Skip to content
  • Prenumerera på Inköpsrådets nyhetsbrev
Inköpsrådet
  • Nyheter
    • Arbetsmarknad
      • Karriär
      • Lön
    • Bransch
      • IT
      • Livsmedel
      • Samhällsbyggnad
      • Transport
      • Utbildning
      • Vård & omsorg
      • Övriga tjänster
    • Hållbarhet
      • Miljökrav
      • Sociala krav
    • Innovation
    • Juridik
      • Avtal
      • Korruption
      • Lagstiftning
      • Upphandlingsavgift
      • Överprövning
    • Praktiskt
      • Metod
      • Upphandlingsstöd
      • Utvärderingsmodell
    • Samhälle
      • EU
      • Insyn
      • Konkurrens
      • Politik
    • Upphandling
      • Dialog
      • Direktupphandling
      • Förfrågningsunderlag
      • Ramavtal
      • Uppföljning
      • Anbud
  • Karriär
    • Lediga jobb
    • Lönestatistik
    • Rekrytera smart med Inköpsrådet
  • Utbildning
  • Konferenser
    • Nya upphandlingslagar • 8 februari 2022
  • Annonsera
    • Annonsera
    • Platsannonsera
  • Om oss
    • Vi som jobbar här
    • Integritetsspolicy

Säkerhetsskyddad upphandling

JuridikDEL 2. Skyddet av Sveriges säkerhet är en aspekt av informationssäkerhet vid upphandling. I den andra delen av Inköpsrådets serie om upphandling och informationssäkerhet går Viktor Robertson och André Catry, Advokatfirman Kahn Pedersen, igenom grunderna i säkerhetsskyddslagen och hur den påverkar upphandlingar.

| 2021-02-25
Viktor Robertson och André Catry, Advokatfirman Kahn Pedersen.

Säkerhetsskyddslagens syfte är att genom förebyggande åtgärder skydda Sveriges säkerhet mot spioneri, sabotage, terroristbrott och andra brott.

Dessutom ska lagen skydda andra säkerhetsskyddsklassificerade uppgifter, det vill säga uppgifter som rör säkerhetskänslig verksamhet och som därför omfattas av sekretess enligt offentlighets- och sekretesslagen, OSL. (För privata organisationer, som inte omfattas av OSL, måste i stället ett hypotetiskt test göras. Den fråga som då ska besvaras är om de aktuella uppgifterna skulle ha omfattats av sekretess enligt OSL om organisationen hade varit en myndighet som omfattats av OSL.)

Lagen gäller för alla organisationer som till någon del bedriver verksamhet som är av betydelse för Sveriges säkerhet (säkerhetskänslig verksamhet). Dessa organisationer kallas verksamhetsutövare.

Vilken typ av verksamhet, eller del av verksamhet, som är säkerhetskänslig måste avgöras i en bedömning i det enskilda fallet.

Tyvärr är det inte alltid lätt att avgöra vilken typ av verksamhet som är av betydelse för Sveriges säkerhet. Även verksamheter som bedrivs på regional eller lokal nivå kan omfattas av säkerhetsskyddslagen beroende på vilken påverkan de kan ha på Sveriges säkerhet.

Det innebär exempelvis att ett kommunalt energibolag kan omfattas av säkerhetsskyddslagen, även om det inte bedriver verksamhet utanför den egna kommunen.

Den analyserande fasen
För att bedöma om en verksamhet omfattas av säkerhetsskyddslagen måste verksamheten inledningsvis kartläggas i en så kallad säkerhetsskyddsanalys. Detta görs för att identifiera var säkerhetsskyddsklassificerade uppgifter finns och utreda behovet av säkerhetsskydd.

De säkerhetsskyddsklassificerade uppgifterna ska delas in i fyra olika säkerhetsskyddsklasser, utifrån den skada som ett röjande av uppgifterna kan medföra för Sveriges säkerhet.

Klassificeringen är avgörande för vilka skyldigheter som verksamhetsutövaren har enligt lagen. Det gäller bland annat när och vilken nivå på så kallade säkerhetsskyddsavtal behöver ingås med externa leverantörer och vilken säkerhetsprövning av personal – egen och leverantörers – som behöver genomföras.

En säkerhetsskyddsanalys bör utgå från tre grundläggande frågor:

  • Vad ska skyddas?
  • Mot vad ska det skyddas?
  • Hur ska det skyddas?

Det är viktigt att den analys som görs är korrekt och noggrant genomförd. En felaktig bedömning kan nämligen bli kostsam, på olika sätt.

Om en organisation felaktigt kommer till slutsatsen att den omfattas av lagen är risken att den i onödan vidtar en rad kostnadsdrivande åtgärder. Det kan dessutom leda till onödiga begränsningar i den personliga integriteten hos de egna anställda eller anställda hos externa leverantörer, eller till att allmänhetens tillgång till verksamheten i onödan begränsas.

