Skip to content
  • Prenumerera på Inköpsrådets nyhetsbrev
Inköpsrådet
  • Ämnen
    • EU-domstolen
    • Hyresundantaget
    • Kvalificering
    • Likabehandlingsprincipen
    • Processregler
    • Ramavtal
    • Sekretess
    • Upphandlingsskadeavgift
  • Karriär
    • Lediga jobb
    • Lönestatistik
    • Rekrytera smart med Inköpsrådet
  • Utbildning
  • Konferenser
  • Annonsera
    • Annonsera
    • Platsannonsera
  • Om oss
    • Kontakta oss
    • Integritetsspolicy

Cybersäkerhetslag och leveranskedjan

ExpertkommentarI mars kom utredningen ”Nya regler om cybersäkerhet” med förslag på hur Nis2-direktivet ska införlivas i svensk lag. Utredningen föreslår att det ska ingå i en ny lag, lagen om cybersäkerhet. Peter Nordbeck, Delphi, fördjupar sig i kravet på kontroll av säkerheten i leveranskedjan vid utkontraktering.

| 2024-05-22
Peter Nordbeck, advokat, Advokatfirman Delphi.

Jag har i en tidigare expertkommentar redogjort för Nis2-direktivet och nyheterna i direktivet i förhållande till nuvarande regler i lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster, ”Nis-lagen”.

I mars i år kom så utredningen Nya regler om cybersäkerhet (SOU 2024:18) med förslag på hur Nis2-direktivet ska införlivas i lag.  Utredningen föreslår att Nis2-direktivet ska införlivas genom en ny lag, lagen om cybersäkerhet, ”cybersäkerhetslagen”.

Utredningen har tidigare kommenterats av flera andra experter här på Inköpsrådet. Jag kommer i min expertkommentar att gå in lite djupare på en av frågorna som aktualiseras, nämligen den om kravet på kontroll av säkerheten i leveranskedjan från ett utkontrakteringsperspektiv.

Sist i min kommentar har jag lagt in en checklista med några punkter som man bör tänka på vid upphandlingen.

Kontroll av säkerhet i leveranskedjan
Ett första steg i att besvara frågan hur kravet påverkar it-upphandlingar som avser utkontraktering är att undersöka i vilken utsträckning som offentlig sektor och it-leverantörer omfattas av den nya lagstiftningen.

Offentlig sektor omfattas
En nyhet i förhållande till Nis-lagen är att offentliga verksamhetsutövare, som statliga myndigheter, regioner och kommuner omfattas med vissa undantag. 

Många it-leverantörer omfattas
Det framgår även att företag som tillhandahåller ”Förvaltning av IKT-tjänster (mellan företag)” omfattas. Med en IKT-tjänst avses en tjänst som helt eller huvudsakligen består i överföring, lagring, hämtning eller behandling av information via nätverks- och informationssystem.

Begreppet Förvaltning av IKT-tjänster (mellan företag) specificeras till att avse två typer av verksamhetsutövare. Dessa är leverantörer av hanterade tjänster och leverantörer av hanterade säkerhetstjänster.

Leverantörer av hanterade tjänster definieras som verksamhetsutövare som tillhandahåller tjänster som rör installation, förvaltning, drift eller underhåll av IKT-produkter, IKT-nät, IKT-infrastruktur, IKT-tillämpningar eller andra nätverks- och informationssystem, via bistånd eller aktiv administration antingen i kundernas lokaler eller på distans. Det är tjänster som normalt förekommer vid utkontraktering.   

Lagen gäller dessutom bland annat för leverantörer av digital infrastruktur, däribland leverantörer av molntjänster.

Storlekskrav på it-leverantörerna
För att it-leverantörerna ska omfattas av den nya lagen krävs dock att de är tillräckligt stora. Enkelt uttryckt är en verksamhet av tillräcklig storlek om den minst kan betecknas som ett medelstort företag. Som medelstort räknas företag som sysselsätter minst 50 personer eller har en omsättning eller balansomslutning som överstiger 10 miljoner euro per år.

Särskilda undantagsregler finns för bland annat leverantörer av allmänna elektroniska kommunikationsnät eller av allmänt tillgängliga elektroniska kommunikationstjänster. Undantagsreglerna innebär att även sådana leverantörer omfattas av lagen trots att de inte uppfyller kravet på storlek.   

Jurisdiktionsfrågor
Huvudregeln är att verksamhetsutövaren ska vara etablerad i Sverige för att lagen ska vara tillämplig. För att gränsöverskridande verksamhetsutövare i form av molntjänstleverantörer och leverantörer av hanterade tjänster med flera ska omfattas av den svenska lagen krävs att Sverige är huvudsakligt etableringsställe eller att företrädaren är etablerad i Sverige.

