Krav til informasjonssikkerhet i skyavtaler - referansearkitektur

DFØ ved Markedsplassen for skytjenester (MPS) har utarbeidet krav til informasjonssikkerhet i skyavtaler i form av en referansearkitektur med grunnleggende krav til sikkerhet og personopplysnings vern (publiseres her i versjon v.10). Kravene er ment å være en støtte innen krav til sikkerhet i arbeidet med anskaffelser av skytjenester for offentlige virksomheter og er basert på MPS anskaffelser/skyavtaler. Virksomhetene må selv vurdere hvilke krav som er relevante og eventuelt stille egne tilleggskrav ut over sikkerhetskravene i rammeverket. MPS jobber fortløpende med å videreutvikle referansearkitekturen basert på innspill fra offentlig sektor og leverandører, og versjon 1.0 er nå publisert!

Dette er en norsk veiledning til MPS "Cloud Reference Architecture - Information Security and Data Protection Requirements v.10". Referansearkitekturen i original (PDF, engelsk) kan lastes ned her:

Cloud_Reference_Architecture_v10.pdf
pdf 1001.4 KB
Cloud_Reference_Architecture_Compliance_Mapping_Tables_(separate).pdf
pdf 562.26 KB

Forord

Etter hvert som offentlig sektor i økende grad tar i bruk skytjenester som en sentral del av digitaliseringen, har informasjonssikkerhet og personvern blitt kritiske risikoområder. Nasjonale sikkerhetsmyndigheter fremhever cybersikkerhet som en strategisk risiko, spesielt på grunn av statlige aktører og avanserte cyberkriminelle organisasjoner som aktivt utnytter sårbarheter i digitale tjenester og infrastruktur.

Dette dokumentet presenterer informasjonssikkerhetskravene utviklet av Markedsplassen for skytjenester (MPS) under tittelen «Cloud Reference Architecture – Information Security and Data Protection Requirements». Kravene er supplert med norske kommentarer og veiledninger. Hovedformålet med dokumentet er å styrke informasjonssikkerhet og personvern i norsk offentlig sektor gjennom et sett med standardiserte sikkerhetskrav. Disse kravene gir offentlig sektor mulighet til å vurdere leverandørenes sikkerhet («sikkerhet av skyen») og håndtere risikoer knyttet til egen bruk av skytjenester («sikkerhet i skyen»).

Vi bruker betegnelsen «MPS Cloud Reference Architecture – Information Security and Data Protection Requirements for Cloud Contracts», eller kortere «MPS referansearkitektur for skyavtaler», for å beskrive overordnede prinsipper, metoder og krav til informasjonssikkerhet og databeskyttelse som er utviklet av MPS i forbindelse med anskaffelse og forvaltning av skytjenester.

Kravene i dette dokumentet bygger på internasjonale og nasjonale lover, standarder, rammeverk og erfaringer fra eksisterende skyavtaler. Kravene er utviklet i samarbeid med offentlige virksomheter, skyleverandører og relevante myndigheter, og har vært testet av MPS i reelle anskaffelsesprosesser for rammeavtaler.

Dokumentet er ment å brukes både av offentlige virksomheter («kunder») og skytjenesteleverandører («leverandører») ved anskaffelse og forvaltning av skytjenester. Det er viktig å understreke at kravene i dokumentet er referansekrav, og at ikke alle krav vil være relevante i alle situasjoner. Brukerne bør derfor nøye vurdere hvilke krav som er relevante og eventuelt supplere med egne spesifikke krav.

Dokumentet vil bli kontinuerlig oppdatert og videreutviklet basert på brukernes tilbakemeldinger. Denne utgaven representerer første revisjon av versjon 1.0 og inneholder relevante tillegg knyttet til personvern. Dokumentet inkluderer dessuten referanser til aktuelt lovverk, standarder og rammeverk som CSA-CCM og ISO 27001. Disse referansene er også tilgjengelige separat som PDF-dokumentet «Cloud Reference Architecture Compliance Mapping Tables».

Vi håper dokumentet er nyttig for brukerne!

Introduksjon

Formål og målgruppe

Dette dokumentet er den første versjonen av «MPS Cloud Reference Architecture – Information Security Requirements and Data Protection for Cloud Contracts», utviklet og publisert av Markedsplassen for skytjenester (MPS) ved Direktoratet for forvaltning og økonomistyring (DFØ).

Formålet med dokumentet er å styrke informasjonssikkerheten og databeskyttelsen i norsk offentlig sektor ved å tilby et sett med standardiserte sikkerhetskrav. Disse kravene støtter offentlige virksomheter ved anskaffelser av skytjenester, og inkluderer både leverandørens sikkerhetsforpliktelser knyttet til skytjenestene («sikkerhet av skyen») og virksomhetenes egen risikohåndtering ved bruk av disse tjenestene («sikkerhet i skyen»).

«Cloud Reference Architecture» er et begrep som brukes for å beskrive overordnede prinsipper, metoder og krav for informasjonssikkerhet og databeskyttelse, utviklet av MPS for bruk innen offentlige skyanskaffelser. Referansearkitekturen vil videreutvikles kontinuerlig og inkludere krav til sikkerhet og databeskyttelse, kobling mot juridiske og regulatoriske krav, og relevante sikkerhetsstandarder og rammeverk. Tilbakemeldinger fra markedet og erfaringer fra anskaffelser inngår i denne første revisjonen (v.10). Fremtidige versjoner vil også inkludere evalueringsskjemaer og leverandørers forslag til sikkerhetsarkitektur.

Målgruppen for dokumentet er norsk offentlig sektor, inkludert virksomhetsledere, IT- og sikkerhetsansvarlige, personvernombud, innkjøpere, kontraktsforvaltere og operativt personell, samt leverandører av skytjenester.

Dokumentet er på norsk, men selve kravene og støttemateriell er på engelsk, da det internasjonale markedet for skytjenester benytter engelsk som felles kommunikasjons- og kontraktsspråk. Dette sikrer presis kommunikasjon og felles forståelse mellom partene.

Formålet med MPS referansearkitektur

Å styrke arbeidet med informasjonssikkerhet i norsk offentlig forvaltning ved anskaffelser og forvaltning av skytjenester

Bruk av MPS referansearkitektur

Referansearkitekturen er ment som et grunnlag for å stille sikkerhetskrav ved anskaffelser av skytjenester. Virksomhetene må selv vurdere eventuelle behov for ytterligere krav basert på risikovurderinger og spesifikke beskyttelsesbehov.

Leverandører i markedet har ofte standardiserte sikkerhetsnivåer, men referansearkitekturen gir rom for forbedret sikkerhet gjennom prinsipielle krav og basiskrav. Et viktig formål med referansearkitekturen er å oppnå bedre sikkerhet ved bruk av skytjenester, hvor leverandøren tar et tydeligere ansvar for sikkerheten.

Dette kan inkludere tekniske spesifikasjoner, kunnskapsoverføring om riktig bruk av tjenesten, samt muligheter for dialog med leverandøren både strategisk og operasjonelt. Det anbefales derfor at virksomheten involverer interne ressurser som representerer både strategiske og operasjonelle behov i anskaffelsesprosessen.

Det er også viktig at virksomhetene vurderer lovligheten av kravene nøye og kun stiller krav som er saklig begrunnet og ikke unødig begrenser konkurransen.

Det er viktig å understreke at virksomhetene må gjøre en grundig vurdering av lovmessigheten av hvert enkelt krav i lys av den konkrete anskaffelsen som gjennomføres og en risikobasert tilnærming. Det vil i utgangspunktet ikke være anledning til å stille krav som begrenser konkurransen med mindre dette er saklig begrunnet i virksomhetens behov, f eks oppfyllelse av lovbestemte krav.

Struktur og metodikk

Veiledningen og kravene er utarbeidet av MPS i perioden 2022–2024 i tett dialog med offentlige brukere, leverandører og fagmyndigheter:

Referansearkitekturen er strukturert i tre nivåer som følger:

A. Prinsipielle krav: Overordnede krav til informasjonssikkerhet og databeskyttelse som skal inkluderes i hovedkontrakten for avtaler om skytjenester.

B. Basiskrav: Et omfattende sett med krav til informasjonssikkerhet som skal inkluderes som et sikkerhetsvedlegg i avtaler om skytjenester.

C. Tilleggskrav: Et sett med valgfrie krav til informasjonssikkerhet som er ment å støtte norsk offentlig sektor med «sikkerhet i skyen», støttet av leverandørens referansearkitektur, spesifikke nasjonale krav og andre sikkerhetsrelaterte tjenester.

Virksomhetene bør gjennomføre en risikobasert vurdering av hvilke krav som skal inkluderes, samt vurdere om kravene skal være obligatoriske, evalueringskrav, valgfrie krav eller dokumentasjonskrav.

Følgende nøkkelbegreper brukes i kravene i dokumentet:

  • Contract (kontrakt): Avtalen om skytjenester mellom Kunde og Leverandør
  • Service (tjeneste): De aktuelle skytjenestene (dvs. IaaS, PaaS og/eller SaaS)
  • Customer (kunde): Enheten som kjøper eller bruker skytjenester
  • Supplier (leverandør): Skytjenesteleverandøren

Definisjoner av kravtype

Prinsipielle krav

De prinsipielle kravene er overordnede krav knyttet til kontrakten som blant annet omfatter kontraktfestet dialog mellom kunde og leverandør, rapportering ved endringer i trusselbildet, overordnet håndtering av sårbarheter og etterlevelse av beste praksis innen informasjonssikkerhet og personvern, slik disse er utdypet i basiskravene. I tillegg beskriver de prinsipielle kravene kundens rett til å gjennomføre revisjoner for å evaluere leverandøren, kvaliteten på leveransen og overholdelse av regulatoriske krav. Disse kravene er hensiktsmessig adskilt fra funksjonelle og tekniske sikkerhets- og personvernkrav, og bør også behandles separat i kontrakten.

Basiskrav

Basiskravene er detaljerte og grunnleggende krav til informasjonssikkerhet. Disse kravene beskriver blant annet leverandørens systematiske arbeid med sikkerhetsstyring, kundens rett til revisjon av tjenesten, samt spesifikasjoner for hvordan tjenesten kvalitetssikres og testes før nye versjoner lanseres.

Basiskravene inneholder også krav til dokumentasjon av sikkerhetsrelaterte instrukser og rutiner, samt hvordan leverandøren sikrer at eventuelle underleverandører etterlever tilsvarende høye standarder. God dialog og tett samarbeid med leverandøren vektlegges sterkt, og det stilles krav til etablering av et ansvarlig kontaktpunkt på ledernivå.

Andre områder som omfattes av basiskravene inkluderer hendelses- og sårbarhetsstyring, tilgangskontroll, håndtering av kundedata, endringsstyring og sikkerhet ved design, virksomhetens kontinuitetsplanlegging ved alvorlige hendelser, samt fysisk og personellsikkerhet. Basiskravene bør inngå som et separat bilag til kontrakten.

Tilleggskrav

For å ivareta kundens sikkerhet på best mulig måte, ber tilleggskravene leverandøren om å foreslå en helhetlig sikkerhetsarkitektur som dekker hele tjenesteleveransen. Arkitekturen skal bygge på leverandørens egen tjeneste, anerkjente modeller for sikkerhetsarkitektur (som for eksempel «zero trust» og «defendable architecture») samt NIST Cyber Security Framework v2.0. Dette skal bidra til forbedret sikkerhet ved kundens bruk av tjenesten. Globale skyleverandører benytter ofte NIST-rammeverket, som også danner grunnlaget for MPS sine tilleggskrav knyttet til sikker implementering, konfigurasjon og vedlikehold av skytjenester. I tillegg inneholder disse kravene spesifikke sikkerhetskrav som kan være relevante ved særskilte anskaffelser i Norge.

Prinsipielle krav

Dette kapitlet inneholder overordnede krav til informasjonssikkerhet og personvern. Kravene er ment å inkluderes i kontrakter for bruk av skytjenester.

