Nasjonal sikkerhetsmyndighet (NSM) og Nasjonal kommunikasjonsmyndighet (Nkom) ser et økende behov for informasjon om sikkerheten ved kjøp av datasentertjenester i Norge. Nå kommer myndighetene med felles råd for å bistå offentlige og private virksomheter i kjøpsprosessen.

- Virksomheter som vurderer å sette ut datasenterdriften eksternt må kunne stille høye krav til leverandører, og gjøre grundige sikkerhetsvurderinger for å beskytte sine egne IT-systemer, sier direktør i Nkom, John-Eivind Velure.

Kritisk infrastruktur

Datasentre er en viktig del av den digitale infrastrukturen i Norge. Det å ha kontroll over datasentrenes lokalisering, drift og sikkerhet er avgjørende for å beskytte sensitive eller samfunnskritiske data og tjenester.

- Vi er helt avhengige av sikre og trygge datasentertjenester når vi skal bygge og trygge landet med digitalisering som verktøy. Veilederen som Nkom og NSM har lansert er et viktig bidrag til dette, og for at ulike aktører skal kunne sette riktige krav i sine anskaffelser, sier digitaliserings- og forvaltningsminister, Karianne O. Tung.

Forsvarlig drift og sikkerhet

Rapporten fra NSM og NSM gir en innføring i sikkerhet ved fysiske datasenteranskaffelser, og dekker temaer som sikkerhetsstyring, risikovurdering og sårbarheter i leveransekjeden.

- Stadig flere kritiske samfunnsfunksjoner og -verdier legges over på digital infrastruktur. Det gjør datasentre til en sentral leverandør for norske virksomheter. God kunnskap ved kjøp av datasentertjenester og tydelige krav til sikkerheten i sentrene og hele leverandørkjeden er av stor betydningen for sikkerheten i samfunnet, sier avdelingsdirektør Martin Albert-Hoff, som leder Nasjonalt cybersikkerhetssenter (NCSC) i NSM.

De nye anbefalingene gir også en overordnet forståelse av driftsprosesser og vurderingskriterier, som virksomheter bør ta stilling til før avtalen inngås.

Ansvaret for datasenternæringen ligger til Digitaliserings- og forvaltningsdepartementet. Nkom er tilsynsorgan for elektronisk kommunikasjon i Norge, og får med ny ekomlov fra 1.januar 2025 også ansvar for oppfølging av sikkerheten i datasentre. Nasjonal sikkerhetsmyndighet (NSM) er tilsynsmyndighet og fagmyndighet innen forebyggende sikkerhet i henhold til sikkerhetsloven.

FAKTA: Sentrale råd i rapporten

• Sikkerhetsvurderinger: Virksomheter må kartlegge sine egne verdier og behov, og gjennomføre grundige risiko- og sikkerhetsvurderinger når de kjøper eller reforhandler datasentertjenester.
• Kvalitetskontroll: Virksomheter bør undersøke om datasenteroperatøren har gode systemer for sikkerhet og kvalitet, som for eksempel redundant strømforsyning, kjølesystemer, kontinuerlig overvåking og vedlikehold.
• Still tydelige krav: Virksomheter må inkludere datasenteroperatørene underveis i arbeidet. Still tydelige krav til operatørene og følg opp over tid. Benytt gjerne rapporten som hjelpemiddel i prosessen.

Last ned temarapporten og sjekkliste: Anskaffelse av datasentertjenester

Public link

Please use the above public link if you want to share this noodl on another website.