Exponering av skyddsvärden i samband med upphandling (Tidigare benämnt SUA)
När en annan aktör kan få tillgång till en verksamhetsutövares säkerhetsskyddsklassificerade uppgifter eller säkerhetskänsliga verksamhet, kallas det att man exponerar skyddsvärden. Innan säkerhetskänslig verksamhet exponeras för en annan aktör behöver verksamhetsutövaren vidta åtgärder för att säkerställa att säkerhetsskyddet inte försämras i samband med exponeringen.
En aktör som genom exempelvis ett affärsavtal får tillgång till en verksamhetsutövares säkerhetskänsliga verksamhet omfattas inte av säkerhetsskyddslagen enbart på grund av den anledningen. För att kunna säkerställa att säkerhetsskyddet uppfyller författningskraven behöver därför verksamhetsutövaren på något annat sätt ålägga den andra aktören att vidta nödvändiga åtgärder för att skydda säkerhetsskyddsklassificerade uppgifter eller annan säkerhetskänslig verksamhet
Detta görs genom ett säkerhetsskyddsavtal eller en -överenskommelse som ingås mellan verksamhetsutövare och leverantör.
Säkerhetsskyddsavtal eller -överenskommelse
Innan en verksamhetsutövare låter en leverantör få tillgång till eller förvara skyddsvärden, måste verksamhetsutövaren säkerställa att leverantören och dess personal har den säkerhetsmedvetenhet och de åtgärder och rutiner som krävs för att hantera skyddsvärden utan att riskera att dessa röjs, manipuleras eller görs otillgängliga.
Processen vid en sådan exponering kan omfatta krav på:
- Säkerhetsskyddsavtal eller säkerhetsskyddsöverenskommelse mellan upphandlande organisation (verksamhetsutövare) och leverantör
- Särskilda säkerhetsskyddsåtgärder såsom fysisk säkerhet, IT-säkerhet och informationssäkerhet
- Säkerhetsprövning av personal som ska hantera skyddsvärd information
- Anmälan till Säkerhetspolisen och/eller tillsynsmyndighet
- Godkännande från Säkerhetspolisen eller annan relevant myndighet.
Process vid exponering av skyddsvärden
SUA är för myndigheter, kommuner, regioner och privata aktörer som ska anlita leverantörer som behöver uppfylla krav inom säkerhetsskydd.
Exempel på verksamheter där SUA är aktuellt:
- Försvar och försvarsrelaterad industri
- Kritisk infrastruktur såsom energi, transport och telekommunikation
- Offentliga upphandlingar där skyddsvärd information förekommer
- Säkerhetskänsliga bygg- och anläggningsprojekt.
Hur går en säkerhetsskyddad upphandling till?
I säkerhetsskyddade upphandlingar samspelar säkerhetsskyddslagstiftningen och upphandlingslagstiftningen då dessa behöver följas parallellt med varandra. Verksamhetsutövaren behöver i hela upphandlingsprocessen ta hänsyn till säkerhetsskyddslagstiftningen och vidta de steg och åtgärder som den kräver.
Några viktiga steg i processen inkluderar:
Säkerhetsskyddsanalys – Bedömning av om upphandlingen innehåller skyddsvärd information.
Säkerhetsskyddsavtal – Upprättande av avtal som reglerar hur säkerhetsskyddsåtgärder ska följas.
Leverantörsprövning – Kontroll av att leverantören uppfyller de säkerhetskrav som ställs.
Säkerhetsklassning av personal – Bedömning av vilken säkerhetsklass anställda behöver uppfylla.
Kontinuerlig uppföljning – Säkerställa att leverantören följer säkerhetsskyddsåtgärder under hela uppdraget.
Varför är SUA viktigt?
SUA är avgörande för att skydda Sveriges nationella säkerhet och känslig information. Genom att ställa krav på säkerhetsskydd vid upphandlingar kan myndigheter och företag minska risken för att information som kan skada Sveriges säkerhet, hamnar i orätta händer eller används på ett sätt som kan skada samhället.
Att följa SUA-regleringarna är även en förutsättning för att säkerställa att svenska och internationella säkerhetskrav uppfylls.
Krav på leverantörer
Företag som vill ge anbud i säkerhetsskyddade upphandlingar behöver:
- Förstå vilka krav som kommer att ställas kopplat till säkerhetsskyddet, så att man tar höjd för kostnader som är förenade med detta.
- Bör vid nivå 1-avtal ha lokaler med en fysisk säkerhet som är anpassad för att ta emot säkerhetsklassade handlingar eller uppgifter
- Känna till vilka krav som ställs kopplat till informations- och personalsäkerhet
- Genomgå en säkerhetsskyddsbedömning och få ett säkerhetsskyddsavtal på plats.
- Uppfylla krav på säkerhetsklassning av personal och företagsledning.
Behöver du hjälp med Säkerhetsskyddadupphandling (SUA)?
Då kanske du även är intresserade av våra övriga tjänster: