Säkerhetsskyddad upphandling

Säkerhetsskyddslagens syfte är att genom förebyggande åtgärder skydda Sveriges säkerhet mot spioneri, sabotage, terroristbrott och andra brott.

Dessutom ska lagen skydda andra säkerhetsskyddsklassificerade uppgifter, det vill säga uppgifter som rör säkerhetskänslig verksamhet och som därför omfattas av sekretess enligt offentlighets- och sekretesslagen, OSL. (För privata organisationer, som inte omfattas av OSL, måste i stället ett hypotetiskt test göras. Den fråga som då ska besvaras är om de aktuella uppgifterna skulle ha omfattats av sekretess enligt OSL om organisationen hade varit en myndighet som omfattats av OSL.)

Lagen gäller för alla organisationer som till någon del bedriver verksamhet som är av betydelse för Sveriges säkerhet (säkerhetskänslig verksamhet). Dessa organisationer kallas verksamhetsutövare.

Vilken typ av verksamhet, eller del av verksamhet, som är säkerhetskänslig måste avgöras i en bedömning i det enskilda fallet.

Tyvärr är det inte alltid lätt att avgöra vilken typ av verksamhet som är av betydelse för Sveriges säkerhet. Även verksamheter som bedrivs på regional eller lokal nivå kan omfattas av säkerhetsskyddslagen beroende på vilken påverkan de kan ha på Sveriges säkerhet.

Det innebär exempelvis att ett kommunalt energibolag kan omfattas av säkerhetsskyddslagen, även om det inte bedriver verksamhet utanför den egna kommunen.

Den analyserande fasen
För att bedöma om en verksamhet omfattas av säkerhetsskyddslagen måste verksamheten inledningsvis kartläggas i en så kallad säkerhetsskyddsanalys. Detta görs för att identifiera var säkerhetsskyddsklassificerade uppgifter finns och utreda behovet av säkerhetsskydd.

De säkerhetsskyddsklassificerade uppgifterna ska delas in i fyra olika säkerhetsskyddsklasser, utifrån den skada som ett röjande av uppgifterna kan medföra för Sveriges säkerhet.

Klassificeringen är avgörande för vilka skyldigheter som verksamhetsutövaren har enligt lagen. Det gäller bland annat när och vilken nivå på så kallade säkerhetsskyddsavtal behöver ingås med externa leverantörer och vilken säkerhetsprövning av personal – egen och leverantörers – som behöver genomföras.

En säkerhetsskyddsanalys bör utgå från tre grundläggande frågor:

• Vad ska skyddas?
• Mot vad ska det skyddas?
• Hur ska det skyddas?

Det är viktigt att den analys som görs är korrekt och noggrant genomförd. En felaktig bedömning kan nämligen bli kostsam, på olika sätt.

Om en organisation felaktigt kommer till slutsatsen att den omfattas av lagen är risken att den i onödan vidtar en rad kostnadsdrivande åtgärder. Det kan dessutom leda till onödiga begränsningar i den personliga integriteten hos de egna anställda eller anställda hos externa leverantörer, eller till att allmänhetens tillgång till verksamheten i onödan begränsas.

På motsvarande sätt riskerar en organisation som felaktigt gör bedömning att den inte omfattas av lagen att inte ha det skydd som krävs för att skydda verksamheten och dess information. Det kan i slutänden bli kostsamt både för organisationen och samhället i stort om ett antagonistiskt angrepp sker.

Anta att ett kommunalt energibolag både bedriver verksamhet inom energidistribution i ett elnät och erbjuder rådgivning till sina kunder om hur de kan spara energi i sina bostäder.

Den del av verksamheten som avser elnätet är sannolikt av betydelse för Sveriges säkerhet, medan energirådgivningen inte är det. Eftersom energibolaget kan konstatera att det bedriver säkerhetskänslig verksamhet måste det göra en säkerhetsskyddsanalys.

Den analysen kan leda till att bolaget identifierar uppgifter som ska säkerhetsskyddsklassificeras, och som i dagsläget inte har ett tillräckligt skydd. Det kan handla om kartor över elnätet eller ritningar till stationer och annan viktig infrastruktur.

Kartorna och ritningarna kan användas av en antagonistisk angripare för att analysera var ett angrepp skulle vara mest effektivt för att slå ut elförsörjningen. I så fall bör slutsatsen bli att handlingarna måste förvaras säkert, så att informationen inte röjs för obehöriga personer.

Den operativa fasen
När verksamhetsutövaren har gjort sin säkerhetsskyddsanalys påbörjas den mer operativa fasen. Då ska nämligen verksamhetsutövaren, utifrån analysen, planera och vidta de säkerhetsskyddsåtgärder som behövs för att skyddet för Sveriges säkerhet inte ska åsidosättas. Dessa åtgärder kan vara av tre olika typer:

• Informationssäkerhet – åtgärder i syfte att förebygga att uppgifter obehörigen röjs, ändras, görs otillgängliga, förstörs eller annan skadlig inverkan på uppgifter och informationssystem.
• Fysisk säkerhet – åtgärder i syfte att förebygga att obehöriga får tillträde till områden, byggnader och andra anläggningar eller objekt där de kan få tillgång till säkerhetsskyddsklassificerade uppgifter eller där säkerhetskänslig verksamhet i övrigt bedrivs och förebygga skadlig inverkan på sådana områden, byggnader, anläggningar eller objekt.
• Personalsäkerhet – åtgärder i syfte att förebygga att personer som inte är pålitliga från säkerhetssynpunkt deltar i en verksamhet där de kan få tillgång till säkerhetsskyddsklassificerade uppgifter eller i en verksamhet som av någon annan anledning är säkerhetskänslig, och säkerställa att de som deltar i säkerhetskänslig verksamhet har tillräcklig kunskap om säkerhetsskydd.

