SKI, sikkerhedsramme – overgang fra indkøb til drift
Introduktion til artikel 1 om SKIs sikkerhedsramme af Jesper Seidler
– SKI’s rammeaftaler gør det både enklere og tryggere at gennemføre indkøb – også når det gælder systemer med høje krav til datasikkerhed og compliance. Men hvad sker der, når kontrakten er underskrevet, og systemet går i drift? I denne artikel sætter vi fokus på den ofte oversete overgang fra indkøb til drift, hvor ansvaret for sikkerhed skifter karakter.
For selvom rammeaftalen giver et solidt fundament, er det i den daglige anvendelse, at risikoen reelt skal håndteres.
Tilbage står blot at ønske rigtig god læselyst, Jesper
Artikel-serie: Hvordan GDPR, NIS2 og AI-forordningen fungerer – eller ikke fungerer – i praksis efter en given kontraktindgåelse
Forfatter: Dan Bjørnboe
Artkel 1 af 7: ”SKI’s sikkerhedsramme – et stærkt fundament, men ikke hele løsningen”
Artikel fokus:
- hvad SKI faktisk leverer,
- standardkrav og revisionserklæringer,
- hvorfor rammeaftaler ikke kan dække lokale risici.
Introduktion:
SKI’s rammeaftaler gør det både enklere og tryggere at gennemføre indkøb – også når det gælder systemer med høje krav til datasikkerhed og compliance. Men hvad sker der, når kontrakten er underskrevet, og systemet går i drift? I denne artikel sætter vi fokus på den ofte oversete overgang fra indkøb til drift, hvor ansvaret for sikkerhed skifter karakter. For selvom rammeaftalen giver et solidt fundament, er det i den daglige anvendelse, at risikoen reelt skal håndteres.
SKI’s sikkerhedsramme – et stærkt fundament, men ikke hele løsningen. Forretningen har set sig varm på et system. Det løser et konkret behov og passer ind i arbejdsgangene. Leverandøren virker samtidig overbevisende. Systemet ligger på SKI’s rammeaftale.
Dermed er vejen til udbudscompliance kort. Indkøbet kan gennemføres inden for en kendt struktur med standardkrav og kontraktvilkår. Der følger også dokumentation med.
Det giver ro i processen. Og det er ikke uden grund. SKI’s sikkerhedsramme gør det muligt at købe ind på et oplyst grundlag. Kravene er på plads. Niveauet er defineret. Der følger dokumentation med, typisk i form af revisionserklæringer.
Det er en klar styrke. Men det er også her, der opstår en sammenblanding mellem indkøb og drift. I praksis bliver rammeaftalen ofte opfattet som en løsning i sig selv. Som om sikkerheden er håndteret, fordi indkøbet er sket “rigtigt”.
Det er det bare ikke altid. Det, SKI’s sikkerhedsramme giver, kan sammenlignes med at købe en ny bil. Den er testet, godkendt og udstyret med sikkerhedssystemer. Men det er stadig dig, der sidder bag rattet.
På helt samme måde giver SKI et solidt udgangspunkt. Men det ændrer ikke på, at risikoen skal håndteres i drift og i den konkrete anvendelse.
TOMRUM. Når kontrakten er underskrevet, og systemet er sat i drift, opstår der et tomrum. Kravene er stillet, og dokumentationen er modtaget. Men det er uklart, hvem der følger op. Det hænger også sammen med, at implementeringen ofte bliver behandlet som en teknisk overgang.
I praksis er det her, ansvaret skifter karakter – fra at stille krav til at omsætte dem i drift.
Eksempel: Et typisk forløb er, at en organisation anskaffer et system via SKI med tilhørende dokumentation og standardkrav til sikkerhed og databeskyttelse. I implementeringsfasen vil en leverandør ofte pege på behovet for at afklare lokal anvendelse – for eksempel gennem en konkret risikovurdering.
Det bliver ikke altid fulgt til dørs.
Systemet sættes i drift. Efter en periode opstår der usikkerhed om, hvem der har adgang til hvilke data, hvordan logning anvendes i praksis, og hvordan sletning håndteres i forhold til organisationens egne regler.
Det viser sig ofte, at roller og rettigheder er opsat efter leverandørens standard. Logning findes, men opfølgningen er ikke forankret. Og slettepolitikker er ikke koblet til lokale processer.
Bemærk: Systemet er fortsat “compliant” på papiret. Men risikoen håndteres ikke nødvendigvis i praksis. Resultatet er en form for tryghed, der ikke helt holder. Løsningen er som anført foran “compliant” på papiret, men den lokale risikovurdering mangler, og opfølgningen bliver tilfældig.
AFSLUTNING: Det er ikke kontrakten, der fejler. Det er styringen. Det begynder med en enkel erkendelse.
ANSVAR FOR RISIKO: Rammeaftalen løser ikke opgaven alene. Ansvar for risiko skal placeres, og der skal følges op i drift. Det er ikke kompliceret. Men det kræver, at nogen tager ansvaret på sig.
SKI gør det lettere at købe sikkert ind.
Det gør det bare ikke lettere at drive opgaven sikkert. Og det er først i driften, at compliance får betydning i praksis.
I næste artikel ser jeg på, hvad der sker i overgangen fra udbud til drift – og hvorfor compliance ofte mister sit ejerskab netop dér.