#Krav (engelsk)Norsk kommentar
A.1The Supplier acknowledges that information security is of critical importance to the Norwegian government and Customers under this Agreement.Ved avtaler som gjøres for norsk offentlig forvaltning er det nødvendig å sikre at leverandøren har grunnleggende forståelse for trusselbildet og de høye krav til sikkerhet som gjelder for offentlig sektor. Dette er viktig for å etablere god tillit til leverandøren.
A.2The Supplier shall ensure that all security risks are managed in a vigilant manner and take all necessary measures to protect the offered Services from all levels of internal and external threats, including, but not limited to, nation state targeted network and intelligence operations.Det er viktig at leverandøren håndterer sikkerhetsrisikoer raskt og effektivt for å beskytte sine tjenester mot interne og eksterne trusler. Dette sikrer kontinuerlig drift, beskytter sensitiv informasjon, og reduserer risikoen for angrep som kan kompromittere tjenestene.
A.3The Supplier (and any person or entity acting on its behalf, including Subcontractors, and any Affiliate) shall;
A) comply with all Laws applicable to the Supplier in general, including those concerning security, bribery, corruption, and fraud;
B) offer Services that are in accordance with applicable Laws and that will enable the Customers to comply with applicable Laws relevant for the Services, including the Regulation (EU) 2016/679 (GDPR) (where applicable) and the Norwegian Act no 38 of 15 June 2018 relating to the Processing of Personal Data (Personal Data Act); and
C) comply with the highest standards of business ethics, i.e., establish and maintain robust processes and controls to ensure ethical compliance for itself and throughout its supply chain.
Tillit til leverandører er avgjørende og Leverandøren er ansvarlig for å følge alle relevante lover, inkludert de som omhandler sikkerhet, bestikkelser, korrupsjon og svindel.  Videre må leverandøren opprettholde høye etiske standarder, noe som inkluderer å etablere sterke prosesser for å sikre etisk overholdelse både internt og i hele leverandørkjeden.
A.4The Supplier shall comply with international standards and frameworks for information security.
The Supplier shall achieve and maintain information security and data protection compliance in accordance with international standards and frameworks, such as ISO/IEC 27001:2022, NIST Cybersecurity Framework v.2.0, or other substantially equivalent standard(s) for information security management and any updates to such standards
Det er avgjørende at leverandører overholder internasjonale standarder og rammeverk for informasjonssikkerhet, som ISO/IEC 27001:2022 og NIST Cybersecurity Framework, fordi disse standardene sikrer en systematisk tilnærming til å beskytte virksomhetens informasjon. Ved å følge disse standardene kan leverandøren redusere risikoen for sikkerhetsbrudd, opprettholde tilliten hos kunder og partnere, og sikre at virksomheten er i samsvar med gjeldende lover og forskrifter. Videre sikrer dette at leverandøren kontinuerlig forbedrer sine sikkerhetsprosesser for å møte nye trusler og utfordringer.
A.5The Supplier shall, within 30 (thirty) days after a written request from the Customer, provide reasonable documentation to verify compliance of any security or data protection provisions in the Contract.Det er viktig for kunden å ha mulighet til å etterspørre skriftlig dokumentasjon uten unødig forsinkelse for å følge opp og verifisere tjenestens samsvar med kravene i avtalen.
A.6In the event of a serious security incident or significantly increased threat to the information security relating to the provisioning of the Services, the Supplier shall provide an initial notification in writing or by phone directly to the Customer within 24 hours and a report of the incident within 72 hours. This equally applies to compromises of personal information.Hurtig innsikt og informasjonsdeling ved alvorlige hendelser er viktig for skadebegrensning. Det er avgjørende med umiddelbar informasjon til kunden ved alvorlige sikkerhetshendelser eller økt trusselnivå for å kunne reagere raskt og minimere skade. Hurtig rapportering gir mulighet for tidlige tiltak, beskytter sensitive data og opprettholder tillit. Kravet er formulert for å samsvare med NIS2 direktivet.
A.7The Customer shall, by itself or by use of a third party, have the right to carry out audits of the Supplier in order to:
A) verify that the Supplier is complying with this Agreement;
B) carry out general IT security risk audits/reviews;
C) carry out data security and data protection audits/reviews; or
D) accommodate requests from Norwegian security authorities and for compliance with Laws, hereunder the Norwegian Act no 24 of 1 June 2018 relating to national security (the Security Act).
Kunden må ha mulighet til å gjennomføre revisjoner av leverandøren for å sikre at avtalen følges og at IT-sikkerheten er tilstrekkelig.  Revisjoner gjør det mulig å identifisere risikoer, sikre etterlevelse av nasjonale sikkerhetskrav, og svare på forespørsler fra norske myndigheter. Dette er essensielt for å beskytte sensitiv informasjon og sikre at lovpålagte krav oppfylles.
A.8The Supplier shall appoint a security responsible at an executive level as a counterpart to the Customer, who is responsible for strategic security meeting places, reporting, and follow-up of material risks, incidents, and vulnerabilities.Det er viktig at leverandøren utpeker en sikkerhetsansvarlig på høyt nok nivå som motpart til kunden, fordi dette sikrer at strategiske sikkerhetsspørsmål får nødvendig oppmerksomhet og håndtering på høyeste nivå i organisasjonen. En slik rolle er viktig for effektiv kommunikasjon og samarbeid om sikkerhetsstrategi, rapportering, og oppfølging av vesentlige risikoer, hendelser og sårbarheter. Dette bidrar til en helhetlig og proaktiv tilnærming til sikkerhet, som igjen styrker tilliten mellom leverandøren og kunden, og sikrer bedre håndtering av potensielle trusler.

Basiskrav informasjonssikkerhet og personvern

Denne seksjonen inneholder et omfattende sett av krav til informasjonssikkerhet og personvern som er ment å inkluderes som et sikkerhetsvedlegg i avtaler om skytjenester.

Det anbefales at kravene gjennomgås i forhold til det aktuelle behovet og justeres deretter, inkludert å legge til nye- eller fjerne unødvendige krav.

Merk at det er en tilsiktet redundans mellom noen av hovedkravene (nivå A) og de grunnleggende sikkerhetskravene (nivå B). Dette er for å støtte mer komplekse kontraktsstrukturer, som rammeavtaler, og dette er indikert gjennom kryssreferanser (fotnoter). Ved behov kan dette forenkles ved å fjerne overflødige krav på henholdsvis nivå A eller B.

Security Governance

#KravNorsk kommentar
B.IS.1The Supplier shall achieve and maintain information security and data protection compliance in accordance with:
a) ISO 27001:2022, NIST Cybersecurity Framework 2.0 or other substantially equivalent standard(s) for information security management and any updates to such standards;
b) cloud specific frameworks, such as ISO 27017, CCM-CSA, C5 and FedRAMP or other equivalent standards.
Leverandørens samsvar og etterlevelse av etablerte standarder og rammeverk er viktig for å minimere risiko, bygge tillit, overholde juridiske krav, sikre kontinuerlig forbedring og beskytte økonomiske interesser. Ved å oppfylle disse kravene kan leverandøren sikre robust beskyttelse av konfidensialitet, integritet og tilgjengelighet for virksomhetens data.
 
Leverandøren bør beskrive om, og hvilke, nasjonale og internasjonale standarder de opererer under. Er disse å oppfatte som interne retningslinjer/policy, eller er virksomheten sertifisert og kan fremvise sertifikater og/eller bevis på etterlevelse.
Compliance with standards and frameworks
#KravNorsk kommentar
B.IS.2The Supplier shall establish and maintain an effective information security management system that considers all information security risks, including both external threats and insider risks. The Services shall comply with requirements set forth in ISO/IEC 27001:2022, or equivalent standards.Leverandøren bør kunne vise til at man har implementert et helhetlig styringssystem for informasjonssikkerhet (ISMS - Information Security Management System) som kan bekrefte systematisk aktivitet med kontinuerlig forbedring og tiltak for håndtering av informasjonssikkerhet og reduksjon av intern og ekstern risiko i virksomheten. Krav til ISMS er beskrevet i ISO/IEC 27001:2022 eller tilsvarende og omtales ofte som ledelsens styringssystem for informasjonssikkerhet.
 
Ved å håndtere både eksterne og interne trusler systematisk, reduserer leverandøren sannsynligheten for sikkerhetsbrudd som kan ha alvorlige konsekvenser for virksomheten og bidrar samtidig til bedre omdømme og tillit.
Information security management system
#KravNorsk kommentar
B.IS.3The Supplier shall, either on-line or upon request, provide documentation that verifies independent assurance of the Supplier’s information security management system through ISO/IEC 27001:2022 certifications, SOC2 Type 2 reports, C5, FedRAMP or equivalent evidence. The Supplier shall maintain the assurance at an equivalent or higher level throughout the duration of the Contract.Uavhengig, dokumentert bekreftelse gir kunden sikkerhet for at leverandøren faktisk oppfyller høye sikkerhetsstandarder, noe som bygger tillit og sikrer at informasjonssikkerhet er ivaretatt på en helhetlig og forsvarlig måte.
Assurance
#KravNorsk kommentar
B.IS.4The Supplier shall ensure the security of the Service(s) through regular external and internal security audits and security testing. If evidence from the Supplier´s security audits indicate the need for sharing more detailed information with the customer, the Supplier shall provide specifications of the type, scope, and frequency of the testing.For å forstå hvordan leverandøren gjennomfører interne og eksterne revisjoner av egen drift og tjeneste, må leverandøren kunne frembringe beskrivelse og spesifikasjoner for hvilke typer tester som utføres, hvordan sikkerhetstesting utføres, involverte forretningsprosesser og hyppighet for slike revisjoner og tester.

Med slike tester menes eksempelvis:
·         Penetrasjonstesting
·         Sårbarhetsscanning
·         Konfigurasjonsrevisjoner
·         CodeReview
·         Applikasjonssikkerhetstesting
·         Endringshåndtering
·         Prosedyrer for utrulling av nye revisjoner
·         Phishing-simulering
·        Gjennomgang av sikkerhetsprosedyrer
Security audit and security testing obligations
#KravNorsk kommentar
B.IS.5The Supplier shall address issues identified in security audits or security tests that are relevant to the Service(s) without undue delay and provide the Customer with a copy of the security audit or testing report upon request. In the event that the document contains Supplier Confidential information, then either a redacted version will be supplied or alternative evidence that the issue has been satisfactorily rectified.Som kunde er det viktig å, snarest mulig, få tilgang til relevante dokumenterte funn fra sikkerhetsrevisjoner og tester. Risiko i leverandørkjeden kan påvirke sikkerhet og produksjon i egen virksomhet.  Slike funn kan i noen tilfeller inneholde konfidensiell informasjon og dokumentasjonen kan i noen tilfeller være sladdet.
Security audit and security testing obligations - Documentation and Remedation
#KravNorsk kommentar
B.IS.6The Supplier shall, either on-line or upon request, make available to the Customer relevant documents necessary to demonstrate compliance with the obligations laid down in the Contract.Som kunde må man ha tilgang til relevant dokumentasjon som bekrefter leverandørens overholdelse av krav og forpliktelser i avtalen. Dette vil bidra til avtaleforvaltningen gjennom leveransens levetid og vil verifisere samsvar med forpliktelser i avtalen.

Å gjøre sikkerhetspolicyer og relaterte dokumenter tilgjengelige for kunden ved forespørsel bidrar til å sikre etterlevelse, bygge tillit og tilrettelegge for kundens egne risikovurdering.
Access to security documents
#KravNorsk kommentar
B.IS.7The Supplier shall ensure that third parties (e.g., vendors, services, subcontractors, and software providers) used in providing the Services to the Customer under the Contract fulfil the security requirements, or substantially equivalent security requirements, set out in this Contract.Med komplekse leverandørkjeder der tjenesten involverer mange forskjellige underleverandører er det svært viktig å sikre at tjenesteleverandøren sikrer at også dens underleverandører overholder de samme strenge sikkerhetskravene som er kontraktsfestet i leveransen.

Dette vil bidra til å opprettholde helhetlig sikkerhet, redusere risiko, bygge kundens tillit, overholde juridiske krav og fremme kontinuerlig sikkerhetsforbedring.
Third party security management - Security Requirements
#KravNorsk kommentar
B.IS.8The Supplier shall notify the Customer, for the purpose of assessing foreign ownership risks, in advance of any planned changes to the ownership or operation of the data centres or infrastructure used to deliver the Service(s). Such notice shall include the identity of the new third-party owner or operator, if applicable, and any potential impact on the provision of the Services. This requirement is limited to data centres and infrastructure used to provision the Service(s) in the EU/EEA.Hvis det planlegges endringer i eierstruktur/drift knyttet til datasentre og infrastruktur, for eksempel overføring av virksomheten eller sammenslåing med andre virksomheter, må kunden bli gjort oppmerksom på dette i forkant da dette kan påvirke kundens risiko knyttet til informasjonssikkerhet og/eller personvern.

Kunden kan på grunnlag av dette vurdere vesentlige faktorer som for eksempel landrisiko, eierstrukturer, sanksjoner, sikkerhetsnivå, sikkerhetskultur osv.
Third Party Security Management - Ownership and Operations of Data Centres and Infrastructure

Cooperation regarding information security

#KravNorsk kommentar
B.IS.9The Supplier shall appoint an information security manager role or other point of contact under the Contract as a counterpart to the Customer, who is responsible for updating the Customer on the Suppliers security strategy and roadmaps, security products and services, risks, incidents, and vulnerabilities. The Customer shall be entitled to escalate any security issues at an executive level.Som kunde er det viktig å sikre god dialog med leverandøren på flere plan da det vil være behov for strategiske diskusjoner og operativ oppfølging av leveransen. I dette er det svært viktig at risiko og sårbarheter relatert til informasjonssikkerhet og personvern blir håndtert på riktig nivå i organisasjonen, og at kunden har tilgang til et eskaleringspunkt på et ledernivå i organisasjonen ved behov.

Dette vil bidra til en effektiv håndtering av risiko og hendelser, strategisk og operativ styring, rapportering og transparens, samt muligheter for eskalering.
Information security roles and responsibilities - point of contact
#KravNorsk kommentar
B.IS.10Both Parties can summon a meeting with 7 (seven) days' written notice.Som kunde er det nyttig med dialog med leverandøren knyttet til for eksempel vesentlige sikkerhetsrisiko, sikkerhetshendelser og sårbarheter i leverandørkjeden.
Information security roles and responsibilities - Summoning meetings

Incident, asset and vulnerability management

#KravNorsk kommentar
B.IS.11The Supplier shall establish and maintain processes for security incident management and threat intelligence. This includes actively detect, identify and respond to threats and security incidents, including those arising from third parties or third-party components in the Service(s).Etablering og vedlikehold av prosesser for sikkerhetshendelseshåndtering og trusselinformasjon er kritisk for å sikre rask respons på trusler, beskytte mot tredjepartsrisikoer, kontinuerlig forbedre sikkerheten, opprettholde tjenestekvalitet og sikre regulatorisk overholdelse. Dette beskytter både leverandørens og kundens interesser og bidrar til en robust sikkerhetspraksis.

