ID: 460316
Fråga nr 5
I ert upphandlingsdokument har vi uppmärksammat att ni endast har ett enda krav gällande säkerhet - på hårdvara
MK- 12 Säkerhet, All lagringsmedia ska vara krypterad.
Om man inte ställer säkerhetskrav på skrivare eller MFP innebär det att de felaktigt ses som vanliga enheter, trots att de är nätverksanslutna IT-system med lagring, operativsystem och fjärrstyrning. Organisationen tappar kontroll över delar av sin IT-miljö och ett glapp uppstår mellan cybersäkerhetsansvar och faktiska krav.
Detta strider mot cybersäkerhetslagen/NIS2.
Cybersäkerhetslagen ställer krav på att organisationer ska vidta lämpliga tekniska och organisatoriska åtgärder för att hantera risker i hela IT miljön.
Skrivare och MFP:er är nätverksanslutna informationssystem och omfattas därför av samma riskhanteringsansvar som övrig IT utrustning.
Som ett exempel har Gislaveds kommun gjort följande ställningstagande till cybersäkerhetslagen:
”Gislaveds kommun har aktivt och formellt tagit ställning till den nya cybersäkerhetslagen.
Kommunstyrelsen har antagit nya riktlinjer för informations‑ och cybersäkerhet som uttryckligen motiveras av förändrad hotbild och ny lagstiftning (NIS2/cybersäkerhetslagen) och som ska tillämpas i hela den kommunala organisationen samt ligga till grund för kravställning mot leverantörer.”
Att uppfylla cybersäkerhetslagen för hårdvara har inte inkluderats i denna upphandling.
Kan ni vänligen förtydliga/förklara varför detta inte inkluderas i upphandlingen?