Partnertext från Svefa Förvaltningsrådgivning

Säkerhetsklassad verksamhet i fastigheten? 5 tips för säker upphandling

Säkerhetsläget i världen och i Sverige har försämrats de senaste åren och hoten mot säkerhetskänslig verksamhet ökar, särskilt när det är IT-styrt via moln. Har dina fastigheter säkerhetsklassad verksamhet måste ni ha koll på lagstiftningen.

När vi blir mer beroende av molnbaserade IT-system blir vi mer sårbara. Se hur det gick i somras när Coop tvingades stänga sina butiker på grund av en hacker-attack. Säkerhetsläget i världen och i Sverige har försämrats de senaste åren och hoten mot säkerhetskänslig verksamhet ökar.

Fastigheter och säkerhetsskydd är intimt kopplat och vilka verksamheter som faktiskt är att betrakta som säkerhetskänsliga har skärpts de senaste åren.

Säkerhetskänsliga verksamheter finns inom sådant som avser ”Skydd mot nationens grundläggande funktionalitet”. Sådana är till exempel telekom, energiförsörjning, livsmedelsförsörjning, transport, rättsväsende samt bank och finans.

Det finns även inom fastighetssektorn och omfattar fastigheter av bland annat följande slag:

  • Vattenreningsverk
  • Värmeanläggning
  • IT-anläggning
  • Hälso- och sjukvård
  • Infrastruktur

Ny lag är tydligare – och mer omfattande
Från och med april 2019 har vi en ny lagstiftning som är tydligare med vilka verksamheter som klassas som säkerhetskänslig.

Dessutom är den nya Säkerhetsskyddslagen mer omfattande än tidigare. I lagen redovisas:

  • vad som är att anse som säkerhetskänslig verksamhet
  • vilka krav som ställs på att inventera och klassificera IT-system och information
  • vilka krav som ställs på hur man ska skydda uppgifter som rör Sveriges säkerhet och samhällsviktiga informationssystem

Måste jag hantera säkerhetsklassad upphandling?
Det ställs högre krav på kunskap och kompetens avseende vilka verksamheter och hyresgäster som omfattas av Säkerhetsskyddslagen.

Detta innebär att all fastighetsförvaltning, som rör de tidigare nämnda verksamheterna, behöver ha kunskap om och kunna göra bedömningar huruvida hyresgäster och nyttjares verksamheter behöver hanteras enligt Säkerhetsskyddslagen.

Detta gäller oavsett om fastighetsägaren är offentlig eller privat aktör.

I de fall de säkerhetsklassade verksamheterna är upphandlade omfattas dessa av lagen för de funktioner och tjänster som ska verka i samma lokaler och byggnader som de klassade verksamheterna.

Upphandlingarna blir då så kallade Säkerhetsskyddade upphandlingar med säkerhetsskyddsavtal (SUA).

Det innebär att tilldelade leverantören i upphandlingen ska säkerhetsprövas och leverantören ska teckna säkerhetsskyddsavtal på rätt nivå (1–3), se faktaruta.

Syftet med säkerhetsskyddsavtal är att bland annat säkerställa att säkerhetsskyddsklassificerade uppgifter får samma säkerhetsskydd hos leverantören som verksamhetsutövaren tillämpar på sin egen verksamhet.

Alla handlingar i dessa processer behöver också klassificeras och, om upphandlingen är en offentlig upphandling, gäller även tillämplig lagstiftning LOU, LUF, LUK och LUFS.

Tänk efter – behöver vi efterfråga all information?
Upphandlingar redan i nivå 1 är komplexa och behovet av ingående handlingar behöver analyseras noggrant för att underlätta arbetet framåt. Behövs verkligen alla handlingar, som normalt ingår, för att få in bra anbud?

Är all info-inhämtning nödvändigt för att få relevanta anbud eller kan man nå samma resultat med ett rensat material som inte innehåller lika mycket känsligt innehåll?

Informationsklassificering av förfrågningsunderlaget är alltså ett viktigt steg för att underlätta processen, på så sätt får man en säkerhetsklassificering av handlingarna och det blir tydligt.

För offentliga upphandlare kan man med fördel tillämpa ett selektivt förfarande, på så sätt kan man begränsa utdelning av känsliga uppgifter till de anbudsgivare som kvalificerar sig.

Så görs säkerhetsprövningar
Säkerhetsprövningar sker i två steg, först av leverantören, enligt beskrivning nedan och därefter av leverantörens personal.

Det är alltså viktigt att göra säkerhetsprövningar i rätt ordning relativt upphandlingsprocessen.