Leverandøren ha på plass prosesser for å aktivt oppdage, identifisere og respondere til trusler og sikkerhetshendelser. Dette kan også være relatert til underleverandører eller til komponenter som benyttes i tjenesten.
Security incident management and threat intelligence - Process
#KravNorsk kommentar
B.IS.12In the event of a serious security incident or significantly increased threat to the information security relating to the provisioning of the Services, the Supplier shall, through the Suppliers established processes, provide an initial notification directly to the Customer within 24 hours and a report of the incident within 72 hours. This equally applies to compromises of personal information.
The report shall include information about the systems, services and information affected, along with an assessment of the impact on the Customer and a remediation plan
Umiddelbar rapportering fra leverandør ved alvorlige sikkerhetshendelser eller økt trusselnivå er avgjørende for å sikre rask respons og skadebegrensning, opprettholde tillit, støtte informert beslutningstaking, effektivt håndtere og gjenopprette fra hendelser, og sikre regulatorisk overholdelse. Tidskravene i dette kravet er ment å understøtte samsvar med NIS2 direktivet.

Rapporter bør være detaljert med informasjon om, og i hvilken grad ulike systemer og data er påvirket, eventuelle konsekvenser for kunden og leverandørens plan for videre hendelseshåndtering og stabilisering av drift.
Security incident management and threat intelligence - Notifications and Documentation
#KravNorsk kommentar
B.IS.13In the event of a serious security incident, the Supplier shall cooperate with relevant vendors appointed by the Customer, such as ICT outsourcing partners, cloud vendors and managed security services providers appointed by the Customer, to ensure the operational information security of the Customer's systems.Leverandørens samarbeid med kundens relevante leverandører ved en alvorlig sikkerhetshendelse er kritisk for å sikre en helhetlig og effektiv sikkerhetsrespons, rask gjenoppretting, deling av ekspertise, bedre risiko- og trusselforståelse, og for å holde kundens interesser i fokus. Dette bidrar til å beskytte kundens systemer og data på en robust og pålitelig måte.
Security incident management and threat intelligence - Cooperation
#KravNorsk kommentar
B.IS.14In the event of security breaches in the Services, the Supplier shall maintain and on either on-line or on request from the Customer provide access to a security log of all incidents concerning Customer Data, including log data and relevant indicators of compromise, for Customer incident analysis and digital forensic purposes.Å opprettholde og gi tilgang til sikkerhetslogger over hendelser som angår kundedata er nødvendig for analyse av uønskede hendelser, dataetterforskning, transparens og tillit, regulatorisk overholdelse, og kontinuerlig forbedring.
Security incident management and threat intelligence - Access to Security Logs
#KravNorsk kommentar
B.IS.15The Supplier shall perform threat intelligence for the Service(s) in scope and continuously, or at least daily, update indicators of compromise (IoCs) and malware definitions.Leverandøren må av flere grunner kunne forsikre virksomheten om at man har kontinuitet i arbeid med trusseletterretning og oppdaterte indikasjoner på at virksomhetens data ikke er kompromittert for skadelig programvare:
·         Proaktiv trusselhåndtering
·         Reduksjon av sårbarheter
·         Opprettholdelse av sikkerhetsnivå
·         Rask respons på angrep
·         Forbedret beskyttelse av kundedata
Security incident management and threat intelligence - Threat Intelligence
#KravNorsk kommentar
B.IS.16The Supplier shall, while performing under the Contract, ensure that all software and storage media used in the provisioning of the Service(s) is free of any known malicious software.Virksomheten må forsikre seg om at leverandøren kan bekrefte at alle media f.eks. disklagring er sjekket og renset for skadelig programvare.

Å sikre at all programvare og lagringsmedier brukt i tjenesteleveransen er fri for skadelig programvare er avgjørende for å beskytte kundens data, opprettholde systemintegritet, forebygge sikkerhetsbrudd, bygge kundens tillit og overholde juridiske og regulatoriske krav.
Security incident management and threat intelligence - Malicious Software
#KravNorsk kommentar
B.IS.17The Supplier shall establish and maintain processes for management and control of enterprise and software assets used in provisioning the Service(s). This includes keeping updated asset inventories with asset ownership, detecting and managing unauthorized assets, and managing relevant controls.Leverandøren må ha prosesser for forvaltning og kontroll av systemer og komponenter i programvare som benyttes til å levere tjenesten. Dette bidrar til å sikre at skytjenestene er trygge og pålitelige. Uten disse prosessene kan uautoriserte enheter/programvare skape sikkerhetsrisikoer og svekke tjenestekvaliteten. Ved å holde oversikt over eiendeler, teste og implementere nødvendige kontroller, reduseres risikoen for sikkerhetsbrudd og uautorisert tilgang.
Asset and Vulnerability Management - Asset Management
#KravNorsk kommentar
B.IS.18The Supplier shall establish and maintain processes for managing vulnerabilities in the Services. This includes performing security patching and implementing other compensating measures.Prosesser og tiltak som leverandøren iverksetter for håndtering av sårbarheter i tjenesten vil være en av de mest kritiske viktige prosessene for sikkerhetshygienen hos leverandøren.

Virksomheten må derfor forsikre seg at leverandøren oppdaterer og installerer sikkerhetspatcher (oppdateringer) samt at andre kompenserende tiltak iverksettes for å redusere risiko, opprettholde systemintegritet, overholde SLA og forebygge angrep.
Asset and Vulnerability Management - Vulnerability Management
#KravNorsk kommentar
B.IS.19The Supplier shall monitor third-party vulnerability notifications and other relevant security vulnerability advisories.Overvåking av tredjeparts sårbarhetsvarsler er viktig for å identifisere nye trusler tidlig, slik at leverandøren kan iverksette nødvendige tiltak for å beskytte kundens data og sikre tjenestenes integritet.

Dette bidrar også til å reduserer risikoen for skade ved potensielle sikkerhetsbrudd. Ved å være proaktiv i håndteringen av sårbarheter, kan leverandøren sikre en høy standard for sikkerhet og pålitelighet i tjenestene sine.
Asset and Vulnerability Management - Third-party vulnerabilities
#KravNorsk kommentar
B.IS.20Each vulnerability identified in the Service(s) shall be assigned a unique Common Vulnerability and Exposures (“CVE”) identifier and a Common Vulnerability Scoring System (“CVSS”) score. The Supplier shall maintain a record of all identified vulnerabilities.Ved å tildele identifiserte sårbarhet i tjenestene en unik CVE-identifikator og en CVSS-score, kan leverandøren prioritere tiltak basert på risiko, samt kommunisere med kunder og andre interessenter om sikkerhetstrusler. Ved å opprettholde en oversikt over alle identifiserte sårbarheter, sikrer leverandøren en systematisk håndtering av sikkerhetsrisikoer, noe som er avgjørende for å opprettholde sikkerheten og tilliten til tjenestene.
Asset and Vulnerability Management - Vulnerability Identification and Scoring
#KravNorsk kommentar
B.IS.21The Supplier shall, either through established notification channels or in writing, notify the Customer without undue delay of any vulnerabilities identified in the Services, including vulnerabilities from 3rd party vendors used to produce the Service, with a CVSS score of 9.0 to 10.0 (Critical) or 7.0 to 8.9 (High). The notification shall include information about the systems and information affected, along with an assessment of the impact on the Customer, and a remediation plan. The Supplier shall provide necessary support and information to the Customer and take appropriate actions to manage and mitigate risks associated with such vulnerabilities.Det er viktig at leverandøren varsler kunden uten unødig forsinkelse om sårbarheter i tjenestene med en CVSS-score på 9.0 til 10.0 (Kritisk) eller 7.0 til 8.9 (Høy) fordi disse representerer betydelige sikkerhetsrisikoer som kan ha alvorlige konsekvenser for kundens systemer og data.

Rask varsling gjør det mulig for kunden å forstå omfanget av trusselen og iverksette nødvendige egne tiltak. Ved å inkludere informasjon om berørte systemer, en vurdering av påvirkningen, samt en plan for utbedring, gir leverandøren kunden en klar forståelse av situasjonen og hvordan den skal håndteres.

Leverandørens støtte er avgjørende for å redusere risikoen og sikre at sårbarheten håndteres effektivt, noe som bidrar til å opprettholde tjenestens sikkerhet og kundens tillit.
Asset and Vulnerability Management - Vulnerability Notification
#KravNorsk kommentar
B.IS.22In the event of a serious security incident or vulnerability affecting the provisioning of the Services, the Supplier shall offer to suspend the Services until the situation has been resolved or the Supplier has remedied the issue to the Customer's satisfaction. The Supplier shall assist the Customer with suspending the Services upon request.  Når en alvorlig sikkerhetshendelse eller sårbarhet oppstår i tjenestene, kan det være avgjørende at leverandøren tilbyr å suspendere tjenestene inntil problemet er løst. Dette tiltaket beskytter kundens data og systemer mot ytterligere risiko og gir en nødvendig pause for å adressere sårbarheten uten at kunden utsettes for unødig fare. Ved å samarbeide med kunden om å suspendere tjenestene, sikrer leverandøren at situasjonen håndteres på en rask og kontrollert måte, noe som bidrar til å minimere skade og opprettholde tillit i en kritisk situasjon.
Suspension of service due to security incidents or vulnerability
#KravNorsk kommentar
B.IS.23The Customer, shall, by itself or by use of a third party, have the right to perform penetration testing of the Service(s) according to procedures defined and maintained by the Supplier, to identify and analyse potential security vulnerabilities and risks. At kunden, enten selv eller ved bruk av en tredjepart, har rett til å utføre penetrasjonstesting av tjenestene i henhold til avtalte rutiner, er viktig for å kunne kontrollere og sikre at tjenestene oppfyller nødvendige sikkerhetsstandarder..

Penetrasjonstesting gir muligheten til å identifisere og analysere potensielle sikkerhetssårbarheter og risikoer som kan være ukjente for leverandøren. Dette bidrar til å avdekke svakheter som kan utnyttes av ondsinnede aktører, og gir kunden trygghet for at tjenestene er tilstrekkelig beskyttet.

Retten til å utføre slike tester er også en måte å verifisere at leverandøren oppfyller sine sikkerhetsforpliktelser under kontrakten, noe som er avgjørende for å opprettholde tillit og sikre at tjenestene er robuste mot trusler.
Penetration testing rights

Access control and customer data

#KravNorsk kommentar
B.IS.24The Supplier shall implement and maintain strict access control policies and procedures to ensure that only identified and authorised employees and third parties have access to the Service(s) and their management system. The policies must, at minimum, address privileged access management, password management, authentication, authorisation, provisioning, change of role or work tasks and revocation of terminated users, separation of duties, approval workflows, and just-enough and just-in-time administration.Strenge tilgangskontrollpolicyer og -prosedyrer er essensielle for å beskytte tjenestene og deres administrasjonssystem mot uautorisert tilgang. Ved å sikre at kun identifisert og autorisert personell har tilgang, reduseres risikoen for sikkerhetsbrudd som kan føre til uautorisert endring, eksponering eller ødeleggelse av sensitive data. Overordnede retningslinjer skal dekke kritiske områder som administrasjon av privilegert tilgang, passordhåndtering, autentisering og autorisasjon, og sikre at tilganger blir gitt, gjennomgått, og tilbakekalt på en kontrollert måte. Dette omfatter også viktige prinsipper som separasjon av oppgaver og godkjenningsprosesser, samt prinsipper for tilgang som dekker tjenestelig behov. Slike tiltak bidrar til å minimere sikkerhetsrisikoer ved å sikre at tilgang til sensitive systemer og data kun gis når det er strengt nødvendig og under nøye overvåkede forhold.
Security Access Management
#KravNorsk kommentar
B.IS.25The Supplier shall conduct regular access review to ensure compliance with the established access control policies and procedures.Regelmessige tilgangsrevisjoner er avgjørende for å sikre at tilgangskontrollpolicyer og -prosedyrer overholdes. Disse revisjonene gir leverandøren mulighet til å identifisere og rette opp potensielle avvik, som for eksempel uautoriserte tilganger eller brukere som ikke lenger bør ha tilgang.

Ved å gjennomføre jevnlige revisjoner kan leverandøren sikre at kun autoriserte personer har riktig nivå av tilgang til systemene, noe som reduserer risikoen for sikkerhetsbrudd og opprettholder integriteten til tjenestene. Dette er viktig for å opprettholde en sikker og kontrollert tilgangsstruktur over tid.
Security Access Management - Regular Access Reviews
#KravNorsk kommentar
B.IS.26The Supplier shall provide the Customer with flexible and fine-grained mechanisms for identity and access management. This includes supporting integration with the Customer's existing identity and access management systems, such as user directories.Å tilby kunden fleksible og detaljerte mekanismer for identitets- og tilgangsstyring er viktig for å sikre at kunden har full kontroll over hvem som har tilgang til tjenestene og på hvilket nivå.

Ved å legge til rette for integrasjon med kundens eksisterende identitets- og tilgangsstyringssystemer, som brukerkataloger, kan kunden administrere tilgang på en sømløs og effektiv måte.

Dette gir kunden mulighet til å opprettholde konsistente sikkerhetsstandarder på tvers av alle systemer, forenkler administrasjonen av brukere, og sikrer at tilgangene til tjenestene er nøyaktig tilpasset deres behov og sikkerhetskrav.
Flexible and fine-grained identity and access management - Customer Identity and Access Management
#KravNorsk kommentar
B.IS.27The Supplier shall support relevant standards such as SCIM 2.0 or IETF RFC 7643 for cross-domain identity management.Støtte for relevante standarder som SCIM 2.0 eller IETF RFC 7643 for identitetsstyring på tvers av domener er viktig fordi det muliggjør effektiv og sikker administrasjon av brukere og tilgang på tvers av ulike systemer og tjenester.

