Det er viktig at anskaffende virksomhet gjør en konkret vurdering av hvilke krav i Normen som er relevante for den aktuelle anskaffelsen av skytjenester. Det er lite hensiktsmessig å angi at skyleverandøren skal «oppfylle kravene i Normen» eller lignende. Dette kan imidlertid være vanskelig å evaluere for oppdragsgiver og skape et dårlig grunnlag for en kontrakt.
For å kunne evaluere dette på en god måte og danne det beste grunnlaget for kontrakten, er det viktig at både leverandør og oppdragsgiver har god kommunikasjon og kjennskap til kravene i Normen. Dette bidrar til å sikre at begge parter har en felles forståelse og forventninger til hva som kreves, og det øker sannsynligheten for en vellykket kontrakt og et godt samarbeid mellom partene.
Det finnes flere eksempler på krav i Normen som ikke er direkte rettet mot leverandører, som derfor må vurderes konkret i den enkelte anskaffelse,
Mange av Normens krav seg mot dataansvarlig virksomhet (altså den som anskaffer) og ikke databehandler/leverandør, for eksempel krav til internkontroll og risikostyring. På en annen side vil også leverandøren ofte bli pålagt via databehandleravtale eller på annen må å ha fungerende internkontroll.
Videre er det en rekke krav som er rettet mot behandlingsrettede helseregistre, og som ikke vil være relevante hvis man for eksempel skal kjøpe IaaS eller programvare som ikke skal være et behandlingsrettet helseregister.
Dokumentet Hvordan bruke Normens krav i anskaffelser kan sees som en plukkliste med krav som gir støtte i arbeidet med konkurransegrunnlag, utarbeidelse av kvalifikasjonskrav og kravspesifikasjoner. Det er utarbeidet egen veiledning i bruk av dokumentet.
Dokumentet inneholder også mapping av alle Normens krav mot krav i NS-EN ISO/IEC 27001:2017og NS-EN ISO/IEC 27002:2017.
Det er også utarbeidet en kort beskrivelse av oppbygging av dokumentet og veiledning i hvordan det kan brukes i forbindelse med anskaffelser.
Cloud Security Alliance Norway har mappet Normens krav til Cloud Controls Matrix (CCM). I tillegg er det utarbeidet en kryssreferanse fra CCM til kapitlene i Normen. CCM-rammeverket gjør det enklere for både kunder og leverandører å snakke samme språk når sikkerheten i en skyløsning skal vurderes.
