Nyt katalog skal sikre bedre styring med leverandører af samfundskritiske it-systemer

Flere samfundskritiske it-systemer er outsourcede til eksterne leverandører, og det stiller store krav til myndighedernes kontrakter og styring. For at styrke informations- og forsyningssikkerheden for de samfundskritiske it-systemer offentliggøres i dag et katalog over kontraktbestemmelser, som myndigheder fremover skal implementere i nye kontrakter med eksterne leverandører efter følg-eller-forklar-princippet.

I dag offentliggøres et katalog over kontraktbestemmelser for samfundskritiske it-systemer, som myndigheder med ansvar for samfundskritiske it-systemer skal implementere i nye kontrakter efter følg-eller-forklar-princippet. Det vil sige, at bestemmelserne i kataloget alle skal implementeres, med mindre myndigheden kan forklare, hvorfor en bestemmelse ikke bør indgå i en specifik kontrakt.

Kataloget er et af resultaterne af initiativ 3.3. i den Nationale Strategi for Cyber- og Informationssikkerhed 2018-2021, som havde til formål at få bedre styr på leverandører af samfundskritiske it-systemer.

Indhold i kataloget

Kataloget over kontraktbestemmelser baserer sig på fire kontrakttemaer, nemlig driftsafvikling, sikkerhed, persondata og kontrol. Disse fire kontrakttemaer er udvalgt, fordi de bidrager til bl.a. at styrke informationssikkerheden og forsyningssikkerheden for de samfundskritiske it-systemer. Det gør de, fordi de giver myndighederne nogle styringsredskaber over for eksterne leverandører. Eksempelvis indeholder kataloget konkrete bestemmelser, som har til formål at sikre, at myndigheden har step-in-rettigheder og ejerskiftekontrol.

Katalogets bestemmelser kan operationaliseres gennem K04 – standardkontrakt for it-drift, og det appendiks som offentliggøres sammen med kataloget. Appendikset indeholder den fulde ordlyd af bestemmelser, der ikke indgår i standardkontrakterne. Myndighederne behøver ikke anvende den foreslåede operationalisering og kan sagtens anvende egne kontraktskabeloner, hvis de blot her indarbejder katalogets bestemmelser.

Kataloget er udarbejdet af en arbejdsgruppe bestående af Justitsministeriet, Forsvarsministeriet, Udvikling- og Forenklingsstyrelsen og Digitaliseringsstyrelsen. Optimum IT og Kammeradvokaten har bistået arbejdsgruppen i forløbet.

Kataloget over kontraktbestemmelser kan findes på sikkerdigital.dk