Ved å følge disse standardene kan leverandøren sikre interoperabilitet mellom kundens eksisterende identitets- og tilgangsstyringssystemer og de leverte tjenestene. Dette forenkler administrasjonen av brukerkontoer, reduserer risikoen for feilkonfigurasjon, og forbedrer sikkerheten ved å sikre konsistente tilgangskontroller på tvers av hele IT-miljøet.

Standardiserte løsninger gir også kunden fleksibilitet til å tilpasse og utvide sine systemer uten å være bundet til proprietære løsninger, noe som er avgjørende for å opprettholde en fremtidsrettet og sikker infrastruktur.
Flexible and fine-grained identity and access management - Standards for Cross-domain Identity Management
#KravNorsk kommentar
B.IS.28The Supplier shall ensure that any remote access to the Service(s) by its employees and third parties is secured with effective encryption and phishing restant authentication measures in accordance with best industry practices, and that security gateways (enabling security policy enforcement, security monitoring, etc.) are used to control access between the Internet and the Supplier’s Service(s).Sikring av ekstern tilgang til tjenestene med sterk kryptering og autentisering i samsvar med beste praksis er avgjørende for å beskytte mot uautorisert tilgang og potensielle angrep.

Dette sikrer at dataoverføringer over internett er beskyttet mot avlytting og manipulering, og at kun godkjente brukere kan få tilgang til tjenestene. Bruken av sikkerhetsportaler for å kontrollere tilgangen mellom internett og leverandørens tjenester gir et ekstra lag av beskyttelse, ved å håndheve sikkerhetspolicyer og overvåke trafikk for mistenkelig aktivitet.
Secure remote access
#KravNorsk kommentar
B.IS.29The Supplier shall keep all Customer Data logically separate from the data of any third parties in order to eliminate the risk of compromising data and/ or unauthorised access to data. Logically separate means the implementation and maintenance of necessary and technical measures to secure data against undesired change or access. Undesired changes or access shall include access by the Supplier's personnel or others who do not need access to the information in their work for Customer.Logisk atskillelse innebærer implementering og vedlikehold av nødvendige tekniske tiltak som sikrer dataene mot uønskede endringer (integritet) eller tilgang (konfidensialitet). Dette betyr at kun autorisert personell, som har et legitimt behov i sitt arbeid for kunden, har tilgang til dataene.

Det er viktig at leverandøren holder all kundedata logisk atskilt fra data tilhørende tredjeparter for å eliminere risikoen for kompromittering av data eller uautorisert tilgang.

Ved å sikre denne atskillelsen, beskytter leverandøren kundens data mot potensielle sikkerhetsbrudd, feilaktig håndtering, og reduserer risikoen for at sensitiv informasjon eksponeres eller manipuleres.
Separation of Customer Data
#KravNorsk kommentar
B.IS.30The Supplier shall ensure protection of Customer Data in transit and at rest, both internally within the Service(s) and for inbound/outbound traffic, including web access, APIs and administrative accesses.Beskyttelse av kundedata både under transport og når de lagres er avgjørende for å sikre at dataene ikke blir avlyttet, manipulert eller kompromittert, enten de beveger seg internt i tjenestene eller mellom tjenestene og eksterne systemer.
Dette gjelder all dataoverføring, inkludert webtilgang, API-kall og administrative tilganger. Sterk kryptering og andre sikkerhetstiltak beskytter data mot uautorisert tilgang og sikrer at informasjonen forblir konfidensiell og intakt, uavhengig av hvor den befinner seg.
Ved å opprettholde disse beskyttelsestiltakene, sikrer leverandøren at kundens sensitive informasjon er sikker mot trusler, både innenfor tjenestens infrastruktur og når dataene kommuniseres med eksterne enheter. Dette er essensielt for å ivareta dataintegritet, konfidensialitet, og kundens tillit til tjenesten.
Encyption of Customer Data - Protection of Customer Data
#KravNorsk kommentar
B.IS.31To achieve this protection, the Supplier shall implement measures such as state of the art encryption in transit and at rest and phishing resistant authentication. State of the art shall be interpreted as industry best practice with regards to choice of cryptographic protocols and algorithms.Kryptering under transport beskytter dataene mens de overføres mellom systemer, mens kryptering ved lagring sikrer at dataene forblir sikre når de ligger på servere. Sterk autentisering garanterer at kun autoriserte brukere får tilgang til dataene.

For å oppnå nødvendig beskyttelse av kundedata, er det avgjørende at leverandøren implementerer tiltak som moderne kryptering under transport, kryptering ved lagring og sterk autentisering.

Samlet sett bidrar disse tiltakene til å forhindre datatyveri, uautorisert tilgang og manipulering, og opprettholder dermed integriteten og sikkerheten til kundens informasjon.
Encyption of Customer Data - State of the Art Encryption
#KravNorsk kommentar
B.IS.32The Supplier should document its roadmap to ensure that cryptographic algorithms used in the Service(s) are quantum resistant, in accordance with, e.g., CNSA 2.0 ("Commercial National Security Algorithm Suite 2.0"), NIST standards for post-quantum cryptography, “NSMs veileder for kvantemigrering”, “NSMs kryptografiske anbefalinger (utkast 2024)”, or similar.Bruken av kvantemotstandsdyktige kryptografiske algoritmer som en del av tjenesten er viktig for å sikre at kundedata forblir beskyttet i fremtiden, selv i møte med de avanserte truslene som kvantedatamaskiner kan utgjøre. Kvantedatamaskiner har potensial til å knekke mange av dagens kryptografiske algoritmer, noe som kan kompromittere konfidensialiteten og integriteten til data.

Ved å implementere kvantemotstandsdyktige algoritmer, i samsvar med standarder som CNSA 2.0, sikrer leverandøren at dataene er beskyttet mot både nåværende og fremtidige trusler. Dette er avgjørende for å opprettholde langsiktig datasikkerhet og for å beskytte sensitive opplysninger mot fremtidig teknologiutvikling som kan true dagens sikkerhetsmekanismer.
Encryption of Customer Data - Quantum Resistant Cryptographoc Algorithms
#KravNorsk kommentar
B.IS.33The Supplier shall maintain logs of all access to Customer Data by its own employees and any of its third parties and shall make such logs available to the Customer upon request.  Ved å gjøre logger over all tilgang til kundens data tilgjengelige for kunden på forespørsel, gir leverandøren kunden mulighet til å overvåke og revidere tilgangsmønstre, identifisere uautoriserte eller mistenkelige aktiviteter, og iverksette nødvendige tiltak for å beskytte dataene.

Å opprettholde logger over all tilgang til kundedata, både av leverandørens egne ansatte og eventuelle tredjeparter, er viktig for å sikre gjennomsiktighet og spore potensielle sikkerhetsbrudd. Disse loggene gir en detaljert oversikt over hvem som har hatt tilgang til dataene, når tilgangen skjedde, og hvilken type tilgang som ble gitt.

Dette bidrar til å opprettholde sikkerheten og styrker kundens tillit til leverandørens håndtering av sensitive opplysninger.
Logging of access to Customer data
#KravNorsk kommentar
B.IS.34The logs shall be retained for a defined retention period defined and maintained by the Supplier, taking into account applicable Laws and regulations, as well as any applicable recommendations from Norwegian authorities.Leverandør og kunde må være enige om en oppbevaringsperiode for tilgangsloggene under kontrakten, fordi dette sikrer at loggene er tilgjengelige i tilstrekkelig lang tid for å oppfylle juridiske og regulatoriske krav, samt eventuelle anbefalinger fra norske nasjonale sikkerhets- og informasjonssikkerhetsmyndigheter.
En tilstrekkelig oppbevaringsperiode gjør det mulig å utføre grundige sikkerhetsrevisjoner, etterforske mistenkelige hendelser, og sikre sporbarhet over tid. Samtidig beskytter en avtalt periode både kunden og leverandøren mot å beholde data lenger enn nødvendig, noe som kan redusere risikoen for uautorisert tilgang eller brudd på personvern. Dette balanserer behovet for sikkerhet og samsvar med hensyn til datasikkerhet og personvern.
Logging of access to Customer Data - Retention Period
#KravNorsk kommentar
B.IS.35The Supplier shall notify the Customer in writing in advance of any planned relocation or transfer of Customer Data, including backups, to a new region or data center. This requirement is limited to data centres and infrastructure used to provision the Service(s) in the EU/EEA.Forhåndsvarsling om relokering av kundedata gir kunden tid til å gjennomgå og sikre at den nye lokasjonen oppfyller nødvendige sikkerhetsstandarder og lovkrav, samt til å gjøre eventuelle tilpasninger eller oppdateringer i sine egne sikkerhetsrutiner.

Det er viktig at leverandøren skriftlig varsler kunden på forhånd om planlagte flyttinger eller overføringer av kundedata, inkludert sikkerhetskopier, til et nytt datasenter eller annen lokasjon fordi det gir kunden mulighet til å vurdere sikkerhets- og personverns- implikasjonene av slike endringer.

Dette er avgjørende for å opprettholde dataintegritet, beskytte mot potensielle sikkerhetsrisikoer, og sikre at kundens informasjon fortsatt behandles i samsvar med gjeldende lover, forskrifter og kontraktsmessige forpliktelser.
Notification of relocation of Customer Data

Change management and security by design

#KravNorsk kommentar
B.IS.36The Supplier shall establish and maintain strict procedures for technology change management and deviation handling in the Service(s).Prosedyrer for endringshåndtering bidrar til å minimere risikoen for at uforutsette konsekvenser oppstår som følge av tekniske endringer, og sikrer at eventuelle avvik håndteres effektivt og i tråd med etablerte retningslinjer. Dette beskytter tjenestens integritet, sikrer kontinuitet, og gir både leverandøren og kunden trygghet for at tjenesten forblir pålitelig og sikker, selv når endringer innføres.

Det er avgjørende at leverandøren etablerer og opprettholder strenge prosedyrer sikrer at alle endringer blir nøye vurdert, planlagt og implementert uten å kompromittere tjenestens stabilitet eller sikkerhet.
Change management
#KravNorsk kommentar
B.IS.37The Supplier shall provide advance notice to the Customer of any changes to the Service(s) that may negatively impact information security with sufficient time for the Customer to object.Det er viktig at leverandøren gir forhåndsvarsel til kunden om endringer i tjenestene som kan ha en negativ innvirkning på informasjonssikkerheten, med tilstrekkelig tid for kunden til å komme med innvendinger. Dette gir kunden mulighet til å vurdere hvordan endringen kan påvirke deres sikkerhetsmiljø og ta nødvendige tiltak for å beskytte sine data.

Forhåndsvarsel sikrer også at kunden har en aktiv rolle i å opprettholde sikkerheten til tjenestene de benytter, og kan bidra til å forhindre uønskede konsekvenser som kan oppstå som følge av endringer. Dette er avgjørende for å opprettholde tilliten mellom leverandør og kunde, samt for å sikre at tjenestene forblir i samsvar med kundens sikkerhetskrav og -forventninger.
Change Management – Advance Notice
#KravNorsk kommentar
B.IS.38The Supplier shall implement and adhere to security by design principles in the provision of the Service(s) and ensure that software hardening best practices are implemented with secure configuration set as default. Ved å bygge sikkerhet inn i alle faser av utvikling og leveranse av tjenestene, reduseres risikoen for sårbarheter og sikkerhetsfeil som kan utnyttes av ondsinnede aktører. Sikring av programvaren gjennom beste praksis for "software hardening" og å sette sikker konfigurasjon som standard, betyr at tjenestene er optimalt beskyttet mot trusler med en gang de tas i bruk.

Å implementere og følge prinsippene for sikkerhet ved design er avgjørende fordi det ivaretar at sikkerhet er en integrert del av tjenestene fra starten av, i stedet for å bli lagt til i ettertid («bolt on Security») som også er kostnadsdrivende.
Security by design
#KravNorsk kommentar
B.IS.39The Supplier shall conduct testing to ensure that the Service(s) maintain a high level of integrity and quality, with no backdoors or known vulnerabilities.Det er viktig at leverandøren gjennomfører testing for å bidra til at tjenestene opprettholder en høy grad av integritet og kvalitet, uten bakdører eller kjente sårbarheter. Slike tester er essensielle for å identifisere og eliminere potensielle sikkerhetsrisikoer før tjenestene blir tatt i bruk av kunden.

Dette bidrar til at tjenestene er pålitelige og sikre, beskytter sensitive data, og forhindrer uautorisert tilgang som kan oppstå gjennom bakdører eller sårbarheter. Testing bidrar også til å opprettholde kundens tillit til tjenesten, sikrer samsvar med sikkerhetsstandarder, og reduserer risikoen for sikkerhetsbrudd som kan skade både kunden og leverandøren.
Security by Design – Testing
#KravNorsk kommentar
B.IS.40The Supplier shall follow relevant industry standards and best practices to ensure security by design, such as CIS, CWE Top 25, OWASP Top 10, and OWASP ASVS.Ved å implementere industristandarder og beste praksis reduseres risikoen for vanlige sikkerhetssårbarheter og trusler, som kan utnyttes av ondsinnede aktører. Disse standardene og beste praksisene hjelper leverandøren med å identifisere og eliminere sikkerhetssvakheter tidlig i utviklingsprosessen, ivaretar at sikkerheten er innebygd i tjenestene fra starten, og opprettholder en høy standard for datasikkerhet.

