Skip to content
  • Prenumerera på Inköpsrådets nyhetsbrev
Inköpsrådet
  • Ämnen
    • EU-domstolen
    • Hyresundantaget
    • Kvalificering
    • Likabehandlingsprincipen
    • Processregler
    • Ramavtal
    • Sekretess
    • Upphandlingsskadeavgift
  • Karriär
    • Lediga jobb
    • Lönestatistik
    • Rekrytera smart med Inköpsrådet
  • Utbildning
  • Konferenser
  • Annonsera
    • Annonsera
    • Platsannonsera
  • Om oss
    • Kontakta oss
    • Integritetsspolicy

Säkerhetsskyddad upphandling

JuridikDEL 2. Skyddet av Sveriges säkerhet är en aspekt av informationssäkerhet vid upphandling. I den andra delen av Inköpsrådets serie om upphandling och informationssäkerhet går Viktor Robertson och André Catry, Advokatfirman Kahn Pedersen, igenom grunderna i säkerhetsskyddslagen och hur den påverkar upphandlingar.

| 2021-02-25
Viktor Robertson och André Catry, Advokatfirman Kahn Pedersen.

Säkerhetsskyddslagens syfte är att genom förebyggande åtgärder skydda Sveriges säkerhet mot spioneri, sabotage, terroristbrott och andra brott.

Dessutom ska lagen skydda andra säkerhetsskyddsklassificerade uppgifter, det vill säga uppgifter som rör säkerhetskänslig verksamhet och som därför omfattas av sekretess enligt offentlighets- och sekretesslagen, OSL. (För privata organisationer, som inte omfattas av OSL, måste i stället ett hypotetiskt test göras. Den fråga som då ska besvaras är om de aktuella uppgifterna skulle ha omfattats av sekretess enligt OSL om organisationen hade varit en myndighet som omfattats av OSL.)

Lagen gäller för alla organisationer som till någon del bedriver verksamhet som är av betydelse för Sveriges säkerhet (säkerhetskänslig verksamhet). Dessa organisationer kallas verksamhetsutövare.

Vilken typ av verksamhet, eller del av verksamhet, som är säkerhetskänslig måste avgöras i en bedömning i det enskilda fallet.

Tyvärr är det inte alltid lätt att avgöra vilken typ av verksamhet som är av betydelse för Sveriges säkerhet. Även verksamheter som bedrivs på regional eller lokal nivå kan omfattas av säkerhetsskyddslagen beroende på vilken påverkan de kan ha på Sveriges säkerhet.

Det innebär exempelvis att ett kommunalt energibolag kan omfattas av säkerhetsskyddslagen, även om det inte bedriver verksamhet utanför den egna kommunen.

Den analyserande fasen
För att bedöma om en verksamhet omfattas av säkerhetsskyddslagen måste verksamheten inledningsvis kartläggas i en så kallad säkerhetsskyddsanalys. Detta görs för att identifiera var säkerhetsskyddsklassificerade uppgifter finns och utreda behovet av säkerhetsskydd.

De säkerhetsskyddsklassificerade uppgifterna ska delas in i fyra olika säkerhetsskyddsklasser, utifrån den skada som ett röjande av uppgifterna kan medföra för Sveriges säkerhet.

Klassificeringen är avgörande för vilka skyldigheter som verksamhetsutövaren har enligt lagen. Det gäller bland annat när och vilken nivå på så kallade säkerhetsskyddsavtal behöver ingås med externa leverantörer och vilken säkerhetsprövning av personal – egen och leverantörers – som behöver genomföras.

En säkerhetsskyddsanalys bör utgå från tre grundläggande frågor:

  • Vad ska skyddas?
  • Mot vad ska det skyddas?
  • Hur ska det skyddas?

Det är viktigt att den analys som görs är korrekt och noggrant genomförd. En felaktig bedömning kan nämligen bli kostsam, på olika sätt.

Om en organisation felaktigt kommer till slutsatsen att den omfattas av lagen är risken att den i onödan vidtar en rad kostnadsdrivande åtgärder. Det kan dessutom leda till onödiga begränsningar i den personliga integriteten hos de egna anställda eller anställda hos externa leverantörer, eller till att allmänhetens tillgång till verksamheten i onödan begränsas.

På motsvarande sätt riskerar en organisation som felaktigt gör bedömning att den inte omfattas av lagen att inte ha det skydd som krävs för att skydda verksamheten och dess information. Det kan i slutänden bli kostsamt både för organisationen och samhället i stort om ett antagonistiskt angrepp sker.

Anta att ett kommunalt energibolag både bedriver verksamhet inom energidistribution i ett elnät och erbjuder rådgivning till sina kunder om hur de kan spara energi i sina bostäder.

