1. Kravsudarbejdelse
Når man skal udarbejde sikkerhedskrav til leverandøren, bør man dels forholde sig overordnet til leverancen og dels konkret til risikovurderinger af de elementer (informationer, systemer, infrastruktur), der indgår i leverancen
Eksempler på spørgsmål man kan stille til leverancen:
- Er det en standardiseret eller en specialiseret ydelse?
- Hvad er kritikaliteten af leverandørens ydelse?
• Er der udarbejdet en risikovurdering med udgangspunkt i risikoen for de registreredes rettigheder?
• Er der en eksisterende risikovurdering, man kan tage udgangspunkt i?
• Skal der udarbejdes en trusselsvurdering i forhold til ydelsen?
På baggrund af leverancens kategorisering og risikoprofil skal man herefter udvælge de nødvendige sikkerhedskrav, som skal indgå i kravspecifikation og udbudsmateriale.

Digitaliseringsstyrelsens kravkatalog til leverandører
Digitaliseringsstyrelsen har udarbejdet et kravkatalog, som er en hjælp og inspiration til at stille relevante sikkerhedskrav ved udbud og indgåelse af it-kontrakter med leverandører.
Hent Digitaliseringsstyrelsens kravkatalog til leverandører.