På motsvarande sätt riskerar en organisation som felaktigt gör bedömning att den inte omfattas av lagen att inte ha det skydd som krävs för att skydda verksamheten och dess information. Det kan i slutänden bli kostsamt både för organisationen och samhället i stort om ett antagonistiskt angrepp sker.

Anta att ett kommunalt energibolag både bedriver verksamhet inom energidistribution i ett elnät och erbjuder rådgivning till sina kunder om hur de kan spara energi i sina bostäder.

Den del av verksamheten som avser elnätet är sannolikt av betydelse för Sveriges säkerhet, medan energirådgivningen inte är det. Eftersom energibolaget kan konstatera att det bedriver säkerhetskänslig verksamhet måste det göra en säkerhetsskyddsanalys.

Den analysen kan leda till att bolaget identifierar uppgifter som ska säkerhetsskyddsklassificeras, och som i dagsläget inte har ett tillräckligt skydd. Det kan handla om kartor över elnätet eller ritningar till stationer och annan viktig infrastruktur.

Kartorna och ritningarna kan användas av en antagonistisk angripare för att analysera var ett angrepp skulle vara mest effektivt för att slå ut elförsörjningen. I så fall bör slutsatsen bli att handlingarna måste förvaras säkert, så att informationen inte röjs för obehöriga personer.

Den operativa fasen
När verksamhetsutövaren har gjort sin säkerhetsskyddsanalys påbörjas den mer operativa fasen. Då ska nämligen verksamhetsutövaren, utifrån analysen, planera och vidta de säkerhetsskyddsåtgärder som behövs för att skyddet för Sveriges säkerhet inte ska åsidosättas. Dessa åtgärder kan vara av tre olika typer:

  • Informationssäkerhet – åtgärder i syfte att förebygga att uppgifter obehörigen röjs, ändras, görs otillgängliga, förstörs eller annan skadlig inverkan på uppgifter och informationssystem.
  • Fysisk säkerhet – åtgärder i syfte att förebygga att obehöriga får tillträde till områden, byggnader och andra anläggningar eller objekt där de kan få tillgång till säkerhetsskyddsklassificerade uppgifter eller där säkerhetskänslig verksamhet i övrigt bedrivs och förebygga skadlig inverkan på sådana områden, byggnader, anläggningar eller objekt.
  • Personalsäkerhet – åtgärder i syfte att förebygga att personer som inte är pålitliga från säkerhetssynpunkt deltar i en verksamhet där de kan få tillgång till säkerhetsskyddsklassificerade uppgifter eller i en verksamhet som av någon annan anledning är säkerhetskänslig, och säkerställa att de som deltar i säkerhetskänslig verksamhet har tillräcklig kunskap om säkerhetsskydd.

I bedömningen av vilka säkerhetsskyddsåtgärder som behöver genomföras ska verksamhetsutövaren ta hänsyn till verksamhetens art och omfattning samt vilken typ av säkerhetsskyddsklassificerade uppgifter som finns i verksamheten.

I vårt exempel med det kommunala energibolaget skulle en slutsats av analysen kunna vara att handlingar som tidigare förvarats i en pärm på en hylla på kontoret kan behöva låsas in i ett kassaskåp som bara behöriga medarbetare har tillgång till.

Dessutom måste bolaget lokalisera alla kopior på dokumenten som finns ute i verksamheten och låsa in även dem.

Säkerhetsskyddad upphandling
För upphandlande myndigheter och enheter som bedriver säkerhetskänslig verksamhet påverkar säkerhetsskyddslagen ofta hur upphandlingar genomförs.

Det kan också påverka vilken upphandlingslag som ska tillämpas, den som normalt tillämpas, LOU eller LUF, eller lagen (2011:1029) om upphandling på försvars- och säkerhetsområdet, LUFS.

Men att säkerhetsskyddslagen gäller innebär inte automatiskt att LUFS ska tillämpas för upphandlingen. För att LUFS ska bli tillämplig krävs både att det är fråga om säkerhetsskyddsklassificerade uppgifter och att den aktuella upphandlingen har ett säkerhetssyfte. Har upphandlingen inte ett säkerhetssyfte ska LOU eller LUF tillämpas, trots att det finns säkerhetsskyddsklassificerade uppgifter i upphandlingen.

Om det förekommer säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre i upphandlingen, eller om upphandlingen i övrigt ger leverantören tillgång till säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet, måste säkerhetsskyddsavtal ingås innan någon leverantör får del av säkerhetsklassificerade uppgifter.

Det brukar kallas Säkerhetsskyddad upphandling med säkerhetsskyddsavtal, SUA.

