Till innehållet
En VA-huvudman som omfattas av säkerhetsskyddslagen ska planera och vidta de säkerhets- skyddsåtgärder som behövs med hänsyn till verksamhetens art och omfattning, förekomstav säkerhetsskyddsklassificerade uppgifter och övriga omständigheter. När en leverantör i en upphandling eller vid genomförandet av ett uppdrag tar del av säkerhetsskyddsklassificerade uppgifter eller annars deltar i säkerhetskänslig verksamhet, har VA-huvudmannen ansvaret för att det finns ett fullgott säkerhetsskydd även hos leverantören och dennes underleverantörer.
Offentlig upphandling regleras i huvudsak av lag (2016:1145) om offentlig upphandling, LOU samt lag (2016:1146) om upphandling inom försörjningssektorerna, LUF. Lagarna bygger på EU-direktiven 2014/24/EU om offentlig upphandling samt 2014/25/EU om upphandling av enheter som är verksamma på områdena vatten, energi, transporter och posttjänster.
Reglerna syftar bland annat till att upphandlande myndigheter ska använda offentliga medel på bästa sätt genom att uppsöka och dra nytta av konkurrensen på marknaden samt att leverantörer ska ha möjlighet att lämna anbud på lika villkor.
Upphandlingsreglerna ska tillämpas av statliga och kommunala myndigheter – inklusive kommunala bolag som utgör så kallade offentligt styrda organ – när de gör anskaffningar av varor, tjänster eller byggentreprenader. Eftersom VA-huvudmän utgör kommunala myndigheter eller offentligt styrda organ omfattas de av upphandlingsreglerna och ska som utgångspunkt tillämpa LUF. LUF gäller nämligen för enheter som tillhandahåller, producerar eller levererar dricksvatten, samt för upphandlingar som har anknytning till bortskaffande eller rening av avloppsvatten.
Säkerhetsskyddslagen gäller, vilket beskrivits i avsnitt 4.1, för den som till någon del bedriver verksamhet som är av betydelse för Sveriges säkerhet. Eftersom i vart fall delar av VA-huvudmännens verksamhet utgör en del av totalförsvaret, kan dessa delar av verksamheten utgöra säkerhetskänslig verksamhet.
Den som avser att genomföra en upphandling eller ingå ett avtal där det krävs säkerhetsskyddsavtal (se nedan) ska också genomföra en särskild säkerhetsskyddsbedömning och lämplighetsprövning. VA-huvudmannen ska inom ramen för den bedömningen identifiera vilka säkerhetsskyddsklassificerade uppgifter eller vilken säkerhetskänslig verksamhet i övrigt som leverantören kan få tillgång till och som kräver säkerhetsskydd. VA-huvudmannen ska utifrån den bedömningen pröva om det planerade förfarandet är lämpligt från säkerhetsskyddssynpunkt. Om lämplighetsprövningen leder till bedömningen att det är olämpligt från säkerhetsskyddsynpunkt att genomföra en upphandling eller ingå ett avtal, får VA-huvudmannen inte genomföra upphandlingen eller ingå avtalet.
Om en VA-huvudman avser att genomföra en upphandling eller annars ingå ett avtal, och motparten kan få tillgång till säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre ska VA-huvudmannen och motparten ingå ett säkerhetsskyddsavtal. Detta gäller även deltagande i säkerhetskänslig verksamhet av motsvarande nivå för Sverige säkerhet. Denna process benämns ofta säkerhetsskyddad upphandling eller SUA.
VA-huvudmannen ska också teckna säkerhetsskyddsavtal med eventuella underleverantörer om dessa kan få del av säkerhetsskyddsklassificerade uppgifter. Anställda hos sådana underleverantörer ska även genomgå säkerhetsprövning enligt vad som framgår nedan.
