Säpo

Samråd vid säkerhetsskyddad upphandling

Från den 1 april 2018 gäller nya regler vid vissa typer av upphandlingar. Statliga myndigheter som har för avsikt att genomföra en säkerhetsskyddad upphandling med säkerhetsskyddsavtal (SUA) ska i vissa fall upprätta en särskild säkerhetsanalys och samråda med Säkerhetspolisen innan ett sådant förfarande inleds.

Reglerna om samråd gäller statliga myndigheter som har för avsikt att genomföra en säkerhetsskyddad upphandling med säkerhetsskyddsavtal på nivå 1 (SUA-nivå 1). Det betyder att leverantören kommer att hantera och förvara hemliga uppgifter i sina lokaler eller ha åtkomst till hemliga uppgifter i myndighetens informationssystem. De nya reglerna gäller inte köp av varor. Samrådsskyldighet gäller inte heller vid köp av tjänster som kräver säkerhetsskyddsavtal på nivå 2 eller 3.
Säkerhetsskyddad upphandling med säkerhetsskyddsavtal

Innan upphandlingsförfarandet inleds ska myndigheten upprätta en särskild säkerhetsanalys för att undersöka och dokumentera vilka hemliga uppgifter som leverantören kan få ta del av och som kräver säkerhetsskydd. Myndigheten ska sedan samråda med sin tillsynsmyndighet som är Säkerhetspolisen eller Försvarsmakten.

Säkerhetspolisens uppdrag som tillsynsmyndighet på säkerhetsskyddsområdet är att bedöma om säkerhetsskyddslagens krav kan tillgodoses i upphandlingen. Säkerhetspolisen kan ställa krav på att den upphandlande myndigheten ska vidta vissa åtgärder. Om myndigheten inte vidtar åtgärderna eller om Säkerhetspolisen bedömer att upphandlingen inte uppfyller de krav som säkerhetsskyddslagen ställer har Säkerhetspolisen rätt att stoppa upphandlingen.

De nya reglerna gäller från den 1 april 2018 genom en ändring i 16 a § säkerhetsskyddsförordningen (1996:633).

Samråd inför säkerhetsskyddad upphandling – så går processen till

Säkerhetspolisens bedömning av upphandlingen kommer i regel att bestå av två delar. I den första delen bedömer Säkerhetspolisen om det är lämpligt att genomföra upphandlingen överhuvudtaget. Om så är fallet, bedömer Säkerhetspolisen om säkerhetsskyddslagens krav kan tillgodoses i upphandlingen. Det innebär i huvudsak att Säkerhetspolisen, utifrån skyddsvärdet av det som ska upphandlas, gör en bedömning av den upphandlande myndighetens kravställning kring säkerhetsskydd inför upphandlingen.

Den andra delen handlar om att verifiera att den upphandlande myndighetens krav på säkerhetsskyddsåtgärder följs. Om det är nödvändigt kan samrådsförfarandet alltså pågå fortlöpande under upphandlingsförfarandet. Den bedömningen kommer att göras från fall till fall.

Bedömning om upphandlingen är lämplig

Först sker en bedömning av om det av säkerhetskäl är lämpligt att genomföra upphandlingen och, om så är fallet, en bedömning av om säkerhetsskyddslagens krav kan tillgodoses i upphandlingen.

För att Säkerhetspolisen ska kunna bedöma om det är lämpligt att myndigheten genomför den aktuella upphandlingen behöver den upphandlande myndigheten lämna underlag till Säkerhetspolisen i god tid före den planerade upphandlingen.

Underlaget består av en särskild säkerhetsanalys och upphandlingsdokument. Den särskilda säkerhetsanalysen ska undersöka och dokumentera vilka hemliga uppgifter som leverantören kan få ta del av och som kräver säkerhetsskydd samt vilka säkerhetsskyddsåtgärder myndigheten har för avsikt att vidta under upphandlingen.

