Akkreditering af IT-systemer – Hvorfor er det relevant for leverandører til forsvarsmyndigheder?

Akkreditering af IT-systemer – Hvorfor er det relevant for leverandører til forsvarsmyndigheder?

IT-ret Offentlig ret Udbudsret Persondata og cybersikkerhed
Leverandører til forsvarsmyndigheder skal dokumentere, at deres it-systemer er akkrediteret til klassificerede oplysninger. FE akkrediterer på forsvarsområdet, og kravene omfatter også integrationer og softwareopdateringer. Planlæg med lange sagsforløb og Common Criteria-baserede vurderinger.
CS
Christian Wiese Svanberg

Retlig ramme og betydning for leverandører

Virksomheder, der ønsker at levere produkter eller ydelser til forsvarsmyndigheder, skal kunne dokumentere, at deres it-systemer er akkrediteret til at behandle klassificerede oplysninger. Ordningen er forankret i Justitsministeriets sikkerhedscirkulære, som fastlægger klassifikationsniveauer og processuelle krav til godkendelse af både personer og systemer. Cirkulæret er en intern statslig forskrift, men i praksis bliver leverandører omfattet, når deres løsninger indgår i myndigheders behandling af klassificeret information. Link til cirkulæret findes på Retsinformation.

Sikkerhedscirkulæret opererer med fire klassifikationsniveauer og særskilte godkendelseskrav. Elektronisk behandling på niveauet YDERST HEMMELIGT kræver i hvert enkelt tilfælde en særlig tilladelse fra den nationale it-sikkerhedsmyndighed. Alle systemer, der skal håndtere HEMMELIGT eller FORTROLIGT, skal akkrediteres, og der gælder godkendelseskrav for tilkobling af eksterne systemer samt for ibrugtagning af nye softwareversioner. Klassifikationsregimet står selvstændigt i forhold til straffelovens generelle fortrolighedsbegreb i straffelov § 152.

Myndighedsrollen er delt: Politiets Efterretningstjeneste er national sikkerhedsmyndighed, mens Forsvarets Efterretningstjeneste varetager funktionen på Forsvarsministeriets område og også er national it-sikkerhedsmyndighed uden for Justitsministeriet. Det betyder, at FE typisk akkrediterer systemer, der anvendes hos eller for forsvarsmyndigheder.

Til forståelse af kravbilledet indgår internationale standarder. Common Criteria anvendes som reference for funktionelle sikkerhedskrav og sikringskrav og kan indgå i den danske vurdering, hvor det er relevant. CC hjælper med at dokumentere, at sikkerhedsforanstaltninger både virker og er korrekt implementeret.

Klassifikationsniveauer og krav til systemer

Myndighedernes beskyttelsesniveauer styrer, hvilke tekniske og organisatoriske foranstaltninger leverandørers systemer skal opfylde. Kravene spænder fra styrket adgangskontrol og logning til konfigurationsstyring, ændringshåndtering og validerede processer for softwareopdateringer. Integrationer, fjernadgang og dataudveksling udløser særskilt godkendelse, fordi de øger angrebsfladen.

De fire niveauer kan sammenfattes således:

  1. YDERST HEMMELIGT: Uautoriseret videregivelse kan forvolde overordentlig alvorlig skade.
  2. HEMMELIGT: Uautoriseret videregivelse kan forvolde alvorlig skade.
  3. FORTROLIGT: Uautoriseret videregivelse kan forvolde skade.
  4. TIL TJENESTEBRUG: Oplysninger må ikke offentliggøres eller komme til uvedkommendes kendskab.

Praktisk indebærer det, at arkitektur, segmentering, kryptering, nøglehåndtering, driftsprocedurer og leverandørstyring skal dokumenteres på et niveau, som myndigheden accepterer. Nye softwareversioner til brug i godkendte systemer må først tages i drift efter forudgående godkendelse.

Sagsbehandlingstiderne har historisk været lange som følge af et stort sagspres og høje beviskrav. Der er afsat ekstra midler til at nedbringe ventetider på sikkerhedsgodkendelser og akkrediteringer i forsvarssektoren, men leverandører bør fortsat kalkulere med betydelige lead times i deres tilbuds- og leveranceplaner.

Proces og praktiske skridt

Akkreditering er en dokumenttung og iterativ proces, hvor myndigheden skal kunne efterprøve design, implementering og drift. Leverandører bør etablere en styringsmodel, der dækker risikovurdering, kontrolkatalog, konfigurationsstyring, sårbarhedshåndtering og logisk såvel som fysisk sikkerhed. Forbindelser til tredjepartsleverandører og underleverandører skal være kontraktuelt reguleret og teknisk kontrolleret.

En typisk myndighedsproces kan struktureres således:

  1. Forhåndsvurdering: Afklaring af klassifikationsniveau, datatyper, arkitektur og dokumentationskrav.
  2. Detaljeret evaluering: Gennemgang på stedet, tekniske tests og verifikation af styrings- og driftskontroller.
  3. Verifikation og afhjælpning: Lukning af fund, opdaterede beviser og eventuelle supplerende kontroller.
  4. Afgørelse og fornyelse: Tildeling af akkreditering med løbende opfølgning og periodisk fornyelse.