Om exempelvis en av upphandlarna vid det ovan nämnda kommunala energibolaget ska annonsera en upphandling som rör byggentreprenadarbeten kopplade till bolagets kraftstationer och ledningar kan det bli nödvändigt att den vinnande anbudsgivaren får tillgång till vissa av bolagets kartor och ritningar för att kunna utföra arbetena.

Om det i kartorna och ritningarna finns säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell, eller högre, måste energibolaget ingå ett säkerhetsskyddsavtal med den anbudsgivare som vinner upphandlingen.

Det handlar då om en så kallad SUA-upphandling.

Då uppkommer även ett antal andra skyldigheter för energibolaget, exempelvis att:

  • Ställa de krav som behövs för att säkerheten ska kunna upprätthållas.
  • Anmäla avsikten att ingå ett säkerhetsskyddsavtal till Svenska kraftnät (som är sektorsansvarig myndighet i det aktuella fallet).
  • Anmäla säkerhetsskyddsavtalet till Säkerhetspolisen när det ingås och avslutas.
  • Fortlöpande kontrollera att leverantören följer säkerhetsskyddsavtalet.
  • Förbereda och genomföra avslutandet av säkerhetsskyddsavtalet, till exempel genom att upprätta rutiner för hur säkerhetsskyddsklassificerade uppgifter som leverantören fått ska lämnas tillbaka eller förstöras.

Säkerhetsskyddslagens krav påverkar på så sätt inte bara energibolagets verksamhet, utan även dess förhållande till externa leverantörer och hur energibolagets upphandlingar utformas.

Ibland är det tillräckligt att den anbudsgivare som vinner upphandlingen får del av de säkerhetsskyddsklassificerade uppgifterna. Då är det bara med den anbudsgivaren som ett säkerhetsskyddsavtal måste ingås.

Men ibland behöver alla anbudsgivare få del av uppgifterna för att kunna lämna anbud i upphandlingen. Då måste säkerhetsskyddsavtal ingås med alla anbudsgivarna. Det kan då vara lämpligt att upphandla genom ett tvåstegsförfarande som gör det möjligt för den upphandlande myndigheten att vänta med att tillhandahålla viss information till efter kvalificeringsfasen.

Genom aktivt säkerhetsskyddsarbete skyddas Sveriges säkerhet
Genom att arbeta aktivt med säkerhetsskydd kan upphandlande myndigheter och enheter vidta åtgärder som behövs för att Sveriges säkerhet ska kunna upprätthållas.

När det gäller det kommunala energibolag som vi använt som exempel i denna artikel kan det exempelvis handla om att minska risken för att en antagonistisk angripare kan slå ut delar av den svenska elförsörjningen.

Viktor Robertson
Senior Specialist

André Catry
Senior Adviser

Advokatfirman Kahn Pedersen

 
Detta är del 2 i serien om informationssäkerhet som omfattar fem delar:
1. Hot och risker inför en upphandling

Annons

Lär dig mer om säkerhetsskyddad upphandling! Upphandling24 arrangerar en populär heldagsutbildning för dig som lämnar uppdrag, använder tjänster eller annat som innebär att utomstående leverantörer får tillgång till säkerhetskänslig verksamhet och därför behöver veta när det behöver upphandlas genom säkerhetsskyddad upphandling. Läs mer här!

Läs mer: JuridikSekretess och offentlighetSäkerhetsskyddad upphandlingUpphandling

Kommentatorerna ansvarar för sina egna kommentarer

2 kommentarer på "Säkerhetsskyddad upphandling"

  1. Roland skriver:
    2021-02-25 kl. 19:49

    Otroligt intressant artikel och välbehövlig då många använder sig utav detta i upphandlingar där det varken finns krav eller risk för röjande av säkerhetsklassad information.

    Svara
  2. Viktor Robertson, advokatfirman Kahn Pedersen skriver:
    2021-02-26 kl. 16:39

    Hej Roland,

    Vad roligt att du uppskattade artikeln!

    Jag tror personligen att frågor som rör säkerhetsskydd både är nya och svåra för många, och att det därför inte alltid som säkerhetsskyddsaspekter av upphandlingar alltid hanteras på det sätt som är bäst i den enskilda situationen.

    I vissa fall kan det nog vara så att det helt saknas säkerhetsskyddsaspekter och ibland att de inte alls behövde finnas, utan att samma effekter hade kunnat gå att uppnå på ett mindre ingripande sätt. Tyvärr är inget av alternativen bra, utan som vi nämner i artikeln kan båda leda till problematiska situationer på sina egna sätt.

