Hur påverkas kravuppfyllnaden för informationssäkerhet om ramavtalsleverantören använder en underleverantör?

Ramavtalsleverantören ska ha ett ledningssystem för informationssäkerhet som omfattar de väsentliga delarna av den verksamhet som direkt medverkar i fullgörandet av kontrakt. Kravet kan uppfyllas genom att ramavtalsleverantören har ett certifikat för ISO 27001 eller ett likvärdigt ledningssystem för informationssäkerhet, se vidare Upphandlingsdokumenten, avsnitt 5.6.4 Ledningssystem för informationssäkerhet. Kammarkollegiet bevakar att ramavtalsleverantörerna har giltiga certifikat för det egna bolaget.

Kravet på ledningssystem för informationssäkerhet omfattar även eventuella underleverantörer som utför väsentliga delar av leveransen. Ramavtalsleverantörer ska under vissa omständigheter anmäla underleverantör till Kammarkollegiet och då intyga att de, när det är motiverat, uppfyller de krav och villkor till avseende Ledningssystem för informationssäkerhet som ställdes i upphandlingen, se ramavtalets Huvuddokument, avsnitt 1.13 Underleverantörer. I de fall en underleverantör utför en väsentlig del av en leverans kan avropsberättigad, i samband med avropet eller under kontraktets giltighetstid, begära in dokumentation som visar att kravet uppfylls, se Allmänna villkor, avsnitt 2.20 Uppföljning.