Sverige är ett öppet och demokratiskt land med en fri marknad. Vi har en grundlagsskyddad yttrandefrihet och en tryckfrihetslagstiftning som har rötter ända från 1766. För att vara ett så litet land har vi förvånansvärt många framgångsrika företag och en erkänt välorganiserad statsförvaltning.
Detta och mycket annat finns det många aktörer som vill utnyttja. Många vill göra hederliga och hållbara affärer med svensk offentlig sektor och tjäna pengar samtidigt som de bidrar till det svenska samhällsbygget.
Det finns emellertid aktörer som inte har fullt så goda intentioner. De vill dra nytta av den öppenhet och den frihet vi har och på så sätt skada det svenska samhället.
Det låter kanske som en av krigsmaktens skrifter från kalla krigets dagar men faktum är att vi lever i en omvärld med en allt mer komplicerad hotbild. Den riktar sig inte enbart mot Försvarsmakten utan även mot övrig offentlig sektor och delar av det svenska civilsamhället.
Hoten tar sig praktiska uttryck genom informationsflöde. Cyberattacker och cyberspionage är numera vardagsmat i nyhetsrapporteringen.
Faktum är att cyberattacker och databasstölder har letat sig in på World Economic Forums lista över de största hoten mot samhället.
Dessa attacker riktar sig mot såväl företag som mot myndigheter. Ett annat scenario som utgör ett hot mot Sveriges säkerhet är obehöriga leverantörer till offentlig sektor som får ta del av säkerhetsklassade uppgifter.
Det kan röra sig om företag, som på något sätt ägs av en främmande makt som har intressen som kan skada Sveriges säkerhet, som får information som de inte ska ha tillgång till.
Dagens verklighet ställer därmed krav på såväl upphandlande myndigheter som på leverantörer. Detta är något som man som upphandlande myndighet kanske inte alltid inser eller tänker på. Det kan dock få digra konsekvenser.
För drygt ett år sedan införde Sverige en ny och modern säkerhetsskyddslagstiftning (säkerhetsskyddslag (2018:585) och säkerhetsskyddsförordningen (2018:658)). Sverige fick därmed en säkerhetsskyddslagstiftning anpassad för 2020-talets utmaningar.
Vi har redan sett hur fler och fler upphandlande myndigheter får upp ögonen för detta och antalet säkerhetsskyddade upphandlingar ökar. Lagstiftningen ställer även krav på att den upphandlande myndighetens personal har kunskap om säkerhetsskydd, vilket lett till en ökad kompetensnivå hos många av landets upphandlare.
Men det förekommer att myndigheter gör bedömningar som inte grundar sig på säkerhetsskyddslagstiftningen. Sådana bedömningar och beslut kan få stora konsekvenser för Sveriges säkerhet.
Förfarandet vid en säkerhetsskyddad upphandling är omfattande och det är många olika frågor och bedömningar som en upphandlande myndighet måste ta ställning till: den ska bland annat göra en säkerhetsskyddsanalys, säkerhetsprövning, placering i säkerhetsklass och registerkontroller.
Behovet av information om olika saker i myndighetens verksamhet kan vara nödvändigt för utförandet av ett kontrakt. Då gäller det att myndigheten har analyserat vilken information i myndighetens verksamhet som behöver skydd.
Detta kräver att all verksamhet analyserats och dokumenterats enligt Säkerhetsskyddslagen. Att inte göra analysen, vilket är första steget till att skydda känslig information, innebär en stor risk att skyddsvärda uppgifter hamnar i fel händer.
Ett bra sätt att motverka sådana incidenter är att ta säkerhetsskyddslagstiftningen på allvar, att göra noggranna säkerhetsprövningar och hålla sig uppdaterad genom kontinuerlig utbildning.
Upphandlande myndigheter måste ta säkerhetsskyddslagstiftningen på allvar och ta sitt ansvar för Sveriges säkerhet.
Christoffer Stavenow
Max Thimmig
Advokater på Stavenow advokatbyrå
Författarna har skrivit boken Säkerhetsskyddad upphandling – juridik och praktik, Jure Förlag 2019.
Kommentatorerna ansvarar för sina egna kommentarer