Regulatoriska krav vid upphandling
I Sundsvalls kommunkoncern jobbar vi med regler och riktlinjer inom många områden när det kommer till utveckling av digitala lösningar eller IT-tjänster. De ska-krav vi listar nedan för upphandling av IT-lösningar är nödvändiga för att dessa lösningar skall följa de lagar och regler som gäller, särkilt avseende CRA och NIS2.
Bakgrund
CRA (Cyber Resilience Act) är en EU-förordning som ställer obligatoriska cybersäkerhetskrav på produkter med digitala komponenter (t.ex. programvara, IoT-enheter och IT-system) som säljs på EU:s inre marknad. Syftet är att säkerställa att produkter är säkra under hela sin livscykel, bland annat genom krav på säker utveckling, sårbarhetshantering och säkerhetsuppdateringar. CRA är en EU-förordning, vilket innebär att den gäller direkt i Sverige utan att behöva införas genom en ny svensk lag.
NIS2 är ett EU-direktiv om cybersäkerhet som ställer krav på att samhällsviktiga och viktiga organisationer ska ha systematiskt säkerhetsarbete, riskhantering och rapportering av incidenter. Syftet är att höja den gemensamma cybersäkerhetsnivån inom EU. NIS2 är ett EU-direktiv, vilket innebär att det införats genom svensk lagstiftning.
Standardiserade krav vid upphandling
Vid upphandling av programvara, IoT-enheter och IT-system ska följande krav ställas.
1 - Uppfylla gällande lagar och regler
Leverantören ska intyga CE-märkning enligt CRA och tillhandahålla EU Declaration of Conformity.
Leverantören ska även i obligatorisk bilaga beskriva hur produkten möjliggör kundens NIS2-efterlevnad.
Relation till CRA:
- Artiklar om CE-märkning
- Annex II (Conformity assessment)
Relation till NIS2:
- Artikel 21 (Risk management measures)
- Artikel 20 (Management responsibility)
2 - SBOM och komponenttransparens
Leverantören ska tillhandahålla maskinläsbar SBOM (en förteckning över alla programvarukomponenter som ingår i ett IT-system eller en applikation), som följer standarden SPDX eller CycloneDX, uppdaterad vid varje release.
Relation till CRA:
- Annex I (Transparency of components)
- Krav på teknisk dokumentation
Relation till NIS2:
- Artikel 21.2 (d) Supply chain security
- Artikel 21.2 (e) Security in acquisition & development
3 - Sårbarhetshantering
Leverantören ska ha en dokumenterad process för att hantera säkerhetsbrister i systemet. Processen ska minst innehålla:
- Bedömning och prioritering av säkerhetsbrister
- Tydliga tidsramar för åtgärd
- Samordnad information om säkerhetsbrister (information om säkerhetsbrister ska delas med kunder och andra berörda)
- En tydlig kontaktväg för säkerhetsfrågor
Relation till CRA:
- Artiklar om vulnerability handling obligations
- 24h rapporteringskrav
Relation till NIS2:
- Artikel 21.2 (d) Incident handling
- Artikel 23 (Incident reporting)
4 - Incidentrapportering
Leverantören ska kontraktuellt stödja kommunens skyldighet att rapportera incidenter.
Relation till CRA:
- Krav på rapportering av aktivt exploaterade sårbarheter
Relation till NIS2:
- Artikel 23 (Early warning + incident notification)
5 - Säker utvecklingsprocess
Leverantören ska dokumentera hur de bedriver säker utvecklingsmetodik (Secure Development Lifecycle, SDL), inklusive hur de hanterar kodgranskning, tredjepartsprogramvaror samt penetrationstestning.
Relation till CRA:
- Annex I (Security by design & by default)
Relation till NIS2:
- Artikel 21.2 (e) Security in system development
6 - Loggning och spårbarhet
Systemet ska generera säkerhetsloggar som är manipulationsskyddade och integrerbara med kommunens SIEM (Security Information and Event Management)/SOC (Security Operations Center).
Relation till CRA:
- Indirekt via säkerhetskrav i Annex I
Relation till NIS2:
- Artikel 21.2 (d) Detection capability
7 - Åtkomstkontroll och kryptografi
Systemet ska stödja MFA (Multi-Factor Authentication), RBAC (Role-Based Access Control) och kryptering i vila och transit. Krypteringsnivå ska kunna anpassas efter organisationens informationsklassning enligt KLASSA. Minimikrav är TLS 1.2 för data i transit och AES-128 för data i vila. För högre informationsklasser ska starkare kryptografi såsom TLS 1.3 och AES-256 samt säker nyckelhantering stödjas.
Relation till CRA:
- Annex I (Data protection & access control)
Relation till NIS2:
- Artikel 21.2 (g) Encryption
- Artikel 21.2 (i) Access control policies
8 - Krav relaterat till leveranskedjan (supply chain)
Leverantören ska redovisa:
- Underleverantörer
- Om leverantören använder andra företag för att leverera delar av tjänsten ska det framgå vilka de är och vilken roll de har
- Geografisk datalagring
- Det ska framgå i vilket land eller vilka länder kommunens data sparas och behandlas
- Säkerhetskrav bakåt i kedjan
- Leverantören ska visa att samma säkerhetskrav som ställs i upphandlingen också gäller för alla företag längre bak i leverantörskedjan
Relation till CRA:
- Tillverkaransvar inkl. tredjepartskomponenter
Relation till NIS2:
- Artikel 21.2 (d) Supply chain security
9 - Livscykel och support
Leverantören ska tydligt ange hur länge systemet kommer att få support, hur länge säkerhetsuppdateringar och rättningar garanteras samt vad som gäller när systemet når slutet av sin livstid och inte längre kommer att underhållas.
Relation till CRA:
- Lifecycle security obligations
Relation till NIS2:
- Artikel 21.2 (c) Business continuity
10 - Revision och insyn
Kommunen ska ha rätt att genomföra säkerhetsrevision samt ta del av tredjepartsgranskningar.
Relation till CRA:
- Krav på teknisk dokumentation
Relation till NIS2:
- Artikel 32–34 (Supervision & enforcement)