Exponering av skyddsvärden i samband med upphandling (Tidigare SUA)
Innan säkerhetskänslig verksamhet exponeras för en annan aktör behöver verksamhetsutövaren vidta åtgärder för att säkerställa att säkerhetsskyddet inte försämras i samband med exponeringen.
Åtgärder behövs för att skydda säkerhetsskyddsklassificerade uppgifter eller annan säkerhetskänslig verksamhet.
Detta görs genom ett säkerhetsskyddsavtal eller en -överenskommelse som ingås mellan verksamhetsutövare och leverantör.
Vi stöttar dig genom hela processen.
Säkerhetsskyddsavtal eller -överenskommelse
Innan en verksamhetsutövare låter en leverantör få tillgång till eller förvara skyddsvärden, måste verksamhetsutövaren säkerställa att leverantören och dess personal har den säkerhetsmedvetenhet och de åtgärder och rutiner som krävs för att hantera skyddsvärden utan att riskera att dessa röjs, manipuleras eller görs otillgängliga.
Processen vid en sådan exponering kan omfatta krav på:
- Säkerhetsskyddsavtal eller säkerhetsskyddsöverenskommelse mellan upphandlande organisation (verksamhetsutövare) och leverantör
- Särskilda säkerhetsskyddsåtgärder såsom fysisk säkerhet, personalsäkerhet och informationssäkerhet
- Säkerhetsprövning och utbildning av personal som ska få tillgång till säkerhetsskyddsklassificerad information eller egendom, anläggningar, system och objekt.
- Anmälan till Säkerhetspolisen och/eller tillsynsmyndighet vid tecknande av säkerhetsskyddsavtal
- Återredovisning från säkerhetspolisen.
Process vid exponering av skyddsvärden
I säkerhetsskyddade upphandlingar samspelar säkerhetsskyddslagstiftningen och upphandlingslagstiftningen då dessa behöver följas parallellt med varandra.
Verksamhetsutövaren behöver i hela upphandlingsprocessen ta hänsyn till säkerhetsskyddslagstiftningen och vidta de steg och åtgärder som den kräver.
Några viktiga steg i processen inkluderar:
Särskild säkerhetsskyddsbedömning: För att kunna säkerställa att säkerhetskänslig verksamhet ges det skydd som behövs ska verksamhetsutövaren, inför ett förfarande med krav på säkerhetsskyddsavtal, göra en särskild säkerhetsskyddsbedömning. Den särskilda säkerhetsskyddsbedömningen ska genomföras innan förfarandet inleds och ska dokumenteras.
Lämplighetsprövning: Verksamhetsutövaren ska, efter att den särskilda säkerhetsskyddsbedömningen genomförts, pröva om förfarandet är lämpligt från säkerhetsskyddssynpunkt. Om lämplighetsprövningen leder till bedömningen att förfarandet är olämpligt är verksamhetsutövaren enligt lag förbjuden att inleda förfarandet.
Leverantörsprövning – Kontroll av att leverantören uppfyller de säkerhetskrav som ställs, särskilt viktigt är detta vid nivå 1-avtal, då förstagångsbesök ska genomföras och säkerhetsskyddsinstruktion ska tas fram.
Säkerhetsprövning och utbildning – Bedömning av behov av säkerhetsprövning och eventuell placering i säkerhetsklass samt genomförande av utbildning
Kontinuerlig uppföljning – Säkerställa att leverantören följer säkerhetsskyddsåtgärder under hela uppdraget.
Varför är det viktigt att följa upp processen?
Att följa processen för exponering av skyddvärden är avgörande för att skydda Sveriges nationella säkerhet- Genom att ställa krav på säkerhetsskydd vid upphandlingar kan myndigheter och företag minska risken för att uppgifter/handlingar eller säkerhetskänslig verksamhet nås av obehöriga eller blir föremål för skadlig inverkan.
Krav på leverantörer
Företag som vill ge anbud i säkerhetsskyddade upphandlingar behöver:
- Förstå vilka krav som kommer att ställas kopplat till säkerhetsskyddet, så att man tar höjd för kostnader som är förenade med detta.
- Bör vid nivå 1-avtal ha lokaler med en fysisk säkerhet som är anpassad för att ta emot säkerhetsklassade handlingar eller uppgifter eller andra tillgångar.
- Känna till vilka krav som ställs kopplat till informations- och personalsäkerhet
- Uppfylla krav på säkerhets av personal och företaprövning och eventuellt även registerkontroll och särskild personutredning av personal och företagsledning.
- Ha förberedda rutiner för de krav som ställs, inklusive rutiner för kontroll och uppföljning av den egna verksamheten.