Leverandøren bør følge relevante industristandarder og beste praksis, for eksempel CIS, CWE Top 25, OWASP Top 10 og OWASP ASVS, fordi disse rammeverkene gir velprøvde retningslinjer for å bygge sikre systemer.
Security by Design – Standards and Best Practices

Business continuity

#KravNorsk kommentar
B.IS.41The Supplier shall establish and maintain business continuity and disaster recovery plans that adhere to best industry standards, such as ISO 22313 or equivalent. The plans shall include measures to prevent or mitigate the impact of various types of disasters or disruptions, including but not limited to ransomware attacks, a distributed denial-of-service attack (“DDoS Attacks”), advanced persistent threats (“APT”) attacks, unavailability of external IT resources or other external authentication sources, sabotage, fire, and natural catastrophes. The Supplier shall regularly test and rehearse these plans to ensure their effectiveness in the event of a disaster or disruptionRegelmessig testing og øving er nødvendig for å bekrefte at planer for forretningskontinuitet vil være effektive når det virkelig gjelder. Dette bidrar til å sikre at kunden opplever minimal nedetid og tap av data i krisesituasjoner, noe som er avgjørende for å opprettholde virksomhetens tjenester, beskytte sensitive data, og opprettholde kundens tillit til leverandørens evne til å håndtere uforutsette hendelser

Leverandøren bør vedlikeholde forretningskontinuitets- og katastrofegjenopprettingsplaner i tråd med beste bransjestandarder, som ISO 22313, fordi dette sikrer at tjenestene kan opprettholdes eller raskt gjenopprettes i tilfelle en katastrofe eller alvorlig hendelser.

Slike planer skal omfatte tiltak for å forhindre eller redusere virkningen av ulike typer katastrofer, inkludert ransomware-angrep, DDoS-angrep, målrettede angrep (APT), og andre uforutsette hendelser som kan skade tjenestens tilgjengelighet eller integritet.
Business continuity and disaster recovery
#KravNorsk kommentar
B.IS.42The Supplier shall implement and maintain capacity management measures to ensure stable operations in both normal and disaster recovery situations.Kapasitetshåndtering bidrar til å sikre at tjenestene har tilstrekkelige ressurser tilgjengelige for å håndtere belastninger og unngå overbelastning, noe som er avgjørende for å opprettholde tjenestekvaliteten og tilgjengeligheten.

I en katastrofesituasjon er det spesielt viktig at systemene kan skalere opp eller omdirigere ressurser for å sikre kontinuerlig drift og rask gjenoppretting uten tap av ytelse. Dette er nødvendig for å minimere risikoen for nedetid, sikre at tjenestene forblir tilgjengelige og pålitelige, og for å beskytte kundens virksomhet mot potensielle tap forårsaket av driftsforstyrrelser.
Business Continuity and Disaster Recovery – Capacity Management
#KravNorsk kommentar
B.IS.43The Supplier shall conduct regular backups, including offline backups, and restore testing to ensure the integrity and availability of its systems.Regelmessig sikkerhetskopiering, inkludert offline sikkerhetskopier, og gjenopprettingstesting er avgjørende for å sikre integriteten og tilgjengeligheten til leverandørens systemer. Slike sikkerhetskopier beskytter dataene mot tap ved systemfeil, cyberangrep som ransomware, eller andre uforutsette hendelser.

Offline sikkerhetskopiering er spesielt viktige fordi de er isolert fra nettverksbaserte angrep, noe som gir et ekstra lag med sikkerhet. Ved å gjennomføre regelmessig testing av gjenopprettingsprosesser kan leverandøren bekrefte at dataene kan gjenopprettes raskt og pålitelig i tilfelle av et datatap. Dette er kritisk for å minimere nedetid, beskytte mot datakorrupsjon, og sikre kontinuitet i tjenestene, noe som igjen opprettholder kundens tillit og forretningsstabilitet.
Backup and restore of the Supplier’s system

Physical and personnel security

#KravNorsk kommentar
B.IS.44The Supplier shall implement and maintain appropriate physical security measures for its data centres, cloud infrastructure, operations environments (including remote operations), and any equipment installed on Customer premises, in accordance with relevant international standards and the Supplier's own policies.Å implementere og opprettholde fysiske sikkerhetstiltak for datasenter, skylagringsinfrastruktur, driftsmiljøer (inkludert fjernoperasjoner), og utstyr installert i kundens lokaler er viktig for å beskytte mot uautorisert tilgang, sabotasje, tyveri og andre fysiske trusler. Slike tiltak sikrer at sensitive data og kritisk infrastruktur er beskyttet mot potensielle sikkerhetsbrudd som kan kompromittere tjenestene og kundens informasjon.

Ved å følge relevante internasjonale standarder og leverandørens egne sikkerhetspolicyer, sørger leverandøren for at sikkerhetsnivået er tilstrekkelig høyt for å møte de stadig økende truslene mot fysiske lokasjoner.
Physical security
#KravNorsk kommentar
B.IS.45The Supplier shall conduct annual audits of its physical security measures by an independent, qualified auditor certified to evaluate compliance with applicable standards and policies.Revisjoner av fysiske sikkerhetstiltak gir en objektiv vurdering av om sikkerhetsprosedyrene fungerer som de skal og om de overholder både industristandarder og leverandørens egne retningslinjer. Dette bidrar til å identifisere svakheter eller mangler som kan utnyttes, og sikrer at nødvendige forbedringer kan implementeres i tide.

Å gjennomføre årlige revisjoner av fysiske sikkerhetstiltak av en uavhengig, kvalifisert revisor som er sertifisert til å vurdere samsvar med gjeldende standarder og policyer, er viktig for å sikre at sikkerhetstiltakene opprettholder en høy standard og effektivt beskytter mot trusler.

Årlige revisjoner er avgjørende for kontinuerlig forbedring av sikkerhetspraksis, for å opprettholde integriteten og tilgjengeligheten av systemene, og for å opprettholde kundens tillit ved å demonstrere en forpliktelse til å opprettholde høye sikkerhetsstandarder.
Physical Security – Audits
#KravNorsk kommentar
B.IS.46The Supplier shall ensure that all personnel involved in the delivery of the Service(s), including personnel of any subcontractors and third parties, have committed themselves to confidentiality, receive appropriate training and maintain necessary expertise on security matters. This shall include training on applicable security rules, regulations and standards, including Customer-specific security rules where applicable.Det er avgjørende at leverandøren sikrer at alt personell involvert i levering av tjenestene, inkludert ansatte hos underleverandører og tredjeparter, har forpliktet seg til taushetsplikt, mottar riktig opplæring, og opprettholder nødvendig kompetanse innen sikkerhet.

Dette er viktig for å beskytte sensitive kundedata og sikre at alle som har tilgang til eller håndterer dataene forstår de relevante sikkerhetsreglene, forskriftene og standardene. Ved å inkludere opplæring i kundespesifikke sikkerhetsregler, der dette er relevant, sikrer leverandøren at personellet er kjent med og kan følge kundens spesifikke krav.
Personnel security
#KravNorsk kommentar
B.IS.47The Supplier shall establish and maintain procedures for personnel security, including screening and background checks, to ensure that all personnel have the level of security clearance appropriate for their role, in accordance with applicable laws and industry best practices.Prosedyrer for personnellsikkerhet bidrar til å redusere risikoen for innsidertrusler ved å sikre at personell som håndterer sensitive data eller har tilgang til kritisk infrastruktur, er pålitelig og har den nødvendige tilliten til å utføre sine oppgaver på en sikker måte.

Det er viktig at leverandøren etablerer og vedlikeholder prosedyrer for personellsikkerhet, inkludert screening og bakgrunnssjekker, for å sikre at alle ansatte har riktig sikkerhetsklarering i samsvar med beste bransjepraksis og gjeldende lover.

Ved å følge strenge prosesser for sikkerhetsklarering beskytter leverandøren kundens data mot potensielle trusler fra ansatte eller underleverandører med uegnet bakgrunn, og opprettholder en høy standard for informasjonssikkerhet og integritet i tjenestene.
Personnel Security – Security Screening and Clearance
#KravNorsk kommentar
B.IS.48The Supplier shall perform annual security audits on these procedures, conducted by a third-party auditor, to evaluate compliance with applicable standards and policies.Det er viktig at leverandøren utfører årlige sikkerhetsrevisjoner av sine prosedyrer, gjennomført av en tredjepartsrevisor, for å evaluere samsvar med gjeldende standarder og policyer. Slike revisjoner gir en objektiv og uavhengig vurdering av om sikkerhetsprosedyrer blir fulgt korrekt og om de effektivt beskytter mot potensielle sikkerhetstrusler.

Ved å involvere en tredjepart sikres det at vurderingen er upartisk og grundig, noe som bidrar til å identifisere eventuelle svakheter eller mangler i eksisterende prosedyrer. Dette er avgjørende for kontinuerlig forbedring av sikkerhetspraksis, for å opprettholde høye sikkerhetsstandarder, og for å gi både kunden og leverandøren trygghet for at sikkerheten håndteres på en profesjonell og effektiv måte.
Personnel Security – Audits

Basiskrav til personvern

Disse kravene kan gjerne tas inn i et bilag til kontrakten. Kravene er ment å gjelde både for det tilfellet at leverandøren er behandlingsansvarlig og/eller databehandler i forbindelse med oppfyllelse av kontrakten. Dersom leverandøren er databehandler, kan det være hensiktsmessig å innta de kravene som kreves iht. GDPR art. 28 i en egen databehandleravtale som er bilag til kontrakten.

Kunden må alltid vurdere hvilke opplysninger som vil bli behandlet og partenes roller under gjeldende personvernlovgivning (særlig GDPR og personopplysningsloven). Det anbefales at kravene tilpasses tjenestene som skal leveres og typer av behandlingsaktiviteter.

#KravNorsk kommentar
B.DP.1The obligations and requirements set out in annex applies when the Supplier processes Personal Data in connection with the delivery of the Services and comes in addition to the Supplier's other obligations under the Agreement.Kravet forklarer når bestemmelsene gjelder og presiserer at kravene kommer i tillegg til de øvrige kravene i kontrakten.
General
#KravNorsk kommentar
B.DP.2The Supplier shall ensure and document that authorised personnel, including any of its data processors or sub-processors, have the necessary competency and training within privacy and data protection in accordance with best industry practice, and applicable data protection legislation.
The Supplier shall build and maintain a culture to ensure that all relevant personnel receive appropriate awareness training to understand their responsibilities for data protection and information security.
The Supplier shall on regularly basis evaluate the competency and training of their personnel, including an assessment of the actions and measures implemented.
Kravet knyttet til å dokumentere kompetanse, trening og bevissthet er viktig for å sikre at øvrige personvernkrav etterleves av leverandøren og underleverandører i praksis.
Competence, training and awareness
#KravNorsk kommentar
B.DP.3If the Supplier processes Personal Data on behalf of the Customer as a data processor, the Customer and the Supplier are obliged to enter into Data Processing Agreement (DPA) in accordance with GDPR art. 28 and any sector-specific data protection legislation that is relevant to the Customer's activities. A full and final Data Processing Agreement shall be signed and binding by the Customer and the Supplier prior to processing of Personal Data.
The Parties may use the Supplier’s standard Data Processing Agreement, provided that it fulfils the requirements of GDPR art. 28 and is not in conflict with any provisions of the Contract.
Dersom leverandøren behandler personopplysninger på vegne av kunden er det påkrevet med databehandleravtale iht. GDPR art. 28.
Med hensyn til valg av databehandleravtale kan kunden f.eks. legge opp til bruk av en standard databehandlermal, f.eks. EU-kommisjonens mal for databehandleravtale C(2021) 3701 final, eller DFØ databehandlermal med bilag.
Dersom personopplysninger vil overføres til leverandør utenfor EØS, kan det være aktuelt å benytte EU-kommisjons standardvilkår for overføring til tredjeland , EU SCC modul 2 (controller- processor), som inneholder både databehandlerbestemmelser og overføringsgrunnlag.

I enkelte tilfeller kan det være at leverandøren insisterer på å benytte sin standard databehandleravtale. Av den grunn er kravet formulert slik at dette er akseptabelt såfremt leverandørens standard databehandleravtale ikke er i konflikt med øvrige krav under kontrakten. Kunden må i slike tilfeller gjennomgå kontrakten og verifisere at den er i tråd med GDPR art. 28, ikke i konflikt med kontrakten ellers og at den for øvrig ivaretar kundens behov mht. vern av personopplysninger.

Uavhengig av om oppdragsgiver bruker sin egen databehandleravtale eller åpner for bruk av leverandørens databehandleravtale bør databehandleravtalen være en del av leverandørens tilbud og kontraktsforhandlingene. Innholdet i databehandleravtalen bør så langt det er mulig være endelig avklart før tjenestekontrakten inngås.
Data processing agreement (DPA)
#KravNorsk kommentar
B.DP.4If the Supplier processes Personal Data on behalf of the Customer as a data processor, the Supplier shall process Personal Data only on documented instructions from the Customer, unless required to do so by applicable EU/EEA or Member State law to which the Supplier is subject. The Customer's instructions shall be specified in the Data Processing Agreement or the Contract.
The Supplier shall not process Personal Data for any other purposes (including its own purposes) other than those set out in the Contract, the Data Processing Agreement or subsequent documented instructions from the Customer. The Supplier shall not process Personal Data to a greater extent than necessary to fulfil the aforementioned purposes. The Supplier may not determine what kind of processing they are authorised to do.
The Supplier shall only process and store Personal Data about the Customer's administrators and end-users, including the Customer's use of the Services, when and to the extent such processing is necessary to perform the Supplier’s obligations under the Contract. The Supplier shall upon request from the Customer document how only required Personal Data about such users is registered, stored and processed.
If the Supplier determines the purposes and means for certain processing activities related to the delivery of the Services under the Contract, the Supplier will be regarded as a data controller for those processing activities. In such cases, the Supplier shall identify the relevant processing activities and specify the legal basis for each processing activity
I tilfeller der leverandøren opptrer som databehandler, er det et krav etter GDPR art. 28 nr. 3 a. og nr. 10 at leverandøren kun behandler personopplysninger iht. kundens instrukser, og at leverandøren ikke behandler personopplysninger for egne formål.

