Säkerhetsskyddsavtal och samråd
Om ni planerar att genomföra en upphandling, ingå ett avtal eller inleda ett samarbete eller en samverkan där säkerhetsskyddsavtal krävs, ska ni först göra en särskild säkerhetsskyddsbedömning och lämplighetsprövning. I vissa fall ska ni därefter också samråda med Svenska kraftnät. Säkerhetsskyddsavtalet ska ingås innan den andra aktören kan få del av den säkerhetskänsliga verksamheten.
När säkerhetsskyddsavtal är ett krav
Säkerhetsskyddsavtal krävs om ni planerar att genomföra en upphandling, ingå ett avtal eller inleda en samverkan eller ett samarbete med en annan aktör, och något av följande kriterier är uppfyllt:
- aktören kan få tillgång till säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller
- aktören kan få tillgång till annan säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet (konsekvensnivå C eller högre).
Skyldigheten att ingå säkerhetsskyddsavtal gäller också i förhållande till en underleverantör som anlitas för att fullgöra den andra aktörens förpliktelser enligt exempelvis ett affärsavtal, om underleverantören genom sitt uppdrag kan få tillgång till er säkerhetskänsliga verksamhet på något av de sätt som anges i punkterna ovan.
Kravet på säkerhetsskyddsavtal gäller oavsett vilken roll ni har gentemot den andra aktören. Det spelar alltså exempelvis ingen roll om ni är beställare eller leverantör i ett avtalsförhållande. Avgörande är istället om aktören kan få tillgång till er säkerhetskänsliga verksamhet enligt punkterna ovan.
Tänk på att skyldigheten att ingå säkerhetsskyddsavtal även gäller vid förfaranden där flera utomstående aktörer kommer att delta i er säkerhetskänsliga verksamhet, till exempel vid samarbeten mellan bolag som ingår i en och samma koncern eller mellan flera kommunala bolag och en kommun.
Ett och samma säkerhetsskyddsavtal kan som huvudregel bara omfatta två parter, till exempel verksamhetsutövaren och en annan aktör (det kan exempelvis vara en leverantör, en underleverantör eller ett annat bolag inom en koncern). Undantaget från denna regel är om det rör sig om ett samarbete eller samverkan där flera aktörer som bedriver säkerhetskänslig verksamhet ska samarbeta/samverka. Då kan ett och samma säkerhetsskyddsavtal ingås mellan de olika verksamhetsutövarna.
Ett säkerhetsskyddsavtal ska ingås innan aktören kan få tillgång till den säkerhetskänsliga verksamheten. Det innebär att om aktören får del av säkerhetsskyddsklassificerade uppgifter eller den säkerhetskänsliga verksamheten redan i ett upphandlingsförfarande eller i avtalsförhandlingar, så måste ni ingå ett säkerhetsskyddsavtal för upphandlings- eller avtalsprocessen innan den exponeringen sker. I vissa fall måste ni även samråda med Svenska kraftnät innan processen påbörjas.
När säkerhetsskyddsavtal inte krävs
Säkerhetsskyddsavtal behövs inte vid kontakter med er tillsynsmyndighet i tillsyns- eller samrådsärenden som rör er säkerhetskänsliga verksamhet.
Om den andre aktören enbart kommer att få tillgång till säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen begränsat hemlig, eller säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet (konsekvensnivå D), ska ni istället säkerställa att säkerhetsskyddet regleras på något annat sätt. Det kan exempelvis göras genom en säkerhetsskyddsöverenskommelse.
Ni ska göra en särskild säkerhetsskyddsbedömning och lämplighetsprövning
Om det krävs ett säkerhetsskyddsavtal, ska ni också genomföra och dokumentera en särskild säkerhetsskyddsbedömning och lämplighetsprövning innan upphandlingen genomförs, samverkan eller samarbetet inleds eller avtalet ingås. Syftet med bedömningen är att ni ska ta ställning till om förfarandet är lämpligt att genomföra ur säkerhetsskyddssynpunkt samt att utreda vilka säkerhetsskyddsåtgärder ni ska ställa krav på i säkerhetsskyddsavtalet.
