I april började den nya säkerhetsskyddslagen att gälla. Den styr vilka förebyggande åtgärder som ska vidtas för att skydda Sverige mot brott som har betydelse för rikets säkerhet.
Lagen omfattar inte bara polisiära och militära verksamheter utan alla där säkerhetskänsliga funktioner ingår. Exempelvis kan vattenreningsverk, it-anläggningar, hälso- och sjukvård och bevakning av viktiga byggnader, omfattas av säkerhetsskyddslagen.
– Utmaningen är att integrera säkerhetsskyddslagen med upphandlingslagstiftningen, konstaterar Pernilla Norman, advokat vid Advokatfirman LexIT med inriktning på bland annat upphandling av verksamhet som omfattas av säkerhetsskydd.
Hon betonar att säkerhetsskyddslagen är inte en ny upphandlingslag, utan att lagens krav måste tas med och integreras i den upphandlingsprocess som sker enligt LOU eller LUF.
– Ytterligare en faktor att tänka på är att ifall upphandlingen rör it-system eller it-tjänster behöver även GDPR beaktas, bland annat i upphandlingens kravställning. Det blir en komplex väv av ett antal olika lagar inom olika områden som kommer i spel.
Vad krävs det då för att lyckas förena de båda lagstiftningarna?
Pernilla Norman rekommenderar att man blandar in säkerhetsavdelningen och säkerhetschefen redan i ett tidigt skede av upphandlingen.
Hon ser också gärna också att upphandlingen görs i två steg, alltså med en kvalificeringsfas.
– Då undviker man att lämna ut onödigt mycket information till alla anbudsgivare.
En annan viktig sak att tänka på är att skyddsnivån i verksamheten kan variera över tid. Det går alltså inte att ”sitta still i båten”.
– Under upphandlingen kan det handa om en viss skyddsnivå. Sedan när samarbetet med leverantören är igång kan det vara en annan. Exempelvis om de är inne och arbetar i verksamhetens it-system, säger Pernilla Norman.
I våras presenterade Upphandlingsmyndigheten ett nytt stöd om hur säkerhetsskydd kan användas i upphandlingar. Stödet innehåller en teoretisk bakgrund till säkerhetsskyddad upphandling och ger svar på vanligt förekommande frågor.
Myndigheter som planerar att utkontraktera verksamhet som är av betydelse för Sveriges säkerhet och där leverantören kommer att hantera och förvara hemliga uppgifter utanför myndighetens lokaler ska göra en särskild säkerhetsanalys för att dokumentera vilka hemliga uppgifter leverantören kan få ta del av. Sedan ska myndigheten samråda med Säpo eller Försvarsmakten.
Om myndigheten inte vidtar de åtgärder som Säpo kräver, eller om upphandlingen inte bedöms uppfylla de krav som säkerhetsskyddslagen ställer, har Säpo rätt att stoppa den.
Kommentatorerna ansvarar för sina egna kommentarer