Dersom leverandøren behandler personopplysninger for egne formål, dvs. som behandlingsansvarlig, skal leverandøren angi hvilke behandlingsaktiviteter dette gjelder og det rettslige grunnlaget. Det er ikke uvanlig at leverandører behandler personopplysninger for egne formål, f.eks. for å gi kundens ressurser tilgang til løsningen, for fakturering og kundeoppfølging mv. Mange formål kan være berettigede og ukontroversielle. Det kan imidlertid være formål som ikke er akseptable fra kundens perspektiv, eller som det er viktig å være oppmerksom på slik at partene kan få på plass tiltak for å begrense personvernrisikoen (f.eks. anonymisering, avtaleregulering mv.
Customer´s instructions and the role of the parties
#KravNorsk kommentar
B.DP.5The Supplier shall implement and maintain a management system and/or internal control system for the processing of Personal Data in accordance with applicable data protection legislation and industry best practice, e.g. by adherence to approved codes of conduct or approved certification mechanisms as referred to in GDPR arts. 40 and 42. The internal control system shall be reviewed and updated regularly.
The Supplier shall have a data protection officer when required according to GDPR art. 37.
The Supplier shall upon request document the following: a) how data protection is organised, managed and controlled in its business and supply chain, including clearly defined roles and responsibilities; b) how Personal Data is processed in the Services, including the systems used, data flows and subcontractors processing, including what and why they process Personal Data; and c) the roles and responsibilities under applicable data protection legislation, including between the Customer, the Supplier and, where applicable, the Suppliers’ subcontractors.
Kravet gjelder at leverandøren skal ha på plass styringssystem og/eller internkontroll for behandling av personopplysninger. Det kan være viktig for kunden å få dokumentert at leverandøren har dette på plass for å kunne påse at kunden velger en leverandør som «gir tilstrekkelige garantier for at de vil gjennomføre egnede tekniske og organisatoriske tiltak som sikrer at behandlingen oppfyller kravene i denne forordning», jf. GDPR art. 28 nr. 1. Leverandøren må ha på plass et personvernombud når dette er påkrevet iht. GDPR art. 37. Det tredje avsnittet stiller krav til at leverandøren på forespørsel redegjør for hvordan personvernarbeidet er organisert, styrt og kontrollert i egen virksomhet og mht. underleverandører. Det kan særlig være sentralt å få avklart hvilke roller og ansvar leverandøren og underleverandørene har i forbindelse med levering av tjenestene.
Personal Data controls and measures
#KravNorsk kommentar
B.DP.6The Supplier shall collaborate with the Customer to ensure the protection and compliance of processing of Personal Data. The Supplier shall notify the Customer immediately if it considers that any of the Customer’s documented instructions infringe applicable data protection legislation. The Supplier shall provide all reasonable assistance to the Customer to enable the Customer to comply with applicable data protection legislation. This includes, but is not limited to upon request: a) provide the Customer with an assessment of the necessity and proportionality of the processing operations in relation to the Services; b) assist the Customer with an assessment of the risks to the rights and freedoms of Data Subjects, including, but not limited to Transfer Impact Assessment (TIA) and/or Data Protection Impact Assessment (DPIA) where applicable; and c) provide the Customer with information on measures envisaged to address the risks, including safeguards, security measures, and mechanisms to ensure the protection of Personal Data.

The Supplier shall notify the Customer without undue delay where: a) the Supplier becomes aware of an incident resulting in loss of the Customer’s Personal Data, or an incident leading to the accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to, Customer’s Personal Data transmitted, stored or otherwise processed; b) receiving any communication from the Norwegian Data Protection Authority (“Datatilsynet”) or any other regulatory authority in connection with Personal Data processed under the Contract.

The Supplier shall notify the Customer as soon as possible if it receives: a) a request made by, or on behalf of, a data subject in accordance with rights granted pursuant to the GDPR chapter III (e.g. a access request or to rectify, block or erase any Personal Data); b) a request from any third party for disclosure of Personal Data where compliance with such request is required or purported to be required by law; or c) any other request, complaint or communication relating to either Party’s obligations under the Data Protection Legislation.
Kravet oppstiller plikt for leverandøren til å samarbeide med og bistå kunden mht. å sikre etterlevelse av gjeldende personvernlovgivning. Plikten for leverandøren til å varsle dersom den mener en instruks er i strid med gjeldende personvernlovgivning er basert på GDPR art. 28 nr. 3 andre ledd.

Andre avsnitt angir viktige bistandsplikter for leverandøren som skal gjøre kunden i stand til å etterleve gjeldende personvernlovgivning. Flere av pliktene bør sees i sammenheng med særlige krav knyttet til bl.a. overføring av personopplysninger og krav til informasjonssikkerhet.

Tredje avsnitt angir krav til at leverandøren bl.a. skal varsle kunden om brudd på personopplysningssikkerhet (se GDPR art. 28 nr. 3 f. og art. 33 nr. 2) eller ved henvendelse fra Datatilsynet eller andre tilsynsmyndigheter. Disse kravene er relevante uavhengig av om leverandøren er behandlingsansvarlig eller databehandler.

Fjerde avsnitt angir at leverandøren skal varsle om henvendelser fra registrerte mht. rettigheter etter GDPR kap. III, om henvendelser fra tredjepart om utlevering av personopplysninger eller andre forespørsler, klager eller kommunikasjon som knytter seg til partenes under gjeldende personvernlovgivning.
Collaboration regarding Personal Data
#KravNorsk kommentar
B.DP.7The Supplier shall upon request provide or make available to the Customer a detailed description of the processing activities carried out by the Supplier and any of its data processors or sub-processor(s), and the purpose of the processing. This description shall include at a minimum: a) the specific processing activities in which the Supplier and data processor or sub-processor will be involved, including which Service(s) that contain Personal Data the data processor or sub-processor will have access to; b) the circumstances under which the data processor or sub-processor will have access to Personal Data for each of the processing activities, including whether access is continuous or only granted periodically or upon the Supplier's instructions; and c) the categories of Personal Data that is processed by the Supplier and data processor or sub-processor for each of the processing activities.Kravet gjelder at leverandøren beskriver behandlingsaktivitetene vedr. behandling av personopplysninger under kontrakten. Kravet er viktig for at kunden skal forstå hvordan personopplysninger blir behandlet av leverandøren og ev. underleverandører. Informasjonen kan være nødvendig for å gjøre kunden i stand til å vurdere lovligheten av behandlingen og hva som kreves av kontraktuelle, tekniske og organisatoriske tiltak.
Description of processing activities by Supplier and its data processors and/or sub-processors
#KravNorsk kommentar
B.DP.8The Supplier shall provide the Services in accordance with data protection by design and by default principles throughout the lifecycle of the service, in accordance with GDPR art. 25.Kravet gjelder GDPR art. 25 om innebygd personvern og personvern som standardinnstilling. Kunden bør vurdere om det i forbindelse med den enkelte anskaffelse er behov for å stille mer konkrete krav, f.eks. knyttet til dataminimalitet (anonymisering, pseudonymisering), tilgangsstyring, funksjonalitet for informasjon og/eller samtykke, registrertes rettigheter (f.eks. innsyn, retting og sletting) for effektiv gjennomføring av prinsippene for vern av personopplysninger. Merk at det i Nasjonal digitaliseringsstrategi 2024-2030 er uttalt at Regjeringen vil stimulere til utvikling og bruk av personvernvennlige teknologi gjennom å kreve personvernvennlige løsninger i offentlig sektor.
Data protection by design and default
#KravNorsk kommentar
B.DP.9The Supplier shall have solutions that enables the Customer to, in an efficient manner, fulfil the natural persons’ rights according to GDPR, including rights to access, to be informed, to rectification, to restriction, erasure, and data portability.Kravet stiller krav til at leverandøren har løsninger som gjør det mulig for kunden å sikre etterlevelse av registrertes rettigheter (GDPR kap. III). Kravet bør sees i sammenheng med ev. mer konkrete funksjonelle krav knyttet til registrertes rettigheter og krav knyttet til innebygd personvern og personvern som standardinnstilling.
Data Subject’s rights
#KravNorsk kommentar
B.DP.10If the Supplier acts as data processor, the Supplier's general or specific authorisation to engage sub-processors shall be specified in the Data Processing Agreement. A general authorisation in the Data Processing Agreement only applies to sub-processors in the EEA. The Supplier shall not engage sub-processors outside the EEA without the Customer's prior specific authorisation unless otherwise is specifically and explicitly agreed in the Contract.
The Supplier shall upon request document the controls, processes, and frameworks, including risk assessments used to assess, approve, evaluate and follow up sub-processors from a data protection perspective.
The Supplier shall upon request document data protection compliance of sub-processors.
Kravet gjelder i tilfeller der leverandøren opptrer som databehandler og regulerer leverandørens adgang til å benytte underdatabehandlere, jf. GDPR art. 28 nr. 2. Det er lagt opp til generell tillatelse til at leverandøren kan engasjere underdatabehandlere innenfor EØS. Nærmere krav til varsling om endringer og kundens rett til å motsette seg nye underdatabehandlere er angitt i DP.11. Når det gjelder engasjering av underdatabehandlere utenfor EØS, er det angitt krav til forhåndsgodkjennelse, med mindre annet er spesifikt og eksplisitt angitt i kontrakten. Kunden bør i den enkelte anskaffelse vurdere hva som er hensiktsmessig mht. særlig eller generell tillatelse for bruk av underdatabehandlere og om det ev. skal skilles mellom underdatabehandlere i og utenfor EØS.

Andre avsnitt gjelder at leverandøren på forespørsel skal dokumentere kontrolltiltak, prosesser og rammeverk for å vurdere og følge opp underdatabehandlere. Dette er viktig for å kunden skal kunne påse at bruk av underdatabehandlere er lovlig og forsvarlig.

Tredje avsnitt omhandler at leverandøren på forespørsel skal dokumentere underdatabehandleres etterlevelse av relevante krav iht. avtale mellom leverandør og underdatabehandler mht. behandling av personopplysninger på vegne av kunden.
Authorisation to engage sub-processors
#KravNorsk kommentar
B.DP.11If the Supplier, when acting as data processor, has a general authorisation from the Customer for the engagement of sub-processors, the Supplier shall notify the Customer in writing of any new sub-processors minimum 45 -forty-five- days prior to the engagement of such sub-processor.
The Customer shall have the right to object to the engagement of new sub-processors in accordance with the Data Processing Agreement, EU SCC and GDPR art. 28. If the Customer does not object within 15 -fifteen- days, the sub-processor is deemed approved. If the Customer objects to the engagement of a new sub-processor, the following procedure shall be followed: a) The Supplier shall provide a written explanation as to why the processing of Personal Data by the sub-processor is in accordance with applicable laws, and how the use of the sub-processor will ensure compliance with applicable obligations under the Contract and applicable legislation. In addition, the Supplier shall address any objections raised by the Customer regarding the engagement of the sub-processor; b) If the Customer still objects to the engagement of the new sub-processor, the Supplier shall use its best efforts to provide the Services without engaging the objected sub-processor, while ensuring that an equivalent level of information security is maintained; c) If the Supplier cannot provide the Services without engaging the objected sub-processor, then Customer shall have the right to terminate the Contract, or relevant Services under the Contract, with immediate effect without any liability
Kravet gjelder i tilfeller hvor leverandøren opptrer som databehandler og det er avtalt at leverandøren har en generell tillatelse til å engasjere underdatabehandlere (se DP.10 over og GDPR art. 28 nr. 2). Kravet angir frist på minimum 45 for leverandøren til å varsle om endringer vedr. bruk av underdatabehandlere og frist på 15 dager for kunden til å ev. motsette seg slike endringer. Fristene bør vurderes konkret for den enkelte anskaffelse, bl.a. i lys av tiden kunden vil trenge for å gjøre nødvendige vurderinger, involvere relevante miljøer/virksomheter som mottar tjenester mv.

Kravet gir anvisning på prosess for avklaring i tilfeller der kunden motsetter seg endringer mht. underdatabehandler. Hva som er hensiktsmessig prosess bør vurderes konkret for den enkelte anskaffelse.
New sub-processors
#KravNorsk kommentar
B.DP.12If the Supplier, when acting as a data processor, engages a sub-processor for carrying out specific processing activities on behalf of the Customer, it shall do so by way of contract which imposes in substance the same data protections obligations as the ones imposed on the Supplier under the Data Processing Agreement.
At the Customer’s request, the Supplier shall provide a copy of such sub-processor agreement and any subsequent amendments to the Customer. To the extent necessary to protect business secret or other confidential information, including Personal Data, the Supplier may redact the text of the agreement prior to sharing the copy
The Supplier shall remain fully responsible to the Customer for the performance of the sub-processor’s obligations in accordance with its contract with the sub-processor. The Supplier shall notify the Customer of any failure by the sub-processor to fulfil its contractual obligations.
Kravet gjelder i tilfeller der leverandøren opptrer som databehandler og den engasjerer en underdatabehandler. I den slike tilfeller skal leverandøren inngå underdatabehandleravtale med underdatabehandleren som materielt sett pålegger underdatabehandleren de samme kravene som gjelder for leverandøren iht. databehandleravtalen. Kravet gjennomfører GDPR art. 28 nr. 4.

