Skip to content
  • Prenumerera på Inköpsrådets nyhetsbrev
Inköpsrådet
  • Ämnen
    • EU-domstolen
    • Hyresundantaget
    • Kvalificering
    • Likabehandlingsprincipen
    • Processregler
    • Ramavtal
    • Sekretess
    • Upphandlingsskadeavgift
  • Karriär
    • Lediga jobb
    • Lönestatistik
    • Rekrytera smart med Inköpsrådet
  • Utbildning
  • Konferenser
  • Annonsera
    • Annonsera
    • Platsannonsera
  • Om oss
    • Kontakta oss
    • Integritetsspolicy

Ny lag relevant för offentlig sektor

ExpertkommentarI en tidigare expertkommentar har jag tittat närmare på den föreslagna nya cybersäkerhetslagen och kravet på säkerhet i leveranskedjan från ett utkontrakteringsperspektiv. Bakgrunden var utredningen om genomförande av Nis2-direktivet som kom i mars i år, skriver Peter Nordbeck. Nyligen kom slutbetänkandet Motståndskraft i samhällsviktiga tjänster .

| 2024-10-26
Advokat Peter Nordbeck, Advokatfirman Delphi.

Det var i september som slutbetänkandet Motståndskraft i samhällsviktiga tjänster (SOU 2024:64) kom som har fokus på implementeringen av CER-direktivet (Direktivet om kritiska entiteters motståndskraft). Utredningen föreslår att CER-direktivet införs genom en särskild lag, Lagen om motståndskraft hos kritiska verksamhetsutövare.

Jag kommer att i denna expertkommentar beröra den föreslagna lagstiftningen med ett fokus på utkontraktering inom offentlig sektor.     

Lagens tillämpningsområde
Lagen om motståndskraft hos kritiska verksamhetsutövare reglerar säkerhet i andra avseenden än cybersäkerhet (som regleras i cybersäkerhetslagen). Ett område som regleras i den nya lagen är fysiskt skydd av lokaler och kritisk infrastruktur. Den tillämpas på enskilda och offentliga kritiska verksamhetsutövare som tillhandahåller en samhällsviktig tjänst.

Vilka verksamhetsutövare som är kritiska ska identifieras av respektive tillsynsmyndighet. Enligt utredningen kan lagen, med vissa undantag, komma att omfatta samtliga statliga myndigheter. Även kommuner och regioner kan komma att omfattas genom att dessa bedriver till exempel hälso- och sjukvård. Lagstiftningen är därför av stor relevans för offentlig sektor.

Förslaget innehåller bland annat krav på att kritiska verksamhetsutövare ska:

  • göra en riskbedömning som ska innehålla en redogörelse för alla relevanta risker som skulle kunna leda till en incident. Riskbedömningen ska uppdateras vid behov men minst vart fjärde år.
  • vidta tekniska, säkerhetsmässiga och organisatoriska åtgärder för att säkerställa sin motståndskraft. Åtgärderna ska utgå från ett allriskperspektiv och vara proportionella i förhållande till risken. De ska vidtas på grundval av verksamhetsutövarens riskbedömning samt annan relevant information och inkludera åtgärder som är nödvändiga för att
  1. förhindra incidenter från att uppstå,
  2. reagera på, stå emot och begränsa konsekvenserna av incidenter,
  3. återhämta sig från incidenter,
  4. säkerställa ett tillfredsställande fysiskt skydd av lokaler och kritisk infrastruktur,
  5. säkerställa en ändamålsenlig hantering av personalsäkerhet,
  6. öka kunskapen om åtgärderna för motståndskraft hos berörd personal,
  7. upprätta och tillämpa en plan för motståndskraft eller ett eller flera likvärdiga dokument som beskriver de åtgärder som vidtagits eller ska vidtas, och
  8. utse en samverkansansvarig som utgör kontaktpunkt för berörda myndigheter.

Dessutom ställer lagen krav på att kritiska verksamhetsutövare ska göra en bakgrundskontroll av sina anställda och externa tjänsteleverantörers personal. 

