Säpo

Säkerhetsskydd vid upphandlingar och affärsavtal

Myndigheter som gör vissa typer av upphandlingar med koppling till säkerhetskänslig verksamhet ska teckna ett säkerhetsskyddsavtal med leverantören där det framgår vilka krav om säkerhetsskydd som gäller för upphandlingen. Även företag ska i vissa fall teckna säkerhetsskyddsavtal med utomstående leverantörer.

Den nya säkerhetsskyddslagstiftningen, som beskrivs nedan, gäller från den 1 april 2019. Den nuvarande lagstiftningen och de blanketter som gäller fram till den 31 mars 2019 hittar du under Blanketter och informationsmaterial.

En grundtanke inom säkerhetsskydd är att säkerhetskänslig verksamhet ska ha samma skydd oavsett om den bedrivs av myndigheter eller privata aktörer. Om det i en upphandling förekommer säkerhetsskyddsklassificerade uppgifter eller ges åtkomst till i övrigt säkerhetskänslig verksamhet, är den upphandlande myndigheten ansvarig för att se till att det finns ett fullgott säkerhetsskydd hos leverantören. Myndigheten ska alltså ställa krav på samma nivå på säkerhetsskydd hos leverantörer som den ställer i sin egen verksamhet. Detta gäller både huvudleverantör och eventuella underleverantörer. Detsamma gäller privata företag som ingår vissa typer av avtal med utomstående leverantörer.

Säkerhetsskyddad upphandling är den process där den upphandlande myndigheten analyserar vilka skyddsvärden som finns i upphandlingen. Myndigheten tecknar sedan ett säkerhetsskyddsavtal med leverantören för att säkerställa säkerhetsskyddet i upphandlingen.

Säkerhetsskyddsavtal definierar kraven

Statliga myndigheter, regioner och kommuner som har för avsikt att göra en upphandling av varor, tjänster eller byggentreprenader ska teckna ett säkerhetsskyddsavtal med anbudsgivaren eller leverantören i följande fall:

  • om det i upphandlingen förekommer säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller
  • om leverantören genom upphandlingen får tillgång till i övrigt säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet.

Säkerhetsskyddsavtalet anger hur anbudsgivaren eller leverantören ska uppfylla kraven på säkerhetsskydd.

Även privata aktörer som ingår avtal om varor, tjänster eller byggentreprenader med en utomstående leverantör ska teckna ett säkerhetsskyddsavtal med leverantören om avtalet uppfyller något av kriterierna ovan.

Säkerhetsskyddsavtalet utgör också en grund för att besluta om vilka anställningar och annat deltagande hos leverantören som ska placeras i säkerhetsklass.
Personalsäkerhet

Säkerhetspolisen ska informeras

När en myndighet eller ett företag tecknar ett säkerhetsskyddsavtal med en leverantör ska detta meddelas Säkerhetspolisen på en särskild blankett. Detsamma gäller när ett säkerhetsskyddsavtal upphör, eller om avtalet förlängs utöver den sluttid som tidigare meddelats.

Att Säkerhetspolisen får information om säkerhetsskyddsavtal är en förutsättning för att Säkerhetspolisen ska kunna genomföra registerkontroll på personer som kommer att ha säkerhetsklassade befattningar kopplade till avtalet.

Samråd inför vissa upphandlingar

Statliga myndigheter som har för avsikt att göra en säkerhetsskyddad upphandling med säkerhetsskyddsavtal ska i vissa fall samråda med sin tillsynsmyndighet, Säkerhetspolisen eller Försvarsmakten, innan upphandlingsprocessen inleds.

Kravet gäller upphandlingar där leverantören kan få tillgång till eller möjlighet att förvara säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen hemlig eller högre utanför myndighetens lokaler. Det gäller även om leverantören kan få tillgång till säkerhetskänsliga informationssystem utanför myndighetens lokaler och obehörig åtkomst till systemen kan medföra allvarlig skada för Sveriges säkerhet.
Samråd vid säkerhetsskyddad upphandling