Logga in

Glömt ditt lösenord?

Så påverkas säkerhetsskyddade upphandlingar av den ökade terrorhotsnivån

upphandling-Sa-paverkas-sakerhetsskyddade-upphandlingar-av-den-okade-terrorhotsnivan-huvubild.jpg

För några veckor sedan höjde Säkerhetspolisen terrorhotnivån från en trea till en fyra på den fem-gradiga skala som Säkerhetspolisen använder för att klassificera hotbilden mot Sverige. Enligt Säkerhetspolisens bedömning finns det nu ett högt hot för terroristattentat i Sverige. I denna artikel analyserar Viktor Robertson från advokatfirman Kahn Pedersen hur den höjda hotnivån påverkar verksamhetsutövare som omfattas av säkerhetsskyddslagen, och de säkerhetsskyddade upphandlingar som de genomför.

Inledning

Under den presskonferens som Säkerhetspolisen höll i samband med att de meddelade om höjningen så uttalade Säkerhetspolisens chef att den ökade hotbilden visade på ”vikten av att arbeta aktivt med en rad olika åtgärder. Inte minst när det gäller säkerhetsskyddsfrågor”.

Den ökade hotbilden innebär med andra ord inte bara en ökad risk för terrorattentat gentemot enskilda, utan att även verksamheter som är av betydelse för Sveriges säkerhet och därmed omfattas av säkerhetsskyddslagen påverkas.

Denna typ av verksamheter är nämligen skyldiga att vidta olika säkerhetsskyddsåtgärder till skydd för den egna verksamheten mot antagonistiska hot, bland annat just terroristbrott.

Uppdaterad säkerhetsskyddsanalys

Men vad är det då dessa så kallade verksamhetsutövare behöver göra? För att kunna svara på den frågan så behöver en så kallad säkerhetsskyddsanalys genomföras. Denna analys syftar till att bland annat utreda vilka hot som finns mot den egna verksamheten.

Med utgångspunkt i analysen ska verksamheten därefter planera och vidta de säkerhetsskyddsåtgärder som behövs med hänsyn till bland annat verksamhetens art och omfattning. Dessa säkerhetsskyddsåtgärder behöver även i viss mån ”skjutas över” på upphandlade leverantörer när en säkerhetsskyddad upphandling sker, så att leverantörerna som ska komma i kontakt med den säkerhetskänsliga verksamheten också vidtar relevanta säkerhetsskyddsåtgärder. Utan sådana krav riskerar nämligen verksamheten att få ett sämre skydd, enbart som en följd av att en utomstående leverantör på något sätt deltar i den säkerhetskänsliga delen av den.

Säkerhetsskyddsanalysen är och bör vara ett levande dokument som löpande ska uppdateras och utvärderas. Enligt säkerhetsskyddsförordningen ska en uppdatering av säkerhetsskyddsanalysen inte bara ske minst vartannat år utan även vid behov.

Vad som faktiskt ska utgöra ett ”behov” som leder till att analysen behöver uppdateras är inte helt tydligt, men Säkerhetspolisen nämner i sin vägledning som exempel på ett sådant behov när de tillhandahåller en beskrivning av dimensionerade antagonistiska förmågor (DAF-beskrivning) till verksamhetsutövaren. En DAF-beskrivning ger verksamhetsutövaren vägledning till hur framförallt det fysiska skyddet ska utformas för att kunna möta en antagonists förmåga.

Enligt min mening så bör även en höjning av terrorhotnivån vara en sådan händelse som leder till ett behov av att se över och eventuellt uppdatera verksamhetens säkerhetsskyddsanalys.

Endast genom att faktiskt återbesöka säkerhetsskyddsanalysen kan verksamhetsutövaren säkerställa att de säkerhetskyddsåtgärder som finns också är tillräckliga och lämpliga för att hantera det ökade hotet.

Kanske är det nämligen så att den ökade hotbilden leder till ett behov av att vidta fler och utökade säkerhetsskyddsåtgärder (så kallade kompensatoriska åtgärder), för att kunna skydda verksamheten vid en potentiell terrorhandling? Om så är fallet räcker det ofta inte med att den egna verksamheten vidtar dessa kompensatoriska åtgärder, utan att även leverantörer som verksamheten ingått eller avser att ingå säkerhetsskyddsavtal med vidtar motsvarande åtgärder. Som nämnts ovan riskerar annars säkerheten i verksamheten att försämras, givet att de delar som exponeras genom leverantörernas deltagande inte omfattas av det skydd som krävs i den givna situationen.

Betydelsen för kommande och framtida upphandlingar

Sedan en tid tillbaka är alla verksamhetsutövare som avser att genomföra en säkerhetsskyddad upphandling skyldiga att först genomföra en säkerhetsskyddsbedömning och lämplighetsprövning innan upphandlingen genomförs.