Innehållet i särskild säkerhetsskyddsbedömning och lämplighetsprövning
I den särskilda säkerhetsskyddsbedömningen ska ni beskriva den exponering som ska ske, dvs. identifiera vilka säkerhetsskyddsklassificerade uppgifter och/eller vilken säkerhetskänslig verksamhet i övrigt som den andra aktören kan få tillgång till och som kräver säkerhetsskydd.
Ni ska beskriva:
- Vad förfarandet innebär kopplat till kontraktet eller samarbetet.
- Vilka skyddsvärden som kan komma att påverkas och/eller exponeras i förfarandet.
- På vilket sätt exponeringen kommer att ske i det specifika fallet (med angivande av exempel på situationer, processer och platser).
- Vilka säkerhetshot som finns mot de påverkade skyddsvärdena och den säkerhetskänsliga verksamheten i stort.
- Vilka sårbarheter som finns för de påverkade skyddsvärdena och den säkerhetskänsliga verksamheten i stort samt hur sårbarheterna påverkas av förfarandet (till exempel vilka nya sårbarheter som kan uppstå).
- Vilka säkerhetsskyddsåtgärder som är nödvändiga som en följd av förfarandet.
Mot bakgrund av vad som framkommit i den särskilda säkerhetsskyddsbedömningen och övriga omständigheter, ska ni därefter göra en prövning av om förfarandet är lämpligt ur säkerhetsskyddssynpunkt (lämplighetsprövning). Prövningen består av två delar. I den första delen ska ni bedöma om det är lämpligt att genomföra förfarandet ur säkerhetsskyddssynpunkt, dvs. sett till exponering av skyddsvärden, sårbarheter och identifierade hot, samt möjligheten att åtgärda dessa med tillräckliga säkerhetsskyddsåtgärder. I den andra delen ska ni bedöma om det är lämpligt att genomföra det planerade förfarandet med den andra aktören (aktörsbedömning).
Ni får inte inleda förfarandet om ni i lämplighetsprövningen kommer fram till att förfarandet är olämpligt.
Ett förfarande kan anses vara olämpligt för det fall ni inser att ni saknar de resurser och den kompetens som krävs för att följa upp säkerhetsskyddsavtalet under tid och tillse att aktören uppfyller kraven i säkerhetsskyddsavtalet. Det kan också vara så att ni anser att ni trots kravställningen inte helt kan åtgärda och motverka de sårbarheter som uppstår i och med förfarandet, trots upprättande av säkerhetsskyddsavtal.
Trots att förfarandet bedöms lämpligt att genomföra kan det finnas omständigheter avseende den specifika aktören som ändå medför att det är olämpligt att exponera skyddsvärden för just den aktören. Sådan olämplighet kan avse till exempel ägande och inflytande i aktörens juridiska person (exempelvis ett aktiebolag) som på grund av aktuell hotbild kan anses äventyra Sveriges säkerhet.
Om ni istället kommer fram till att förfarandet är lämpligt, ska ni i vissa fall också samråda med Svenska kraftnät.
När samråd med Svenska kraftnät krävs
Ni har en skyldighet att samråda med Svenska kraftnät om ni kommit fram till att förfarandet är lämpligt och
- aktören kan få tillgång till säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen hemlig eller högre, eller
- aktören kan få tillgång till annan säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet (konsekvensnivå B eller högre).
Ett samråd kan medföra att ni måste justera förfarandet och därmed göra ändringar i upphandlingsdokumenten. Samrådet kan också resultera i att utkast till affärsavtal (som inte ska upphandlas), eller överenskommelse om samarbete eller samverkan samt säkerhetsskyddsavtal behöver justeras. För det fall förändringar krävs behöver ni även uppdatera och förändra bedömningarna som dokumenterats i den särskilda säkerhetsskyddsbedömningen. Svenska kraftnät förbehåller sig alltid rätten att ställa krav på samtliga underliggande dokument innan samrådet är avslutat. Inled därför samrådet i god tid innan upphandlingen påbörjas (exempelvis innan annonsering), avtalet ska ingås eller samarbetet eller samverkan ska inledas.