Andre avsnitt pålegger leverandøren på forespørsel å legge frem kopi av underdatabehandleravtale med underdatabehandlere. Kravet er viktig for at kunden skal kunne verifisere etterlevelse.

Tredje avsnitt angir prinsippet som følger av GDPR art. 28 nr. 4 om at leverandøren er fullt ut ansvarlig for sine underdatabehandlere. Det er i tillegg foreslått et spesifikt krav om leverandøren skal varsle kunden dersom en av underdatabehandlerne ikke er i stand til å etterleve sine forpliktelser. Leverandøren er i alle tilfeller ansvarlig overfor kunden for manglende oppfyllelse av en av sine underdatabehandlere.
Engagement of sub-processors
#KravNorsk kommentar
B.DP.13Personal Data shall not be transferred outside EU/EEA unless explicitly agreed with the Customer in the Agreement or the Data Processing Agreement, if relevant, and in accordance with the procedures set out in this clause.
Any transfer of Personal Data to countries outside the EU/EEA ("Third Country") shall be in accordance with GDPR chapter V (Transfers of personal data to third countries or international organisation), prior to such transfer. Transfer includes, but is not limited to: a) processing of Personal Data in data centres, etc. located in a Third Country; b) processing of Personal Data by another data processor or sub-processor in a Third Country (e.g. by remote access to Personal Data stored in EU/EEA); or c) disclosing Personal Data to a data controller or data processor (including international organisations) in a Third Country.
Kravet angir at personopplysninger ikke skal overføres ut av EØS-området med mindre dette er skriftlig avtalt i kontrakten eller databehandleravtalen (hvis relevant). Dersom overføring er avtalt, skal dette skje i samsvar med kravene i avsnitt 2. Avsnitt 2 stiller krav til at overføring skal skje i samsvar med GDPR kap. V. Bestemmelsen presiserer hva som menes med overføring av personopplysninger. Det er viktig å merke seg at også lagring av personopplysninger i EØS, men med tilgang for leverandøren eller underdatabehandlere utenfor EØS er å anse som overføring. Dersom det er tvil om et tilfelle vil anses som overføring av personopplysninger som krever overføringsgrunnlag iht. GDPR kap. V, kan det være viktig å vurdere dette i lys av Personvernrådets veiledning for hva som anses som overføring. Se EDPB “Guidelines 05/2021 on the Interplay between the application of Article 3 and the provisions on international transfers as per Chapter V of the GDPR”, v.2, 14. februar 2023, hvor det oppstilles tre vilkår for at det skal foreligge en overføring av personopplysninger:

“1) A controller or a processor (“exporter”) is subject to the GDPR for the given processing.
2) The exporter discloses by transmission or otherwise makes personal data, subject to this processing, available to another controller, joint controller or processor (“importer”).
3) The importer is in a third country, irrespective of whether or not this importer is subject to the GDPR for the given processing in accordance with Article 3, or is an international organisation.”
Locations and transfer of data
#KravNorsk kommentar
B.DP.14The Supplier shall on the Customer’s request describe any transfers of Personal Data out of the EU/EEA that will be necessary for the performance of the Contract.
The description shall at least include:
A description of all transfers made by the Supplier, including the Supplier's processors or sub-processors
The legal basis for transfer in accordance with GDPR chapter V. If the transfer is based on EU Standard Contractual Clauses for transfers to Third Countries (EU SCC), specify the data exporter and the data importer, the relevant EU SCC module, and provide information on any onward transfers
Full formal business name, address and organization number of all data importers outside the EU/EEA
Whether the Personal Data is transferred to and stored in the Third Country, or whether the transfer concerns remote access or other access to personal data stored in the EU/EEA
The purpose of the transfers
The categories of personal data being transferred
How often transfers will take place
Kravet angir at leverandøren på forespørsel fra kunden skal beskrive overføringene. Det er foreslått at leverandøren skal gi meget detaljert redegjørelse for å gjøre kunden i stand til å vurdere hvorvidt det foreligger overføring av personopplysninger, for å vurdere om det foreligger overføringsgrunnlag og for å vurdere behovet for å gjennomføre eller faktisk gjennomføre vurderinger av om overføringsgrunnlagene (f.eks. EU SCC eller BCR) gir tilstrekkelig vern (Schrems II-vurdering/transfer impact assessment).
Description of transfers to Third Countries
#KravNorsk kommentar
B.DP.15If any transfer of Personal Data is based on EU SCC or Binding Corporate Rules (BCR), the Supplier shall on the Customer’s request provide a documented assessment of Third Country legislation and practices affecting the processing of Personal Data in the delivery, as well as the circumstances of the transfer, and additional measures (technical, organizational and contractual) taken by the Supplier, including its processors and sub-processors. The documented assessment shall at least contain what is required under Clause 14 (b) of the EU SCC, including documented experiences related to the disclosure of Personal Data to Third Country authorities.Dersom overføringer skjer på bakgrunn av EU-standardavtaler for overføring (EU SCC) eller BCR skal leverandøren på forespørsel fremlegge dokumentert vurdering av at overføringsgrunnlagene gir tilstrekkelig vern (Schrems II-vurdering/transfer impact assessment). Det vises i denne forbindelse til kravet til slik vurdering iht. EU SCC Clause 14 (b). Kunden bør kunne kreve fremlagt tilsvarende vurdering dersom leverandøren benytter BCR som overføringsgrunnlag.
Documented assessment of transfer based on EU SCC and BCR (transfer impact assessment)
#KravNorsk kommentar
B.DP.16The Supplier shall document and notify the Customer immediately if it has reason to believe that the laws and practices in a Third Country applicable to the processing of the Personal Data, including any requirements to disclose Personal Data or measures authorising access by public authorities, prevent the Supplier, or its data processor or sub-processors, from fulfilling its obligations under the Contract.Leverandøren skal dokumentere og varsle kunden umiddelbart hvis den har grunn til å tro at regler og praksis i et tredjeland som kommer til anvendelse på behandlingen av personopplysningene hindrer leverandøren fra å etterleve sine forpliktelser. Kravet vil være relevant både der leverandøren opptrer som behandlingsansvarlig og databehandler, så lenge dette gjelder personopplysninger som behandles for kunden under kontrakten. Kravet er inspirert av EU SCC Clause 14 (dersom overføring er basert på EU SCC vil naturligvis Clause 14 og alle bestemmelser i EU SCC gjelde full ut).
Data monitoring laws
#KravNorsk kommentar
B.DP.17Following termination of the Contract, the Supplier shall, at the choice of the Customer, delete all Personal Data processed on behalf of the Customer and certify to the Customer that it has done so, or, return all the Personal Data to the Customer and delete existing copies unless mandatory laws in the EU/EEA requires storage of the Personal Data. Until the data is deleted or returned, the Supplier, including its processor or sub-processors, shall continue to ensure compliance with the data protection and security requirements under the Contract.Ved opphør av Kontrakten skal leverandøren, etter kundens valg, slette alle personopplysninger som er behandlet på vegne av kunden og bekrefte overfor Kunden at dette er gjort, eller returnere alle personopplysningene til Kunden og slette eksisterende kopier, med mindre ufravikelig lovgivning i EU/EØS krever lagring av personopplysningene. Inntil opplysningene er slettet eller returnert, skal Leverandøren, inkludert dennes databehandler eller underdatabehandlere, fortsette å sikre overholdelse av kravene til personvern og sikkerhet i henhold til Kontrakten. Kravet vil være påkrevet iht. GDPR art 28 nr. 3 g. i tilfeller der leverandøren opptrer som databehandler.

Kravet vil kunne være relevant også i tilfeller der leverandøren opptrer som behandlingsansvarlig, men det bør vurderes om det er enkelte personopplysninger som leverandøren kan fortsette å behandle etter opphør av kontrakten, forutsatt at behandlingen skjer i samsvar med gjeldende personvernlovgivning og den er akseptabel fra kundens perspektiv.
Termination

Tilleggskrav

For effektivt å håndtere cybersikkerhetsrisiko er norsk offentlig sektor ikke bare avhengig av informasjonssikkerheten til leverandørens egen sikkerhet i skyen ("security of the cloud"), men også norske virksomheters bruk av tjenesten, inkludert sikker konfigurasjon, implementering og vedlikehold ("security in the cloud").

Dette kapittelet inneholder et sett med valgfrie krav til informasjonssikkerhet som er ment å støtte norsk offentlig sektor med "sikkerhet i skyen", støttet av leverandørens referansearkitektur, spesifikke nasjonale juridiske og regulatoriske krav, samt andre sikkerhetsrelaterte tjenester.

Kapittelet er en samling av identifiserte valgfrie skykrav og er ikke nødvendigvis ment å brukes i sin helhet. Det anbefales at kun krav som er relevante for det aktuelle behovet inkluderes i anskaffelses- og/eller kontraktsdokumenter.

#KravNorsk kommentar
C.1The Supplier is requested to document its security architecture(s) and how it can be applied by the Customer. The security architecture should be aligned with industry best practice security architecture concepts, such as zero trust and defendable/defensible security architecture and established cyber security frameworks, such as NIST Cybersecurity framework v2.0 or equivalent.Å dokumentere leverandørens sikkerhetsarkitektur er viktig fordi det gir en tydelig oversikt over hvordan sikkerheten er designet og implementert i tjenestene.

Ved å innrette sikkerhetsarkitekturen med bransjens beste praksis, som "zero trust" og forsvarbar sikkerhetsarkitektur, samt etablerte cybersikkerhetsrammeverk som NIST Cybersecurity Framework v2.0, sikrer leverandøren at sikkerhetstiltakene er robuste, moderne, og i samsvar med internasjonale standarder.

Dette bidrar til å beskytte mot cybertrusler, sikrer samsvar med regulatoriske krav, og bygger tillit hos kunder og brukere.
Security Architecture
#KravNorsk kommentar
C.2The Supplier should enable secure configuration, deployment, and operation of the cloud services in an automated fashion with the purpose of reducing security risks from an end-to-end perspective. If applicable, propose relevant landing zones for the Service in scope.Automatisering bidrar til å eliminere menneskelige feil, sikrer konsistens i sikkerhetsimplementeringer, og gjør det lettere å raskt tilpasse seg nye trusler og sårbarheter.

Ved å ta i bruk automatiserte prosesser for sikker drift, kan leverandøren bedre beskytte data og systemer, redusere responstid på sikkerhetshendelser, og sikre en mer pålitelig og sikker skyløsning for kundene.

Det er viktig at leverandøren muliggjør sikker konfigurasjon, distribusjon og drift av skytjenester på en automatisert måte for å redusere sikkerhetsrisikoer fra et helhetlig perspektiv.
Secure Cloud Adoption (“Security-in-the-cloud")
#Krav Norsk kommentar
C.3The Supplier should provide a security/ compliance/ trust portal or dashboard that provides access to relevant security policies and up-to-date access to Customer security and compliance information.Ved å ha tilgang til oppdaterte sikkerhetspolicyer og sanntidsinformasjon om sikkerhet og samsvar, kan kunder bedre forstå og overvåke monitorere sikkerhetstiltakene som beskytter deres data.

Dette øker tilliten mellom leverandøren og kundene, sikrer transparens, og hjelper kundene med å oppfylle sine egne regulatoriske krav og sikkerhetsmål.

Dette er viktig fordi en sikkerhets-/overholdelses-/tillitsportal eller et dashboard gir kunder enkel og rask tilgang til relevant informasjon om sikkerhet og samsvar med gjeldende regulatoriske krav.
Governance and Compliance Dashboard
#Krav Norsk kommentar
C.4The Supplier should provide a compliance matrix for the Service(s) to document compliance to common international legal frameworks and security standards/ frameworks, such as NIS2, GDPR, ISO 27001/2, ISO 27017, NIST CSF, HIPAA, CSA-CCM, FedRamp, and C5.En samsvarsmatrise gir en klar og strukturert oversikt over hvordan leverandøren oppfyller kravene i internasjonale sikkerhetsrammeverk som ISO27001/2, ISO27017, ISO27701, NIST CSF, HIPAA, CSA, FedRamp og C5.

Ved å dokumentere samsvar på denne måten kan leverandøren demonstrere sitt engasjement for å følge globale sikkerhetsstandarder, noe som gir kundene trygghet og tillit. En slik matrise gjør det også enklere for kundene å vurdere og verifisere leverandørens sikkerhetspraksis, samt sikre at lovpålagte og regulatoriske krav blir møtt.
Governance and Compliance Matrix – International Standards and Frameworks
#Krav Norsk kommentar
C.5The Supplier should provide a compliance matrix for the Service(s) to document compliance with national security laws/ regulations and security frameworks, such as “lov om digital sikkerhet“, “NSM Grunnprinsipper for IKT-sikkerhet”, and “Normen”.Å dokumentere samsvar med nasjonale sikkerhetsrammeverk som "NSM Grunnprinsipper for IKT-sikkerhet" og "Normen" er avgjørende for å sikre at leverandøren oppfyller norske sikkerhetskrav.

Dette gir en nødvendig trygghet til norske kunder, både offentlige og private, om at tjenestene de bruker er i samsvar med lokale regler og forskrifter.

