer som har statliga kontrakt har ofta "huvudkontrakt"-krav på dataskydd som flödar ner till deras underleverantörer och teknikleverantörer. En försvarsentreprenör som behandlar data relaterad till staten kan enligt sitt huvudkontrakt krävas att endast använda ISO 27001-certifierad mjukvara för databehandling. En EU-myndighets tjänsteleverantör kan möta liknande krav för verktyg som berör projektdata.
Detta flöde av huvudkontrakt innebär att ISO 27001-certifiering öppnar inte bara direkta offentliga upphandlingsmöjligheter utan också den mycket större indirekta statliga marknaden — teknikleverantörer till huvudentreprenörer, konsultföretag som betjänar statliga kunder och teknikåterförsäljare vars kunder inkluderar statligt relaterade organisationer.
Ett digitalt transformationsprogram från en brittisk statlig myndighet som kräver ISO 27001 för alla leverantörer kan godkänna verktyget omedelbart, utan en separat säkerhetsbedömning. Certifieringen är bevispaketet. Projektets tidslinjer förlängs inte av förseningar i leverantörens säkerhetsbedömning.
Källor: