Startsida

Säkerhetsskyddad upphandling

Säkerhetsskyddade upphandlingar innebär bland annat att förebyggande åtgärder vidtas för att skydda Sverige mot brott som har betydelse för Sveriges säkerhet. På senare tid har säkerhetsskydd i olika sammanhang blivit omnämnt i massmedier och det finns anledning att anta att säkerhetsskydd i upphandlingar behöver beaktas i en större omfattning än vad som varit vanligt tidigare.

 Bestämmelserna gäller vid upphandlingar enligt  

  • lagen om offentlig upphandling (LOU) 
  • lagen om upphandling inom försörjningssektorerna (LUF)
  • lagen om upphandling av koncessioner (LUK)
  • lagen om upphandling på försvars- och säkerhetsområdet (LUFS).

Säkerhetsskyddade upphandlingar är en konsekvens av principen att säkerhetsskyddet ska vara detsamma oavsett i vilken verksamhet som känsliga uppgifter förekommer eller var säkerhetskänslig verksamhet bedrivs. Bestämmelserna om säkerhetsskydd kan även utgöra ett viktigt verktyg för att främja konkurrensen i säkerhetsskyddade upphandlingar.

Om vårt stöd

På de här sidorna ger vi stöd med fokus på en teoretisk bakgrund till säkerhetsskyddade upphandlingar och ett praktiskt stöd i hur säkerhetsskyddade upphandlingar kan genomföras. Stödet behandlar även säkerhetsskyddslagstiftningen som sådan. Stödet riktar sig till alla som på olika sätt kommer i kontakt med säkerhetsskyddade upphandlingar. Det kan vara upphandlare, jurister, chefer, säkerhetsansvariga, leverantörer med flera.

Ytterligare stöd hos andra myndigheter

Det här stödet har fokus på upphandlingsperspektivet i säkerhetsskyddsarbetet. Säkerhetspolisen och Försvarsmakten har var för sig tagit fram stöd om säkerhetsskyddade upphandlingar som vi rekommenderar att du också tar del av. Du kan med fördel läsa det här stödet tillsammans med Säkerhetspolisens och Försvarsmaktens stöd.

Syftet med säkerhetsskyddad upphandling

I upphandlingssammanhang kan det behov som uppstår leda till frågan om behovet ska tillgodoses genom inköp eller genom att verksamhetsutövaren själv utför arbetet. Denna fråga kan också bli aktuell för verksamheter som omfattas av säkerhetsskydd. Den upphandlande myndigheten eller enheten (upphandlande organisationen) kanske resonerar att det blir för riskabelt eller för komplicerat att annonsera en säkerhetsskyddad upphandling.

Vilka omfattas av säkerhetsskyddslagstiftningen? 

Säkerhetsskyddslagen gäller för den som till någon del bedriver verksamhet som är av betydelse för Sveriges säkerhet eller som omfattas av ett för Sverige förpliktande internationellt åtagande om säkerhetsskydd. Denna verksamhet benämns också som säkerhetskänslig verksamhet i säkerhetsskyddslagstiftningen. Med ”till någon del” har lagstiftaren tydliggjort att det inte krävs att hela verksamheten utgörs av säkerhetskänslig verksamhet för att säkerhetsskyddslagen ska bli tillämplig.

I säkerhetsskyddslagstiftningen används begreppet verksamhetsutövare för alla aktörer, inklusive enskilda verksamhetsutövare, som omfattas av säkerhetsskyddslagstiftningens bestämmelser. Det finns dock bestämmelser som endast blir tillämpliga på vissa aktörer. Dessa anges då specifikt i säkerhetsskyddslagstiftningen.

Exempel på aktörer som anges specifikt i säkerhetsskyddslagstiftningen är:

  • statliga myndigheter
  • kommuner och regioner (tidigare landsting)
  • enskilda verksamhetsutövare.

Vad innebär säkerhetsskydd? 

Med säkerhetsskydd avses skydd av säkerhetskänslig verksamhet mot spioneri, sabotage, terroristbrott och andra brott som kan hota verksamheten samt skydd i andra fall av säkerhetsskyddsklassificerade uppgifter. I dessa sammanhang används ibland också begreppet ”SUA”. SUA är dock inte en officiell benämning på säkerhetsskyddade upphandlingar. SUA tycks ha fått innebörden säkerhetsskyddad upphandling med säkerhetsskyddsavtal.

De säkerhetsskyddsåtgärder som vidtas ska enligt säkerhetsskyddslagen beakta följande moment: informationssäkerhet, fysisk säkerhet och personalsäkerhet.