Förhållandet till cybersäkerhetslagen
För samspelet mellan cybersäkerhetslagen och lagen om motståndskraft hos kritiska verksamhetsutövare är en central utgångspunkt att direktivens skyddsföremål är olika saker. Nis2-direktivet skyddar nätverks- och informationssystem, medan CER-direktivet ska skydda en samhällsviktig tjänst i sin helhet, inklusive dess kritiska infrastruktur.

Även om en verksamhetsutövare har vidtagit riskhanteringsåtgärder enligt Nis2-direktivet för att skydda ett visst informationssystem kan man vara skyldig att vidta bredare åtgärder för motståndskraft avseende fysisk säkerhet och kontinuitetsåtgärder enligt CER-direktivet för att säkerställa tillhandahållandet av den samhällsviktiga tjänsten.

För att undvika en eventuell överlappande reglering gäller inte lagen för sådant som regleras i cybersäkerhetslagen. Syftet är att verksamhetsutövaren inte ska behöva genomföra samma åtgärder enligt båda regelverken. Skiljelinjen mellan vad som omfattas av cybersäkerhetslagen respektive lagen om motståndskraft hos kritiska verksamhetsutövare förefaller dock inte helt klar.

Tillämpning på offentlig sektors utkontraktering av it-tjänster
Jag går över till att se på hur lagen om motståndskraft hos kritiska verksamhetsutövare kan komma att tillämpas på offentlig sektors utkontraktering av it-tjänster.

Till skillnad från cybersäkerhetslagen, finns det inte något krav på att säkerställa säkerhet i leveranskedjan, det vill säga en skyldighet att se till att motsvarade säkerhetskrav även tillämpas på leverantörer.

Visserligen omfattas sektorn digital infrastruktur av lagen, men enligt en uttrycklig bestämmelse gäller inte ett flertal krav – inklusive de krav som anges ovan – för kritiska verksamhetsutövare inom sektorn digital infrastruktur.

En tolkning som kan göras är att skyddsföremålet för lagen om motståndskraft hos kritiska verksamhetsutövare är smalare än det som gäller för cybersäkerhetslagen, och inte sträcker sig till exempelvis fysisk infrastruktur som innehas av leverantörer av IT-tjänster till vilka utkontraktering sker.

I endast ett sammanhang nämner utredningen (och CER-direktivet) underleverantörer. Det är i samband med kravet på bakgrundskontroller, där det anges att sådana kan komma att omfatta inte endast den som är anställd, eller övervägs för anställning, hos den kritiska verksamhetsutövaren utan även exempelvis konsulter och underlerverantörer vars deltagande ger motsvarande möjlig påverkan på den samhällsviktiga tjänsten. Att underleverantörer till verksamhetsutövaren inte nämns på flera ställen talar, enligt min uppfattning, för tolkningen i föregående stycke.

Om syftet med CER-direktivet är att skydda en samhällsviktig tjänst i sin helhet, inklusive dess kritiska infrastruktur, kan det argumenteras för att syftet inte helt uppnås i de fall som offentlig sektor utkontrakterar it-tjänster.

Vid utkontraktering omfattas nätverks- och informationssystem hos outsourcingleverantören av Nis2-direktivet (cybersäkerhetslagen) genom kraven på säkerhet i leveranskedjan. Däremot faller infrastruktur som outsourcingleverantören använder för att leverera it-tjänsten, och som inte omfattas av cybersäkerhetslagen, utanför tillämpningen av CER-direktivet (lagen om motståndskraft hos kritiska verksamhetsutövare). Det riskerar att uppkomma ett ”glapp”, bland annat när det gäller säkerheten i den fysiska infrastruktur som outsourcingleverantören använder vid sin leverans av it-tjänster till den offentliga verksamhetsutövaren.  

Konsekvenser för avtalet om utkontraktering
Jämfört med Nis2-direktivet och cybersäkerhetslagen ställer CER-direktivet och den föreslagna lagen om motståndskraft hos kritiska verksamhetsutövare inte lika höga krav på utformningen av avtalet om utkontraktering.

