Myndighetens för samhällsskydd och beredskap, MSB, rekommenderar landstingen som en konsekvens av granskningen att ta fram informationssäkerhetsrelaterade krav som kan användas vid upphandlingar.
–Det är framför allt en styrnings- och ledningsfråga. Landstingsdirektörer behöver se det här som ett strategiskt område, säger Carl Önne, rapportansvarig handläggare på MSB till Dagens Samhälle.
I rapporten har MSB mognadsbedömt hur landstinget arbetar med informationssäkerhet inom sju områden.
Sämsta betyg utifrån en fyrgradig skala av mognadsnivå får upphandling. Tio landsting bedöms vara på den lägsta nivå och ytterligare tio på näst lägsta.
15 av 20 landsting har angett för MSB att de har etablerade arbetssätt för informationssäkerhetskrav i upphandlingar. De landsting som saknar rutiner har angett kompetensfrågor och tidsbrist som orsaker.
Endast ett landsting har till MSB svarat att informationssäkerhet finns med även i avtalsuppföljningen.
I rapporten drar MSB slutsatsen att det finns risk att informationssäkerhetskrav upplevs som försvårande och riskerar att försena upphandlingsprocesser om de tas med alltför sent i planeringen.
Därför är det enligt MSB viktigt att ha tydliga krav på informationssäkerhet för att tidigt i en upphandlingsprocess genomföra riskanalyser och informationsklassning som leder fram till rätt kravbild.
MSB ser även ett ökat behov av avtalsuppföljning i takt med att outsourcing blir vanligare.
–I och med att alltmer information lagras i molntjänster som driftas utanför organisationen, av företag som inte känner till organisationens rutiner, blir det viktigt med en tydlig kravställning utifrån informationssäkerhet vid upphandling, vid leverans och över tid, säger Carl Önne till Dagens Samhälle.
Kommentatorerna ansvarar för sina egna kommentarer