Skip to content
  • Prenumerera på Inköpsrådets nyhetsbrev
Inköpsrådet
  • Ämnen
    • EU-domstolen
    • Hyresundantaget
    • Kvalificering
    • Likabehandlingsprincipen
    • Processregler
    • Ramavtal
    • Sekretess
    • Upphandlingsskadeavgift
  • Karriär
    • Lediga jobb
    • Lönestatistik
    • Rekrytera smart med Inköpsrådet
  • Utbildning
  • Konferenser
  • Annonsera
    • Annonsera
    • Platsannonsera
  • Om oss
    • Kontakta oss
    • Integritetsspolicy

Ny lag relevant för offentlig sektor

ExpertkommentarI en tidigare expertkommentar har jag tittat närmare på den föreslagna nya cybersäkerhetslagen och kravet på säkerhet i leveranskedjan från ett utkontrakteringsperspektiv. Bakgrunden var utredningen om genomförande av Nis2-direktivet som kom i mars i år, skriver Peter Nordbeck. Nyligen kom slutbetänkandet Motståndskraft i samhällsviktiga tjänster .

| 2024-10-26
Advokat Peter Nordbeck, Advokatfirman Delphi.

Det var i september som slutbetänkandet Motståndskraft i samhällsviktiga tjänster (SOU 2024:64) kom som har fokus på implementeringen av CER-direktivet (Direktivet om kritiska entiteters motståndskraft). Utredningen föreslår att CER-direktivet införs genom en särskild lag, Lagen om motståndskraft hos kritiska verksamhetsutövare.

Jag kommer att i denna expertkommentar beröra den föreslagna lagstiftningen med ett fokus på utkontraktering inom offentlig sektor.     

Lagens tillämpningsområde
Lagen om motståndskraft hos kritiska verksamhetsutövare reglerar säkerhet i andra avseenden än cybersäkerhet (som regleras i cybersäkerhetslagen). Ett område som regleras i den nya lagen är fysiskt skydd av lokaler och kritisk infrastruktur. Den tillämpas på enskilda och offentliga kritiska verksamhetsutövare som tillhandahåller en samhällsviktig tjänst.

Vilka verksamhetsutövare som är kritiska ska identifieras av respektive tillsynsmyndighet. Enligt utredningen kan lagen, med vissa undantag, komma att omfatta samtliga statliga myndigheter. Även kommuner och regioner kan komma att omfattas genom att dessa bedriver till exempel hälso- och sjukvård. Lagstiftningen är därför av stor relevans för offentlig sektor.

Förslaget innehåller bland annat krav på att kritiska verksamhetsutövare ska:

  • göra en riskbedömning som ska innehålla en redogörelse för alla relevanta risker som skulle kunna leda till en incident. Riskbedömningen ska uppdateras vid behov men minst vart fjärde år.
  • vidta tekniska, säkerhetsmässiga och organisatoriska åtgärder för att säkerställa sin motståndskraft. Åtgärderna ska utgå från ett allriskperspektiv och vara proportionella i förhållande till risken. De ska vidtas på grundval av verksamhetsutövarens riskbedömning samt annan relevant information och inkludera åtgärder som är nödvändiga för att
  1. förhindra incidenter från att uppstå,
  2. reagera på, stå emot och begränsa konsekvenserna av incidenter,
  3. återhämta sig från incidenter,
  4. säkerställa ett tillfredsställande fysiskt skydd av lokaler och kritisk infrastruktur,
  5. säkerställa en ändamålsenlig hantering av personalsäkerhet,
  6. öka kunskapen om åtgärderna för motståndskraft hos berörd personal,
  7. upprätta och tillämpa en plan för motståndskraft eller ett eller flera likvärdiga dokument som beskriver de åtgärder som vidtagits eller ska vidtas, och
  8. utse en samverkansansvarig som utgör kontaktpunkt för berörda myndigheter.