Som jag beskrivit i en tidigare expertkommentar, innebär den föreslagna cybersäkerhetslagen krav på att avtalet speglar ett relativt stort antal bestämmelser som finns i lagen. I lagen om motståndskraft hos kritiska verksamhetsutövare är det endast en sådan bestämmelse som tydligt kan identifieras. Det är kravet på att göra bakgrundskontroller av outsourcingleverantörens personal, vilket kan behöva speglas i avtalet.

Samtidigt befinner vi oss tidigt i lagstiftningsprocessen och det är inte klart hur cybersäkerhetslagen och lagen om motståndskraft hos kritiska verksamhetsutövare ska tolkas i ljuset av offentlig sektors utkontraktering. Vi kan förhoppningsvis räkna med att det kommer värdefulla klarlägganden framöver.   

Även i den utsträckning det inte följer av den nya föreslagna lagen, är det lämpligt att avtalet om utkontraktering ställer krav på outsourcingleverantören som avser skyddet av den samhällsviktiga tjänsten som helhet, bland annat även krav som tar sikte på leverantörens fysiska infrastruktur. Denna typ av krav hittar man regelmässigt bland de informationssäkerhetskrav som uppställs i avtal om utkontraktering.    

Peter Nordbeck
Advokat, Advokatfirman Delphi

 

   

Få din fråga om upphandling besvarad
Skickar

Läs mer: CybersäkerhetExpertkommentarNis2-direktivet

Kommentatorerna ansvarar för sina egna kommentarer

Lämna ett svar Avbryt svar

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *

Fler artiklar

Lediga jobb

Upphandlingsjurister till Statens inköpscentral på Kammarkollegiet

Svenska Bostäder söker entreprenadupphandlare

Avtalscontroller inom välfärdsbrottslighet till Sollentuna kommun

  • Rekrytera rätt kompetens med Inköpsrådet

Peter Nordbeck

Peter Nordbeck har över tjugo års erfarenhet av att arbeta med it-rättsliga frågor. Han fokuserar på outsourcing, molntjänstavtal och dataskydd och biträder klienter både inom privat och offentlig sektor. Vanliga ärenden är upprättande av avtal vid upphandlingar och risk- och sårbarhetsanalyser när myndigheter och andra enheter inom offentlig sektor tänker anlita molntjänstleverantörer. Han föreläser regelbundet om it-avtal, molntjänster och dataskydd.
ANNONS FRÅN UPPHANDLING24

Lär dig LOU av en expert

En kursledare med ambitionen att förenkla upphandlarens vardag. Grundläggande LOU med nyheter och praxis. Mathias Sylvan guidar dig rätt i regelverket och djupdyker i valda delar.

Förslag 2: Gör teckal-undantaget mer lättlästFörslag 2: Gör teckal-undantaget mer lättläst
Hur allvarligt fel krävs för uteslutning?Hur allvarligt fel krävs för uteslutning?
Så ändras överprövnings- och skadeståndsreglernaSå ändras överprövnings- och skadeståndsreglerna
Avsteg från centralt villkor medförde upphandlingsskadeavgiftAvsteg från centralt villkor medförde upphandlingsskadeavgift
Ny vägledning för att hantera leverantörer utanför EUNy vägledning för att hantera leverantörer utanför EU
Misstanke om jäv räcker inte för att avbrytaMisstanke om jäv räcker inte för att avbryta
Förslag 1: Förhandlat förfarande bör tillåtas utan angivna skälFörslag 1: Förhandlat förfarande bör tillåtas utan angivna skäl
Krävs mer än spekulationer för utredningsansvarKrävs mer än spekulationer för utredningsansvar

Nytt från Upphandling24

  • UKÄ tvingas böta 90 000
  • Tveksamt asfaltsköp på Åland
  • Kvinnor dominerar växande kår
  • Falkenberg rekryterar dubbelt
  • Mot nollutsläpp med nya grepp
  • Livsmedelsupphandlare med många järn i elden
  • Pionjär inom cirkulära förkläden