Den särskilda säkerhetsanalysen ska innehålla:

  • Verksamhetsbeskrivning av det som ska upphandlas
  • Beskrivning av varför upphandlingen behöver genomföras med SUA-nivå 1
  • Identifiering av det skyddsvärda i upphandlingen
  • Konsekvensanalys om det skyddsvärda röjs till obehöriga
  • Hot- och sårbarhetsanalys
  • Skyddsåtgärder
  • En lämplighetsprövning som beaktar skyddsvärdet av det som ska upphandlas och om det är möjligt för en leverantör att upprätthålla säkerhetsskyddet av den säkerhetskänsliga verksamheten och de hemliga uppgifterna vid en upphandling

Upphandlingsdokumenten är:

  • Utkast till säkerhetsskyddsavtal
  • Säkerhetsskyddskrav i upphandlingsdokument som har bäring på säkerhetsskydd

Säkerhetspolisen bedömer underlagen och återkommer till myndigheten med något av följande besked:

  1. Föreläggande: Det underlag myndigheten har lämnat till Säkerhetspolisen innehåller inte tillräckligt med information, alternativt att myndighetens kravställning inte är tillfredsställande i förhållande till skyddsvärdet. Säkerhetspolisen ber myndigheten komplettera underlaget
  2. Beslut om att upphandlingen inte får genomföras: Säkerhetspolisen bedömer att upphandlingen på grund av säkerhetskäl överhuvudtaget inte är lämplig att genomföra eller att säkerhetsskyddslagens krav inte kan tillgodoses i upphandlingen och att den därför inte är lämplig att genomföra.
  3. Avslutat samråd: Säkerhetspolisen bedömer att den upphandlande myndigheten i detta skede har ställt tillräckliga och relevanta säkerhetsskyddskrav och att upphandlingsförfarandet kan fortgå. Annonsering och efterföljande anbudsförfarande kan således påbörjas.
  4. Fortsatt samråd: Säkerhetspolisen bedömer att den upphandlande myndigheten i detta skede visserligen har ställt tillräckliga och relevanta säkerhetsskyddskrav, men bedömer det nödvändigt att samrådet pågår fortlöpande under hela upphandlingsförfarandet för att säkerställa att säkerhetsskyddslagens krav kommer att tillgodoses.

Bedömning av om myndighetens krav på säkerhetsskyddsåtgärder kan följas

I detta steg har Säkerhetspolisen för avsikt att, innan affärsavtal tecknas, verifiera att den upphandlande myndigheten genomfört uppföljning och säkerställt att leverantörens säkerhetsskydd är tillfredsställande i förhållande till de krav som ställts under upphandlingen. Det här steget förutsätter att Säkerhetspolisen har bedömt att den upphandlande myndigheten ställt tillräckliga och relevanta säkerhetsskyddskrav i föregående steg.

I detta steg kan Säkerhetspolisen komma att begära in följande:

  • Eventuell säkerhetsskyddsinstruktion för uppdraget som upphandlingen avser
  • Myndighetens kontrollplan
  • Undertecknat säkerhetsskyddsavtal
  • Dokumentation för genomförd uppföljning (exempelvis protokoll från förstagångsbesök hos leverantören)
  • Myndighetens beslut om godkännande av leverantörens säkerhetsskydd (se t.ex. 12 § tredje stycket säkerhetsskyddsförordningen)

Säkerhetspolisen bedömer underlagen och återkommer till myndigheten med något av följande besked:

  1. Föreläggande: Säkerhetspolisen ber myndigheten komplettera underlaget med mer information eller vidta ytterligare åtgärder för att säkerställa säkerhetsskyddslagens krav.
  2. Beslut om att upphandlingen inte får genomföras: Säkerhetspolisen bedömer att det inte är lämpligt att genomföra upphandlingen med SUA-nivå 1. De skyddsåtgärder leverantören vidtagit bedöms inte vara tillräckliga i förhållande till myndighetens säkerhetsskyddskrav och/eller skyddsvärdet av det som upphandlas.
  3. Avslutat samråd: Säkerhetspolisen bedömer att den upphandlande myndigheten kan genomföra upphandlingen med SUA-nivå 1 under förutsättning att myndigheten säkerställer att säkerhetsskyddskraven kontrolleras och efterlevs genom hela uppdragets livscykel.

Samrådsförfarande påverkar inte den upphandlande myndighetens skyldighet att anmäla nytecknade säkerhetsskyddsavtal till tillsynsmyndigheten.

När upphandlingsförfarandet har avslutas kan den upphandlande myndigheten fortfarande bli föremål för Säkerhetspolisens tillsyn på säkerhetsskyddsområdet.

Frågor och svar om nya regler för säkerhetsskyddad upphandling

Vilka myndigheter påverkas av de nya reglerna om samrådsskyldighet?
De nya reglerna gäller statliga myndigheter som har för avsikt att göra en säkerhetsskyddad upphandling med SUA-nivå 1. Det betyder att statliga myndigheter ska samråda med Säkerhetspolisen om de planerar att genomföra upphandling där det förekommer uppgifter som med hänsyn till rikets (Sveriges) säkerhet omfattas av sekretess och där leverantören kommer att hantera och förvara hemliga uppgifter utanför myndighetens lokaler eller ha åtkomst till hemliga uppgifter i myndighetens informationssystem. Kommuner, landsting och enskilda påverkas inte av reglerna.