Dessutom ställer lagen krav på att kritiska verksamhetsutövare ska göra en bakgrundskontroll av sina anställda och externa tjänsteleverantörers personal. 

Förhållandet till cybersäkerhetslagen
För samspelet mellan cybersäkerhetslagen och lagen om motståndskraft hos kritiska verksamhetsutövare är en central utgångspunkt att direktivens skyddsföremål är olika saker. Nis2-direktivet skyddar nätverks- och informationssystem, medan CER-direktivet ska skydda en samhällsviktig tjänst i sin helhet, inklusive dess kritiska infrastruktur.

Även om en verksamhetsutövare har vidtagit riskhanteringsåtgärder enligt Nis2-direktivet för att skydda ett visst informationssystem kan man vara skyldig att vidta bredare åtgärder för motståndskraft avseende fysisk säkerhet och kontinuitetsåtgärder enligt CER-direktivet för att säkerställa tillhandahållandet av den samhällsviktiga tjänsten.

För att undvika en eventuell överlappande reglering gäller inte lagen för sådant som regleras i cybersäkerhetslagen. Syftet är att verksamhetsutövaren inte ska behöva genomföra samma åtgärder enligt båda regelverken. Skiljelinjen mellan vad som omfattas av cybersäkerhetslagen respektive lagen om motståndskraft hos kritiska verksamhetsutövare förefaller dock inte helt klar.

Tillämpning på offentlig sektors utkontraktering av it-tjänster
Jag går över till att se på hur lagen om motståndskraft hos kritiska verksamhetsutövare kan komma att tillämpas på offentlig sektors utkontraktering av it-tjänster.

Till skillnad från cybersäkerhetslagen, finns det inte något krav på att säkerställa säkerhet i leveranskedjan, det vill säga en skyldighet att se till att motsvarade säkerhetskrav även tillämpas på leverantörer.

Visserligen omfattas sektorn digital infrastruktur av lagen, men enligt en uttrycklig bestämmelse gäller inte ett flertal krav – inklusive de krav som anges ovan – för kritiska verksamhetsutövare inom sektorn digital infrastruktur.

En tolkning som kan göras är att skyddsföremålet för lagen om motståndskraft hos kritiska verksamhetsutövare är smalare än det som gäller för cybersäkerhetslagen, och inte sträcker sig till exempelvis fysisk infrastruktur som innehas av leverantörer av IT-tjänster till vilka utkontraktering sker.

I endast ett sammanhang nämner utredningen (och CER-direktivet) underleverantörer. Det är i samband med kravet på bakgrundskontroller, där det anges att sådana kan komma att omfatta inte endast den som är anställd, eller övervägs för anställning, hos den kritiska verksamhetsutövaren utan även exempelvis konsulter och underlerverantörer vars deltagande ger motsvarande möjlig påverkan på den samhällsviktiga tjänsten. Att underleverantörer till verksamhetsutövaren inte nämns på flera ställen talar, enligt min uppfattning, för tolkningen i föregående stycke.

Om syftet med CER-direktivet är att skydda en samhällsviktig tjänst i sin helhet, inklusive dess kritiska infrastruktur, kan det argumenteras för att syftet inte helt uppnås i de fall som offentlig sektor utkontrakterar it-tjänster.

Vid utkontraktering omfattas nätverks- och informationssystem hos outsourcingleverantören av Nis2-direktivet (cybersäkerhetslagen) genom kraven på säkerhet i leveranskedjan. Däremot faller infrastruktur som outsourcingleverantören använder för att leverera it-tjänsten, och som inte omfattas av cybersäkerhetslagen, utanför tillämpningen av CER-direktivet (lagen om motståndskraft hos kritiska verksamhetsutövare). Det riskerar att uppkomma ett ”glapp”, bland annat när det gäller säkerheten i den fysiska infrastruktur som outsourcingleverantören använder vid sin leverans av it-tjänster till den offentliga verksamhetsutövaren.  

