Kravene til IT-leverandører har aldri vært høyere. Nye lover, skjerpede direktiver og et stadig mer sikkerhetsbevisst marked gjør at det ikke lenger er nok å si at du tar sikkerhet på alvor. Du må også kunne bevise det. Tredjepartsuttalelser er blitt et viktig kvalitetsstempel for IT-leverandører som ønsker å beholde eksisterende kunder og tiltrekke seg nye.
Digitaliseringen har akselerert kraftig de siste årene, og virksomheter er i dag avhengige av et stadig mer komplekst nettverk av leverandører og underleverandører. Denne avhengigheten øker risikoen: en sårbarhet hos én aktør kan få konsekvenser for hele verdikjeden.
Samtidig stiller lovgivningen stadig skjerpede krav. Lov om digital sikkerhet, som innfører EUs NIS-direktiv i Norge, forplikter virksomheter som leverer samfunnsviktige og digitale tjenester til å ha et høyt og dokumenterbart sikkerhetsnivå. NIS2-direktivet, som nå er gjeldende i EU, utvider disse kravene ytterligere og det forventes at dette gradvis vil få virkning også her til lands.
For IT-leverandører betyr dette at sikkerhetskravene fra kundene vil fortsette å øke, uavhengig av om leverandøren selv er direkte underlagt lovverket. Derfor vil kunder og samarbeidspartnere i stadig større grad be leverandører om å dokumentere at sikkerhetskrav faktisk etterleves, og da kan det være hensiktsmessig å få et stempel fra en uavhengig tredjepart.
En slik uttalelse er ikke bare et svar på kundenes krav, den er også en rettesnor som hjelper dere med å identifisere svakheter og forbedre egne sikkerhetsprosesser.
For leverandører er dette en mulighet. De som kan fremlegge en anerkjent tredjepartsuttalelse, skiller seg positivt ut i anbud og salgsprosesser. De som ikke kan det, risikerer å bli valgt bort.
BDO gjennomfører rundt 20 slike prosjekter årlig, og vi ser en klar økning i etterspørselen. Planleggingen av årets prosjekter starter allerede nå. Ta gjerne kontakt med oss dersom du har spørsmål om tredjepartsuttalelse eller ønsker å vite hvordan du kan komme i gang.
Samtidig stiller lovgivningen stadig skjerpede krav. Lov om digital sikkerhet, som innfører EUs NIS-direktiv i Norge, forplikter virksomheter som leverer samfunnsviktige og digitale tjenester til å ha et høyt og dokumenterbart sikkerhetsnivå. NIS2-direktivet, som nå er gjeldende i EU, utvider disse kravene ytterligere og det forventes at dette gradvis vil få virkning også her til lands.
For IT-leverandører betyr dette at sikkerhetskravene fra kundene vil fortsette å øke, uavhengig av om leverandøren selv er direkte underlagt lovverket. Derfor vil kunder og samarbeidspartnere i stadig større grad be leverandører om å dokumentere at sikkerhetskrav faktisk etterleves, og da kan det være hensiktsmessig å få et stempel fra en uavhengig tredjepart.
Hva er en tredjepartsuttalelse?
En tredjepartsuttalelse er en vurdering fra en uavhengig revisor om at leverandøren har tilstrekkelig internkontroll og sikkerhetsprosesser. De vanligste standardene er ISAE 3000 og ISAE 3402 – internasjonalt anerkjente rammeverk som gir kundene et objektivt og etterprøvbart bilde av leverandørens kontrollmiljø. SOC 1/SOC 2-rapporter er tilsvarende standarder som blir brukt i mange internasjonale sammenhenger.En slik uttalelse er ikke bare et svar på kundenes krav, den er også en rettesnor som hjelper dere med å identifisere svakheter og forbedre egne sikkerhetsprosesser.
Hvorfor er dette viktig nå?
Virksomheter som kjøper IT-tjenester er pålagt å følge opp leverandørene sine og etterspør stadig oftere dokumentasjon som grunnlag for denne oppfølgingen. En tredjepartsuttalelse gir kundene den innsikten de trenger, uten at de selv må gjennomføre revisjon hos leverandører.For leverandører er dette en mulighet. De som kan fremlegge en anerkjent tredjepartsuttalelse, skiller seg positivt ut i anbud og salgsprosesser. De som ikke kan det, risikerer å bli valgt bort.
Slik kommer du i gang
BDO anbefaler at IT-driftsleverandører tar tre konkrete steg for å møte kravene fra markedet:- Etabler et styringssystem for informasjonssikkerhet: ta utgangspunkt i anerkjente standarder som ISO/IEC 27001, NIST CSF eller NSMs grunnprinsipper for IKT-sikkerhet.
- Dokumenter sikkerhetstiltakene dine: sørg for at etablerte kontroller er godt dokumentert og lett tilgjengelige for gjennomgang på forespørsel fra kunder eller revisorer.
- Engasjer en uavhengig tredjepart: la en ekstern revisor vurdere internkontrollen og utstede en formell uttalelse, for eksempel i henhold til ISAE 3000 eller ISAE 3402.
Et konkurransefortrinn
En tredjepartsuttalelse er en investering i tillit. Den reduserer risikoen for kontraktsbrudd, åpner dører til kunder og markeder som stiller strenge krav, og gir leverandøren et konkret konkurransefortrinn. I et marked der sikkerhet stadig vektlegges tyngre i anskaffelsesprosesser, er dokumentert internkontroll og etterlevelse blitt en del av det å være en attraktiv leverandør.BDO gjennomfører rundt 20 slike prosjekter årlig, og vi ser en klar økning i etterspørselen. Planleggingen av årets prosjekter starter allerede nå. Ta gjerne kontakt med oss dersom du har spørsmål om tredjepartsuttalelse eller ønsker å vite hvordan du kan komme i gang.
