I dette perspektivet må virksomheter som ønsker å sette ut en IKT-tjeneste, være oppmerksom på at tjenestene kan bli levert fra utlandet. Virksomheten bør derfor vurdere en rekke forhold relatert til vertsland og leverandør, da forholdene kan påvirke hvordan man til syvende og sist vurderer sikkerhet. Hvordan er den sikkerhetspolitiske situasjonen i vertslandet, nabolandene og i regionen?

Hva bør jeg vurdere?

Det er spesielt fire forhold som bør vurderes dersom en virksomhet ønsker å tjenesteutsette en IKT-tjeneste:

  1. Statlige styringsindikatorer:
    Kontrakten som inngås ved en tjenesteutsetting vil normalt ha en varighet over flere år. Det er derfor viktig å ha en indikasjon på hvordan landets styresett utøves og forvaltes med tanke på fremtidig utvikling. Det vil også gi en indikasjon på tilliten til rammebetingelsene en virksomhet i landet opererer under.

  2. Cybersikkerhetstilstanden i landet:

    Hva kan vi si om hvilke sikringsmekanismer vertslandet har etablert både organisatorisk og teknisk for å håndtere tilsiktede og utilsiktede hendelser? Som eksempel kan en stille spørsmålet om hvordan vertslandet vil håndtere et større cyberangrep mot en virksomhet, en sektor eller nasjonen.

  3. IKT-infrastruktur og kompetansen i landet:

    Dette skal gi en indikasjon på grad av utbygde nasjonale IKT-tjenester som er nødvendig for at landet kan tilby en tilstrekkelig stabil og robust IKT-infrastruktur. I tillegg er det nødvendig at landet kan vise tilstrekkelig tilgang på kompetanse innen IKT.

  4. Forretningsstabiliteten i landet:

    Her ønsker vi å gi en indikasjon på i hvor stor grad privat næringsliv i landet har råderett uten statlig innblanding og statlige føringer. Hvor «enkelt» er det å drive privat virksomhet i landet?

I sum vil disse temaene gi en indikasjon og overordnet vurdering av det enkelte land, men dette er bare en liten del av hva du må tenke på om du skal tjenesteutsette.

Les NSMs anbefalinger for landvurderinger ved tjenesteutsetting her.