Den del av verksamheten som avser elnätet är sannolikt av betydelse för Sveriges säkerhet, medan energirådgivningen inte är det. Eftersom energibolaget kan konstatera att det bedriver säkerhetskänslig verksamhet måste det göra en säkerhetsskyddsanalys.

Den analysen kan leda till att bolaget identifierar uppgifter som ska säkerhetsskyddsklassificeras, och som i dagsläget inte har ett tillräckligt skydd. Det kan handla om kartor över elnätet eller ritningar till stationer och annan viktig infrastruktur.

Kartorna och ritningarna kan användas av en antagonistisk angripare för att analysera var ett angrepp skulle vara mest effektivt för att slå ut elförsörjningen. I så fall bör slutsatsen bli att handlingarna måste förvaras säkert, så att informationen inte röjs för obehöriga personer.

Den operativa fasen
När verksamhetsutövaren har gjort sin säkerhetsskyddsanalys påbörjas den mer operativa fasen. Då ska nämligen verksamhetsutövaren, utifrån analysen, planera och vidta de säkerhetsskyddsåtgärder som behövs för att skyddet för Sveriges säkerhet inte ska åsidosättas. Dessa åtgärder kan vara av tre olika typer:

  • Informationssäkerhet – åtgärder i syfte att förebygga att uppgifter obehörigen röjs, ändras, görs otillgängliga, förstörs eller annan skadlig inverkan på uppgifter och informationssystem.
  • Fysisk säkerhet – åtgärder i syfte att förebygga att obehöriga får tillträde till områden, byggnader och andra anläggningar eller objekt där de kan få tillgång till säkerhetsskyddsklassificerade uppgifter eller där säkerhetskänslig verksamhet i övrigt bedrivs och förebygga skadlig inverkan på sådana områden, byggnader, anläggningar eller objekt.
  • Personalsäkerhet – åtgärder i syfte att förebygga att personer som inte är pålitliga från säkerhetssynpunkt deltar i en verksamhet där de kan få tillgång till säkerhetsskyddsklassificerade uppgifter eller i en verksamhet som av någon annan anledning är säkerhetskänslig, och säkerställa att de som deltar i säkerhetskänslig verksamhet har tillräcklig kunskap om säkerhetsskydd.

I bedömningen av vilka säkerhetsskyddsåtgärder som behöver genomföras ska verksamhetsutövaren ta hänsyn till verksamhetens art och omfattning samt vilken typ av säkerhetsskyddsklassificerade uppgifter som finns i verksamheten.

I vårt exempel med det kommunala energibolaget skulle en slutsats av analysen kunna vara att handlingar som tidigare förvarats i en pärm på en hylla på kontoret kan behöva låsas in i ett kassaskåp som bara behöriga medarbetare har tillgång till.

Dessutom måste bolaget lokalisera alla kopior på dokumenten som finns ute i verksamheten och låsa in även dem.

Säkerhetsskyddad upphandling
För upphandlande myndigheter och enheter som bedriver säkerhetskänslig verksamhet påverkar säkerhetsskyddslagen ofta hur upphandlingar genomförs.

Det kan också påverka vilken upphandlingslag som ska tillämpas, den som normalt tillämpas, LOU eller LUF, eller lagen (2011:1029) om upphandling på försvars- och säkerhetsområdet, LUFS.

Men att säkerhetsskyddslagen gäller innebär inte automatiskt att LUFS ska tillämpas för upphandlingen. För att LUFS ska bli tillämplig krävs både att det är fråga om säkerhetsskyddsklassificerade uppgifter och att den aktuella upphandlingen har ett säkerhetssyfte. Har upphandlingen inte ett säkerhetssyfte ska LOU eller LUF tillämpas, trots att det finns säkerhetsskyddsklassificerade uppgifter i upphandlingen.

Om det förekommer säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre i upphandlingen, eller om upphandlingen i övrigt ger leverantören tillgång till säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet, måste säkerhetsskyddsavtal ingås innan någon leverantör får del av säkerhetsklassificerade uppgifter.

Det brukar kallas Säkerhetsskyddad upphandling med säkerhetsskyddsavtal, SUA.

Om exempelvis en av upphandlarna vid det ovan nämnda kommunala energibolaget ska annonsera en upphandling som rör byggentreprenadarbeten kopplade till bolagets kraftstationer och ledningar kan det bli nödvändigt att den vinnande anbudsgivaren får tillgång till vissa av bolagets kartor och ritningar för att kunna utföra arbetena.

Om det i kartorna och ritningarna finns säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell, eller högre, måste energibolaget ingå ett säkerhetsskyddsavtal med den anbudsgivare som vinner upphandlingen.

