Säkerhetsklassad verksamhet i fastigheten? Här är 5 tips för en säker upphandling.

Säkerhetsläget i världen och i Sverige har försämrats de senaste åren och hotbilden för säkerhetskänslig verksamhet ökar kontinuerligt. Dessutom har komplexiteten och sårbarheten i samhällskritiska verksamheter ökat i takt med att vi bli mer beroende av molnbaserade IT-system. Vi fick en pratstund med en av de ledande experterna inom området, Svefas Per Ollas, om utmaningarna med säkerhetsklassade upphandlingar och hur man ska hantera dessa.

Per, fastigheter, säkerhet och upphandlingar är kanske något som man främst förknippar med skalskydd, stämmer det fortfarande?

Nja, svaret är både ja och nej. Skalskydd är en liten del men det är så mycket mer omfattande än så. Fastigheter och säkerhetsskydd är intimt kopplat och vilka verksamheter som faktiskt är att betrakta som säkerhetskänsliga har skärpts de senaste åren. Ett konkret exempel på sårbarheten är hacker-attacken tidigare i år som tvingade Coop att hålla sina butiker stängda. Förutom försvaret av verksamheter som avser ”Skydd mot nationens grundläggande funktionalitet” som till exempel telekom, energiförsörjning, livsmedelsförsörjning, transport, rättsväsende samt bank och finans finns det andra säkerhetskänsliga verksamheter i fastighetssektorn.  Där omfattas även fastigheter som till exempel: vattenreningsverk, värmeanläggningar, IT-anläggningar, hälso- och sjukvård och infrastruktur.

Vad är det som gjort att fler fastigheter betraktas som säkerhetskänsliga?

Från och med april 2019 har vi en ny lagstiftning som är tydligare med vilka verksamheter som klassas som säkerhetskänslig. Dessutom är den nya Säkerhetsskyddslagen mer omfattande än tidigare. I lagen redovisas till exempel vad som är att anse som säkerhetskänslig verksamhet, vilka krav som ställs på att inventera och klassificera IT-system och information och vilka krav som ställs på hur man ska skydda uppgifter som rör Sveriges säkerhet och samhällsviktiga informationssystem.

Vad innebär den nya Säkerhetsskyddslagen för fastighetsägare? 

Den innebär att all fastighetsförvaltning, som rör de tidigare nämnda verksamheterna, behöver ha kunskap om och kunna göra bedömningar huruvida hyresgäster och nyttjares verksamheter behöver hanteras enligt Säkerhetsskyddslagen. 

"Nu ställs det högre krav på kunskap och kompetens avseende vilka verksamheter och hyresgäster som omfattas av Säkerhetsskyddslagen" säger Per Ollas, Affärschef Svefa Förvaltningsrådgivning

Gäller lagstiftningen oavsett om man är privat eller en offentlig aktör?

Lagstiftningen gäller alla oavsett om fastighetsägaren är offentlig eller privat aktör. I det fall verksamheterna omfattas av lagen behövs säkerhetsklassade upphandlingar för de funktioner och tjänster som ska verka i samma lokaler och byggnader som de klassade verksamheterna. 

Upphandlingarna blir då så kallade Säkerhetsskyddade upphandlingar med säkerhetsskyddsavtal (SUA). Det innebär att tilldelade leverantörerna i upphandlingen ska säkerhetsprövas och leverantörerna ska teckna säkerhetsskyddsavtal på rätt nivå (1-3). Alla handlingar i dessa processer behöver också klassificeras och, om upphandlingen är en offentlig upphandling, gäller även tillämplig lagstiftning LOU, LUF, LUK och LUFS. 

Vad är målsättningen med säkerhetsskyddsavtal?

Syftet med säkerhetsskyddsavtal är att bland annat säkerställa att säkerhetsskyddsklassificerade uppgifter får samma säkerhetsskydd hos leverantören som verksamhetsutövaren tillämpar på sin egen verksamhet. Det finns tre olika nivåer av säkerhetsskyddsavtal från nivå 1 till nivå 3. Nivåerna innebär att det ställs högre och högre krav på aktörerna. 

Kan man hantera en säkerhetsklassad upphandling på samma sätt som en vanlig upphandling?

