EU:s Cybersecurity Act (CSA) har förändrat hur organisationer behöver tänka kring inköp av digitala produkter och tjänster. Det som tidigare främst handlade om funktion, pris och leverans handlar idag i allt större utsträckning om säkerhet, tillit och efterlevnad.
En ny verklighet för inköp
Cybersecurity Act inför ett europeiskt ramverk för cybersäkerhetscertifiering av produkter, tjänster och processer. Det innebär att säkerhet inte längre är något “nice to have” – det är en mätbar och reglerad faktor i inköpsbeslut.
För inköpsfunktionen betyder detta ett skifte:
- Från fokus på kostnad och funktion
- Till fokus på risk, säkerhetsnivå och certifiering
Certifiering blir en ny urvalsparameter
En av de största förändringarna är införandet av EU-gemensamma certifieringssystem.
Vid inköp behöver organisationer nu:
- kontrollera om leverantören har relevant cybersäkerhetscertifiering
- jämföra olika säkerhetsnivåer (basic, substantial, high)
- väga säkerhetscertifiering lika tungt som pris och funktion
Resultat: Leverantörer utan certifiering kan bli bortvalda direkt.
Skärpta krav på leverantörsbedömning
Cybersecurity Act driver fram en mer omfattande vendor due diligence.
Inköpsprocessen behöver inkludera:
- granskning av leverantörens säkerhetsarbete
- krav på incidenthantering och rapportering
- kontroll av hur data skyddas och lagras
- analys av leverantörens beroenden
Det krävs verifiering, inte bara tillit.
Säkerhetskrav integreras i upphandling
Tidigare kunde IT-säkerhet vara en bilaga. Nu behöver den vara en central del av kravställningen.
Exempel:
- krav på certifiering enligt EU-standard
- krav på säkerhetsuppdateringar
- krav på sårbarhetshantering
- krav på transparens och revision
Ökat ansvar för organisationen
Organisationer måste:
- välja lösningar med rätt säkerhetsnivå
- säkerställa korrekt användning
- kunna visa att rimliga säkerhetsbedömningar gjorts
Tydligare koppling till riskhantering
Inköp blir en del av cyber risk management:
- samarbete med IT och säkerhet
- riskanalys vid större inköp
- anpassning efter verksamhetens kritikalitet
Påverkan på organisation
- närmare samarbete mellan inköp, IT och säkerhet
- nya policys
- utbildning av inköpare
- standardiserade processer
Sammanfattning
Cybersecurity Act förändrar inköpsprocessen i grunden.
Inköp går från:
“Vad behöver vi?”
till
“Vad är säkert nog för vår verksamhet?”