Syftet med dessa steg är bland annat att kartlägga de hot som finns mot den del av verksamhet som exponeras genom upphandlingen och att pröva om det är lämpligt att genomföra upphandlingen. Inom ramen för den säkerhetsskyddsbedömning som ska genomföras bör den ökade hotbilden troligtvis tas upp som en påverkande faktor, beroende på verksamhetens art och natur.

Det kan dock vara svårt att göra en sådan bedömning innan den grundläggande säkerhetsskyddsanalysen är genomförd och uppdaterad. Anledningen till det är att säkerhetskyddsbedömningen till stora delar utgår från samma typ av omständigheter som beaktas inom ramen för den interna säkerhetsskyddsanalysen. Det kan därmed finnas ett stort behov av att först uppdatera den interna säkerhetsskyddsanalysen, innan en säkerhetsskyddsbedömning görs inom ramen för en upphandling.

Om det inte sker riskerar säkerhetsskyddsbedömningen nämligen att bli ofullständig, vilket i sin tur ökar risken för att relevanta krav på säkerhetskyddsåtgärder inte återfinns i det säkerhetsskyddsavtal som ligger till grund för upphandlingen.

Det är inte heller otänkbart att det ökade hotläget även påverkar den lämplighetsbedömning som ska ske innan upphandlingen genomförs, på så sätt att det i vissa fall kan anses olämpligt att tillgodose verksamhetens aktuella behov genom upphandlingen istället för med interna resurser.

Det kan innebära att upphandlingarna som snart ska annonseras kan behöva pausas, innan den nya säkerhetsskyddsanalysen, säkerhetsbedömningen samt lämplighetsprövningen är klar. Risken är annars att viktiga säkerhetsskyddsaspekter förbises.

På motsvarande sätt finns det ett behov av att se över de krav som ställs i de säkerhetsskyddsavtal som snart ska upphandlas, så att de innehåller de potentiellt ökade krav på säkerhetsskyddsåtgärder som behövs i förhållande till den nya hotnivån och de uppdaterade säkerhetsskyddsanalyserna och -bedömningarna.

Om det inte sker så kan det leda till att de säkerhetsskyddsåtgärder som leverantörerna ska vidta enligt säkerhetsskyddsavtalet inte ger det skydd som den ökade hotbilden kräver, vilket riskerar att leda till att Sveriges säkerhet försämras. Därmed riskerar även verksamhetsutövaren att bryta mot säkerhetsskyddslagen, givet att skyddet för den egna verksamheten försämrats på ett sätt som inte är godtagbart.

Om säkerhetsskyddsavtalen inte följs upp inför de kommande samt pågående upphandlingarna riskerar verksamhetsutövaren dessutom att i efterhand behöva revidera säkerhetsskyddsavtalets krav på säkerhetsskyddsåtgärder kort efter att det avtalet redan har ingåtts.

Denna form av ändringar är dock problematiska, och innebär risker både ur ett upphandlingsrättsligt och kommersiellt perspektiv. Det kan nämligen påstås att en sådan ändring är väsentlig ur ett upphandlingsrättsligt perspektiv, vilket ökar risken för att verksamhetsutövaren ansetts genomfört en otillåten direkttilldelning.

På motsvarande sätt kan en ändring leda till kommersiellt komplicerade diskussioner mellan verksamhetsutövaren och leverantören, bland annat om vem som ska bära kostnaden för de tillkommande säkerhetsskyddsåtgärderna.

Avslutning

För verksamheter som omfattas av säkerhetsskyddslagen och som genomför säkerhetsskyddade upphandlingar innebär Säkerhetspolisens uppdaterade hotbild med andra ord att ett internt analysarbete behöver påbörjas, i syfte att säkerställa att både den egna och den upphandlade delen av den säkerhetskänsliga verksamheten har det skydd som krävs för att uppfylla lagens krav.

Detta kan i sin tur leda till att planerade eller påbörjade säkerhetsskyddade upphandlingar behöver sättas på paus, innan det interna analysarbetet är klart. Detta innebär i sin tur prövningar för verksamheten, som troligtvis har ett behov av att det upphandlande föremålet kommer på plats. Behovet av ett gott samarbete mellan säkerhetsskyddsansvariga, upphandlare och den del av verksamheten vars behov ska tillgodoses genom upphandlingen blir i en sådan här situation av stor vikt. Om så inte sker riskerar i värsta fall olika intressen att förbises, antingen säkerhetsskyddet eller behovet av det upphandlade föremålet, eller i värsta fall både och.

Av Viktor Robertson, Advokatfirman Kahn Pedersen.
Ursprungligen publicerad i JP Upphandlingsnet.

