Vijf criteria die bepalen wie er over vier jaar nog mag inschrijven op overheids-IT
Het digitaliseringshoofdstuk van het coalitieakkoord bepaalt over vier jaar wie er nog mag inschrijven op overheids-IT. Dat is geen overdrijving. De overheid gaat voor 116 miljard euro per jaar inkopen - meer dan een kwart van de rijksbegroting - en het nieuwe kabinet heeft voor het eerst in jaren zwart op wit gezet welke IT-criteria daarbij leidend zijn. Vijf om precies te zijn: security-by-design, zero-trust, digitale soevereiniteit, open standaarden en ketenveiligheid. Voor de IT-channel zijn dit geen beleidsbegrippen maar selectie-eisen die in aanbestedingsleidraden terechtkomen. Dit schrijft Martin van Leeuwen (foto), tendermanager en bidwriter voor IT-dienstverleners, in deze blog.
Security-by-design betekent in de praktijk dat een ISO 27001-verklaring niet langer volstaat als bewijs. Een opdrachtgever die dit criterium serieus neemt - en overheden die onder de Cyberbeveiligingswet vallen zijn daartoe verplicht - vraagt hoe veiligheid in het ontwerp van een oplossing zit, niet of het eindproduct aan een norm voldoet. Voor MSPs en integrators die gewend zijn te werken met kant-en-klare platformen betekent dit dat ze moeten kunnen uitleggen welke architectuurkeuzes zijn gemaakt en waarom, ook als die keuzes door een derde partij zijn gemaakt.
Zero-trust sluit daar direct op aan. Het perimetermodel - alles buiten de grens verdacht, alles erbinnen veilig - is voor overheidsopdrachten feitelijk achterhaald. Wie dit principe niet al in de eigen dienstverlening heeft doorgevoerd, kan het niet geloofwaardig beschrijven in een inschrijving, en beoordelaars die er zelf verstand van hebben prikken daar doorheen.
Digitale soevereiniteit raakt de channel direct via twee vragen die in aanbestedingen vaker zullen opduiken: waar staat de data, en wie heeft er juridisch toegang toe? Een MSP die draait op een Amerikaanse hyperscaler als onderlaag moet kunnen aantonen hoe data-opslag, exit-procedures en contractuele bescherming zijn geregeld. Het Europese aanbestedingsrecht verbiedt uitsluiting op basis van eigenaarsnationaliteit, maar dat belet opdrachtgevers niet om scherpe eisen te stellen aan de uitvoering - en die eisen worden de komende jaren concreter.
Eisen
Open standaarden gaan over interoperabiliteit als contracteis: systemen moeten kunnen communiceren met systemen van andere leveranciers. Wie maatwerk levert dat alleen met de eigen stack werkt, bouwt iets wat structureel botst met wat het akkoord vraagt, ook bij verlengingen en uitbreidingen van bestaande contracten.
Ketenveiligheid is het criterium waar de meeste channel-partijen het minst op zijn voorbereid, mede door een hardnekkig misverstand: zes op de tien toeleveranciers die NIS2 kennen, denken dat de wet ook rechtstreeks voor hen geldt. Dat klopt niet - de Cyberbeveiligingswet verplicht de afnemer, niet de toeleverancier. Maar die afnemer is wettelijk verplicht om cybersecurityeisen via contracten door te leggen, en in een aanbesteding gebeurt dat via selectie-eisen en gunningscriteria. De verplichting landt dus toch bij de channel-partij, alleen via de opdracht in plaats van via de wet.
Het akkoord kondigt ook aan dat grote IT-projecten worden opgeknipt naar kleinere percelen, wat in theorie de instapdrempel voor het IT-MKB verlaagt. Het voorbehoud dat daarbij zelden hardop wordt gezegd: als de kwaliteitseisen op deze vijf criteria gelijk blijven, is het perceel kleiner maar de kwalificatie-lat niet. Meer kansen, maar alleen voor partijen die hun papieren op orde hebben.
Door: Martin van Leeuwen, tendermanager en bidwriter voor IT-dienstverleners. Hij helpt MSPs en IT-bedrijven bij het schrijven van winnende inschrijvingen op overheidsopdrachten, vanuit Nafplio, Griekenland. Niet harder schrijven, maar beter lezen. martin@epikouros.biz · epikouros.biz · linkedin.com/in/epikouros
Meer over Aanbestedingen
Over Witold Kepinski