Nis2-direktivet föreskriver en extraterritorial tillämpning, vilket innebär att även verksamhetsutövare som inte är etablerade inom EU/EES omfattas om de erbjuder tjänster inom EES.

Innebörden av reglerna om jurisdiktion är att den svenska cybersäkerhetslagen inte alltid kommer att bli tillämplig på samtliga verksamhetsutövare i leveranskedjan. De praktiska konsekvenserna av detta förhållande kommer förhoppningsvis att klarna framöver.    

Slutsatser kring den föreslagna cybersäkerhetslagens tillämplighet på it-upphandlingar
En slutsats som kan dras från beskrivningen ovan är att många it-leverantörer kommer att omfattas av den nya lagen. Men lagen kommer inte att vara tillämplig på alla it-leverantörer som kan bli aktuella vid en utkontraktering. Vad betydelsen av det kan bli kommer jag att resonera kring nedan.

Riskhanteringsåtgärder – säkerhet i leveranskedjan
Kravet på kontroll av säkerhet i leveranskedjan återfinns i 3 kap. 1 §. Kapitlet har rubriken Riskhanteringsåtgärder och incidentrapportering.

Bestämmelsen är relativt knapphändig:

”Verksamhetsutövaren ska vidta tekniska, driftsrelaterade och organisatoriska riskhanteringsåtgärder för att skydda nätverks- och informationssystem och systemens fysiska miljö mot incidenter. Åtgärderna ska utgå från ett allriskperspektiv och en riskanalys och vara proportionella i förhållande till risken. De ska utvärderas och särskilt innefatta följande:

/…/

  1. säkerhet i leveranskedjan,

/…/   

Regeringen eller den myndighet regeringen bestämmer får meddela föreskrifter om riskhanteringsåtgärder. 

Utredningens analys är intressant. Nis2-direktivets bestämmelser om säkerhet i leveranskedjan avser säkerhetsaspekter som rör förbindelserna mellan varje verksamhetsutövare och dess direkta leverantörer eller tjänsteleverantörer.

Utredningen tolkar detta som att varje verksamhetsutövare endast ansvarar för ett led i leveranskedjan. Ansvaret för riskhanteringsåtgärder sträcker sig således inte till de underleverantörer som kan finnas i nästa led.

Innebörden av att ansvaret för säkerhet i leveranskedjan endast gäller i ett led
Utredningens tolkning av hur långt ansvaret för säkerhet i leveranskedjan sträcker sig ställs på sin spets i det fallet den it-leverantör som anlitas i sin tur anlitar en eller flera underleverantörer.

Tolkningen blir begriplig om även it-leverantören omfattas av lagens krav. Innebörden blir i en sådan situation att it-leverantören ansvarar för att säkerställa att riskhanteringsaspekterna implementeras även hos sina underleverantörer. På så sätt täcks hela leveranskedjan.

Ändå väcks frågan vad som gäller om det finns brister i underleverantörens leverans. Har verksamhetsutövaren gjort tillräckligt och kan värja sig med att ansvaret för underleverantörens bristande leverans vilar helt på it-leverantören i första ledet?

Typiskt sett brukar de krav på säkerhet som uppställs i it-avtalet gälla för hela leveranskedjan. Således ska även de tjänster som utförs i senare led uppfylla relevanta krav, däribland cybersäkerhetskrav. Om en underleverantör brister i utförandet av sina tjänster ansvarar, enligt allmänna principer, it-leverantören i första ledet gentemot verksamhetsutövaren som om bristerna avsåg it-leverantörens egen leverans.

Om verksamhetsutövaren uppställer cybersäkerhetskrav som gäller för hela leveranskedjan i avtalet, ligger det nära till hands att anse att verksamhetsutövaren under alla förhållanden har uppfyllt kraven enligt cybersäkerhetslagen om det skulle visa sig att det förekommer brister i senare led i leveranskedjan. 

En annan situation som kan tänkas uppkomma är att den it-leverantör som verksamhetsutövaren upphandlar inte omfattas av cybersäkerhetslagen. Det kan till exempel röra sig om en molntjänstleverantör som inte uppfyller lagens krav på tillräcklig storlek, men som använder sig av underliggande plattformar från Microsoft eller AWS.  

Denna situation är mera komplex. Med tillämpning av den tolkning av direktivet som utredningen gjort, skulle verksamhetsutövaren visserligen behöva vidta riskhanteringsåtgärder i förhållande till molntjänstleverantören i första ledet. Däremot finns det inget krav på att motsvarande riskhanteringsåtgärder ska vidtas i förhållande till underleverantören, till exempel Microsoft eller AWS, eftersom molntjänstleverantören inte omfattas av lagen. Det uppstår ett glapp i kedjan. Detta gap är olyckligt eftersom de största cybersäkerhetsriskerna kan ligga hos underleverantören.