Det är bara den tilldelade anbudsgivaren som får säkerhetsprövas, en genväg hade ju annars varit att börja med att säkerhetspröva alla anbudsgivare från början, men det tillåter inte säkerhetslagstiftningen av integritetsskäl.

När tilldelningen sker av den tilldelade leverantören vidtar säkerhetsprövningen och därför måste en tilldelning villkoras av säkerhetsprövning för att leverantören ska bli godkänd enligt säkerhetslagstiftningen.

Ett godkännande av en leverantör kan inte återanvändas för en annan upphandling utan behöver förnyas inför varje ny process.

Säkerhetsprövningar tar tid
En säkerhetsprövning tar tid och innebär att man bör förlänga den ordinarie tidplanen för upphandlingen med minst 2-4 månader, med risk för ytterligare fördröjningar.

Säkerhetsprövningen av leverantörer sker i flera steg, först hos verksamheten och det kan ske i flera steg, därefter via säkerhetspolisen.

Den egna säkerhetsprövningen hos verksamheten ser olika ut hos olika aktörer, men sista steget är alltid via säkerhetspolisen.

Hela upphandlingsprocessen stannar upp under säkerhetsprövningen, men det finns vägar att gå för att ändå genomföra en etablering med hjälp av ledsagning och andra praktiska lösningar.

Eftersom hela processen styrs av handläggningstiderna hos säkerhetspolisen blir hela tidplanen ytterst osäker.

Det är inte bara säkerhetsprövningen av leverantören under upphandlingsprocessen som blir utsträckt tidsmässigt när man utför säkerhetsklassade upphandlingar, även etableringsperioden blir mycket längre än en vanlig etablering.

Leverantören måste nämligen säkerhetspröva sin personal när väl leverantören passerat nålsögat.

För de offentliga aktörerna behöver processen tas om i det fall leverantören inte blir godkänd, eftersom man inte kan återanvända en utvärdering om kontraktet är undertecknat.

5 tips för att lyckas med säkerhetsklassade upphandlingar

  1. Ta hjälp för att gå igenom förutsättningarna och för att fastställa om dina upphandlingar omfattas av den skärpta lagstiftningen.
  2. Det tar tid! Säkerhetsklassade upphandlingar kräver betydligt längre tidplan, var ute i god tid!
  3. Ifrågasätt vad som faktiskt måste vara med i förfrågningsunderlaget, det underlättar klassificeringen av materialet och på så sätt även upphandlingsprocessen.
  4. Överväg att dela upp entreprenaden i flera om det bara är några enstaka objekt som omfattas av kraven i säkerhetslagstiftningen och övriga inte är kräver säkerhetsprövning.
  5. Kom ihåg! Lagstiftningen avseende säkerhetsklassade upphandlingar berör även privata fastighetsägare.


Sara Jacobsson och Per Ollas, Svefa
Svefa Förvaltningsrådgivning erbjuder rådgivning inom strategisk och operativ förvaltningsrådgivning samt upphandling för fastighetsbranschen.

Säkerhetsskyddsavtalens 3 nivåer

Det finns tre olika nivåer av säkerhetsskyddsavtal från nivå 1 till nivå 3. Nivåerna innebär att det ställs högre och högre krav på aktörerna.
– Nivå 1; utanför verksamhetsutövarens lokaler eller utrymmen; få tillgång till eller möjlighet att förvara säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller få tillgång till säkerhetskänslig verksamhet där åtkomst till verksamheten kan medföra en inte obetydlig skada för Sveriges säkerhet.
– Nivå 2; i verksamhetsutövarens egna lokaler eller utrymmen. Få tillgång till eller möjlighet att förvara säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller få tillgång till säkerhetskänslig verksamhet där åtkomst kan medföra en inte obetydlig skada för Sveriges säkerhet.
– Nivå 3; i verksamhetsutövarens egna lokaler eller utrymmen få tillgång till säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiellt eller högre, eller få tillgång till säkerhetskänslig verksamhet där åtkomst kan medföra en inte obetydlig skada för Sveriges säkerhet.

Dela artikeln: LinkedIn
Inköpsportal - tipsa oss

Inköpsportal - ansökan
Logotyp, minst 200 pixlar bred *

Maximum file size: 209.72MB

Bild, minst 540 pixlar bred *

Maximum file size: 209.72MB

Kontaktspersonsbild, minst 200 pixlar bred *

Maximum file size: 209.72MB

Inköpsportal - tipsa en kollega