    Svara

Lämna ett svar till Roland Avbryt svar

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *

Fler artiklar

Lediga jobb

Skellefteå kommun

Inköpschef, Skellefteå kommun

ANNONS FRÅN AFF

Undvik missförstånd, konflikter och juridiska tvister

Aff behövs för att alla ska hitta ett gemensamt språk, för att minska risken för tvister och för att öka kvaliteten, säger Philip Österlund, vd på Aff

Håll dig informerad

Prenumerera på Inköpsrådets kostnadsfria nyhetsbrev.

Prenumerera, v2
Specialområde
Sending

Senaste inläggen

Effektivare tillsyn föreslåsEffektivare tillsyn föreslås
Förlegat krav om undertecknandeFörlegat krav om undertecknande
Svagt intresse oroar VinnovaSvagt intresse oroar Vinnova
Använd begrepp som inte missförståsAnvänd begrepp som inte missförstås
Göteborg samlas för mer återbrukGöteborg samlas för mer återbruk
Tolkning av ramavtalTolkning av ramavtal
Är vi redo att växla upp?Är vi redo att växla upp?
Regioner straffas för förlängt avtalRegioner straffas för förlängt avtal
ANNONS FRÅN UPPHANDLING24

Lär dig skriva bättre avtal

Avtalet är kärnan i affären och avtalsrätten i sig regleras inte i LOU. Därför är det viktigt att du som upphandlare sätter dig in i hur du formulerar korrekta avtal och vad du bör tänka på för att säkerställa en bra affär.

Nytt från Upphandling24

  • Förlegat krav om undertecknande
  • Svagt intresse oroar Vinnova
  • Använd begrepp som inte missförstås
  • Göteborg samlas för mer återbruk
  • Tolkning av ramavtal

Åsikter på sajten

  • Tolkning av ramavtalDet kan nog inte alltid tas för sant att det inte skulle vara relevant att utröna den gemensamma partsavsikten i...
  • Tolkning av ramavtalHej Alfred, Som framgår av ditt citat från HD:s avgörande i mål nr 4071-20 (NJA 2021 s 643) är det...
  • Regioner straffas för förlängt avtalVad oseriöst av domstolen att basera sannolikheten för att Svensk dos skulle vinna en korrekt genomförd upphandling på antalet leverantörer...
  • Tolkning av ramavtalNi skriver att "Hovrätten prövade först om projektet omfattats av ramavtalet. Då någon gemensam partsavsikt inte gick att utläsa fick...
  • Regioner straffas för förlängt avtaljag undrar i sitt stilla sinne vad positivt konkurrensutsättning av dosförpackade läkemedel fört med sig?
  • Utvärdera kvalitet vid avrop av konsultBra artikel, tackar för det :)
  • Enhetlig tolkning gällerMånga av dessa "smörgårdsbordsförespråkare" vill nog väcka lite uppmärksamhet och jagar gillningar och delningar på LinkedIn. Man kommer med diverse...
  • Enhetlig tolkning gällerHelt stängt är kanske inte smörgåsbordet ändå? Jag uppfattar att båda målen som du tar upp avsåg situationer där direktiven...
  • Val av utvärderingsmodell icke-fråga?Har inte använt relativa modeller i mina upphandlingar sedan denna kom: "Metoder vid utvärdering av pris och kvalitet i offentlig...
  • Enad front för mer forskningInom det identifierade forskningsområdet "Korruption och kartellbildning" finns det lågt hängande frukt som inte kräver någon forskning för att identifiera....

Senaste inläggen

  • Effektivare tillsyn föreslås
  • Förlegat krav om undertecknande
  • Svagt intresse oroar Vinnova
  • Använd begrepp som inte missförstås
  • Göteborg samlas för mer återbruk
  • Tolkning av ramavtal
  • Är vi redo att växla upp?
  • Regioner straffas för förlängt avtal
  • Förändrad omvärld kräver anpassning
  • Stort fokus på service
  • Fast timpris och referenser tillåtet
  • Att upphandla ABK-konsulter
  • ”Mediestorm kan ge ökade resurser”
  • Allt går att sälja med mördande reklam
  • En process för hela staden

Aktuella utbildningar

Delta på distans eller på plats i Stockholm. Valet är ditt.

  • Praktisk avtalsrätt inom LOU och LUF | 26 april
  • Få fart på er avtals­förvaltning | 4 maj
  • Förhandling som redskap inom offentlig upphandling | 5 maj
  • LOU på två dagar | 10-11 maj
  • Kvalificerad IT-upphandlare | 18-19 maj
  • Anbudsutvärdering | 13 okt
  • Kvalificerad entreprenad­upphandlare | 19-20 okt
  • Agil upphandling | 9 nov
  • Hantera överprövningar | 10 november
  • Leda upphandlingar effektivt | 6 december
  • Säkerhetsskyddad upphandling | 18 oktober