Den brustna länken i kedjan kan överbryggas i praktiken genom att verksamhetsutövaren i avtalet med molntjänstleverantören i första ledet föreskriver att molntjänstleverantören ansvarar för att riskhanteringsåtgärder vidtas i alla delar av leveranskedjan. En annan sak är att syftet med regleringen i cybersäkerhetslagen inte uppnås. Detta beror på att det brister i en länk i leveranskedjan.

Kommer utredningens tolkning av hur långt ansvaret för säkerhet i leveranskedjan sträcker sig att stå sig i det fortsatta lagstiftningsarbetet?
Det är i dagsläget inte möjligt att uttala sig om regeringen kommer att göra samma tolkning som utredningen.

En intressant parallell är hur ansvaret i GDPR har reglerats. I GDPR finns en fullständig transparens som innebär att den personuppgiftsansvarige ansvarar även för brister i senare led i leveranskedjan.  

Kravet på riskhanteringsåtgärder enligt den nya cybersäkerhetslagen kan komma att gälla parallellt med GDPR:s krav på att vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder. Det innebär, om utredningens tolkning står sig, att olika principer för cybersäkerhetsansvar kommer att tillämpas för offentliga verksamhetsutövare som utkontrakterar it-tjänster där personuppgifter behandlas.

Enligt den föreslagna cybersäkerhetslagen stannar ansvaret för säkerhet i leveranskedjan vid it-leverantören i första ledet. Det skiljer sig från den offentliga verksamhetsutövaren som enligt GDPR ansvarar för att säkerheten tillgodoses i samtliga led i leveranskedjan. Olika ansvarsprinciper kommer således gälla trots att säkerhetsåtgärderna torde vara likartade enligt de båda lagstiftningarna.

Det blir intressant att följa det fortsatta lagstiftningsarbetet med cybersäkerhetslagen, inte minst hur regeringen hanterar frågan om hur långt ansvaret för säkerhet i leveranskedjan sträcker sig. Lagen kommer att få stor betydelse vid offentlig sektors utkontraktering av it-tjänster och kommer att påverka skrivningarna om säkerhet i leveransen i it-avtalet.       

Att tänka på
Några viktiga punkter för att uppfylla kraven i cybersäkerhetslagen är:

  • Process för att utvärdera och välja leverantör
    • Upphandlingskrav på vilken säkerhetsnivå som ska gälla. Krav på att följa utveckling
    • Referenser
    • Due Diligence?
  • Överväg olika former av certifieringar och rapporter om säkerhet – exempelvis SOC2
  • Säkerställ att avtalet hanterar informationssäkerhet, bland annat:
    • Spegla relevanta delar av den obligatoriska listan i 3 kap. 1 § cybersäkerhetslagen
    • Reglering av hur ändringar genomförs.
    • Säkerställ kontroll på underleverantörer
    • Exit
    • Servicenivåer
    • Möjliggör utvärdering och uppföljning. Rapporteringskrav
    • Revisionsmöjlighet

Peter Nordbeck
Advokat, Advokatfirman Delphi

Få din fråga om upphandling besvarad
Skickar

Läs mer: CybersäkerhetNis2-direktivet

Kommentatorerna ansvarar för sina egna kommentarer

Lämna ett svar Avbryt svar

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *

Fler artiklar

Lediga jobb

Strategisk Entreprenad­upphandlare/­kategori­ledare till Stockholm Vatten och Avfall

  • Avtalscontroller till Sektionen för inköp och upphandling
  • Rekrytera rätt kompetens med Inköpsrådet

Peter Nordbeck

Peter Nordbeck har över tjugo års erfarenhet av att arbeta med it-rättsliga frågor. Han fokuserar på outsourcing, molntjänstavtal och dataskydd och biträder klienter både inom privat och offentlig sektor. Vanliga ärenden är upprättande av avtal vid upphandlingar och risk- och sårbarhetsanalyser när myndigheter och andra enheter inom offentlig sektor tänker anlita molntjänstleverantörer. Han föreläser regelbundet om it-avtal, molntjänster och dataskydd.
ANNONS FRÅN UPPHANDLING24

Pernilla Norman

Kursen gör SUA begripligt

Anna David, upphandlare vid Jönköping Energi, rekommenderar alla som upphandlar något skyddsvärt att gå utbildningen Säkerhetsskyddad upphandling:
– Kursen är jättebra, pedagogisk, lätt att förstå och följa, säger Anna David.

