Tjenesteutsetting av IKT-tjenester til profesjonelle aktører kan gi bedre sikkerhet og mer stabile og tilgjengelige tjenester. Tilgang til ekspertkompetanse og verktøy man ikke selv besitter kan bedres, kostnader kan bli lavere og mer forutsigbare og det kan i større grad bidra til bedre fokus på virksomhetens kjerneaktivitet. Samtidig må virksomheter være bevisst hvilken risiko en tjenesteutsetting medfører. Tilsvarende eller høyere nivå på både tjenestekvalitet og IKT-sikkerhet bør være en målsetning ved tjenesteutsetting.

En tjenesteutsetting stiller store krav til egen virksomhet og krever annen kompetanse enn om tjenesten leveres av egen organisasjon. Før det foretas en strategisk beslutning om bruk av tjenesteutsetting, bør virksomheten vurdere om den er «rigget» for å håndtere alle faser i en tjenesteutsettingsprosess. Virksomheten må også kartlegge hvilke lover, krav og regler som gjelder både nasjonalt og internasjonalt. Eksempelvis gir både sikkerhetsloven og personopplysningsloven med forskrifter føringer ved tjenesteutsetting. Noen sektorer har også regulert hvilke muligheter virksomheten har til å tjenesteutsette. 

For å ivareta IKT-sikkerheten ved tjenesteutsetting, anbefaler NSM at virksomheten er bevisst behovet for:

  1. God bestillerkompetanse

  2. Oversikt og kontroll på hele livsløpet

  3. Gode risikovurderinger for å kunne ta riktig beslutning 

  4. Riktige og gode krav til IKT-tjenesten og til leverandør

  5. Riktig beslutning på riktig nivå