Det handlar då om en så kallad SUA-upphandling.

Då uppkommer även ett antal andra skyldigheter för energibolaget, exempelvis att:

  • Ställa de krav som behövs för att säkerheten ska kunna upprätthållas.
  • Anmäla avsikten att ingå ett säkerhetsskyddsavtal till Svenska kraftnät (som är sektorsansvarig myndighet i det aktuella fallet).
  • Anmäla säkerhetsskyddsavtalet till Säkerhetspolisen när det ingås och avslutas.
  • Fortlöpande kontrollera att leverantören följer säkerhetsskyddsavtalet.
  • Förbereda och genomföra avslutandet av säkerhetsskyddsavtalet, till exempel genom att upprätta rutiner för hur säkerhetsskyddsklassificerade uppgifter som leverantören fått ska lämnas tillbaka eller förstöras.

Säkerhetsskyddslagens krav påverkar på så sätt inte bara energibolagets verksamhet, utan även dess förhållande till externa leverantörer och hur energibolagets upphandlingar utformas.

Ibland är det tillräckligt att den anbudsgivare som vinner upphandlingen får del av de säkerhetsskyddsklassificerade uppgifterna. Då är det bara med den anbudsgivaren som ett säkerhetsskyddsavtal måste ingås.

Men ibland behöver alla anbudsgivare få del av uppgifterna för att kunna lämna anbud i upphandlingen. Då måste säkerhetsskyddsavtal ingås med alla anbudsgivarna. Det kan då vara lämpligt att upphandla genom ett tvåstegsförfarande som gör det möjligt för den upphandlande myndigheten att vänta med att tillhandahålla viss information till efter kvalificeringsfasen.

Genom aktivt säkerhetsskyddsarbete skyddas Sveriges säkerhet
Genom att arbeta aktivt med säkerhetsskydd kan upphandlande myndigheter och enheter vidta åtgärder som behövs för att Sveriges säkerhet ska kunna upprätthållas.

När det gäller det kommunala energibolag som vi använt som exempel i denna artikel kan det exempelvis handla om att minska risken för att en antagonistisk angripare kan slå ut delar av den svenska elförsörjningen.

Viktor Robertson
Senior Specialist

André Catry
Senior Adviser

Advokatfirman Kahn Pedersen

 
Detta är del 2 i serien om informationssäkerhet som omfattar fem delar:
1. Hot och risker inför en upphandling

Annons

Lär dig mer om säkerhetsskyddad upphandling! Upphandling24 arrangerar en populär heldagsutbildning med Viktor Robertson för dig som lämnar uppdrag, använder tjänster eller annat som innebär att utomstående leverantörer får tillgång till säkerhetskänslig verksamhet och därför behöver veta när det behöver upphandlas genom säkerhetsskyddad upphandling. Läs mer här!

Läs mer: JuridikSekretess och offentlighetSäkerhetsskyddad upphandlingUpphandling

Kommentatorerna ansvarar för sina egna kommentarer

2 kommentarer på "Säkerhetsskyddad upphandling"

  1. Roland skriver:
    2021-02-25 kl. 19:49

    Otroligt intressant artikel och välbehövlig då många använder sig utav detta i upphandlingar där det varken finns krav eller risk för röjande av säkerhetsklassad information.

    Svara
  2. Viktor Robertson, advokatfirman Kahn Pedersen skriver:
    2021-02-26 kl. 16:39

    Hej Roland,

    Vad roligt att du uppskattade artikeln!

    Jag tror personligen att frågor som rör säkerhetsskydd både är nya och svåra för många, och att det därför inte alltid som säkerhetsskyddsaspekter av upphandlingar alltid hanteras på det sätt som är bäst i den enskilda situationen.

    I vissa fall kan det nog vara så att det helt saknas säkerhetsskyddsaspekter och ibland att de inte alls behövde finnas, utan att samma effekter hade kunnat gå att uppnå på ett mindre ingripande sätt. Tyvärr är inget av alternativen bra, utan som vi nämner i artikeln kan båda leda till problematiska situationer på sina egna sätt.

    Svara

Lämna ett svar Avbryt svar

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *

Fler artiklar

Lediga jobb

Strategisk Entreprenad­upphandlare/­kategori­ledare till Stockholm Vatten och Avfall

  • Avtalscontroller till Sektionen för inköp och upphandling
  • Rekrytera rätt kompetens med Inköpsrådet
ANNONS FRÅN UPPHANDLING24

Lär dig LOU av en expert

En kursledare med ambitionen att förenkla upphandlarens vardag. Grundläggande LOU med nyheter och praxis. Mathias Sylvan guidar dig rätt i regelverket och djupdyker i valda delar.

