I takt med ökad digitalisering och artificiell intelligens kan cybersäkerhet bli en avgörande faktor vid offentlig upphandling. Det är därför av vikt att noggrant utvärdera leverantörers kompetens inom cybersäkerhet och att ställa tydliga krav i upphandlingsdokumenten för att skydda känslig information. Genom att upprätthålla en kontinuerlig dialog och genomföra oberoende revisioner kan myndigheter säkerställa högsta möjliga säkerhet och integritet i sina digitala system. Cybersäkerhet är inte bara en teknisk fråga, utan en central del i att upprätthålla det offentliga förtroendet och säkerheten.
I takt med ökad digitalisering, automatisering och robotisering och med den artificiella intelligensens intåg blir cybersäkerhet allt viktigare för svenska myndigheter, inte minst i samband med offentlig upphandling. Offentlig upphandling avser processen där myndigheter och andra offentliga organisationer anskaffar varor, tjänster och byggentreprenader. I detta sammanhang är det avgörande att säkerställa att leverantörernas system och tjänster m.m. uppfyller höga cybersäkerhetsstandarder för att skydda känslig information och infrastruktur.
Utvärdera leverantörernas kompetens inom cybersäkerhet
Myndigheter måste inför upphandlingar utvärdera sina behov och därefter noggrant utvärdera leverantörernas cybersäkerhetskompetens. Detta innebär bl.a. att granska leverantörers tidigare erfarenheter, certifieringar och förmåga att hantera cybersäkerhetshot. Det är även av vikt att bedöma leverantörernas förmåga att uppdatera och underhålla sina system för att motstå nya och utvecklande hot.
Tydliga krav kring cybersäkerhet i upphandlingsdokument
En annan viktig aspekt är att inkludera tydliga och strikta cybersäkerhetskrav i upphandlingsdokumenten. Dessa krav bör täcka allt från datakryptering och brandväggar till incidenthantering och återställningsplaner. Genom att ställa tydliga krav kan myndigheter säkerställa att endast de leverantörer som kan uppfylla dessa höga standarder kommer att övervägas.
I vår allt mer digitaliserade värld måste cybersäkerheten således tas på allvar även om huvudföremålet för upphandlingen är analogt. T.ex. måste cybersäkerhet beaktas vid byggentreprenader om exempelvis ventilations- eller hissystem är uppkopplade och tillgängliga på distans.
Kontinuerlig dialog kring cybersäkerhet avgörande
Vidare är det av vikt att myndigheterna upprätthåller en kontinuerlig dialog med sina leverantörer om cybersäkerhet. Detta innebär regelbundna uppdateringar och översyner av säkerhetsprotokoll samt snabb kommunikation vid eventuella säkerhetsincidenter. En sådan öppen och transparent kommunikation bidrar till att stärka det gemensamma cybersäkerhetsförsvaret.
Extern revision som verktyg för att bedöma säkerhetsstatus
Myndigheter bör också överväga att implementera tredjepartsrevisioner av leverantörernas cybersäkerhetsåtgärder. Genom att anlita oberoende experter för att granska och bedöma leverantörernas system kan myndigheter få en objektiv bedömning av deras säkerhetsstatus.
Möjligheter att vidta åtgärder i kontraktsvillkor
För upphandlande myndigheter är det vidare av vikt att säkerställa att avtalsvillkoren speglar de risker som hoten mot digital infrastruktur innebär. Upphandlande myndigheter måste följaktligen säkerställa att det finns kontraktuella sanktioner i form av villkor om viten, förtida uppsägning m.m. för att under avtalsperioden ha möjlighet att vidta åtgärder mot leverantörer som inte följer de krav, villkor och kriterier som upphandlingen har innehållit.
Sammanfattningsvis kan cybersäkerhet vara en kritisk komponent för svenska myndigheter i offentlig upphandling. Genom att noggrant utvärdera leverantörernas cybersäkerhetskompetens, ställa tydliga krav, upprätthålla en öppen dialog och genomföra oberoende revisioner, kan myndigheter säkerställa att de skyddar sig mot cybersäkerhetshot och upprätthåller integriteten och säkerheten i sina digitala system.
