Nye krav i SKI-rammeaftale: ISAE 3000 it-sikkerhedserklæring er nu obligatorisk for leverandører af it-ydelser
Leverer din virksomhed it-ydelser under SKI-rammeaftalen? Så skal I kunne dokumentere jeres informationssikkerhedsniveau med en ISAE 3000 it-sikkerhedserklæring.
Statens og Kommunernes Indkøbsservice (SKI) stiller med den nye rammeaftale skærpede krav til leverandørers håndtering af data og systemadgang. Hvis jeres medarbejdere skal tilgå kundens systemer eller data – fysisk eller via fjernadgang – skal der udarbejdes en ISAE 3000 Type 1-erklæring inden for tre måneder efter aftalens ikrafttrædelse. Derefter skal der årligt udarbejdes en ISAE 3000 Type 2-erklæring, der dokumenterer faktisk efterlevelse.
Hvornår skal ISAE 3000 Type 1 fremsendes?
Ifølge rammeaftalen skal leverandøren fremsende en ISAE 3000 Type 1-erklæring senest tre måneder efter aftalens ikrafttrædelse. For den aktuelle aftaleperiode betyder det, at erklæringen senest skal fremsendes 1. september 2025.
Erklæringen kan være dateret før rammeaftalens ikrafttrædelse, så længe den dokumenterer implementering af de relevante kontroller og procedurer i overensstemmelse med Bilag B.3 (Sikkerhedskrav).
Bilag B.3 i SKI-rammeaftalen afgør jeres sikkerhedsniveau – og hvad I skal dokumentere
Sikkerhedsniveauet vurderes på baggrund af:
- hvilken adgang medarbejdere har (fysisk/systemmæssigt)
- hvilke datatyper der behandles (almindelige, følsomme, forretningskritiske)
- om der er tale om samfundskritiske systemer.
På baggrund af dette vælges én af tre sikkerhedspakker (1–3), og i visse tilfælde tillægspakker som BYOD, Fjernadgang, Udvikling eller Projekt. Det valgte niveau afgør, hvilke kontrolpunkter I skal have implementeret – og dokumentere i erklæringen.
Manglende erklæring kan koste dyrt
Hvis revisionserklæringen ikke fremsendes rettidigt, udløses en dagbod på 3.000 kr. pr. arbejdsdag – op til 100.000 kr. pr. tilfælde. Hvis en Type 2-erklæring viser manglende efterlevelse, kan SKI udstede et påkrav og fastsætte en ny frist. Overholdes den ikke, øges dagboden til 5.000 kr. pr. dag.
Kom sikkert gennem revisionskravene
Hos inforevision hjælper vi jer med at:
- afklare, hvilket sikkerhedsniveau og hvilke tillægspakker der gælder for jeres opgave
- gennemføre et effektivt compliance-setup baseret på Bilag B.3
- udarbejde ISAE 3000 Type 1- og Type 2-erklæringer, der lever op til SKI’s krav.
Er I klar til at dokumentere jeres it-sikkerhed?
Kontakt os og få en uforpligtende vurdering.