Om ni inte har inlett ett samråd trots att ni exempelvis står inför att genomföra en upphandling som är samrådspliktig, kan Svenska kraftnät starta ett samrådsärende på eget initiativ. Ni anmäler om samråd med Svenska kraftnät genom att skicka in blanketten Anmälan om samråd vid säkerhetsskyddsavtal (.pdf) Öppnas i nytt fönster. Ni ska också bifoga det underlag som anges på blanketten.
Handläggningen av ett samrådsärende
Under ett samråd kan Svenska kraftnät begära in kompletterande information eller underlag som behövs för att kunna ta ställning till om förfarandet får genomföras. Det är vanligt med dialog för att underlätta och effektivisera handläggningen av ärendet. I mer komplexa samråd kan det krävas möten, att ni skriftligen svarar på frågor och att ni kompletterar er särskilda säkerhetsskyddsbedömning, lämplighetsprövning och utkast till säkerhetsskyddsavtal. Svenska kraftnät behöver som tillsynsmyndighet säkerställa att förfarandet är tydligt beskrivet för att tidigt kunna ge vägledning till er om viktiga vägval samt vilka underlag ni behöver upprätta.
Om Svenska kraftnät bedömer det som nödvändigt för att syftet med samrådet ska kunna uppnås, kan myndigheten i vissa fall besluta att ett samråd ska fortsätta parallellt med en upphandling.
Svenska kraftnät skickar som utgångspunkt samrådsunderlaget för yttrande till Säkerhetspolisen. Typiskt sett har Säkerhetspolisen 30 dagar på sig att svara men det kan också ta längre tid. Även Säkerhetspolisen kan ibland begära komplettering, vilket ni i så fall får reda på via Svenska kraftnät.
Resultatet av ett samråd
Om Svenska kraftnät inte har några invändningar mot förfarandet, avslutas ärendet utan åtgärd. Upphandlingen, avtalet, samarbetet eller samverkan får då genomföras.
Svenska kraftnät har också möjlighet att ingripa mot förfarandet genom ett beslut om föreläggande. Ett föreläggande kan till exempel innebära att ni måste vidta ytterligare åtgärder eller förbättra vissa säkerhetsåtgärder inom informationssäkerhet, fysisk säkerhet eller personalsäkerhet, för att förfarandet därefter ska vara godtagbar ur säkerhetsskyddssynpunkt. Om Svenska kraftnät beslutar om ett föreläggande följer myndigheten upp att ni har följt beslutet.
Svenska kraftnät kan även besluta att förfarandet överhuvudtaget inte får genomföras (förbud). Förbud är en mycket ingripande åtgärd och används endast i fall när det är särskilt motiverat.
Andra skyldigheter i samband med säkerhetsskyddsavtal
Anmälan om avsikt att ingå säkerhetsskyddsavtal
När ni bestämt er för att inleda ett förfarande som kräver säkerhetsskyddsavtal ska ni anmäla det till Svenska kraftnät genom att skicka in blanketten Anmälan om avsikt att ingå säkerhetsskyddsavtal. Ni kommer inte att kunna ansöka om registerkontroller via Svenska kraftnät utifrån säkerhetsskyddsavtalet, om ni inte har skickat in blanketten.
I förfaranden som omfattas av samråd ska blanketten senast komma in i samband med er anmälan om samråd. Ni får gärna skicka in blanketten tidigare än så för att informera Svenska kraftnät om att samråd kommer krävas.
Observera att om en kommun eller region ansvarar för att besluta om placering i säkerhetsklass för det aktuella säkerhetsskyddsavtalet, så ska ni även anmäla er avsikt att ingå säkerhetsskyddsavtalet dit.
