Virksomhetene benytter tjenesteutsetting, inkludert skytjenester, som ett av virkemidlene for å holde følge med teknologiutviklingen og digitaliseringen. De aller fleste av skytjenestetilbyderne har ikke installasjoner på norsk jord og må derfor tilby sine tjenester fra utlandet. Dette innebærer en betydelig risiko.

Tjenesteutsetting og bruk av skytjenester kan imidlertid bidra til bedre sikkerhet som følge av at IKT-driften skjer i store, profesjonelle miljøer. Mange av utfordringene NSM ser knyttet til dårlig IKT-sikkerhet, skyldes små driftsmiljøer og mangel på kompetanse og ressurser. På denne bakgrunn anbefaler NSM at det etableres færre og større IKT-miljøer. Da kan tjenesteutsetting være én løsning.

Tjenesteutsetting innebærer imidlertid også utfordringer som virksomhetene må ta hensyn til. De viktigste utfordringene er at informasjon og funksjonalitet er basert på infrastruktur på fysiske lokasjoner langt unna, ofte i andre land (som beskrevet i kapittelet over); eierskapsstrukturer og uautorisert tilgang til informasjon kan være vanskelig å kontrollere; ved avtaleinngåelse benyttes standardkontrakter der tjenesteleverandørens premisser er styrende; virksomheten står i fare for å bli låst til én leverandør som følge av praktiske utfordringer ved å flytte informasjon og funksjonalitet til andre leverandører; det krever at virksomheten etablerer god bestillerkompetanse. Virksomheter som vurderer tjenesteutsetting, bør følge anbefalingene NSM gir i temaheftet Sikkerhetsfaglige anbefalinger ved tjenesteutsetting

NSMs temarapport Anbefaling om landvurdering ved tjenesteutsetting bør benyttes av virksomheter som vurderer leverandører av digitale tjenester fra andre land.

For å redusere risikoen ved tjenesteutsetting må virksomhetene sørge for ikke å bli låst til én leverandør. Virksomheten må unngå å bli låst til spesifikke produkter, leverandører eller skyer. NSM har utarbeidet en rekke IKT-tekniske sikkerhetsråd som virksomheter som har eller skal etablere skjermingsverdige informasjonssystemer bør følge.

NSM anbefaler at myndighetene stimulerer til etablering av skytjenester basert på infrastruktur i Norge. I tiden fremover vil det være viktig å etablere skytjenester med et forsvarlig sikkerhetsnivå for virksomheter som understøtter grunnleggende nasjonale funksjoner. Myndighetene må se på muligheter for sterkere nasjonal regulering av skytjenester og liknende tjenesteutsetting. Myndighetene må arbeide for bedre internasjonal regulering av slike tjenester.