For projekt- og kontraktstyring betyder kravene, at udbudsmateriale, leveranceplan og milepæle bør indarbejde akkrediteringsforløbet fra dag ét. Det kan være nødvendigt med forbehold for myndighedsgodkendelser, samt at etablere en ændringsproces for softwareopdateringer. Tidlig dialog med den relevante sikkerhedsmyndighed og en realistisk tidsplan reducerer risiko for forsinkelser og misligholdelseskrav.

Endelig bør virksomheder sikre, at medarbejdere med adgang til klassificeret materiale er personligt sikkerhedsgodkendt i rette grad, og at interne politikker og træning afspejler klassifikationsregimet. Det samspil mellem personale- og systemkrav er afgørende for en robust compliance-profil.

Læs mere om klassifikationsreglerne i Justitsministeriets sikkerhedscirkulære på Retsinformation: https://www.retsinformation.dk/eli/retsinfo/2014/10338.

Læs hele artiklen hos DLA Piper →
Søgeord
Informationssikkerhed, Risikostyring, Leverandørstyring, Forvaltningsret, Sagsbehandlingstid, Sikkerhedsgodkendelse, Databeskyttelse, Due diligence, Kontraktstyring, Justitsministeriet, Cybersikkerhed, Forsvarets Efterretningstjeneste, Hændelseshåndtering, Patch management, Logning, Adgangskontrol, Sikkerhedskrav, Konfigurationsstyring, Compliance, Myndighedsgodkendelse, Klassificerede oplysninger, Straffelov § 152, Offentlig ret, Udbudsret, It-sikkerhed, National sikkerhedsmyndighed, HEMMELIGT, Yderst hemmeligt, Forsvarsindustri, Akkreditering, Politiets Efterretningstjeneste, Sikkerhedspolitikker, Statshemmeligheder, Forsvarsudbud, Sikkerhedsledelse, National it-sikkerhedsmyndighed, Sikkerhedsarkitektur, Audittrail, Sikkerhedscirkulæret, Systemakkreditering, Common Criteria, NATO klassificering, FORTROLIGT, TIL TJENESTEBRUG, Forbindelsesgodkendelse, Softwaregodkendelse

Relaterede artikler

No out-of-scope principle in Danish dawn raids
Plesner

No out-of-scope principle in Danish dawn raids

Højesteret fastslår, at out-of-scope-princippet ikke gælder ved Konkurrence- og Forbrugerstyrelsens kontrolundersøgelser. Myndigheden kan bruge fund til andre § 6/TEUF art. 101-overtrædelser, når formål, nødvendighed og proportionalitet er opfyldt og retskendelsen dækker søgningen.
GDPR indebærer også gevinster for virksomheder og borgere
Datatilsynet

GDPR indebærer også gevinster for virksomheder og borgere

En ny analyse fra CNIL viser, at GDPR kan skabe forretningsværdi: øget tillid, færre sikkerhedshændelser og procesgevinster. Store virksomheder høster skalaeffekter, mens SMV’er styrker konkurrenceevnen – også i udbud. Erfaringerne vurderes overførbare til Danmark.
Ny version af taksonomi til årsrapporter sendt i høring
Erhvervsstyrelsen

Ny version af taksonomi til årsrapporter sendt i høring

Erhvervsstyrelsen sender en revideret DKGAAP‑taksonomi i høring. Strukturen tilpasses årsregnskabsloven uden nye felter, men med flere tags og indlejrede kontroller. Virksomheder bør afklare påvirkning af XBRL‑mapping og validering inden høringsfristen 23. oktober 2025.
Odsherred-sagen: Entreprenørens retsstilling ved offentligt ejede selskabers konkurs og rekonstruktion – et wake up call!
DAHL

Odsherred-sagen: Entreprenørens retsstilling ved offentligt ejede selskabers konkurs og rekonstruktion – et wake up call!

Odsherred-sagen viser, at entreprenører ikke kan forlade sig på betalingsstyrke hos offentligt ejede selskaber. Uden bygherregaranti efter AB 18 risikeres tab ved rekonstruktion eller konkurs. Få overblik over hæveadgang, erstatningsrammer og sikre greb i udbud og kontrakt.

Relaterede kurser

Risikovurderinger og GDPR
4
JUC
Risikovurderinger og GDPR
AI og jura - Forstå hvad AI kan, og hvad du må
Dansk Industri
AI og jura - Forstå hvad AI kan, og hvad du må
Bevisret
7
Djøf
Bevisret

Relaterede jobs

Koda
Bliv juridisk chefkonsulent i Koda og vær med til at skabe et stærkere musikliv
Koda
Forsvaret
Databeskyttelsesspecialist
Forsvaret
Forsvaret
Chefkonsulent med ansvar for databeskyttelse (DPO)
Forsvaret
Erhvervsministeriet
To juridiske studenter til Konkurrence- og Forbrugerstyrelsens Center for Tech
Erhvervsministeriet
Forsvarets Koncernfælles Informatiktjeneste (FKIT)
Erfarne jurister til at bistå med gennemførelsen af IT-anskaffelser til Forsvaret
Forsvarets Koncernfælles Informatiktjeneste (FKIT)
Erhvervsministeriet
Studerende med interesse for forbrugerspørgsmål
Erhvervsministeriet
Gratis adgang til alle juridiske nyheder, artikler og opdateringer.
Opret dig gratis i dag, vælg dine fagområder, og få adgang til et skræddersyet nyhedsoverblik, der gør dig klogere – og holder dig foran.
Opret gratis profil →