En samsvarsmatrise gjør det dessuten enklere for kundene å evaluere leverandørens sikkerhetspraksis, noe som er kritisk for å sikre regulatorisk samsvar og opprettholde robust sikkerhet i henhold til nasjonale standarder.
Governance and Compliance Matrix – National Standards and Frameworks
#Krav Norsk kommentar
C.6The Supplier should enable end-to-end security in multi-cloud and hybrid cloud environments, for example:
• Extending security tools / services to other cloud services (SaaS/PaaS/IaaS).
• Integrating security tools / services with the security tools / services of other cloud services. 
Å sikre ende-til-ende sikkerhet i multi-cloud og hybrid cloud-miljøer er viktig fordi det gir en helhetlig beskyttelse på tvers av ulike skyplattformer og tjenester.

Når leverandøren utvider sikkerhetsverktøy og tjenester til andre skytjenester (SaaS/PaaS/IaaS) og integrerer dem med sikkerhetsverktøyene til andre skyplattformer, oppnår man en mer sammenhengende og effektiv sikkerhetsstrategi.

Dette reduserer risikoen for sårbarheter som kan oppstå ved bruk av forskjellige skyleverandører, og sikrer at sikkerheten opprettholdes uavhengig av hvor dataene eller applikasjonene befinner seg. Det gir også organisasjoner fleksibiliteten til å bruke flere skyplattformer uten å gå på kompromiss med sikkerheten.
Security in multi-cloud and hybrid cloud environments 
#Krav Norsk kommentar
C.7The Supplier should provide mechanisms / services for encryption to enable effective encryption of Customer data at rest and in transit with customer-managed / customer-owned cryptographic keys.
The Supplier should document its roadmap to ensure that cryptographic algorithms used in the Service are quantum resistant, in accordance with, e.g., CNSA 2.0 ("Commercial National Security Algorithm Suite 2.0"), NIST standards for post-quantum cryptography, “NSMs veileder for kvantemigrering”, “NSMs kryptografiske anbefalinger (utkast 2024)”, or similar.
Describe how this is solved, including key encryption protocols, key management.
Sterk kryptering av kundedata både i ro og under overføring er essensielt for å beskytte sensitiv informasjon. Ved å tilby krypteringstjenester med kundeadministrerte nøkler, gir leverandøren kundene mulighet til kontroll over sikkerheten.

Leverandøren bør dokumentere utviklingsforløpet for å sikre at kryptografiske algoritmer som benyttes i tjenesten er «quantum resistant».

Bruk av kvantebestandige algoritmer, i tråd med CNSA 2.0 eller tilsvarende, sikrer fremtidig beskyttelse mot kvantetrusler. En tydelig beskrivelse av hvordan kryptering og nøkkelhåndtering er løst, gir kundene innsikt i sikkerhetsnivået og hjelper dem å sikre at det oppfyller deres krav.
Cryptography
#KravNorsk kommentar
C.8The Supplier shall provide the Customer with flexible and fine-grained mechanisms for identity and access management. This includes facilitating integration with the Customer's existing identity and access management systems, such as user directories.
The Supplier shall support relevant standards such as SAML 2.0, SCIM 2.0 or IETF RFC 7643 for cross-domain identity and access management.
Mekanismer for detaljert rollestyrt tilgangsstyring som støtter virksomhetens eksisterte systemer for identitet og tilgangskontroll vil være sentrale ved en anskaffelse.

Leverandøren bør støtte de mest relevante bransje-standardene som SAML 2.0, SCIM 2.0 og IETF RFC 7643.
Flexible and fine-grained identity and access management – Customer Identity and Access Management
#Krav Norsk kommentar
C.9The Supplier should be able to meet legal and regulatory requirements related to personnel security, as mandated by laws and regulations, including:
National security clearance of personnel
Police certificate of personnel
The Supplier should describe how they can support such requirements at the time of implementation or subsequently based on regulatory changes.
Oppfyllelse av juridiske og regulatoriske krav knyttet til personellsikkerhet er avgjørende for å sikre at personell som har tilgang til sensitive data, oppfyller nødvendige sikkerhetsstandarder.

Krav som nasjonal sikkerhetsklarering og politiattest bidrar til å redusere risikoen for innsidehendelser og beskytter konfidensiell informasjon. Leverandørens evne til å støtte slike krav, både ved implementering og ved fremtidige regulatoriske endringer, er viktig for å opprettholde samsvar og sikkerhet i henhold til lovgivningen.

Dette sikrer også tillit hos kundene og tilrettelegger for at tjenestene kan brukes i strengt regulerte miljøer.
Legal and Regulatory - Personnel Security
#Krav Norsk kommentar
C.10The Supplier should be able to offer the Service, or a subset of the Service, from Norway. This includes using infrastructure and resources within Norway. The Supplier should also be able to limit the processing of Customer Data to Norway. This means no transfer of any Customer Data outside Norway, including for support services, except when obligated by law.Å tilby tjenester fra Norge, inkludert bruk av infrastruktur og ressurser innenfor landets grenser, er viktig for å sikre datasuverenitet og overholdelse av nasjonale lover og forskrifter.

Ved å begrense databehandling til Norge og unngå overføring av data utenfor landets grenser, reduseres risikoen for at data blir underlagt fremmede jurisdiksjoner eller utsatt for uønsket tilgang.

Dette er særlig kritisk for å beskytte sensitive og konfidensielle opplysninger, og gir norske kunder større kontroll og trygghet over sine data. Det bidrar også til å sikre at tjenestene oppfyller strenge krav til personvern og sikkerhet, og styrker tilliten mellom leverandøren og kundene.

Ettersom mange leverandører leverer sine tjenester globalt, vil krav om at tjenesten skal tilbys fra EU/EØS, eller fra Norge, i mange tilfelle begrense konkurransen, og det bør vurderes i hvert enkelt tilfelle om det er nødvendig. Et krav om at tjenesten skal tilbys fra Norge vil i tillegg normalt kreve en særskilt begrunnelse i virksomhetens behov, jf. EØS-avtalen og annen relevant lovgivning.
National Location
#Krav Norsk kommentar
C.11The Supplier should be able to offer the Service, or a subset of the Service, from EU/EEA. This includes using infrastructure and resources within EU/EEA. The Supplier should also be able to limit the processing of data to EU/EEA. This means no transfer of any data outside EU/EEA, including support services, except when obligated by law.Det kan være viktig at leverandøren tilbyr flere tjenester innenfor EU/EØS, inkludert bruk av infrastruktur og ressurser innenfor dette området, for å sikre samsvar med europeiske lover og personvernregler, spesielt GDPR.

Ved å begrense databehandlingen til EU/EØS unngår man overføring av data til tredjeland med mindre det er lovpålagt, noe som reduserer risikoen for at data blir utsatt for utenlandske lover og sikkerhetsutfordringer. Dette gir kunder i EU/EØS økt beskyttelse av deres personopplysninger, samt trygghet for at dataene håndteres i samsvar med strenge europeiske standarder for personvern og sikkerhet. Dette styrker også tilliten til leverandøren og sikrer at tjenester oppfyller regulatoriske krav på tvers av EU/EØS.

Ettersom mange leverandører leverer sine tjenester globalt, vil krav om at tjenesten skal tilbys fra EU/EØS i mange tilfelle begrense konkurransen, og det bør vurderes i hvert enkelt tilfelle om det er nødvendig og har tilstrekkelig begrunnelse, jf. WTO m.m.
EU/EEA Location
#Krav Norsk kommentar
C.12The Supplier should be able to provide training and awareness services. Describe how the Supplier can provide services and programs for training and awareness to enable secure cloud adoption for the Customer and for strengthening the security culture in the Customer’s organization.Å tilby tjenester og programmer for opplæring og bevisstgjøring er viktig fordi det hjelper kunden med å ta i bruk skytjenester på en sikker måte. Sikkerhetsopplæring styrker organisasjonens evne til å identifisere, reagere på og forebygge sikkerhetstrusler, noe som reduserer risikoen for sikkerhetsbrudd.

Ved å bygge en sterk sikkerhetskultur internt, blir ansatte bedre rustet til å følge sikkerhetsprosedyrer og beste praksis, noe som sikrer en tryggere og mer robust skymiljø for organisasjonen. Dette bidrar til å beskytte sensitive data og opprettholde tillit både internt og eksternt.
Training and Awareness
# Krav Norsk kommentar
C.13The Supplier should be able to provide professional services. Describe how the Supplier can provide implementation services to support a secure cloud implementation in compliance with the proposed security reference architecture.Leverandøren bes her om å tilby støtte til implementering og forvaltning av tjenesten på en sikker måte.  Dette er viktig og utfordrer leverandøren til å levere en sikker tjeneste som i størst mulig grad ivaretar kundens behov ved bruk av skytjenesten («security in the cloud»).
Professional Services

Referanser

AbbreviationTitleSource
C5BSI Cloud Computing Compliance Criteria Cataloguehttps://www.bsi.bund.de/EN/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Empfehlungen-nach-Angriffszielen/Cloud-Computing/Kriterienkatalog-C5/kriterienkatalog-c5_node.html
CISCIS Critical Security Controls v8.1https://www.cisecurity.org/controls
CNSA 2.0Commercial National Security Algorithm Suite 2.0https://media.defense.gov/2022/Sep/07/2003071836/-1/-1/0/CSI_CNSA_2.0_FAQ_.PDF
CSA-CCMCloud Security Alliance Cloud Controls Matrix Version 4https://cloudsecurityalliance.org/research/cloud-controls-matrix
CVECommon Vulnerabilities and Exposureshttps://www.cve.org/
CVSSCommon Vulnerability Scoring System (CVSS) v4.0https://www.first.org/cvss/
CWE Top 25CWE Top 25 Most Dangerous Software Weaknesseshttps://cwe.mitre.org/top25/
FedRampUS Federal Risk and Authorization Management Programhttps://www.fedramp.gov/
GAPPGenerally accepted privacy principles (2009). See PMF – Privacy Management Framework for updated version.https://us.aicpa.org/interestareas/informationtechnology/privacy-management-framework
GDPRGeneral Data Protection Regulationhttps://eur-lex.europa.eu/eli/reg/2016/679/oj
HIPAAHealth Insurance Portability and Accountability Acthttps://www.hhs.gov/hipaa/index.html
IETF RFC 7643IETF RFC 7643 System for Cross-domain Identity Management: Core Schema


https://datatracker.ietf.org/doc/html/rfc7643
ISO 22123ISO/IEC 22123-1:2023 Information Technology – Cloud Computinghttps://www.iso.org/standard/82758.html[SB1] 
ISO 22313ISO 22313:2020Security and resilience — Business continuity management systems — Guidance on the use of ISO 22301https://www.iso.org/standard/75107.html
ISO 27001ISO/IEC 27001:2022 Information security, cybersecurity and privacy protection — Information security management systems — Requirementshttps://www.iso.org/standard/27001
ISO 27002ISO/IEC 27002:2022 Information security, cybersecurity and privacy protection — Information security controlshttps://www.iso.org/standard/75652.html
ISO 27017ISO/IEC 27017:2015Information technology — Security techniques — Code of practice for information security controls based on ISO/IEC 27002 for cloud serviceshttps://www.iso.org/standard/43757.html
ISO 27018ISO/IEC 27018:2019 Information technology — Security techniques — Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processorshttps://www.iso.org/standard/76559.html
ISO 27701ISO/IEC 27701:2019Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines  https://www.iso.org/standard/71670.html
NSM GrunnprinsipperNSM Grunnprinsipper for IKT-sikkerhet 2.1https://nsm.no/regelverk-og-hjelp/rad-og-anbefalinger/grunnprinsipper-for-ikt-sikkerhet/ta-i-bruk-grunnprinsippene/
NSM kryptografiske anbefalingerNSM kryptografiske anbefalinger (utkast 2024)https://nsm.no/fagomrader/digital-sikkerhet/kryptosikkerhet/kryptografiske-anbefalinger/
NSM veileder kvantemigrasjonNSM veileder kvantemigrasjonhttps://nsm.no/fagomrader/digital-sikkerhet/kryptosikkerhet/kvantemigrasjon/kvantemigrasjon-veileder/kvantemigrasjon/
NIST CSF 2.0NIST Cyber Security Framework 2.0https://www.nist.gov/cyberframework
NIS2Network & Information Security Directivehttps://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX%3A32022L2555
NormenNormen – Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren versjon 6.0https://www.ehelse.no/normen/normen-for-informasjonssikkerhet-og-personvern-i-helse-og-omsorgssektoren
OWASP Top 10Open Worldwide Application Security Project Top 10 Web Application Security Riskshttps://owasp.org/www-project-top-ten/
OWASP ASVSOpen Worldwide Application Security Project Application Security Verification Standard (ASVS)  https://owasp.org/www-project-application-security-verification-standard/
PMFPrivacy Management Frameworkhttps://us.aicpa.org/interestareas/informationtechnology/privacy-management-framework
SabsaSabsa Enterprise Security Architecturehttps://sabsa.org/
SAML 2.0Security Assertion Markup Language 2.0https://www.oasis-open.org/standard/saml/
SCIM 2System for Cross-domain Identity Management 2.0  https://scim.cloud/
SOC2 Type 2American Institute of Certified Public Accountants (AICPA) SOC 2 Type II Reporthttps://www.aicpa-cima.com/resources/landing/system-and-organization-controls-soc-suite-of-services

Oppdatert: 12. desember 2024

Kontakt

Gi oss tilbakemelding!

Har du spørsmål eller tilbakemeldinger? Ta kontakt med oss!

E-post: markedsplassen [at] dfo.no (markedsplassen[at]dfo[dot]no)

Fant du det du lette etter?

Nei

Det beklager vi!

Tilbakemeldingen din er anonym og vil ikke bli besvart. Vi bruker den til å forbedre nettsidene. Hvis du vil ha svar fra oss, ta kontakt på telefon, e-post eller kundesenter på nett.