Sikkerhetsevidens kunder forventer i KI-anbud og leverandørvurderinger
Når du deltar i anbud eller gjennomgår leverandørvurderinger for KI-tjenester, må du kunne dokumentere sikkerhet og etterlevelse. Kunder stiller stadig flere og mer detaljerte spørsmål. Denne artikkelen hjelper deg med å forstå hva som forventes og hvordan du strukturerer dokumentasjonen.
Hva kunder typisk etterspør
Sikkerhetsdokumentasjon
De vanligste forespørslene gjelder:
- Sikkerhetspolicyer og -rutiner
- Sertifiseringer og attester
- Penetrasjonstester og sårbarhetsskanninger
- Hendelseshåndtering og beredskap
- Tilgangskontroll og autentisering
KI-spesifikk dokumentasjon
For KI-systemer kommer tilleggskrav:
- Risikoklassifisering etter KI-forordningen
- Samsvarserklæring for høyrisikosystemer
- Dokumentasjon av menneskelig tilsyn
- Informasjon om databehandling og modelltrening
- Begrensninger og kjente svakheter
Personvern og compliance
Og generelle compliance-krav:
- Databehandleravtale
- GDPR-dokumentasjon
- Informasjon om dataoverføring
- Subkontraktoroversikt
Sjekkliste for anbud
Grunnleggende sikkerhetsdokumenter
Ha følgende klart:
- Sikkerhetspolicy (overordnet)
- Tilgangskontrollpolicy
- Krypteringspolicy
- Backup og gjenoppretting
- Hendelseshåndteringsprosedyre
- Forretningskontinuitetsplan
Sertifiseringer og attester
Dokumenter relevante sertifiseringer:
- ISO 27001 (informasjonssikkerhet)
- SOC 2 Type II (hvis tilgjengelig)
- Penetrasjonstestrapport (siste 12 måneder)
- Sårbarhetsrapport (siste kvartal)
KI-dokumentasjon
For KI-komponenter:
- Oversikt over KI-funksjonalitet
- Risikoklassifisering med begrunnelse
- Samsvarserklæring (høyrisiko)
- Bruksanvisning og begrensninger
- Informasjon om databehandling i KI-komponenten
- Dokumentasjon av testresultater
Personvern
- Personvernerklæring
- Databehandleravtale (mal)
- Protokoll over behandlingsaktiviteter
- Subkontraktorliste med dataoverføringer
Hvordan strukturere dokumentasjonen
Dokumentpakke for anbud
Organiser dokumentasjonen i en klar struktur:
Sikkerhetsdokumentasjon/
├── 01_Oversikt/
│ ├── Sikkerhetserklæring.pdf
│ └── Sertifiseringsoversikt.pdf
├── 02_Policyer/
│ ├── Sikkerhetspolicy.pdf
│ ├── Tilgangskontroll.pdf
│ └── Hendelseshåndtering.pdf
├── 03_Sertifiseringer/
│ ├── ISO27001_sertifikat.pdf
│ └── Pentest_rapport.pdf
├── 04_KI_dokumentasjon/
│ ├── KI_oversikt.pdf
│ ├── Risikoklassifisering.pdf
│ └── Samsvarserklæring.pdf
└── 05_Personvern/
├── Personvernerklæring.pdf
└── DPA_mal.pdf
Sikkerhetserklæring
Lag en overordnet sikkerhetserklæring som oppsummerer:
SIKKERHETSERKLÆRING
===================
[Virksomhetsnavn] tar sikkerhet på alvor. Dette dokumentet
gir en oversikt over våre sikkerhetstiltak.