I bedömningen av vilka säkerhetsskyddsåtgärder som behöver genomföras ska verksamhetsutövaren ta hänsyn till verksamhetens art och omfattning samt vilken typ av säkerhetsskyddsklassificerade uppgifter som finns i verksamheten.

I vårt exempel med det kommunala energibolaget skulle en slutsats av analysen kunna vara att handlingar som tidigare förvarats i en pärm på en hylla på kontoret kan behöva låsas in i ett kassaskåp som bara behöriga medarbetare har tillgång till.

Dessutom måste bolaget lokalisera alla kopior på dokumenten som finns ute i verksamheten och låsa in även dem.

Säkerhetsskyddad upphandling
För upphandlande myndigheter och enheter som bedriver säkerhetskänslig verksamhet påverkar säkerhetsskyddslagen ofta hur upphandlingar genomförs.

Det kan också påverka vilken upphandlingslag som ska tillämpas, den som normalt tillämpas, LOU eller LUF, eller lagen (2011:1029) om upphandling på försvars- och säkerhetsområdet, LUFS.

Men att säkerhetsskyddslagen gäller innebär inte automatiskt att LUFS ska tillämpas för upphandlingen. För att LUFS ska bli tillämplig krävs både att det är fråga om säkerhetsskyddsklassificerade uppgifter och att den aktuella upphandlingen har ett säkerhetssyfte. Har upphandlingen inte ett säkerhetssyfte ska LOU eller LUF tillämpas, trots att det finns säkerhetsskyddsklassificerade uppgifter i upphandlingen.

Om det förekommer säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre i upphandlingen, eller om upphandlingen i övrigt ger leverantören tillgång till säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet, måste säkerhetsskyddsavtal ingås innan någon leverantör får del av säkerhetsklassificerade uppgifter.

Det brukar kallas Säkerhetsskyddad upphandling med säkerhetsskyddsavtal, SUA.

Om exempelvis en av upphandlarna vid det ovan nämnda kommunala energibolaget ska annonsera en upphandling som rör byggentreprenadarbeten kopplade till bolagets kraftstationer och ledningar kan det bli nödvändigt att den vinnande anbudsgivaren får tillgång till vissa av bolagets kartor och ritningar för att kunna utföra arbetena.

Om det i kartorna och ritningarna finns säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell, eller högre, måste energibolaget ingå ett säkerhetsskyddsavtal med den anbudsgivare som vinner upphandlingen.

Det handlar då om en så kallad SUA-upphandling.

Då uppkommer även ett antal andra skyldigheter för energibolaget, exempelvis att:

• Ställa de krav som behövs för att säkerheten ska kunna upprätthållas.
• Anmäla avsikten att ingå ett säkerhetsskyddsavtal till Svenska kraftnät (som är sektorsansvarig myndighet i det aktuella fallet).
• Anmäla säkerhetsskyddsavtalet till Säkerhetspolisen när det ingås och avslutas.
• Fortlöpande kontrollera att leverantören följer säkerhetsskyddsavtalet.
• Förbereda och genomföra avslutandet av säkerhetsskyddsavtalet, till exempel genom att upprätta rutiner för hur säkerhetsskyddsklassificerade uppgifter som leverantören fått ska lämnas tillbaka eller förstöras.

Säkerhetsskyddslagens krav påverkar på så sätt inte bara energibolagets verksamhet, utan även dess förhållande till externa leverantörer och hur energibolagets upphandlingar utformas.

Ibland är det tillräckligt att den anbudsgivare som vinner upphandlingen får del av de säkerhetsskyddsklassificerade uppgifterna. Då är det bara med den anbudsgivaren som ett säkerhetsskyddsavtal måste ingås.

Men ibland behöver alla anbudsgivare få del av uppgifterna för att kunna lämna anbud i upphandlingen. Då måste säkerhetsskyddsavtal ingås med alla anbudsgivarna. Det kan då vara lämpligt att upphandla genom ett tvåstegsförfarande som gör det möjligt för den upphandlande myndigheten att vänta med att tillhandahålla viss information till efter kvalificeringsfasen.

Genom aktivt säkerhetsskyddsarbete skyddas Sveriges säkerhet
Genom att arbeta aktivt med säkerhetsskydd kan upphandlande myndigheter och enheter vidta åtgärder som behövs för att Sveriges säkerhet ska kunna upprätthållas.

När det gäller det kommunala energibolag som vi använt som exempel i denna artikel kan det exempelvis handla om att minska risken för att en antagonistisk angripare kan slå ut delar av den svenska elförsörjningen.

Viktor Robertson
Senior Specialist

André Catry
Senior Adviser

Advokatfirman Kahn Pedersen