Blankett för avsikt att teckna säkerhetsskyddsavtal
Fyll i och skicka in enligt anvisningen på blanketten.
Ansökan om beslut om placering i säkerhetsklass
Om uppdraget innebär att nya befattningar behöver placeras i säkerhetsklass, behöver ni även skicka in en ansökan om placering i säkerhetsklass till Svenska kraftnät.
Om en kommun eller region ansvarar för att besluta om placering i säkerhetsklass vänder ni er istället till kommunen/regionen.
Anmälan om att säkerhetsskyddsavtal har ingåtts
Ni ska också anmäla till Svenska kraftnät när ni har ingått ett säkerhetsskyddsavtal. Det gör ni genom att skicka in aktuell blankett från Säkerhetspolisen (.html) Öppnas i nytt fönster.
Observera att Säkerhetspolisen har två olika blanketter för anmälan av säkerhetsskyddsavtal:
- ·en blankett som avser säkerhetsskyddsavtal mellan två parter (används exempelvis vid säkerhetsskyddsavtal mellan en verksamhetsutövare och en leverantör), och
- en blankett för säkerhetsskyddsavtal som ingås mellan flera verksamhetsutövare som ska samarbeta/samverka.
Om Svenska kraftnät är den som beslutar om placering i säkerhetsklass, vidarebefordrar Svenska kraftnät anmälan till Säkerhetspolisen inför kommande registerkontroller. Ansökningar om registerkontroller kopplat till säkerhetsskyddsavtalet gör ni sedan via Svenska kraftnät.
När ansökan om registerkontroll som tillhör det aktuella uppdraget skickas in till Svenska kraftnät måste de vara ifyllda med samma säkerhetsskyddsavtalsbenämning som tidigare angetts på anmälan om att säkerhetsskyddsavtal har ingåtts.
Om en kommun eller region istället ansvarar för att besluta om placering i säkerhetsklass för det aktuella säkerhetsskyddsavtalet, så ska ni anmäla att säkerhetsskyddsavtalet har ingåtts både till Svenska kraftnät och till kommunen/regionen. Då är det istället kommunen/regionen som ska vidarebefordra er anmälan till Säkerhetspolisen inför kommande registerkontroller. Ansökningar om registerkontroller kopplat till säkerhetsskyddsavtalet gör ni sedan via kommunen/regionen.
Anmälan om att ett säkerhetsskyddsavtal har upphört och att registerkontroller ska upphöra
När säkerhetsskyddsavtalet upphört att gälla ska ni anmäla det till Svenska kraftnät. Då använder ni samma blankett från Säkerhetspolisen (.html) Öppnas i nytt fönster som ni använde för anmälan om att säkerhetsskyddsavtalet hade ingåtts.
Om Svenska kraftnät är den som beslutat om placering i säkerhetsklass med stöd av säkerhetsskyddsavtalet, vidarebefordrar Svenska kraftnät anmälan till Säkerhetspolisen. Om ni har registerkontroller kopplat till säkerhetsskyddsavtalet ska ni snarast inkomma med avanmälningar för dessa registerkontroller. Ni gör avanmälan på Säkerhetspolisens blankett (.html) Öppnas i nytt fönster, och skickar in den till Svenska kraftnät.
Observera att om en kommun eller region istället beslutat om placering i säkerhetsklass för det aktuella säkerhetsskyddsavtalet, så ska ni skicka avanmälan till såväl Svenska kraftnät som kommunen/regionen. Kommunen eller regionen ska då vidarebefordra anmälan till Säkerhetspolisen för att registerkontrollerna ska kunna upphöra. Det är också till kommunen/regionen som ni ska avanmäla de eventuella registerkontroller som ni har kopplat till säkerhetsskyddsavtalet.
Blanketten om att ett säkerhetsskyddsavtal har ingåtts eller avslutats skickas till
Svenska kraftnät
Tillsyn säkerhetsskydd
Box 1200
172 24 Sundbyberg