Ogiltigt, oacceptabelt, olämpligt – en orimlig (o)ordning?Ogiltigt, oacceptabelt, olämpligt – en orimlig (o)ordning?
Advokatbyråns 15 förbättringsförslagAdvokatbyråns 15 förbättringsförslag
Oklara omständigheter för preklusionsreglerOklara omständigheter för preklusionsregler
Upphandlingsrättsliga föreningen firade 15 årUpphandlingsrättsliga föreningen firade 15 år
Annika är upphandlingsjuristen som inte ville bli juristAnnika är upphandlingsjuristen som inte ville bli jurist
Allvarligt fel när vd begått brottAllvarligt fel när vd begått brott
Fel att förkasta anbud som onormalt lågtFel att förkasta anbud som onormalt lågt
Subjektiv objektivitetSubjektiv objektivitet

Nytt från Upphandling24

  • Uppsala får rätt mot ”fyra stora”
  • Slottner: Ökad konkurrens och minskat krångel
  • Malin efter Olof
  • Kontrolltjänst med förhinder
  • Riksdagsenighet om IPI
  • Utlovar enklare annonsering
  • Nya perspektiv från syd

Kommentarer från läsarna

Björn : Oklara omständigheter för preklusionsregler
Jag saknar grundläggande information i fallet. Det verkar uppenbart att domstolen inte iaktog kontexten så jag anser är av avgörande…
Björn : Fel att förkasta anbud som onormalt lågt
Den som följer diskussioner om onormalt låga priser måste slås av myndigheternas och rättsväsendets total oförmåga att tackla relativt enkla…
Frans : Oklara omständigheter för preklusionsregler
Intressant! "Skäl till varför en omständighet ska få åberopas utgör knappast i sig en omständighet till stöd för en talan…
Eva : Subjektiv objektivitet
Förbittrad som leverantör blir man, när det hänvisas till ospecifiecad "kvalitet" Hur skall man som leverantör veta vad som kan…
Nils Larsson : Subjektiv objektivitet
Jag håller med, det är inte bra när utvärderingar ser godtyckliga ut, oavsett om de är det eller inte. Bortsett…
Johan : Ok med förhandlat oannonserat förfarande
Lagstiftaren har gjort det väldigt krångligt för alla inblandade genom att skilja på anbud som är: 1. ogiltiga 2. olämpliga…
En annan Björn : Fel datum – skäl för ingripande och rättelse
"Oaktat detta anser vi att den här typen av domar är betydelsefulla för övergripande diskussioner och debatt." Jag håller med!…
Håkan : Fel datum – skäl för ingripande och rättelse
2010? Skulle kunna tolkas som år 2010? Lite äldre än 3 år då..
David Sundgren : Fel datum – skäl för ingripande och rättelse
Jag anser nog att "datum" betyder att en viss dag ska kunna identifieras. "Oktober 2020" är således inget datum. Det…
Björn : Fel datum – skäl för ingripande och rättelse
Är det någon annan som undrar vem som bestämde att ett datum betyder "YYYYMMDD"? Jag anser att exempelvis "17 februari"…

Senaste inläggen

  • Ogiltigt, oacceptabelt, olämpligt – en orimlig (o)ordning?
  • Advokatbyråns 15 förbättringsförslag
  • Oklara omständigheter för preklusionsregler
  • Upphandlingsrättsliga föreningen firade 15 år
  • Annika är upphandlingsjuristen som inte ville bli jurist
  • Allvarligt fel när vd begått brott
  • Fel att förkasta anbud som onormalt lågt
  • Subjektiv objektivitet
  • Ok med förhandlat oannonserat förfarande
  • Leverantörer från tredjeland kan uteslutas
  • Hur bevisas yrkesmässig kapacitet?
  • Inte ok med koncernbolag i samma upphandling
  • Fel datum – skäl för ingripande och rättelse
  • Tilldelningsbeslut = slutbehandlat ärende
  • Tydligare gränser för hyresundantaget

Aktuella utbildningar

Delta på distans eller på plats i Stockholm. Valet är ditt.

  • Robusta IT-avtal | 28 april
  • Hållbar upphandling | 29 april
  • LOU på två dagar | 6-7 maj
  • Entreprenadupphandling och AMA AF | 8 maj
  • Säkerhetsskyddad upphandling | 14 maj
  • Kvalificerad IT-upphandlare – Steg 2 praktisk tillämpning | Hösten 2025
  • Praktisk avtalsrätt inom LOU och LUF | Hösten 2025
  • Anbudsutvärdering | Hösten 2025
  • Kvalificerad entreprenad­upphandlare | Hösten 2025
  • Leda upphandlingar effektivt | Hösten 2025
  • Få fart på er avtals­förvaltning | Hösten 2025
  • Kvalificerad IT-upphandlare | Hösten 2025
  • Ramavtal – fördjupningskurs | Hösten 2025