Mødedato: 16.12.2025, kl. 15:30
Mødested: Rådhuset, Udvalgsværelse F på 2. sal

Godkendelse af nyt Forretningscirkulære for it-anskaffelser

Se alle bilag

Til Økonomiudvalgets godkendelse forelægges nyt Forretningscirkulære for it-anskaffelser, der ved ikrafttrædelse erstatter det nuværende Forretningscirkulære for it-anskaffelser. Cirkulæret skaber forudsætningerne for en brugervenlig, differentieret og risikobaseret tilgang til it-anskaffelser. Cirkulæret er desuden forenklet, hvorved antallet af krav til it-anskaffelsesprocessen er reduceret fra 31 til 8 krav. It-anskaffelsescirkulæret er et delelement af den samlede it-anskaffelsesmodel, og er en del af udmøntningen af Københavns Kommunes digitaliseringsstrategi vedr. justering af it-styring.

Indstilling

Økonomiforvaltningen indstiller over for Økonomiudvalget,

  1. at nyt justeret Forretningscirkulære for it-anskaffelser godkendes.

Problemstilling

IT-kredsen (ITK) har peget på en række problemstillinger med den eksisterende styringsramme som værende ressourcetung og uden mulighed for at håndtere it-anskaffelser differentieret og risikobaseret.

Intern Revisions (IR) har desuden i sin særlige undersøgelse af it-anskaffelsesprocessen i marts 2024 bl.a. anbefalet, at den såkaldte anskaffelsesvurdering afskaffes som obligatorisk krav, samt at sikkerhedsvurderingen afløses af en risikovurdering. Endelig henstillede revisionsberetningen 2024 til, at it-anskaffelsesprocessen følger de krav, der stilles i den internationale ISO27001 standard mhp. sikring af rette sikkerhedskontroller.

Det nye Forretningscirkulære for it-anskaffelser er første del af Københavns Kommunes (KK) nye it-anskaffelsesmodel, som også omfatter en ny Fællesadministrativ forretningsgang for it-anskaffelser, systemunderstøttelse af it-anskaffelsesprocessen i KK’s systemregister (FISKK) samt Københavns Kommunes Kravrepositorium. Disse elementer forventes udarbejdet og implementeret i løbet af 2026.

Løsning

Formålet med det justerede forretningscirkulære for it-anskaffelser (bilag 1) er at skabe forudsætningerne for en brugervenlig, differentieret og risikobaseret tilgang til it-anskaffelser.

Cirkulæret er forenklet og antallet af krav reduceret fra 31 til 8 krav. Gentagelser fra andre cirkulærer er så vidt muligt udeladt, og der er skabt transparens ved, at der ikke fremgår anbefalinger, men alene krav til it-anskaffelser. Procesbeskrivelser er fjernet fra cirkulæret og medtages i den underliggende forretningsgang, såfremt de fortsat vurderes relevante for den nye styringsramme for it-anskaffelser. Cirkulæret angiver endvidere en tydelig rolle- og ansvarsfordeling mellem forvaltningerne og Koncern IT (KIT). Endelig er anskaffelsesvurderingen afskaffet som obligatorisk krav, og sikkerhedsvurderingen er afløst af risikovurderinger jf. anbefaling fra IR.

Ansvarsfordelingen for udstedelse af ibrugtagningstilladelser er ændret, så ibrugtagningstilladelser fremover udstedes af anskaffende forvaltning i stedet for af KIT. Det giver bedre mulighed for, at forvaltningen kan afveje eventuelle risici. KIT kan fortsat afvise ibrugtagning på baggrund af sikkerhedsmæssige forhold, der ligger inden for Økonomiforvaltningens (ØKF) ansvarsområde.

Fællesoffentlige it-systemer, der skal benyttes i KK, er fortsat omfattet af cirkulæret. Dog er det præciseret, at national lovgivning, som pålægger KK anvendelse af et fællesoffentligt it-system, vil have forrang.

Endelig er kommunens tre principper for digitaliseringsområdet skrevet ind i cirkulæret; Værdi ved at investere ”fælles først”, færrest mulige it-systemer og flere fælles platforme samt it-udvikling skal understøtte kerneopgaven tæt på driften.

Udover cirkulæret og den kommende underliggende forretningsgang, arbejdes der sideløbende med forbedring af risikovurderingsprocessen, optimering af systemunderstøttelsen af it-anskaffelsesprocessen i FISKK samt KPI-målinger af gennemløbstiden for it-anskaffelser mhp. at nedbringe denne.

Der er i arbejdet med cirkulæret og forretningsgang tæt samarbejde til KIT’s informationssikkerhedsfunktion/ for at sikre sammenhæng til det kommende informationssikkerhedsledelsessystem (ISMS). Det kan ikke udelukkes, at der kan komme behov for justeringer af cirkulæret som konsekvens af ISMS-opbygningen og evt. justering af informationssikkerhedscirkulæret.

ØKF anbefaler, at nyt Forretningscirkulære for it-anskaffelser godkendes af Økonomiudvalget nu, men først træder i kraft, når den nye underliggende Fællesadministrative forretningsgang for it-anskaffelser er udarbejdet og godkendt af ITK. Dermed undgås en uhensigtsmæssig overgangsperiode, hvor de udeladte krav i cirkulæret endnu ikke fremgår af den gældende forretningsgang.

Økonomi

Sagen har i sig selv ingen økonomiske konsekvenser.

Videre proces

Nyt Forretningscirkulære for it-anskaffelser erstatter det nuværende Forretningscirkulære for it-anskaffelser (godkendt december 2021) og træder i kraft ved ITK’s godkendelse af ny Fællesadministrativ forretningsgang for it-anskaffelser, forventeligt i 2026.

 

Søren Hartmann Hede  /  Nicolai Kragh Petersen

Beslutning

Økonomiudvalgets beslutning i mødet den 16. december 2025

Indstillingen blev godkendt uden afstemning.


Til top