Sikkerhet i anskaffelser og verdikjeden
Vi støtter din virksomhet med å oppnå sikkerhet og kvalitet i anskaffelser og leverandørkjeder
«Vi er sårbare på flankene» – betydningen av leverandørkjedesikkerhet
Norske sikkerhetsmyndigheter advarer om at avhengigheter i verdikjedene tilsier at norske virksomheter «ikke er sikrere enn det svakeste ledd». Leverandører og underleverandørers ukjente og alvorlige sårbarheter kan ha direkte betydning for virksomhetenes sikkerhet. Dette krever at vi evner å oppdage og avverge sikkerhetstruende virksomhet også hos leverandørene våre. Når målet er å ramme en større virksomhet krever det mindre ressurser å angripe den på flankene gjennom en mindre sikker underleverandør eller enkeltpersoner, både i det fysiske og digitale rom.
Proactima kan hjelpe deg og din virksomhet med å øke sikkerheten både i anskaffelser og i verdikjeden gjennom tjenester som:
Landrisikoanalyser
IT-industrien er global og benytter underleverandører spredt over hele verden. Fra et sikkerhetsperspektiv, er det på bakgrunn av det rådende trusselbildet gode grunner til å vurdere hvilke land man anskaffer produkter og tjenester fra. Virksomheter som planlegger tjenesteutsetting, har derfor behov for å vurdere landrisiko for å sørge for at sikkerhetsnivået opprettholdes. NSM anbefaler gjennomføring av landrisikovurdering, og disse vurderingene har Proactima erfaring med å gjøre i anskaffelseskonkurranser for å øke robustheten i den tilbudte løsningen.
En landrisikovurdering vil ta utgangspunkt i den verdi eller kritikalitet det anskaffede produkt eller tjeneste har for virksomheten. Jo mer kritisk produktet eller tjenesten er eller vil bli for virksomheten, jo mer relevant er det med en landrisikovurdering før anskaffelse (og jo grundigere bør vurderingen være). I leverandørrelasjoner som pågår over tid, kan det også være relevant å gjennomføre landrisikovurdering underveis i avtaleforholdet, for slik å vurdere hvorvidt man bør avslutte eller endre leverandørrelasjonen eller om man bør iverksette tiltak for å redusere den risiko relasjonen utgjør for virksomheten.
Sikkerhetsgraderte anskaffelser
Sikkerhetsgraderte anskaffelser innebærer at leverandøren av varen eller tjenesten vil kunne få tilgang til skjermingsverdig informasjon eller objekt, eller det er andre årsaker til at anskaffelsen må sikkerhetsgraderes.
Proactima vil kunne bistå din virksomhet til å tilfredsstille myndighetenes forventning til slike anskaffelser. Vi har også ført tilsyn for anskaffelsesmyndigheter mot leverandørene.
Leverandørklarering
Ved en sikkerhetsgradert anskaffelse kan det være behov for at en leverandør og/eller en underleverandør blir leverandørklarert av NSM. En leverandørklarering vil si at NSM vurderer leverandørens sikkerhetsmessige skikkethet og evne til å behandle noe skjermingsverdig på en forsvarlig måte. En leverandør til en sikkerhetsgradert anskaffelse skal ha leverandørklarering når det er nødvendig for å oppnå et forsvarlig sikkerhetsnivå under anskaffelsen, jf. virksomhetssikkerhetsforskriften. Det reelle behovet og begrunnelsen for en klarering fra NSM følger av sikkerhetsloven, og det er kun oppdragsgiver i en sikkerhetsgradert anskaffelse som kan anmode om en leverandørklarering.
Proactima kan bistå dersom din virksomhet skal gjennom en klareringsprosess hos NSM. Dette innebærer å sikre at kravene til forsvarlig sikkerhetsnivå innfris, gjennom eksempelvis utarbeidelse eller kvalitetssikring av dokumentasjon på sikkerhetsstyring, utfylling av egenopplysninger, identifisering av tiltak og oppfølging av sikkerhetsarbeidet i virksomheten.
Leverandørrevisjoner
I Proactima har vi en unik kombinasjon av kompetanse og erfaring innen revisjoner, tilsyn og oppfølginger, og fagkompetanse innen sikring og security. Vi kan standarder og regelverk, og har betydelig erfaring med å følge opp kontraktskrav, systemkrav og sikkerhetsforskrifter. Proactima har vært en aktiv bidragsyter i arbeidet med å oppdatere ISO 19011 – retningslinjer for å revidere styringssystemer som blant annet de nye forskriftene til sikkerhetsloven viser til. Vi har utarbeidet og fulgt opp et stort antall sikringssystemer, gjennomført leverandørtilsyn og interne revisjoner, og kan tilby blant annet:
- En vurdering av tilstanden i virksomheten din med tanke på å oppfylle eksisterende og kommende krav til sikring
- Anbefalinger av tiltak for å oppfylle krav mest mulig effektivt
- Utarbeidelse av risikobaserte revisjonsprogrammer for interne revisjoner og/eller oppfølging av leverandører
- Gjennomføring av leverandørrevisjoner mot kontrakt og andre avtalte krav
- Gjennomføring av eller støtte til interne revisjoner
Kontaktperson
(+47) 977 91 952