Konsekvenser för avtalet om utkontraktering
Jämfört med Nis2-direktivet och cybersäkerhetslagen ställer CER-direktivet och den föreslagna lagen om motståndskraft hos kritiska verksamhetsutövare inte lika höga krav på utformningen av avtalet om utkontraktering.

Som jag beskrivit i en tidigare expertkommentar, innebär den föreslagna cybersäkerhetslagen krav på att avtalet speglar ett relativt stort antal bestämmelser som finns i lagen. I lagen om motståndskraft hos kritiska verksamhetsutövare är det endast en sådan bestämmelse som tydligt kan identifieras. Det är kravet på att göra bakgrundskontroller av outsourcingleverantörens personal, vilket kan behöva speglas i avtalet.

Samtidigt befinner vi oss tidigt i lagstiftningsprocessen och det är inte klart hur cybersäkerhetslagen och lagen om motståndskraft hos kritiska verksamhetsutövare ska tolkas i ljuset av offentlig sektors utkontraktering. Vi kan förhoppningsvis räkna med att det kommer värdefulla klarlägganden framöver.   

Även i den utsträckning det inte följer av den nya föreslagna lagen, är det lämpligt att avtalet om utkontraktering ställer krav på outsourcingleverantören som avser skyddet av den samhällsviktiga tjänsten som helhet, bland annat även krav som tar sikte på leverantörens fysiska infrastruktur. Denna typ av krav hittar man regelmässigt bland de informationssäkerhetskrav som uppställs i avtal om utkontraktering.    

Peter Nordbeck
Advokat, Advokatfirman Delphi

 

   

Få din fråga om upphandling besvarad
Skickar

Läs mer: CybersäkerhetExpertkommentarNis2-direktivet

Kommentatorerna ansvarar för sina egna kommentarer

Lämna ett svar Avbryt svar

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *

Fler artiklar

Lediga jobb

Strategisk Entreprenad­upphandlare/­kategori­ledare till Stockholm Vatten och Avfall

  • Avtalscontroller till Sektionen för inköp och upphandling
  • Rekrytera rätt kompetens med Inköpsrådet

Peter Nordbeck

Peter Nordbeck har över tjugo års erfarenhet av att arbeta med it-rättsliga frågor. Han fokuserar på outsourcing, molntjänstavtal och dataskydd och biträder klienter både inom privat och offentlig sektor. Vanliga ärenden är upprättande av avtal vid upphandlingar och risk- och sårbarhetsanalyser när myndigheter och andra enheter inom offentlig sektor tänker anlita molntjänstleverantörer. Han föreläser regelbundet om it-avtal, molntjänster och dataskydd.
ANNONS FRÅN UPPHANDLING24

Pernilla Norman

Kursen gör SUA begripligt

Anna David, upphandlare vid Jönköping Energi, rekommenderar alla som upphandlar något skyddsvärt att gå utbildningen Säkerhetsskyddad upphandling:
– Kursen är jättebra, pedagogisk, lätt att förstå och följa, säger Anna David.

Advokatbyråns 15 förbättringsförslagAdvokatbyråns 15 förbättringsförslag
Oklara omständigheter för preklusionsreglerOklara omständigheter för preklusionsregler
Upphandlingsrättsliga föreningen firade 15 årUpphandlingsrättsliga föreningen firade 15 år
Annika är upphandlingsjuristen som inte ville bli juristAnnika är upphandlingsjuristen som inte ville bli jurist
Allvarligt fel när vd begått brottAllvarligt fel när vd begått brott
Fel att förkasta anbud som onormalt lågtFel att förkasta anbud som onormalt lågt
Subjektiv objektivitetSubjektiv objektivitet
Ok med förhandlat oannonserat förfarandeOk med förhandlat oannonserat förfarande

