Den tyske sikkerhedsmyndighed udgiver omfattende tjekliste: Fem vigtige punkter til næste snak med cloud-leverandøren

Den tyske sikkerhedsmyndighed BSI har gjort digital suverænitet mere konkret. Kataloget kan bruges som tjekliste, når cloud-leverandører skal vurderes.

Artikel top billede

(Foto: Naoise Culhane Photography / Naoise Culhane)

Digital suverænitet er på få år rykket fra bekymring over leverandør-prispres til at være en ekstrem varm politisk kartoffel der konkretiserer Danmark og Europas anstrenge forhold til USA.

Indtil videre drives eventuelle politiske forandringer dog primært fra EU og vi har endnu til gode at se større danske politiske initiativer.

Men spørgsmålet er om ikke virksomheder og organisationer på egen hånd så småt er ved at tilpasse deres teknologiske setup til en ny og mere usikker tid - og det med praktiske værktøjer inden for risikovurdering, sikkerhed og teknologi.

Senest har professor Jan Damsgaard fra CBS i sin bog "Digital suverænitet" udgivet et værktøj som lader organisationer score omfanget af deres afhængighed.

For nyligt udgav den tyske sikkerhedsmyndighed BSI så et kriteriekatalog, der kan bruges til at vurdere brugen af en cloud-tjenester i forhold til ens ønske om digital selvstændighed.

Dokumentet hedder "Criteria enabling Cloud Computing Autonomy", hos BSI forkortet C3A.

Du kan læse mere om dokumentet og hente det på engelsk hos BSI her.

BSI beskriver selv kataloget som et vejledende framework. De understreget at der ikek er tale om nogen form for regulering, men skal skabe gennemsigtighed og give cloud-kunder et grundlag for risikobaserede beslutninger.

Fem områder du bør holde øje med

Fem områder er særligt relevante, og især de første nok ikke så overraskende:

For det første skal leverandøren kunne dokumentere jurisdiktion, hovedkontor og reel kontrol. Det betyder, at datacenterets placering ikke er nok. Ejerskab og governance bør indgå i vurderingen.

For det andet skal kunden kunne se, hvor kundedata, kontodata og afledte data lagres og behandles. BSI lægger samtidig vægt på ekstern nøglehåndtering, så kunden kan styre krypteringsnøgler uden for leverandørens cloud-miljø.

For det tredje handler suverænitet om drift. Kataloget går tæt på, hvem der må have fysisk eller logisk adgang til infrastrukturen, hvor administrativ adgang kommer fra, og hvor Security Operations Center-funktioner drives.

For det fjerde opstiller BSI krav om såkaldt disconnect. Leverandøren skal kunne afbryde forbindelser til aktører uden for EU uden at skade tilgængelighed, integritet og fortrolighed. Det gælder blandt andet opdateringer, dataudveksling, heartbeat-signaler og globale licensservere. Afkoblingen skal dokumenteres og testes mindst én gang om året.

For det femte bør leverandøren kunne dokumentere afhængigheder til software, hardware og eksterne cloud-tjenester.

BSI lægger op til, at cloud-leverandører kan bruge kriterierne til at dokumentere, hvilke krav de lever op til, og fremlægge dokumentation gennem audit.

Tilsvarende kan cloud-kunder bruge kataloget til at udvælge de kriterier, der er relevante for deres egen risikoprofil, og dermed definere et konkret grundniveau for cloud-suverenitet.

BSI skriver samtidig, at myndigheden senere vil offentliggøre yderligere information om, hvordan C3A-audits kan standardiseres.

Læses lige nu

    Navnenyt fra it-Danmark

    IFS Danmark A/S har pr. 1. april 2026 ansat Sarah Warm som Account Executive, Energy & Utilities. Hun skal især beskæftige sig med salg af IFS' løsninger til nye kunder inden for energibranchen. Hun kommer fra en stilling som Account Executive hos Synergy Investment Group i Holland. Hun er uddannet BSc Economics and Business Economics, Neuroscience & MSc Business Administration Digital Business. Hun har tidligere beskæftiget sig med Solution Sales & Cybersecurity. Nyt job

    Sarah Warm

    IFS Danmark A/S

    Pinksky ApS har pr. 1. maj 2026 ansat Jeppe Spanggaard, 29 år,  som Rådgivende konsulent, Partner. Han skal især beskæftige sig med Digitalisering med Microsoft-platformen. Han kommer fra en stilling som Microsoft 365 & SharePoint Specialist hos Evobis ApS. Nyt job

    Jeppe Spanggaard

    Pinksky ApS

    Netip A/S har pr. 1. maj 2026 ansat Ida Hyllested Friis som Key Account Manager ved netIP's kontor i Thisted. Hun kommer fra en stilling som Key Account Manager hos Københavns erhvervshus. Nyt job
    Immeo har pr. 16. marts 2026 ansat Honey Arora som Senior Manager. Han kommer fra en stilling som Data Product Owner hos Centrica Energy. Nyt job

    Honey Arora

    Immeo