Viewing entries tagged
Techster

Rätten att misslyckas?

Comment

Rätten att misslyckas?

För att följa upp våran tidigare artikel gällande problematiken inom LOU och offentlig upphandling. Trenden med färre anbudsgivare är tydlig och framförallt fler tilldelningsbeslut där endast EN anbudsgivare deltagit främjar inte syftet med LOU. 

Nedan är det senaste halvårets offentliga upphandlingar som endast haft EN anbudsgivare som därmed även blivit tilldelade. 

2019-02-08
IT-Arbetsplatser, tillbehör och tjänster 2018, Landstinget Blekinge, Karlskrona

2019-02-28
Licenspartner, Eskilstuna kommun

2019-04-25 
Mobiltelefoner och tillbehör, Tekniska verken i Linköping AB (publ)

2019-05-15
Bärbara elev-datorer med tjänster 2019, SÄFFLE KOMMUN

2019-05-28
PC till gymnasiet, Uddevalla kommun

2019-06-07
IT-Partner för område hårdvara för IT-arbetsplats, mobiltelefoni, AV och tillhörande tjänster, Mora Kommun

2019-06-12
Licenser och programvaror, Håbo kommun, Bålsta

2019-06-12
Ramavtal för nätverksprodukter, UMEÅ UNIVERSITET

2019-06-20
Service- och supportavtal gällande Domstolsteleteknik i domstol
SVERIGES DOMSTOLAR, Jönköping, Domstolsverket, Sveriges Domstolar, 31 myndigheter och 215 salar.

2019-06-20
IT-tillbehör Härnösands kommun, Härnösand  

2019-06-27
Datortillbehör och användarnära IT-produkter, Tillväxtverket, Stockholm

Summerat så är det alltså 11 offentliga upphandlingar som misslyckats främja den fria konkurrensen genom att möjliggöra att flera olika anbudsgivare skall kunna konkurrera på samma villkor och för att på detta sätt få fram bäst möjliga prisbild och tilldelningsbeslut. Vidare kan man på dessa tilldelningsbeslut tyda att det i de allra flesta fallen är de större leverantörerna som dragit det längsta stråt och 45% av tilldelas en och samma IT-partner. 

Frågan man ställer sig är om alla verkligen har rätten att lyckas eller misslyckas i dessa fall utifrån givna förutsättningar? 

Comment

Skydda det som skyddas kan

Comment

Skydda det som skyddas kan

I en kontext där cyberhoten ökar och samhällskritiska verksamheter är potentiella måltavlor är det dags att skydda det som skyddas kan. Kan man bredda tillämpning av undantag vid IT-upphandling?  

Å ena sidan kan man argumentera för att undantag ska tillämpas restriktivt, å andra sidan kan man argumentera för att det är en skyldighet att tillämpa undantag trots att definitionerna i lagtexten inte överensstämmer 100%. Kanske bör det inte ses som en paradox utan istället en möjlighet för verksamheten?  

I en alltmer föränderlig värld, där behov och hotbild ständigt förändras kanske tolkningar kring vad som är synnerliga skäl, rikets väsentliga säkerhetsintressen (LUFS), Sveriges väsentliga intressen (LOU) etc. behöver ändras snabbare än lagstiftarna hinner med? 

Kunskap men framförallt rädslan att tillämpa undantag och bli kritiserad för detta beslut kan ibland ta överhand och bli styrande. Vilket beslut tar vi om vi endast utgår från verksamhetsbehovet?  

Att skydda förmåga och kapacitet i kontexten offentlig upphandling, offentlighetsprincipen, entreprenörer, konsulter och underleverantörer är en utmaning. 

Det gäller att täppa till alla hål, medans angriparen bara behöver hitta ett. 

Som i allt säkerhetsskyddsarbete handlar det om att lägga ett omfattande pussel. Finns det pusselbitar som kan skyddas på ett bättre sätt genom en mer frikostig tillämpning av undantag? 

Om ja, till bekostnad på vad? 

Comment

NIS - So far so good

Comment

NIS - So far so good

I farvattnet av GDPR, i alla fall medialt, kom NIS-direktivet som beslutades på EU-nivå. I Sverige trädde lagen samt förordningen om informationssäkerhet för samhällsviktiga och digitala tjänster i kraft 1 augusti 2018.

NIS står för Network and Information Security och är ett EU-direktiv som berör samhällsviktiga tjänster. I korthet kan man säga att organisationer som bedriver samhällsviktig verksamhet och digitala tjänster måste kunna påvisa att de kontinuerligt bedriver säkerhetsarbete avseende sin IT-miljö.

Syftet med direktivet är att uppnå en hög gemensam nivå av säkerhet i IT-system och infrastruktur. Med bakgrund av dagens ökade hotbilder där angrepp mot ovanstående är högvilt känns NIS lika självklart som välkommet.

Initialt fick NIS en del kritik för att vara otydlig, vilket kan ligga lite i ett direktivs natur. Ett EU-direktiv beskriver vilket resultat som ska uppnås och behöver därför tolkas till nationell lagstiftning medan en EU-förordning gäller direkt när den trätt i kraft, t.ex. GDPR. Kritiken gällde främst vilka aktörer som skulle omfattas och när en händelse är betydande och därmed blir föremål för en incidentrapport. Det är upp till organisationerna själva att undersöka om dess tjänster kan komma att omfattas av NIS-regleringen eller inte och det finns vägledning att få. Kanske borde kritiken mer riktas mot att det inte är så snyggt förpackat och enkelt att förstå utan att behöva läsa ”allt”.

MSB (Myndigheten för samhällsskydd och beredskap) tillhandahåller dokument i form av bl.a. föreskrifter, allmänna råd och incidentrapporteringsformulär. De sektorspecifika tillsynsmyndigheterna går att kontakta och branschorganisationerna kan hjälpa till med råd och tips.

Många kunder som vi för dialog med kring säkerhet behöver förutom uppmärksammade GDPR även fokusera på NIS-direktivet. Det reella utfallet av NIS blir därför intressant att följa, hur som helst så är det rimligt att direktivet finns med den digitalisering av samhället som sker.

Comment