För att avgöra om en upphandling kräver säkerhetsskyddsavtal krävs ofta ett samarbete mellan säkerhetsorganisationen, upphandlingsorganisationen och den del av verk- samheten som har behov av upphandlingen. Dessa delar av organisationen behöver tillsammans utreda om anbudsgivare eller leverantörer kommer att ta del säkerhetsskyddsklassificerade uppgifter och vilken säkerhetsskyddsklass dessa uppgifter i så fall har. Observera att kravet även gäller även vid tillgång till säkerhetskänslig verksamhet, se 7 kap 2 § PMFS 2022:1. Säkerhetsskyddsanalysen kan vara till god hjälp vid den bedömningen.
När det handlar om säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre ska ett säkerhetsskyddsavtal ingås på någon av följande tre nivåer, beroende på var uppdraget ska genomföras:
Om en anbudsgivare eller leverantör ska hantera eller förvara säkerhetsskyddsklassificerade uppgifter i egna lokaler ska VA-huvudmannen genom besök kontrollera om företagets lokaler och övriga förhållanden är lämpliga ur säkerhetsskyddssynpunkt.
Även extern samverkan rörande begränsat hemlig/ringa skada kräver säkerhetsskyddad upphandling där säkerhetsskyddskrav ställs, bland annat säkerhetsprövning och säkerhetsskyddsutbildning. Rekommendationen från Säkerhetspolisen är att teckna en ”säkerhetsskyddsöverenskommelse” med i princip samma innehåll som säkerhetsskyddsavtalen men utan krav på registerkontroll.
En VA-huvudman som avser att ingå ett säkerhetsskyddsavtal ska anmäla det till länsstyrelsen, innan avtalet ingås. Kommunala bolag ska också göra motsvarande anmälan till den kommun som beslutar om placering av uppdrag i säkerhetsklass.
När en kommun eller kommunalförbund har ingått säkerhetsskyddsavtalet ska den anmäla till länsstyrelsen och Säkerhetspolisen att ett sådant avtal har ingåtts. Kommunala bolag ska göra anmälan till kommunen, som ska vidarebefordra anmälan till Säkerhetspolisen. Anmälan i det senare fallet kan även göras direkt till Säkerhetspolisen, enligt anmälningsblanketten är det verksamhetsutövaren som anmäler. Blanketter för anmälan finns på Säkerhetspolisens hemsida.
En anmälan ska också göras när avtalet har upphört att gälla.
En leverantörs deltagande i VA-huvudmannens verksamhet ska placeras i säkerhetsklass, om den som deltar i verksamheten:
Kommuner och kommunalförbund fattar avseende den egna verksamheten beslut om placering av uppdraget i säkerhetsklass 2 och 3. Kommunala bolag kan dock inte själva besluta om placering i säkerhetsklass, utan det är den kommun som har rättsligt bestämmande inflytande över bolaget – det vill säga ägarkommunen eller ägarkommunerna – som fattar sådana beslut.
När det gäller placering i säkerhetsklass 1 är det regeringen som beslutar om sådan placering.
Innan en person hos en anbudsgivare eller leverantör får del av säkerhetsskyddsklassi- ficerade uppgifter eller deltar i säkerhetskänslig verksamhet ska en säkerhetsprövning göras, se avsnitt 4.9.3 under 4.9. Säkerhetsprövningen syftar till att klarlägga om personen i fråga kan antas vara lojal mot de intressen som skyddas i säkerhetsskyddslagen och i övrigt pålitlig från säkerhetssynpunkt.
Prövningen och grundutredningen kan exempelvis gå till på så sätt att VA-huvudmannen genomför intervjuer med berörda personer hos leverantören och begär referenser från tidigare uppdrag. Om uppdraget har placerats i säkerhetsklass (se ovan) ska en registerkontroll göras och om verksamheten har placerats i säkerhetsklass 1 eller 2 ska Säkerhetspolisen i samband med registerkontrollen göra en särskild personutredning.
Observera att den som prövas måste lämna samtycke till att såväl registerkontroll som särskild personutredning genomförs. Det bör därför framgå av säkerhetsskyddsavtalet att leverantören ansvarar för att erhålla ett skriftligt samtycke från sina anställda.