Ny praxis och lagändringar kan ha tillkommit sedan texten skrevs. De senaste uppdateringarna och hur dessa påverkat rättsområdet hittar du alltid i relevant informationstjänst.

Missa inte vår kurs om säkerhetsskyddad upphandling!

Vilka krav ställs på säkerhetsskyddade upphandlingar? Vår kurs ger dig kunskapen om vilka åtgärder du behöver vidta. Den går av stapeln den 24 april 2024 och kursledare är Christoffer Stavenow. Läs mer om kursen och anmäl dig här >

Publicerad 3 okt 2023

Viktor Robertson

Advokat, Advokatfirman Kahn Pedersen

Anmäl dig till vårt nyhetsbrev inom konkurrensrätt och upphandlingsrätt:

Se vår integritetspolicy

Upptäck mer

Kurser

Avtalsrätt inom offentlig upphandling

Avtalsrätt inom offentlig upphandling

Avtalsuppföljning vid offentlig upphandling

Avtalsuppföljning vid offentlig upphandling

Rättspraxis inom offentlig upphandling – kort kurs

Rättspraxis inom offentlig upphandling – kort kurs

Se alla kurser inom upphandling

Tjänster

Se alla tjänster inom upphandling

Nyheter

Ökat antal överprövningsmål under förra året

Upphandling

Antalet överprövningsmål i förvaltningsdomstolarna 2023 ökade med 17 procent jämfört med året innan. Det framgår av statistik som Upphandlingsmyndigheten nyligen publicerade.  

25 apr 2024

Finns det en tidsfrist för när en upphandlande myndighet senast måste fatta ett tilldelningsbeslut?

Upphandling

Vår jurist Mihiri Ratnayake svarar på frågan.

25 apr 2024

Förvaltningsrätten fullgjorde inte sitt utredningsansvar i upphandlingsmål

Upphandling

Kammarrätten anser att förvaltningsrätten inte har kunnat göra en effektiv överprövning av upphandlingen utan tillgång till relevanta delar av det vinnande anbudet. Kammarrätten upphäver därför domen och visar målet åter för ny handläggning.  

25 apr 2024

Se alla nyheter inom upphandling

JP Infonets webbplatser använder cookies för att fungera på ett bra sätt. Genom att välja "acceptera" samtycker du till att cookies används. Läs mer

  • Inloggning och sessionshantering

    Kakor som används för att avgöra vilka sidvisningar som hör till samma användarbesök. Behövs för inloggning samt optimering.

    Cookie-namn:
    • .JpLogin
    • ASP.NET_SessionId
    Godkännande av kakor

    Denna kaka används för att hålla reda på vilka kakor som användaren accepterat att vi lagrar.

    Cookie-namn:
    • jp-cookies
    Federerad inloggning

    Denna kaka sätts för användare som använder federerad inloggning.

    Cookie-namn:
    • FedAuth
    Kursutvärderingar

    Denna kaka sätts för användare som skickat in kursutvärderingar.

    Cookie-namn:
    • CourseEvaluations
  • Filnedladdning

    Denna kaka håller reda på om användaren har lämnat sin e-postadress när den ska ladda ner en fil från den publika sajten.

    Cookie-namn:
    • JP_Download
    Webbkursexaminationer

    Kakan möjliggör för webbkursexamintioner för användare utan personligt konto.

    Cookie-namn:
    • ExamStudentId
    Solidtango

    Kaka som används för uppspelning av video. Används för att hålla en anonym användarsession.

    Cookie-namn:
    • JSESSIONID
    • _fanplay_session
    Twitter

    Sparar språkval för Twitter-flödet.

    Cookie-namn:
    • lang
    Google Analytics

    Denna kaka används för att särskilja användare.

    Cookie-namn:
    • _gali
    Form Apsis One

    Denna kaka används för inbäddade formulär.

    Cookie-namn:
    • form.apsis.one
  • Google Analytics

    Kakor som används för besöksmätning.

    Cookie-namn:
    • _ga
    • _gid
    • _gat
    Hot Jar

    Dessa kakor används för webbanalys funktionalitet och tjänster från hotjar.

    Cookie-namn:
    • _hjIncludedInSample
    • _hjid
    Upplysningscentralen (UC)

    Används för risksigillet i sidfoten på publik sajt.

    Cookie-namn:
    • www.uc.se
    Apsis One

    Används för att analysera användarbeteende och skräddarsy marknadsföring.

    Cookie-namn:
    • Apsis One
  • Google Advertising

    Kakor för Google Advertising

    Cookie-namn:
    • test_cookie
    • IDE
    ProspectEye (Apsis Lead)

    Kaka för att spara IP-adresser för att identifiera företag eller organisationer som besöker webbsidan.

    Cookie-namn:
    • 3135848f46