Lagar och regler för säkerhetsskyddade upphandlingar
I upphandlingar som omfattas av säkerhetsskydd ska den upphandlande myndigheten eller enheten (upphandlande organisationen) se till att både säkerhetsskyddslagstiftningen och upphandlingslagstiftningen efterföljs. Även andra relevanta upphandlingslagar ska beaktas.
Innehåll på denna sida
Äldre information i stödet
Det här stödet om säkerhetsskyddad upphandling innehåller hänvisningar till äldre regler och håller därför på att ses över. Om du har frågor är du välkommen att kontakta oss via vår Frågeportal.
Bestämmelserna gäller vid upphandlingar enligt
- lagen om offentlig upphandling (LOU)
- lagen om upphandling inom försörjningssektorerna (LUF)
- lagen om upphandling av koncessioner (LUK)
- lagen om upphandling på försvars- och säkerhetsområdet (LUFS).
Tillämpliga lagar på säkerhetsskyddsområdet
De lagar som aktualiseras på säkerhetsskyddsområdet är framförallt säkerhetsskyddslagen och säkerhetsskyddsförordningen. I säkerhetsskyddade upphandlingar ska även relevanta upphandlingslagar beaktas.
Övergångsbestämmelser i säkerhetsskyddslagstiftningen
Det finns flera bestämmelser i övergångsbestämmelserna som kan få betydelse i samband med säkerhetsskyddsarbetet. Säkerhetsskyddslagen och säkerhetsskyddsförordningen har båda övergångsbestämmelser som reglerar vad som gäller vid övergången från de gamla till de nu gällande bestämmelserna.
Ytterligare föreskrifter att beakta
Säkerhetspolisen, Försvarsmakten och andra myndigheter som berörs får meddela ytterligare föreskrifter. Detta framgår av 7 kap. 4–9 §§ Säkerhetsskyddsförordningen (2018:658).
Se till exempel Säkerhetspolisens föreskrifter om säkerhetsskydd; PMFS 2019:2
Upphandlingsreglerna och säkerhetsskydd
De lagar som styr all offentlig upphandling bygger på fem grundprinciper. Bestämmelserna i upphandlingslagarna ska alltid tolkas mot bakgrund av dem.
I samband säkerhetsskyddade upphandlingar bör något nämnas om två av dessa principer:
- proportionalitetsprincipen
- principen om öppenhet.
Proportionalitetsprincipen i upphandlingssammanhang innebär att kraven och villkoren i upphandlingen ska stå i rimlig proportion till det som upphandlas. De åtgärder som den upphandlande organisationen genomför får inte gå utöver vad som är nödvändigt för den aktuella upphandlingen.
Principen om öppenhet (transparens) i upphandlingssammanhang innebär att upphandlingar ska präglas av öppenhet och förutsebarhet. Upphandlingen ska därför som utgångspunkt annonseras så att vem som helst kan lämna anbud i upphandlingen. De leverantörer som har lämnat en ansökan eller ett anbud i en upphandling ska informeras om resultatet. Upphandlingsdokumenten ska vara förutsebara, det vill säga klart och tydligt formulerade samt innehålla alla krav som har ställts.
Om det i en säkerhetsskyddad upphandling saknas skäl att ställa krav på säkerhetsskydd kan säkerhetsskyddskraven bedömas vara oproportionerliga, i synnerhet om konkurrensen begränsas med anledning av de ställda säkerhetsskyddskraven. Av samma anledning är det exempelvis inte möjligt att slentrianmässigt ställa krav på säkerhetsskydd i alla upphandlingar för att vara på ”säkra sidan” och därmed undgå genomförandet av en säkerhetsskyddsanalys inför varje upphandling.
Krav på säkerhetsskydd måste föregås av en säkerhetsskyddsanalys. En väl genomförd säkerhetsskyddsanalys som bekräftar behovet av säkerhetsskydd i en upphandling talar starkt för att säkerhetsskyddskraven är proportionerliga.
