Julkisen hallinnon tiedonhallinnasta annetussa laissa (906/2019) on säädetty tietoturvallisuustoimenpiteisiin liittyviä vastuita julkisen hallinnon tiedonhallintayksiköille ja viranomaisille sekä yksityisille henkilöille ja yhteisöille taikka muille kuin viranomaisena toimiville julkisoikeudellisille yhteisöille, siltä osin kuin ne hoitavat julkista hallintotehtävää. Lain 13 §:n 4 momentin mukaan viranomaisen on varmistettava hankinnoissaan, että hankittavaan tietojärjestelmään on toteutettu asianmukaiset tietoturvallisuustoimenpiteet.

Tämä tiedonhallintolautakunnan antama suositus opastaa viranomaisia ja erityisesti hankintayksiköitä tietojärjestelmien ja soveltuvin osin muiden palveluiden hankintoihin liittyvien tietoturvallisuusvaatimusten määrittelyssä sekä niiden täyttymisen varmistamisessa.

Suositus sisältää kuvauksen hankinnan tietoturvallisuuden varmistamisen prosessista, esittelyt sopimukseen liitettävistä tietoturvallisuusvaatimuksista sekä ohjeen hankintaehtotyökalun käyttämisestä. Suosituksen liitteinä ovat tietoturvallisuusvaatimukset (suppea ja laaja) sekä hankintaehtotyökalu, jonka avulla hankintayksikkö voi muodostaa hallinnollisen turvallisuuden, fyysisen turvallisuuden, teknisen turvallisuuden sekä varautumisen ja jatkuvuudenhallinnan liitteet. Hankintaehtotyökalu perustuu Julkisen hallinnon tietoturvallisuuden arviointikriteeristöön Julkriin.

Tiedonhallintalautakunta hyväksyi suosituksen 13.6.2023.