När anses ett upphandlingsförfarande ha inletts?
Högsta förvaltningsdomstolen har (dom HFD 2013 ref 31) fastslagit att ett upphandlingsförfarande anses ha påbörjats när den upphandlande myndigheten har beslutat att inleda ett upphandlingsförfarande och detta beslut har kommit till kännedom utåt genom att myndigheten tagit någon form av extern kontakt i syfte att anskaffa det som beslutet avser.

Vad ska upphandlande myndigheter göra?
Innan upphandlingsförfarandet inleds ska myndigheten göra en särskild säkerhetsanalys för att undersöka och dokumentera vilka hemliga uppgifter som leverantören kan få ta del av och som kräver säkerhetsskydd. Myndigheten ska sedan samråda med sin tillsynsmyndighet som är Säkerhetspolisen eller Försvarsmakten

Vad är det Säkerhetspolisen bedömer?
I det första steget bedömer Säkerhetspolisen om det överhuvudtaget är lämpligt att genomföra upphandlingen, trots att det sker med SUA-nivå 1. Säkerhetspolisens bedömning kommer till stor del att grunda sig på den särskilda säkerhetsanalys som den upphandlande myndigheten ska upprätta för den aktuella upphandlingen. I analysen ska den upphandlande myndigheten bland annat beskriva vilka säkerhetsskyddsåtgärder myndigheten har för avsikt att vidta för att upphandlingen ska kunna genomföras. Om Säkerhetspolisen bedömer att upphandlingen är lämplig kan Säkerhetspolisen i nästa steg komma att verifiera att den upphandlande myndigheten genomfört uppföljning och säkerställt att leverantörens säkerhetsskydd är tillräckligt i förhållande till de krav som ställts under upphandlingen och i förhållande till skyddsvärdet.

Hur lång tid tar Säkerhetspolisens handläggning?
Handläggningstiden kan variera beroende på hur komplext ärendet är. Om det är nödvändigt kan samrådsförfarandet pågå fortlöpande under hela upphandlingsförfarandet. Det är därför viktigt att myndigheter är ute i god tid inför en framtida upphandling som ska ske med SUA-nivå 1.

Vilket ansvar har den upphandlande myndigheten?
Ansvaret för att bedöma skyddsvärda tillgångar i organisationen ligger på verksamhetsutövaren, det vill säga den upphandlande myndigheten i detta fall. De nya reglerna innebär att den upphandlande myndigheten alltid ska genomföra en särskild säkerhetsanalys av det uppdrag som upphandlingen omfattar. Under upphandlingen är det den upphandlande myndigheten som ansvarar för att i detalj analysera och identifiera vilka säkerhetsskyddsåtgärder upphandlingen kräver och att säkerställa att säkerhetsskyddsåtgärderna implementeras. Den upphandlande myndigheten är också ansvarig för att kontrollera säkerhetsskyddet hos anbudsgivare och leverantörer som har träffat säkerhetsskyddsavtal (41§ säkerhetsskyddsförordningen).

Vad händer om Säkerhetspolisen inte tillåter myndigheten att genomföra upphandlingen?
Säkerhetspolisen kan göra bedömningen att det inte är lämpligt att genomföra upphandlingen trots att det sker med SUA-nivå 1. Det kan hända att det inte alls är möjligt för en leverantör att upprätthålla skyddet av den säkerhetskänsliga verksamheten och de hemliga uppgifterna vid en upphandling. Om så är fallet måste myndigheten överväga andra sätt för att uppnå sina mål.

Vart kan jag vända mig för att få råd om upphandling?
Upphandlingsmyndigheten ger stöd i upphandlingsfrågor.
Upphandlingsmyndighetens webbplatslänk till annan webbplats

Vart kan jag vända mig för att få råd om säkerhetsskydd?
Berörda myndigheter kan kontakta Säkerhetspolisen gällande frågor kring säkerhetsskydd vid en upphandling. Ta gärna också del av de vägledningar kring säkerhetsskyddsarbete och säkerhetsskyddad upphandling som finns på webbplatsen.
Säkerhetsskydd

Vart kan jag vända mig för att få information om samråd vid säkerhetsskyddad upphandling?
Berörda myndigheter kan kontakta Säkerhetspolisen på samradutkontraktering@sakerhetspolisen.se.