Om säkerhetsskydd inte är nödvändigt enligt säkerhetsskyddsanalysen
Säkerhetsskyddsanalysen kan leda till slutsatsen att säkerhetsskydd inte är nödvändigt i en upphandling. Säkerhetsskyddsanalysen kan också komma fram till att det rör sig om ett skyddsbehov som inte når upp till vad som avses enligt säkerhetsskyddslagstiftningen men som ändå kan anses vara samhällsviktigt. Dessa skyddsbehov får i första hand tillgodoses genom annan kris- och skyddslagstiftning. Det kan då röra sig om lagstiftning vars primära syfte är att upprätthålla kontinuitet i samhällsviktig verksamhet.
Läs mer under rubriken Andra lagar som kan aktualiseras.
Alla säkerhetsskyddskrav ska vara proportionerliga
Proportionalitetsprincipen tillämpas på alla de säkerhetsskyddskrav som har ställs i upphandlingen. Exempelvis ska proportionalitetsprincipen beaktas när nivån på säkerhetsskyddsavtalet bestäms (3-nivåskala) och när befattningar sätts i säkerhetsklass (3-gradig skala).
En upphandling med säkerhetsskyddsavtal nivå 1 kan antas innebära att färre leverantörer får möjligheten att delta i en upphandling jämfört med om nivån i stället hade bedömts vara 3. Det beror på att säkerhetsskyddsavtal med nivå 1, jämfört med nivå 3, innebär att fler krav ställs på leverantören. Utifrån ett proportionalitetsperspektiv blir det därför avgörande att säkerhetsskyddsavtalet får en korrekt nivå.
Ett annat exempel är ramavtal med få planerade avrop. I en sådan situation skulle proportionalitetsprincipen bättre kunna beaktas om parterna ingår ett säkerhetsskyddsavtal i samband med respektive avrop. Om säkerhetsskyddsavtal ingås i samband med respektive avrop skulle registerkontrollernas omfattning på ett bättre sätt möta behovet eftersom onödiga registerkontroller sannolikt skulle undvikas. Detta förutsätter dock att inga säkerhetsskyddsklassificerade uppgifter framgår under upphandlingsprocessen fram till dess att avrop sker.
Samma princip gäller för de säkerhetsklassningar som personalen får beroende på de befattningar eller arbetsuppgifter som blir aktuella för uppdraget. Om leverantörens hela personalstyrka placeras i säkerhetsklass 1 när delar av personalen uteslutande kommer att utföra arbetsuppgifter som faller in under säkerhetsklass 3 kan proportionaliteten i detta ifrågasättas.
Säkerhetsskyddslagstiftningen skapar förutsättningar för den upphandlande organisationen ta fram proportionerliga säkerhetsskyddskrav i en upphandling. Genom bland annat indelningen av fyra säkerhetsskyddsklasser finns det bra möjligheter att ställa proportionerliga säkerhetsskyddskrav. I detta avseende var den gamla säkerhetsskyddslagstiftningen mer binär till sin karaktär där indelningen endast bestod av nivån hemlig uppgift.
I förarbetena till säkerhetsskyddslagen har man särskilt uttryckt betydelsen av proportionalitet i säkerhetsskyddsåtgärderna. Bland annat bör säkerhetsskyddsåtgärderna utformas så att de inte medför skada eller annan olägenhet för allmänna eller enskilda intressen.
Säkerhetsskyddsåtgärder kan potentiellt vara kostsamma och riskera att negativt påverka en verksamhets funktionalitet, effektivitet och tillgänglighet. Åtgärderna kan även vara mycket ingripande för enskilda. Det är därför viktigt att säkerhetsskyddet inte görs mer omfattande än nödvändigt och att valda åtgärder motiveras av behovet.
En väl genomförd säkerhetsskyddsanalys med en bedömning om vad som är skyddsvärt i verksamheten och vilka skyddsåtgärder som är nödvändiga ökar förutsättningarna för att säkerhetsskyddet blir väl avvägt och effektivt, det vill säga proportionerligt.
För att beakta principen om öppenhet ska det framgå av upphandlingsdokumenten om ett säkerhetsskyddsavtal ska ingås och vilken nivå som ska gälla för säkerhetsskyddsavtalet. Säkerhetsskyddsavtalet upprättas som ett separat avtal som publiceras i samband med de övriga upphandlingsdokumenten. Potentiella anbudsgivare ska ges förutsättningar att bland annat kunna uppskatta vilka investeringar eller andra kostnader som kan aktualiseras med anledning av säkerhetsskyddsavtalet.
