Publicerad
Författare
Många av våra kunder upplever en svårighet i att navigera mellan önskan om digitalisering, leverantörernas utveckling mot molnet och att följa en allt tuffare lagstiftning. Händelser i omvärlden gör att kravet på säkerhet höjs samtidigt som kompetens alltmer finns utanför den egna organisationen. Att navigera genom denna labyrint av krav och tekniska framsteg är en komplex uppgift som kräver noggrann planering, kontinuerlig bevakning och förmågan att anpassa sig till föränderliga omständigheter.
Det som oftast enkelt summeras ihop till molntjänster idag kan vara olika former av tjänster från en driftslösning till en fullt publik molntjänst. Tydligt är att de senaste åren har teknikutvecklingen medfört att nästan alla leverantörer slutar leverera klassiska lokala installationer till sina kunder till förmån för molntjänster. Denna utveckling är resultatet av kunders önskemål att nyttja de fördelar som finns för kunden i en molntjänst, såsom skalbarhet, flexibilitet och kostnadseffektivitet. Genom att gå utanför den egna organisationen kan organisationer dra nytta av avancerade tekniska lösningar utan att behöva investera i egen infrastruktur och kompetens. Detta innebär dock också att organisationerna överlämnar kontrollen över sina data till tredjepartsleverantörer, vilket ökar komplexiteten i att upprätthålla överensstämmelse med GDPR och andra lagkrav.
Fokus i lagstiftningen och även bland organisationerna är att inte tillåta data flöda till länder där den enskildes integritet inte kan tillvaratas. Det går nog att begränsa att data flödar inom vissa regioner men att idag begränsa det till landsgränser blir allt svårare. Kraven på teknik för att kunna hantera allt större datamängder och moderna funktioner för att öka effektivitet i processerna gör att risken finns att vi oavsiktligt överför personuppgifter till fel land. De krav på teknik som idag efterfrågas levereras av leverantörer som lagstiftarna också försöker begränsa. Alla befinner sig redan i det ”globala” molnet både privat och på sin arbetsplats och så länge inget händer så finns det inga problem.
Sedan 2018 har organisationer inom samhällsviktiga tjänster (energi, transport, bank/finans, hälso- och sjukvård, vattenproduktion och digital infrastruktur) varit skyldiga att ha högre krav på säkerhet i nätverk och informationssystem utifrån NIS-direktivet. Under 2024 kommer NIS2 bli en del av nationell lagstiftning och med den så kommer allt fler organisationer beröras. Lagstiftningen berör nu i stort sett hela den offentliga sektorn och alla företag som tillhandahåller produkter för samhällets funktion. Den nya lagstiftningen ställer även direkta krav på leverantörer av molntjänster. Målet är att förbättra säkerheten och därmed säkra organisationerna.
Att navigera i frågan är därför en komplex uppgift och kräver planering, kompetens och förmåga att anpassa till en föränderlig värld både inom lag och teknik. Vår erfarenhet från offentliga kunder är att rädslan för felaktiga beslut, svårighet att ställa rätt krav vid upphandling och inget tydligt informationssäkerhetsarbete gör att organisationer fattar otydliga beslut.
Vi ser att för att undvika krockarna så behöver organisationen genomfört en grundlig behovs- och marknadsanalys för att identifiera vilken typ av tjänst som ska upphandlas. I förarbetet bör kunden ha genomfört en informationsklassning av de informationsmängder som kommer hanteras inom tjänsten för att säkerställa att rätt nivå på krav ställs i upphandlingen. Utifrån informationsklassningen ska även en analys över vilka lagar som berörs göras, då de olika regelverken tillsammans ställer kraven på det specifika systemet. Vid upphandlingen är det sedan att få med kraven hela vägen till avtalet för att säkerställa att det håller.