Informationssäkerhet ska förebygga

  1. att säkerhetsskyddsklassificerade uppgifter obehörigen röjs, ändras, görs otillgängliga eller förstörs, och
  2. skadlig inverkan i övrigt på uppgifter och informationssystem som gäller säkerhetskänslig verksamhet.

Fysisk säkerhet ska förebygga

  1. att obehöriga får tillträde till områden, byggnader och andra anläggningar eller objekt där de kan få tillgång till säkerhetsskyddsklassificerade uppgifter eller där säkerhetskänslig verksamhet i övrigt bedrivs, och
  2. skadlig inverkan på sådana områden, byggnader, anläggningar eller objekt som avses i punkt 1.

Personalsäkerhet ska

  1. förebygga att personer som inte är pålitliga från säkerhetssynpunkt deltar i en verksamhet där de kan få tillgång till säkerhetsskyddsklassificerade uppgifter eller i en verksamhet som av någon annan anledning är säkerhetskänslig, och
  2. säkerställa att de som deltar i säkerhetskänslig verksamhet har tillräcklig kunskap om säkerhetsskydd.

Verksamhetsutövaren har ansvar för säkerhetsskyddet i sin verksamhet och det ansvaret kan aldrig flyttas ut genom utkontraktering. Som exempel kan nämnas IT-tjänster som i stigande grad utkontrakteras och koncentreras till ett fåtal bolag. Det ger leverantörer tillgång till en stor mängd information vilket kan öka behovet av säkerhetsskydd i upphandlingar av IT-tjänster. 

Vilka uppgifter ska skyddas enligt säkerhetsskyddslagstiftningen? 

Sekretessbestämmelser om vilka uppgifter som ska skyddas framgår av Offentlighets- och sekretesslagen (OSL). OSL reglerar däremot inte hur uppgifter som omfattas av sekretess med hänsyn till rikets (Sveriges) säkerhet ska hanteras och skyddas. Detta regleras i stället av säkerhetsskyddslagstiftningen.

Vilka utövar tillsyn? 

Bestämmelserna om tillsynsmyndigheternas ansvarsområden har justerats och preciserats i säkerhetsskyddsförordningen. Enligt säkerhetsskyddsförordningen utövas tillsynen på säkerhetsskyddsområdet av: 

  1. Försvarsmakten när det gäller Fortifikationsverket och Försvarshögskolan samt de myndigheter som hör till Försvarsdepartementet.
  2. Säkerhetspolisen när det gäller övriga myndigheter, utom Justitiekanslern, samt kommuner och regioner (tidigare landsting).
  3. Affärsverket svenska kraftnät när det gäller enskilda verksamhetsutövare som bedriver elförsörjningsverksamhet.
  4. Transportstyrelsen när det gäller enskilda verksamhetsutövare som bedriver flygtrafiktjänst för civil luftfart, flygtrafikledningstjänst för militär luftfart och verksamhet som i övrigt är av betydelse för luftfartsskydd, hamnskydd och sjöfartsskydd.
  5. Post- och telestyrelsen när det gäller enskilda verksamhetsutövare som bedriver verksamhet som avser elektronisk kommunikation och posttjänst.
  6. Länsstyrelserna när det gäller enskilda verksamhetsutövare som bedriver andra säkerhetskänsliga verksamheter än sådana som anges i 3–5.

Säkerhetspolisen och Försvarsmakten får dessutom utöva tillsyn på ansvarsområden som ansvaras av andra tillsynsmyndigheter.

Det är verksamhetsutövaren som bär det yttersta ansvaret för säkerhetsskyddet. Utövandet av tillsyn innebär inte att verksamhetsutövaren fråntas ansvaret för säkerhetsskyddet.

Källhänvisningar

  • Riksrevisionens granskningar, RiR 2011:4
  • Granskning av Transportstyrelsens upphandling av it-drift, DS 2018:6
  • Säkerhetsskyddslagen (2018:585)
  • Ett modernt och stärkt skydd för Sveriges säkerhet – ny säkerhetsskyddslag, prop. 2017/18:89
  • Säkerhetspolisen, 10 tips för säkrare outsourcing
  • Offentlighets- och sekretesslagen (2009:400)
  • Gamla säkerhetsskyddslagen (1996:627)
  • Gamla säkerhetsskyddsförordning (1996:633)
  • Säkerhetsskyddsförordningen (2018:658)

Dokumentversion av webbstödet