Att i det publicerade säkerhetsskyddsavtalet detaljerat beskriva skyddsbehovets innehåll är normalt inte möjligt med tanke på att uppgifter man vill skydda då skulle röjas. Däremot kan det yttre ramverk som ska gälla för säkerhetsskyddsavtalet beskrivas på ett tydligt sätt utan att säkerhetsskyddsklassificerade uppgifter läcks.
Utrymmet för att göra ändringar av kontrakt eller ramavtal är begränsat enligt upphandlingslagstiftningen. Därför är det viktigt att ta ställning till behovet av säkerhetsskydd innan annonseringen av upphandlingen.
Att i efterhand ingå ett säkerhetsskyddsavtal, där den upphandlande organisationen inför upphandlingen av kontraktet eller ramavtalet inte har tillämpat säkerhetsskydd, aktualiserar frågan om tillåtna ändringar av kontrakt eller ramavtal. Samma sak gäller om den upphandlande organisationen i annonsen av en upphandling har angett att en viss nivå på säkerhetsskyddsavtalet ska gälla men sedan under ett pågående kontrakt eller ramavtal vill ändra nivån på säkerhetsskyddsavtalet. Det gäller i synnerhet om ändringen sker från nivå 3 eller 2 till nivå 1.
Att ingå ett säkerhetsskyddsavtal eller ändra nivån på säkerhetsskyddsavtalet i efterhand kan öka kostnaderna för leverantören och påverka kontraktets eller ramavtalets omfattning. Det kan därför leda till att leverantören begär en högre ersättning än vad parterna har kommit överens om. Dessa omständigheter är exempel på faktorer som kan påverka bedömningen om ändringarna kan anses vara tillåtna enligt upphandlingslagstiftningen.
En bedömning ska därför göras enligt tillämplig upphandlingslags bestämmelser om vad som gäller vid ändringar av kontrakt eller ramavtal. Lagen om upphandling på försvars- och säkerhetsområdet (LUFS) saknar uttryckliga bestämmelser om ändringar av kontrakt eller ramavtal. Men eftersom ändringar av kontrakt eller ramavtal i stor utsträckning utgör en kodifiering av praxis bör vägledning ändå kunna hämtas från de övriga upphandlingslagarna som innehåller bestämmelser om ändringar av kontrakt eller ramavtal när en upphandling genomförs enligt LUFS. Om det rör sig om ändringar som inte är tillåtna enligt upphandlingslagstiftningen kan upphandlingen behöva göras om.
Undantag från upphandlingslagstiftningen är bland annat möjligt om upphandlingen rör Sveriges väsentliga intressen eller säkerhetsintressen. Dessa begrepp kommer främst från Fördraget om europiska unionens funktionssätt (FEUF). Det finns bestämmelser i FEUF som ger EU:s medlemsstater möjlighet att göra vissa undantag från EU:s upphandlingsregelverk i syfte att skydda de väsentliga nationella säkerhetsintressena. Det innebär bland annat att ingen medlemsstat ska vara förpliktad att lämna sådan information vars avslöjande den anser strida mot sina väsentliga säkerhetsintressen.
Bestämmelser om undantag från upphandlingslagstiftningen för upphandlingar inom försvars- och säkerhetsområdet framgår av respektive upphandlingslag i lagen om offentlig upphandling (LOU), lagen om upphandling inom försörjningssektorerna (LUF), lagen om upphandling av koncessioner (LUK) och LUFS.
Begreppet Sveriges säkerhet som tillämpas i säkerhetsskyddslagstiftningen förekommer inte i undantagsbestämmelserna för LOU, LUF, LUFS eller LUK. Jämfört med begreppen Sveriges väsentliga intressen eller säkerhetsintressen innefattar Sveriges säkerhet fler omständigheter. Mot bakgrund av bestämmelserna i FEUF används begreppen Sveriges väsentliga intressen eller säkerhetsintressen snarare som ett verktyg för att skilja på EU:s respektive medlemsstaternas kompetensområden.
En upphandling som omfattas av säkerhetsskyddslagstiftningen på grund av Sveriges säkerhet innebär inte ett automatiskt undantag från upphandlingslagstiftningen. Det beror på att Sveriges väsentliga intressen eller säkerhetsintressen endast utgör några av många andra omständigheter som kan aktualisera Sveriges säkerhet. Om ett planerat inköp konstateras ha betydelse för Sveriges säkerhet ska detta ha sin grund i Sveriges väsentliga intressen eller säkerhetsintressen för att undantag från upphandlingslagstiftningen ska bli aktuell.