En säkerhetsskyddad upphandling regleras av samma regler i LUF som en ”vanlig” upphandling. Det innebär bland annat att om upphandlingens värde överstiger gällande tröskelvärden ska LUF i sin helhet tillämpas och annonsering ska ske inom hela EU. Om upphandlingens värde understiger tröskelvärdena ska 19 kap. LUF tillämpas och annonsering behöver endast ske i Sverige. Om upphandlingens värde understiger direktupphandlingsgränsen eller något annat undantag från konkurrensutsättning är tillämpligt, får direktupphandling enligt 19 a kap. LUF ske.
Vilket förfarande som ska användas för genomförande av upphandlingen beror på i vilket skede leverantören behöver ta del av säkerhetsskyddsklassificerade uppgifter.
Om anbudsgivarna för att lämna anbud behöver ta del av säkerhetsskyddsklassificerade uppgifter redan i upphandlingsdokumentet, behöver upphandlingen genomföras i ett tvåstegsförfarande.
Förfarandet innebär att VA-huvudmannen i samband med annonsering publicerar ett ansökningsunderlag, som innehåller övergripande information om upphandlingen samt kvalificeringskrav på leverantören. Alla leverantörer har rätt att ansöka om att få delta i upphandlingen. De leverantörer som uppfyller kvalificeringskraven tecknar säkerhetsskyddsavtal med VA-huvudmannen och genomgår säkerhetsprövning. Först därefter får leverantörerna ta del av en anbudsinbjudan och lämna anbud enligt denna. VA-huvudmannen utvärderar därefter anbuden och tilldelar avtal till den leverantör som har lämnat det ekonomiskt mest fördelaktiga anbudet.
Det säkerhetsskyddsavtal som VA-huvudmannen och den tilldelade leverantören har tecknat under upphandlingen kan behöva uppdateras och anpassas inför genomförandet av uppdraget.
Om det endast är den leverantör som tilldelas avtal som kommer att ta del av säkerhetsskyddsklassificerade uppgifter, behöver VA-huvudmannen inte teckna säkerhetsskyddsavtal med anbudsgivarna redan i upphandlingsskedet. Upphandlingen kan då genomföras genom ett enstegsförfarande (benämnt öppet förfarande om upphandlingen sker enligt reglerna över tröskelvärdena).
Förfarandet innebär att VA-huvudmannen i samband med annonsering publicerar ett fullständigt upphandlingsdokument, enligt vilket leverantörer kan lämna anbud. VA-huvudmannen utvärderar inkomna anbud och tilldelar avtalet till den leverantör som har lämnat det ekonomiskt mest fördelaktiga anbudet. VA-huvudmannen tecknar därefter säkerhetsskyddsavtal och genomför säkerhetsprövning av den tilldelade leverantören.
Skyldigheten att genomföra en säkerhetsskyddad upphandling gäller oavsett vad upphandlingen avser, om leverantören kan få tillgång till säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre. Alternativt annan säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet. Det är dock vanligare i vissa typer av upphandlingar att leverantören får tillgång till sådana uppgifter eller verksamhet.
Nedan följer några exempel på upphandlingar som ofta kräver säkerhetsskydd.
Länsstyrelsen är tillsynsmyndighet för kommuner, kommunala bolag och kommunalförbund. Länsstyrelsen får också utöva tillsyn över leverantörer som sådana verksam- hetsutövare har tecknat säkerhetsskyddsavtal med. I sin roll som tillsynsmyndighet ska länsstyrelsen även ge vägledning inom säkerhetsskydd.
Om en VA-huvudman inte följer tillämpliga bestämmelser i säkerhetsskyddslagen, bland annat avseende säkerhetsskyddsavtal och kontroll av att leverantörer tillgodoser ett fullgott säkerhetsskydd, kan länsstyrelsen besluta att ta ut en sanktionsavgift. Sanktionsavgiften får för kommunala bolag uppgå till högst 50 000 000 kronor och för kommuner och kommunalförbund till högst 10 000 000 kronor.
Säkerhetspolisen