Advokatbyråns 15 förbättringsförslagAdvokatbyråns 15 förbättringsförslag
Oklara omständigheter för preklusionsreglerOklara omständigheter för preklusionsregler
Upphandlingsrättsliga föreningen firade 15 årUpphandlingsrättsliga föreningen firade 15 år
Annika är upphandlingsjuristen som inte ville bli juristAnnika är upphandlingsjuristen som inte ville bli jurist
Allvarligt fel när vd begått brottAllvarligt fel när vd begått brott
Fel att förkasta anbud som onormalt lågtFel att förkasta anbud som onormalt lågt
Subjektiv objektivitetSubjektiv objektivitet
Ok med förhandlat oannonserat förfarandeOk med förhandlat oannonserat förfarande

Nytt från Upphandling24

  • Kontrolltjänst med förhinder
  • Riksdagsenighet om IPI
  • Utlovar enklare annonsering
  • Nya perspektiv från syd
  • Växer med kommunsamverkan
  • Politisk träta om extramiljoner
  • Inköpsvolymen ökar kraftigt

Kommentarer från läsarna

Björn : Oklara omständigheter för preklusionsregler
Jag saknar grundläggande information i fallet. Det verkar uppenbart att domstolen inte iaktog kontexten så jag anser är av avgörande…
Björn : Fel att förkasta anbud som onormalt lågt
Den som följer diskussioner om onormalt låga priser måste slås av myndigheternas och rättsväsendets total oförmåga att tackla relativt enkla…
Frans : Oklara omständigheter för preklusionsregler
Intressant! "Skäl till varför en omständighet ska få åberopas utgör knappast i sig en omständighet till stöd för en talan…
Eva : Subjektiv objektivitet
Förbittrad som leverantör blir man, när det hänvisas till ospecifiecad "kvalitet" Hur skall man som leverantör veta vad som kan…
Nils Larsson : Subjektiv objektivitet
Jag håller med, det är inte bra när utvärderingar ser godtyckliga ut, oavsett om de är det eller inte. Bortsett…
Johan : Ok med förhandlat oannonserat förfarande
Lagstiftaren har gjort det väldigt krångligt för alla inblandade genom att skilja på anbud som är: 1. ogiltiga 2. olämpliga…
En annan Björn : Fel datum – skäl för ingripande och rättelse
"Oaktat detta anser vi att den här typen av domar är betydelsefulla för övergripande diskussioner och debatt." Jag håller med!…
Håkan : Fel datum – skäl för ingripande och rättelse
2010? Skulle kunna tolkas som år 2010? Lite äldre än 3 år då..
David Sundgren : Fel datum – skäl för ingripande och rättelse
Jag anser nog att "datum" betyder att en viss dag ska kunna identifieras. "Oktober 2020" är således inget datum. Det…
Björn : Fel datum – skäl för ingripande och rättelse
Är det någon annan som undrar vem som bestämde att ett datum betyder "YYYYMMDD"? Jag anser att exempelvis "17 februari"…

Senaste inläggen

  • Advokatbyråns 15 förbättringsförslag
  • Oklara omständigheter för preklusionsregler
  • Upphandlingsrättsliga föreningen firade 15 år
  • Annika är upphandlingsjuristen som inte ville bli jurist
  • Allvarligt fel när vd begått brott
  • Fel att förkasta anbud som onormalt lågt
  • Subjektiv objektivitet
  • Ok med förhandlat oannonserat förfarande
  • Leverantörer från tredjeland kan uteslutas
  • Hur bevisas yrkesmässig kapacitet?
  • Inte ok med koncernbolag i samma upphandling
  • Fel datum – skäl för ingripande och rättelse
  • Tilldelningsbeslut = slutbehandlat ärende
  • Tydligare gränser för hyresundantaget
  • Sunda företag vill ha högre hållbarhetskrav

Aktuella utbildningar

Delta på distans eller på plats i Stockholm. Valet är ditt.

  • Robusta IT-avtal | 28 april
  • Hållbar upphandling | 29 april
  • LOU på två dagar | 6-7 maj
  • Entreprenadupphandling och AMA AF | 8 maj
  • Säkerhetsskyddad upphandling | 14 maj
  • Kvalificerad IT-upphandlare – Steg 2 praktisk tillämpning | Hösten 2025
  • Praktisk avtalsrätt inom LOU och LUF | Hösten 2025
  • Anbudsutvärdering | Hösten 2025
  • Kvalificerad entreprenad­upphandlare | Hösten 2025
  • Leda upphandlingar effektivt | Hösten 2025
  • Få fart på er avtals­förvaltning | Hösten 2025
  • Kvalificerad IT-upphandlare | Hösten 2025
  • Ramavtal – fördjupningskurs | Hösten 2025