SERTIFISERINGER
---------------
- ISO 27001: [Status og sertifikatnummer]
- Andre relevante sertifiseringer
SIKKERHETSTILTAK
----------------
- Kryptering: [Beskrivelse]
- Tilgangskontroll: [Beskrivelse]
- Overvåking: [Beskrivelse]
- Testing: [Beskrivelse]
KI-ETTERLEVELSE
---------------
- Risikoklassifisering: [Klasse og begrunnelse]
- Tiltak: [Oversikt]
KONTAKT
-------
Ved spørsmål: [Kontaktinformasjon]
Svarmal for spørreskjemaer
Mange kunder bruker standardiserte spørreskjemaer. Forbered svar på vanlige spørsmål:
| Spørsmål | Standardsvar | Vedlegg |
|---|---|---|
| Har dere ISO 27001? | Ja, sertifisert siden [år] | Sertifikat |
| Hvordan håndteres data? | [Standardbeskrivelse] | DPA |
| Er KI-systemet høyrisiko? | [Klassifisering og begrunnelse] | Vurdering |
Spesifikke krav for ulike kundetyper
Offentlig sektor
Offentlige kunder stiller ofte krav om:
- NSMs grunnprinsipper for IKT-sikkerhet
- Norsk skyløsning eller godkjent dataoverføring
- Tilgang for sikkerhetsmessig godkjenning
- Dokumentasjon av norsk lovgivning
Finanssektoren
Finanskunder krever typisk:
- SOC 2-rapport eller tilsvarende
- Detaljert penetrasjonstesting
- Dokumentasjon av underleverandører
- Beredskapsplaner og oppetidsgarantier
Helsesektoren
Helsekunder etterspør:
- Norm for informasjonssikkerhet i helse
- Dokumentasjon av tilgangskontroll
- Logging og sporbarhet
- Databehandleravtale tilpasset helse
Internasjonale kunder
Ved internasjonale anbud:
- SOC 2 Type II (ofte påkrevd)
- GDPR-dokumentasjon på engelsk
- Informasjon om dataoverføring ut av EU/EØS
- Lokalisering og språkstøtte
Responstid og prosess
Forbered på forhånd
Ikke vent til anbudet kommer:
- Samle all dokumentasjon i én struktur
- Oppdater dokumenter regelmessig
- Ha standardsvar klare for vanlige spørsmål
- Utnevn en ansvarlig for anbudssvar
Under anbudet
Når forespørselen kommer:
- Les kravspesifikasjonen nøye
- Identifiser hull i dokumentasjonen
- Prioriter det kunden eksplisitt ber om
- Svar konsistent med tidligere anbud
Etter anbudet
Uansett utfall:
- Dokumenter spørsmål som var vanskelige
- Oppdater dokumentasjon der det manglet
- Evaluer prosessen for forbedring
Vanlige fallgruver
Utdatert dokumentasjon
Sørg for at alle dokumenter er oppdaterte:
- Sertifiseringer må være gyldige
- Penetrasjonstester bør være fra siste 12 måneder
- Policyer må reflektere faktisk praksis
Inkonsistente svar
Kunder sammenligner svar over tid:
- Bruk standardsvar der mulig
- Dokumenter hva som er svart tidligere
- Oppdater alle svar når noe endres
Overdreven konfidensialitet
Ikke vær for restriktiv:
- Kunder forventer viss åpenhet
- NDA kan åpne for mer deling
- Balansér sikkerhet og salgsprosess
Manglende KI-dokumentasjon
KI-krav er nytt for mange:
- Start med klassifiseringen
- Dokumenter selv om det er lavrisiko
- Vær forberedt på oppfølgingsspørsmål
Mal for KI-sikkerhetserklæring
KI-SIKKERHETSERKLÆRING
======================
Produkt: [Produktnavn]
Versjon: [Versjon]
Dato: [Dato]
1. KI-INNHOLD
-------------
Produktet inneholder KI-funksjonalitet til: [Formål]
Underliggende teknologi: [Beskrivelse]
2. KLASSIFISERING
-----------------
Risikoklasse: [Minimal/Begrenset/Høy]
Begrunnelse: [Kort begrunnelse]
Vurdering utført: [Dato]
3. SIKKERHETSTILTAK
-------------------
- Data i transitt: [Kryptering]
- Data i hvile: [Kryptering]
- Tilgangskontroll: [Beskrivelse]
- Logging: [Hva logges]
4. DATABEHANDLING
-----------------
- Hvilke data behandles: [Liste]
- Hvor data lagres: [Lokasjon]
- Subprosessorer: [Liste eller referanse]
- Brukes data til trening: [Ja/Nei]
5. TESTING
----------
- Siste penetrasjonstest: [Dato]
- Siste sårbarhetsskanning: [Dato]
- KI-spesifikk testing: [Beskrivelse]
6. SERTIFISERINGER
------------------
[Liste over relevante sertifiseringer]
7. KONTAKT
----------
Spørsmål om sikkerhet: [Kontaktinfo]
Videre lesning
- Sikkerhet og evidens
- Sikkerhetsdokumentasjon for KI SaaS: minimum
- Slik svarer du kundespørsmål om etterlevelse
- Slik strukturerer du KI-systemfil
- Hvilke dokumenter bør du be om og lagre
- Slik gjør du leverandørvurdering
- Kontraktsklausuler for KI SaaS
Sist oppdatert
2026-02-03