Det er en økende trend at private og offentlige virksomheter velger å tjenesteutsette hele eller deler av sin IKTportefølje. Ifølge Statistisk sentralbyrå (SSB) har andelen norske virksomheter med ti eller flere ansatte som kjøper skytjenester, økt fra 40 til 48 prosent fra 2016 til 2017.

Tjenesteutsetting, inkludert skytjenester, er av de mest betydningsfulle trendene innen digitaliseringen av samfunnet. Digitalisering er en viktig faktor i samfunnsutviklingen for å sikre nødvendig innovasjon og konkurransekraft. Virksomhetene benytter tjenesteutsetting som ett av virkemidlene for å holde følge med teknologiutviklingen og digitaliseringen, og ofte skjer dette ut av landet.

Økende bruk av tjenesteutsetting gjelder også for virksomheter som understøtter samfunnets beredskap og krisehåndtering. Dette er leveranser som bør være mer robuste og tilgjengelige enn vanlige kommersielle løsninger, fordi de skal fungere i situasjoner hvor mye annet er utilgjengelig. Dette må tas hensyn til når tjenesteutsetting vurderes.

Det digitale sårbarhetsutvalget (Lysneutvalget)1 viser til at det blir stadig mer krevende å ha oversikt over allerede komplekse verdikjeder ved økende digitalisering av samfunnet. Tjenesteutsetting bidrar til å øke risikoen ved ytterligere å øke kompleksiteten i verdikjeden.

I 2017 har det vært flere eksempler i Norge og Sverige på beslutninger om tjenesteutsetting der risikovurderingene har vært mangelfulle eller manglende. Disse sakene har blitt slått stort opp i media og har i ettertid fått konsekvenser for sentrale beslutningstakere.

Erfaringer fra NSMs operative virksomhet og andre statlige tilsynsorganer viser at det er lav bevissthet rundt krav til og oppfølging av informasjonssikkerhet ved tjenesteutsetting av IKT-tjenester. Risikovurderinger og konsekvensutredninger som utføres ved tjenesteutsetting er ofte mangelfulle. NSM er bekymret for at samfunnskritiske IKT-tjenester tjenesteutsettes uten tilstrekkelige risikovurderinger og sikringstiltak og at data flyttes til utlandet uten tilstrekkelige sikkerhetsfaglige vurderinger.

Hensikten med temarapporten er å bistå offentlige og private virksomheter med overordnede sikkerhetsfaglige anbefalinger om hva som bør ivaretas ved tjenesteutsetting av basisdrift, applikasjonsdrift eller applikasjonsforvaltning. Anbefalingene er relevante for offentlige og private virksomheter. Rapporten er en utdypning av «Valg av leveransemodell» i NSMs grunnprinsipper for IKT-sikkerhet.

Kontaktpunkt for kommentarer er [email protected]. Vennligst bruk rapportens navn som emne. Kommentarer og innspill mottas med takk.