Upphandlingar är redan på nivå 1 komplexa och behovet av ingående handlingar behöver analyseras noggrant föra att underlätta arbetet framåt. Det är viktigt att se om verkligen alla handlingar som är känsliga behövs för att få in bra anbud. När man slentrianmässigt i vanliga fall kanske lägger med väl mycket information i ett traditionellt förfrågningsunderlag innebär det att man i en säkerhetsklassad upphandling bör vara selektiv med vilket material som faktiskt måste gå med. Är det nödvändigt för att få relevanta anbud? Eller kan man nå samma resultat med ett rensat material som inte innehåller lika mycket känsligt innehåll? 

"Tänk efter före vilken, och hur mycket, information som ska efterfrågas i upphandlingen" tipsar Per Ollas.

Informationsklassificering av förfrågningsunderlaget är ett viktigt steg för att underlätta processen, på så sätt får man en säkerhetsklassificering av handlingarna och det blir tydligt.

För upphandlande myndigheter kan man för fördel tillämpa ett selektivt förfarande, på så sätt kan man begränsa utdelning av känsliga uppgifter till de anbudsgivare som kvalificerar sig. 

Hur går en säkerhetsprövning till?

Säkerhetsprövningar sker i två steg, först av leverantören, enligt beskrivning nedan och därefter av leverantörens personal. Det är alltså viktigt att göra säkerhetsprövningar i rätt ordning relativt upphandlingsprocessen. 

Vem eller vilka är det som säkerhetsprövas?

Det är bara den tilldelade anbudsgivaren som får säkerhetsprövas, en genväg hade ju annars varit att börja med att säkerhetspröva alla anbudsgivare från början, men det tillåter inte säkerhetslagstiftningen av integritetsskäl. När tilldelningen sker av den tilldelade leverantören vidtar säkerhetsprövningen och därför måste en tilldelning villkoras av säkerhetsprövning för att leverantören ska bli godkänd enligt säkerhetslagstiftningen. Ett godkännande av en leverantör kan inte återanvändas för en annan upphandling utan behöver förnyas inför varje ny process.

Hur bör jag tänka när jag planerar för en säkerhetsklassad upphandling?

En säkerhetsprövning tar tid och innebär att man bör förlänga den ordinarie tidplanen för upphandlingen med minst 2-4 månader, med risk för ytterligare fördröjningar. 

Säkerhetsprövningen av leverantörer sker i flera steg, först hos verksamheten och därefter via säkerhetspolisen. Den egna säkerhetsprövningen hos verksamheten ser olika ut hos olika aktörer, men sista steget är alltid via säkerhetspolisen. Hela upphandlingsprocessen stannar upp under säkerhetsprövningen, men det finns vägar att gå för att ändå genomföra en etablering med hjälp av ledsagning och andra praktiska lösningar. Eftersom hela processen styrs av handläggningstiderna hos säkerhetspolisen blir tidplanen osäker.

Vad innebär det för etableringstiden när upphandlingen är säkerhetsklassad?

Det är inte bara säkerhetsprövningen av leverantören under upphandlingsprocessen som blir utsträckt tidsmässigt när man utför säkerhetsklassade upphandlingar, även etableringsperioden blir längre än en vanlig etablering eftersom leverantören måste säkerhetspröva den personal som ska ingå i entreprenaden och som får ta del av säkerhetsklassificerad information.

Vilka är dina bästa tips för att lyckas med en säkerhetsklassad upphandling?

Jag har fem bra och enkla tips som man bör ha i åtanke när man planerar för en säkerhetsklassad upphandling.

1. Det är bra att känna till att det är fler upphandlingar som omfattas av den nya skärpta säkerhetslagstiftningen än vad man kan tro.

2. Det tar tid! Säkerhetsklassade upphandlingar kräver betydligt längre tidplan, var ute i god tid!

3. Ifrågasätt vad som faktiskt måste vara med i förfrågningsunderlaget, det underlättar klassificeringen av materialet och på så sätt även upphandlingsprocessen.

4. Ta hjälp för att gå igenom förutsättningarna och för att fastställa om dina upphandlingar omfattas av den skärpta lagstiftningen. 

5. Kom ihåg! Lagstiftningen avseende säkerhetsklassade upphandlingar berör även privata fastighetsägare!

Vill du veta mer om säkerhetsklassade upphandlingar och hur man hanterar dem på bästa sätt? Kontakta:

Per Ollas

Affärschef Förvaltningsrådgivning

010-603 87 76 per.ollas@svefa.se
Sara Jacobsson

Affärsområdeschef Förvaltningsrådgivning

010-603 87 49 sara.jacobsson@svefa.se
Vi använder cookies på denna webbplats. Läs mer om vad det innebär.