Kommentarer från läsarna

Andreas : Hur allvarligt fel krävs för uteslutning?
Någon som har målnummer på kammarrättspraxis angående de fakultativa grunderna och att man kan välja tillämpning där? Hade missat det.
Upphandlare : Hur allvarligt fel krävs för uteslutning?
En fråga till författarna med anledning av analysens första stycke. Skulle det alltså vara ok att UM behåller valfriheten att…
Mikael Johansson : Förslag 1: Förhandlat förfarande bör tillåtas utan angivna skäl
Tack för att du lyfter detta. Det borde rimligtvis bli större möjligheter att använda det alla fall. Jobbade med LUF…
Anna : Förslag 1: Förhandlat förfarande bör tillåtas utan angivna skäl
Jag är helt med på Davids linje att genomföra förhandlat förfarande i ett steg. Jag har även kombinerat konkurrenspräglad dialog…
David Sundgren : Förslag 1: Förhandlat förfarande bör tillåtas utan angivna skäl
Håller helt med! Jag har genomfört förhandlade förfaranden i ett steg och så länge ingen lider skada ser jag inget…
David Sundgren : Förslag 1: Förhandlat förfarande bör tillåtas utan angivna skäl
Ja, men vad är det som hindrar att anbuden justeras efter ett anbudsmöte i ett öppet förfarande om inga obligatoriska…
Kristian Pedersen : Förslag 1: Förhandlat förfarande bör tillåtas utan angivna skäl
Precis! Kostnader, såsom transaktionskostnader, måste som du är inne på alltid vägas mot nyttan. Min uppfattning är dock att det…
Kristian Pedersen : Förslag 1: Förhandlat förfarande bör tillåtas utan angivna skäl
Intressanta reflektioner. Jag har dock lite svårt att se att risken för oproportionerligt ökad favorisering och korruption skulle vara större…
Undrande upphandlare : Förslag 1: Förhandlat förfarande bör tillåtas utan angivna skäl
Jag har personligen alltid under alla år jag har jobbat med detta (ca 20) undrat över varför ett förhandlat förfarande…
Kristian Pedersen : Förslag 1: Förhandlat förfarande bör tillåtas utan angivna skäl
Det stämmer att anbudspresentationer och andra typer av möten kan genomföras även i exempelvis öppna förfaranden, men några förhandlingar får…

Senaste inläggen

  • Förslag 2: Gör teckal-undantaget mer lättläst
  • Hur allvarligt fel krävs för uteslutning?
  • Så ändras överprövnings- och skadeståndsreglerna
  • Avsteg från centralt villkor medförde upphandlingsskadeavgift
  • Ny vägledning för att hantera leverantörer utanför EU
  • Misstanke om jäv räcker inte för att avbryta
  • Förslag 1: Förhandlat förfarande bör tillåtas utan angivna skäl
  • Krävs mer än spekulationer för utredningsansvar
  • Ogiltigt, oacceptabelt, olämpligt – en orimlig (o)ordning?
  • Advokatbyråns 15 förbättringsförslag
  • Oklara omständigheter för preklusionsregler
  • Upphandlingsrättsliga föreningen firade 15 år
  • Annika är upphandlingsjuristen som inte ville bli jurist
  • Allvarligt fel när vd begått brott
  • Fel att förkasta anbud som onormalt lågt

Aktuella utbildningar

Delta på distans eller på plats i Stockholm. Valet är ditt.

  • Säkerhetsskyddad upphandling | 14 maj
  • Kvalificerad entreprenad­upphandlare | 22-23 oktober
  • Ramavtal – fördjupningskurs | 6 november
  • Kvalificerad IT-upphandlare | 12-13 november
  • Leda upphandlingar effektivt | 20 november
  • Entreprenadupphandling och AMA AF | 25 november
  • LOU på två dagar | 2-3 december
  • Kvalificerad IT-upphandlare – Steg 2 praktisk tillämpning | Hösten 2025
  • Få fart på er avtals­förvaltning | Hösten 2025