Innan du sätter igång

Om det inte är uppenbart att det inte behövs ska det finnas en utsedd säkerhetsskyddschef som ansvarar och kontrollerar att verksamheten bedrivs i enlighet med vad som föreskrivs i säkerhetsskyddslagstiftningen. Den upphandlande organisationen bör i arbetet med säkerhetsskyddade upphandlingar involvera de säkerhetsansvariga i ett tidigt skede.

Ibland är det också nödvändigt att andra specialistkompetenser deltar i säkerhetsskyddsarbetet. Det kan då röra sig om IT-säkerhetsspecialister, informationssäkerhetsspecialister, jurister med flera. Om särskildas krav på säkerhetsskydd har ställts i anbudsinbjudan kan den upphandlande organisationens säkerhetsansvariga behöva bistå vid prövningen av dessa krav.

Den som bedriver säkerhetskänslig verksamhet ska utreda behovet av säkerhetsskydd genom en säkerhetsskyddsanalys.

Säkerhetsskyddsanalysen ska med underlag från verksamheten som upphandlingen eller avtalet berör bland annat utreda:

• vad som ska skyddas
• mot vad skyddet ska avse
• hur skyddet ska se ut.

Om säkerhetsskydd blir aktuellt i en upphandling bör säkerhetsskyddsanalysen också fastställa vilken nivå som ska tillämpas på säkerhetsskyddsavtalet.

I förarbetena till säkerhetsskyddslagen ges en närmare förklaring till varför det är viktigt med en väl genomförd säkerhetsskyddsanalys. Säkerhetsskyddsanalysen ska bland annat identifiera skyddsvärden, hot och sårbarheter i verksamheten. I säkerhetsskyddsanalysen identifieras också vilka skyddsvärda uppgifter som finns i verksamheten och vad som i övrigt behöver ett säkerhetsskydd.

Syftet med säkerhetsskyddsanalysen är vidare att tydliggöra vilka typer av hot och sårbarheter som säkerhetsskyddsåtgärderna ska skydda mot och vilka negativa konsekvenser ett angrepp kan medföra. Det är bedömningarna i säkerhetsskyddsanalysen som sedan ligger till grund för de säkerhetsskyddsåtgärder som vidtas. Dessa bedömningar säkerställer att säkerhetsskyddsåtgärderna hänger ihop i ett väl fungerande säkerhetsskyddssystem.

I det här sammanhanget bör också nämnas att för de aktörer som omfattas av samrådsskyldigheten utgör underlaget från säkerhetsskyddsanalysen en viktig del i samrådsunderlaget.

Säkerhetsskyddsanalysen ska dokumenteras och ta fasta på behovet av säkerhetsskyddsåtgärder i det aktuella fallet. Arbetet med säkerhetsskyddsanalysen ska inte ses som en engångsinsats. Det är ett kontinuerligt och pågående arbete som innebär att säkerhetsskyddsanalysen måste hållas uppdaterad. Det är också viktigt att den information om säkerhetsskydd som redan finns i organisationen tas till vara.

Om det enligt säkerhetsskyddsanalysen blir aktuellt med säkerhetsskydd i upphandlingen ska säkerhetsskyddslagstiftningens bestämmelser följas och en säkerhetsplan tas fram. I säkerhetsplanen bör resultatet av säkerhetsskyddsanalysen samt en redovisning av de krav som ska gälla för säkerhetsskyddet framgå.

Nästa steg i säkerhetsskyddsarbetet blir att avgöra när säkerhetsskyddet behövs i upphandlingsprocessen. Resultatet av denna bedömning innebär att säkerhetsskyddsavtal ingås i rätt skede av upphandlingsprocessen, det vill säga innan leverantören får tillgång till de säkerhetsskyddsklassificerade uppgifterna eller den säkerhetskänsliga verksamheten.

Om anbudsgivare exempelvis får tillgång till säkerhetsskyddsklassificerade uppgifter redan i upphandlingsdokumenten kan upphandlingen genomföras som ett tvåstegsförfarande (till exempel selektivt förfarande). Ett tvåstegsförfarande innebär att kretsen av anbudsgivare kan begränsas. Förfarandet i sig innebär dock inte ett tillräckligt skydd. Ett mer ändamålsenligt skydd kan exempelvis uppnås genom att den upphandlande organisationen genomför ett tvåstegsförfarande med begränsningsregeln att säkerhetsskyddsavtal måste ingås med anbudssökande som i övrigt uppfyller ställda krav och urvalskriterier. Det innebär att endast anbudssökande som blir godkända vid säkerhetsprövningen får gå vidare till steg två där anbudssökande ges möjlighet att få ta del av säkerhetsskyddsklassificerade uppgifter.

Säkerhetsskyddsavtal med antagna anbudsgivare kan när ett tvåstegsförfarande har använts, i reviderad form, fortsätta att gälla under kontrakts- eller ramavtalstiden. Om det i stället ingås ett nytt säkerhetsskyddsavtal före kontraktets eller ramavtalets ingående ska en avanmälan av det gamla säkerhetsskyddsavtalet göras till Säkerhetspolisen och en ny anmälan göras av det nya säkerhetsskyddsavtalet. Samma sak gäller när säkerhetsskyddsavtal ingås med underleverantörer.

Arbetet med säkerhetsskyddade upphandlingar kan vara mycket tidskrävande. I planeringen bör man ta hänsyn till de olika moment som blir aktuella med anledning av säkerhetsskyddsarbetet. Det händer inte alltför sällan att analysen av säkerhetsskyddet blir lidande på grund av att de säkerhetsansvariga blivit involverade i ett för sent skede av upphandlingsarbetet.

Det finns flera moment som kan vara tidskrävande i samband med säkerhetsskyddade upphandlingar. Säkerhetsprövning av leverantörer är ett exempel, där intervjuer, utbildningar och eventuella anpassningar som leverantören måste göra i sin verksamhet kan ta tid innan kontraktet eller ramavtalet kan ingås. Ett annat exempel är säkerhetsprövningen av utländska leverantörer som ofta tar längre tid att genomföra. Anbudens giltighetstid bör därför också anpassas för den extra tidsåtgång som krävs för säkerhetsskyddade upphandlingar.

Använda säkerhetsskydd i upphandlingar

• Startsida: Säkerhetsskyddad upphandling
• Lagar och regler för säkerhetsskyddade upphandlingar
• Innan du sätter igång
• Säkerhetsskydd under upphandlingsprocessen
• Använda säkerhetsskydd i upphandlingar
• Sveriges säkerhet
• Lämna anbud i säkerhetsskyddade upphandlingar
• Ordlista 

• Dokumentversion av webbstöd: Säkerhetsskyddad upphandling