Ohje turvallisuuskriittisiin hankintoihin : Määräysvaltamuutoksiin varautuminen turvallisuuskriittisissä tieto- ja viestintäjärjestelmien sekä -ratkaisujen hankinnoissa

Digitaalinen toimintaympäristö muuttuu ja kehittyy jatkuvasti. Tällainen jatkuvasti muuttuva ja vahvasti keskinäisriippuvainen ympäristö vaatii riittävää kokonaishallintaa sekä riskienhallintakykyä. ICT-palveluissa keskeinen vaikuttamisen vaihe on hankintaprosessi, jossa hankinnan kohteen suunnittelu ja palvelusta sopiminen korostuu.

Palvelutuotanto voi olla verkottunutta, kansainvälistä ja perustua laajoihin alihankintaverkostoihin. Muutokset ICT-palveluiden tuottamisessa ovat yleisiä. Yrityksen myynti tai määräysvallan siirtyminen voi aiheuttaa muutoksia sen toiminnassa. Uusi omistaja voi esimerkiksi sijaita sellaisessa maassa, jota koskevat erilaiset säädökset. Palveluissa tulee kuitenkin voida varmistua, että se tuotetaan turvallisesti ja laadukkaasti.

Määräysvaltamuutoksiin varautumisessa keskeisenä lähtökohtana on tunnistaa jo hankinnan suunnitteluvaiheessa, mitkä asiat hankinnassa ovat organisaation kannalta turvallisuuskriittisiä, millaisia säädöksiä niihin liittyy ja löytyykö erityisiä turvallisuusnäkökohtia, joita tulisi ottaa huomioon.

Tässä ohjeessa käydään lyhyesti ja esimerkinomaisesti läpi keskeisiä yleisiä varautumiskeinoja hankintaosapuolen näkökulmasta. Esimerkeissä viitataan usein sopimuksiin. Sopimukset edellyttävät kuitenkin neuvottelua osapuolten kesken. Ohjeen käyttäjän tulisikin huomioida, että palvelutoimittajalla voi olla rajoitteita sopimusehtoihin myöntymiseen.

Ohje turvallisuuskriittisiin hankintoihin : Määräysvaltamuutoksiin varautuminen turvallisuuskriittisissä tieto- ja viestintäjärjestelmien sekä -ratkaisujen hankinnoissa
Päivitetty: 9.6.2020