Undantag ska tillämpas restriktivt
Bestämmelser som medger undantag från upphandlingslagstiftningen ska tillämpas restriktivt och en bedömning ska göras i varje enskilt fall. Undantag får bara göras om det inte är möjligt att garantera det skydd som behövs genom mindre ingripande åtgärder, till exempel genom att ingå ett säkerhetsskyddsavtal och lämna ut skyddsvärda handlingar med erinran om tystnadsplikt. Detta går även att utläsa indirekt av undantagsbestämmelserna på försvars- och säkerhetsområdet i LOU, LUF och LUK.
Ett scenario som eventuellt skulle kunna aktualisera nämnda undantag på försvars- och säkerhetsområdet är om själva upphandlingsbehovets existens måste hållas hemlig. I dessa fall kan varan eller tjänsten införskaffas utan att behöva beakta upphandlingslagstiftningen. Detta påverkar inte säkerhetsskyddslagstiftningens tillämplighet eftersom Sveriges säkerhet även innefattar situationer som avses enligt Sveriges väsentliga intressen eller säkerhetsintressen.
Skyldigheten att följa säkerhetsskyddslagstiftningen påverkas inte om upphandlingslagstiftningens undantagsbestämmelser blir tillämpliga. Inte heller påverkas denna skyldighet av vilket upphandlingsförfarande som tillämpas. Det innebär att om säkerhetsskyddslagstiftningen blir tillämplig ska den tillämpas oberoende av upphandlingslagstiftningens tillämplighet.
Upphandlingslagstiftningens innehåller flera bestämmelser om uteslutning av leverantörer. Bestämmelserna om uteslutning syftar till att inte tillåta leverantörer som är dömda för de brott som anges i respektive upphandlingslag att delta i upphandlingar. Även andra typer av förseelser kan bli föremål för uteslutning enligt upphandlingslagarna. Bestämmelserna om uteslutning i upphandlingslagstiftningen innebär dock inte ett säkerhetsskydd enligt säkerhetsskyddslagstiftningen.
Framförallt beror det på att säkerhetsskyddslagstiftningen har ett annat syfte. Säkerhetsskyddslagstiftningen blir tillämplig på säkerhetskänslig verksamhet och avser brott som har betydelse för Sveriges säkerhet. Säkerhetsskyddslagstiftningen ställer därutöver andra typer av krav som är mer långtgående jämfört med upphandlingslagstiftningens uteslutningsgrunder. Uteslutningsgrunderna enligt upphandlingslagstiftningen har inte konstruerats med huvudsyftet att skydda Sveriges säkerhet.
Enligt upphandlingslagstiftningens bestämmelser om uteslutning saknar det betydelse om upphandlingsföremålet rör säkerhetskänslig verksamhet. Till skillnad från säkerhetsskyddslagstiftningen kan bestämmelserna om uteslutning tillämpas i alla upphandlingar oavsett skyddsvärde.
Andra lagar som kan aktualiseras
NIS-direktivet och LUFS är exempel på andra lagar som kan bli aktuella inför en upphandling som kräver ett särskilt skydd.
Både LUFS och alla de andra upphandlingslagarna (LOU, LUF och LUK) syftar till att uppnå konkurrens. LUFS ger dock, utifrån ett säkerhetsperspektiv, bättre förutsättningar att bland annat ställa mer långtgående krav. Säkerhetsskyddslagstiftningen ska dock beaktas oaktat om LUFS blir tillämplig eller inte.
Information om hur och när LUFS kan tillämpas finns i Upphandlingsmyndighetens stöd om Lagen om upphandling på försvars- och säkerhetsområdet (LUFS).
NIS-direktivet är ett EU-direktiv om säkerhet för nätverk och informationssystem.
Den nationella lagstiftning som omsätter NIS-direktivets bestämmelser är Lag (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster (här förkortad som LISDT). Dessa bestämmelser tar sikte på att uppnå en hög nivå av säkerhet i nätverks- och informationssystem för utvalda sektorer som är samhällsviktiga samt även digitala tjänster.
