Digitalist cloud var ett av få inbjudna företag till samtal med FMVs som genomfördes den 18 Mars 2025 med rubriken "Rundabordssamtal om certifiering av molntjänster”, givetvis en ära för oss att få vår kompetens på området bekräftat på högsta nivå i samhället.
Diskussionen blev bra, kompetensen i rummet var en bra mix med lite olika inriktning men framförallt var kompetensen väldigt hög med ledande experter från svenska företag som redan idag levererar med fokus på hög kvalitet.
Jag tror alla i rummet var eniga om att en certifieringen av tjänster mot offentlig sektor är väldigt bra i grunden.
Den största oron handlar om risken att upphandlande myndigheter väljer att inte använda certifieringen i sina upphandlingar. Samtidigt har man väldigt mycket att vinna på att göra det så förhoppningsvis är den risken kanske inte så stor.
Vad är EUCS?
EUCS (European Cybersecurity Certification Scheme for Cloud Services) är EU:s initiativ till en ny, gemensam cybersäkerhetscertifiering för molntjänster.
EUCS ger en standardiserad uppsättning tydliga krav och riktlinjer för säkerheten i molntjänster, där tre definierade nivåer för säkerhet erbjuds:
- Basic (grundläggande)
- Substantial (avsevärd)
- High (hög, för kritiska tjänster/data).
Certifieringen omfattar tydligt definierade mål och krav på teknisk och organisatorisk nivå, transparens kring ansvarsfördelning mellan kund och leverantör samt krav på säkerhetspraktiker, informationshantering och efterlevnad av europeiska regelverk.
Varför behövs alla nya lagar och regleringar?
Problemen i samhället kopplade till yttre hot och IT attacker är stort, här är några exempel på problem kopplat till dåliga system:
- Det driver enorma kostnader och det skapar onödigt stora arbetsbördor.
- Det skadar vår civilsamhälle när data läcker ut eller när samhälls tjänster inte är tillgängliga
- Incidenter urholkar människors förtroende för samhället
EU agerar på bred front för att motverka detta, du har säkert hört om NIS2, CRA, AI Act, eIDAS etc.
Raden av nya lagar och regelverk kan tyckas oändlig, men det råder ingen tvekan om att de behövs.
Ska man vara lite krass är kraven inte så hårda egentligen, det är ofta ganska rimliga förväntningar som tas upp när det kommer till grundläggande säkerhet och processer.
Vad innebär EUCS för upphandlande myndigheter?
För offentliga organisationer som utför upphandlingar av molntjänster innebär EUCS flera konkreta förbättringar:
1. Enklare och rättvisare upphandlingar
Med hjälp av EUCS behöver en upphandlande myndighet inte själva definiera vad som är en bra säkerhetsnivå eller utvärdera anbudsgivarens processer för kvalitét utan man kan hänvisa till branschens best practices.
Effekten är att myndigheten kan fokusera mer på verksamhetens behov.
Ett stort problem idag är att många “mindre kompetenta” leverantörer kommer undan på grund av att man helt enkelt missar eller i värsta fall låter bli att ställa rätt frågor i en upphandling.
Det blir också rättvist eftersom leverantörer inte kan “prisa” in sig genom att helt enkelt inte leverera rätt nivå av kvalité, säkerhet och struktur.
Ett exempel vi stöter på idag är tex:
Att man i en upphandling kan formulera saker som “Processer enligt ISO 270001 eller motsvarande”. Detta leder dels till orättvis bedömning och men framförallt till brister i kvalité då anbudsgivare helt enkelt kan smita förbi rimligt ställda kvalitetskrav.
3. Ökad transparens och kontroll
EUCS-certifieringen ställer krav på tydlig dokumentation och explicit ansvarsfördelning mellan kund och leverantör. Detta stärker möjligheterna till effektiv uppföljning och kontroll under hela avtalsperioden.
Vad innebär EUCS för svenska SaaS- och molntjänstleverantörer?
För svenska företag som levererar SaaS- och molntjänster innebär EUCS både nya möjligheter och krav.
1. Konkurrensmässiga fördelar
Leverantörer som tidigt satsar på att uppnå EUCS-certifiering visar för marknaden att man har ett seriöst och proaktivt kvalitetstänkande kring cybersäkerhet och dataintegritet. Certifieringen blir snabbt ett viktigt konkurrensmedel – även internationellt.
2. Ökade krav på standardiserade processer och certifieringar
Att certifiera enligt EUCS innebär oftast investeringar i teknik och kompetens, men också tydligare processer och rutiner enligt erkända standarder. Det innebär bland annat att ISO27001-certifierade processer eller liknande kommer att bli ett kraftfullt sätt att visa kvalitet och mognad för framtida kunder.
3. Modern teknik lyfts tydligare fram och belönas
Genom EUCS förväntas det också bli tydligare hur olika teknikval – som containerbaserade lösningar med Kubernetes, automatiska CI/CD-processer och standardiserade metoder – kan bidra till högre säkerhet och kvalitet.
Detta ger leverantörer som satsar på moderna tekniska plattformar tydliga fördelar i framtida upphandlingar.
Hur förbereder du din organisation inför EUCS?
Oavsett om du representerar en upphandlande myndighet eller en leverantör är det klokt att redan nu börja planera inför EUCS:
- Utvärdera interna processer och rutiner idag – vem är ansvarig för säkerhet och kvalitet? Vad kan EUCS hjälpa er med?
- Identifiera inom vilka områden din verksamhet kan behöva höja ambitionerna för att uppnå önskad säkerhetsnivå.
- Leverantörer bör fundera på strategisk kompetensutveckling och investeringar i certifieringar och vilka plattformar & teknologier som kommer göra er mer kapabla att möte framtidens krav.
- Myndigheter bör börja fundera på hur EUCS kan hjälpa att bättre styra och kvalitetssäkra upphandlingsprocessen.
Sammantaget är EUCS ett mycket välkommet initiativ som tar molntjänster in i framtiden, minskar riskerna för incidenter och ökar fokus på säkerhet och kvalitet. Det är något som både vi som beställare och leverantörer har allt att vinna på.
Vill du veta mer?
Läs dels om EUCS hos FMV (Försvarets materielverk) som har ansvaret i Sverige.
Hos ENISA (The European Union Agency for Cybersecurity) hittar ni de officiella dokumenten.
Fråga Digitalist om framtidens molntjänster
Behöver ni hjälp att ställa om till moderna teknologier som möter framtiden? Kontakta oss så kan vi berätta mer om hur vi arbetar och kan hjälpa er organisation att ställa om.