Nytt från Upphandling24

  • Kontrolltjänst med förhinder
  • Riksdagsenighet om IPI
  • Utlovar enklare annonsering
  • Nya perspektiv från syd
  • Växer med kommunsamverkan
  • Politisk träta om extramiljoner
  • Inköpsvolymen ökar kraftigt

Kommentarer från läsarna

Björn : Oklara omständigheter för preklusionsregler
Jag saknar grundläggande information i fallet. Det verkar uppenbart att domstolen inte iaktog kontexten så jag anser är av avgörande…
Björn : Fel att förkasta anbud som onormalt lågt
Den som följer diskussioner om onormalt låga priser måste slås av myndigheternas och rättsväsendets total oförmåga att tackla relativt enkla…
Frans : Oklara omständigheter för preklusionsregler
Intressant! "Skäl till varför en omständighet ska få åberopas utgör knappast i sig en omständighet till stöd för en talan…
Eva : Subjektiv objektivitet
Förbittrad som leverantör blir man, när det hänvisas till ospecifiecad "kvalitet" Hur skall man som leverantör veta vad som kan…
Nils Larsson : Subjektiv objektivitet
Jag håller med, det är inte bra när utvärderingar ser godtyckliga ut, oavsett om de är det eller inte. Bortsett…
Johan : Ok med förhandlat oannonserat förfarande
Lagstiftaren har gjort det väldigt krångligt för alla inblandade genom att skilja på anbud som är: 1. ogiltiga 2. olämpliga…
En annan Björn : Fel datum – skäl för ingripande och rättelse
"Oaktat detta anser vi att den här typen av domar är betydelsefulla för övergripande diskussioner och debatt." Jag håller med!…
Håkan : Fel datum – skäl för ingripande och rättelse
2010? Skulle kunna tolkas som år 2010? Lite äldre än 3 år då..
David Sundgren : Fel datum – skäl för ingripande och rättelse
Jag anser nog att "datum" betyder att en viss dag ska kunna identifieras. "Oktober 2020" är således inget datum. Det…
Björn : Fel datum – skäl för ingripande och rättelse
Är det någon annan som undrar vem som bestämde att ett datum betyder "YYYYMMDD"? Jag anser att exempelvis "17 februari"…

Senaste inläggen

  • Advokatbyråns 15 förbättringsförslag
  • Oklara omständigheter för preklusionsregler
  • Upphandlingsrättsliga föreningen firade 15 år
  • Annika är upphandlingsjuristen som inte ville bli jurist
  • Allvarligt fel när vd begått brott
  • Fel att förkasta anbud som onormalt lågt
  • Subjektiv objektivitet
  • Ok med förhandlat oannonserat förfarande
  • Leverantörer från tredjeland kan uteslutas
  • Hur bevisas yrkesmässig kapacitet?
  • Inte ok med koncernbolag i samma upphandling
  • Fel datum – skäl för ingripande och rättelse
  • Tilldelningsbeslut = slutbehandlat ärende
  • Tydligare gränser för hyresundantaget
  • Sunda företag vill ha högre hållbarhetskrav

Aktuella utbildningar

Delta på distans eller på plats i Stockholm. Valet är ditt.

  • Robusta IT-avtal | 28 april
  • Hållbar upphandling | 29 april
  • LOU på två dagar | 6-7 maj
  • Entreprenadupphandling och AMA AF | 8 maj
  • Säkerhetsskyddad upphandling | 14 maj
  • Kvalificerad IT-upphandlare – Steg 2 praktisk tillämpning | Hösten 2025
  • Praktisk avtalsrätt inom LOU och LUF | Hösten 2025
  • Anbudsutvärdering | Hösten 2025
  • Kvalificerad entreprenad­upphandlare | Hösten 2025
  • Leda upphandlingar effektivt | Hösten 2025
  • Få fart på er avtals­förvaltning | Hösten 2025
  • Kvalificerad IT-upphandlare | Hösten 2025
  • Ramavtal – fördjupningskurs | Hösten 2025