NIS-direktivet och LISDT syftar därför till att tillgodose skyddsbehovet för verksamheter som är samhällsviktiga men som inte är så skyddsvärda att de berör Sveriges säkerhet. Tillämpningen av NIS-direktivet och LISDT kan i vissa situationer innebära att den upphandlande organisationen på ett bättre sätt kan beakta proportionalitetsprincipen.
Läs mer under rubriken Upphandlingsreglerna och säkerhetsskydd.
Det framgår av LISDT att dess bestämmelser inte gäller för verksamhet som omfattas av säkerhetsskyddslagen. Säkerhetsskyddslagstiftningen har ett bredare tillämpningsområde och utgör även ett skydd för de intressen som LISDT är tänkt att skydda.
Hur gränsdragningen ska göras mellan verksamheter som omfattas av säkerhetsskyddslagstiftningen respektive NIS-direktivet/LISDT är dock inte helt enkel.
Ett sätt att beskriva samhällsviktig verksamhet kan vara om en verksamhet uppfyller båda eller det ena av följande villkor:
- Ett bortfall av eller en svår störning i verksamheten kan ensamt eller tillsammans med motsvarande händelser i andra verksamheter på kort tid leda till att en allvarlig kris inträffar i samhället.
- Verksamheten är nödvändig eller mycket väsentlig för att en redan inträffad kris i samhället ska kunna hanteras så att skadeverkningarna blir så små som möjligt.
Det innebär att ett stort antal verksamheter skulle kunna omfattas av samhällsviktig verksamhet. Verksamheter som avses enligt den nya säkerhetsskyddslagstiftningen omfattas i regel av dessa kriterier, men karaktäriseras därutöver av att de har betydelse för Sveriges säkerhet ur ett nationellt perspektiv. Förklaringen till detta är att säkerhetsskyddslagstiftningen primärt syftar till att skydda känslig verksamhet mot antagonistiska angrepp, till exempel spioneri, sabotage och terroristbrott. Samhällsviktig verksamhet brukar ibland åskådliggöras som en pyramid där säkerhetsskyddslagens tillämpningsområde hamnar i pyramidens topp.
Myndigheten för samhällsskydd och beredskap (MSB) har tagit fram informationsmaterial och föreskrifter inom ramen för NIS-direktivet.
Relaterade länkar
Källhänvisningar
- lag (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster
- stärkt krisberedskap – för säkerhets skull, prop. 2007/08:92
- ett modernt och stärkt skydd för Sveriges säkerhet – ny säkerhetsskyddslag, prop. 2017/18:89
- fördraget om Europeiska unionens funktionssätt (FEUF)
- lag (2016:1145) om offentlig upphandling (LOU)
- lag (2016:1146) om upphandling inom försörjningssektorerna (LUF)
- lag (2016:1147) om upphandling av koncessioner (LUK)
- lag (2011:1029) om upphandling på försvars- och säkerhetsområdet (LUFS)
- nytt regelverk om upphandling, prop. 2015/16:195.
- 1 § Lag (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster.
- 8 § Lag (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster.
- Prop. 2007/08:92, s. 33.
- Prop. 2017/18:89, s. 40.
- Prop. 2017/18:89, s. 39.
- Prop. 2017/18:89, s. 57 f.
- Artikel 346 FEUF.
- 3 kap 3–5 §§ LOU; 3 kap. 1–3 §§ LUF; 1 kap. 9–10 §§ LUFS; 3 kap. 1-3 §§ LUK.
- Prop. 2015/16:195, s. 381 f.
- 3 kap. 4–5 §§ LOU; 3 kap. 2–3 §§ LUF; 3 kap. 2–3 §§ LUK.
- 13 kap. LOU; 13 kap. LUF; 11 kap. LUK; 11 kap. LUFS.
Snabblänkar till vårt stöd för säkerhetsskyddad upphandling
- Startsida: Säkerhetsskyddad upphandling
- Lagar och regler för säkerhetsskyddade upphandlingar
- Innan du sätter igång
- Säkerhetsskydd under upphandlingsprocessen
- Använda säkerhetsskydd i upphandlingar
- Sveriges säkerhet
- Lämna anbud i säkerhetsskyddade upphandlingar
- Ordlista
- Dokumentversion av webbstöd: Säkerhetsskyddad upphandling