Det här är en opinionstext. Åsikter som uttrycks är skribenternas egna.
Säkerhetsskydd är en högaktuell fråga för många verksamheter och leverantörer. Samtidigt som kraven har blivit mer omfattande har även hotbilden mot Sverige ökat och det bedrivs bland annat omfattande underrättelseinhämtning, påverkansförsök och kartläggning av kritiska funktioner i vårt samhälle. Ett välfungerande säkerhetsskydd är helt avgörande i arbetet att minska samhällets sårbarheter och värna vår nationella säkerhet.
En väsentlig del i säkerhetsskyddsarbetet är att säkerställa att säkerhetskänslig verksamhet och säkerhetsskyddsklassificerade uppgifter får likvärdigt skydd hos leverantörer som hos verksamhetsutövare. I många fall innehåller upphandlingar idag endast ett kort avsnitt med information om att uppdraget i fråga kommer omfattas av säkerhetsskyddskrav och att säkerhetsskyddsavtal kommer upprättas. För leverantören räcker det då att acceptera detta som en förutsättning för uppdraget genom att kryssa i en ja/nej-ruta. Det är inte tillräckligt. I stället bör verksamhetsutövare redan i upphandlingsfasen förvissa sig om att leverantören har tillräcklig förståelse, kompetens och förmåga för att ingå i ett säkerhetsskyddsavtal.
Många leverantörer är numera vana att ingå säkerhetsskyddsavtal men färre har en fullständig förståelse för den faktiska innebörden av vad ett sådant avtal kräver. Tyvärr finns det gott om exempel på uppdrag där det faktiskt viktiga – säkerhetsskyddsåtgärderna, de säkra arbetssätten, samordningen och den kontinuerliga uppföljningen – brister. Det blir ofta större fokus på ifyllnad av blanketter och administrativa processer än på själva efterlevnaden av säkerhetsskyddsavtalet. Resultatet blir en falsk trygghet för båda parter som underminerar det faktiska syftet.
Att säkerställa ett adekvat säkerhetsskydd genom hela projekt kräver planering, framförhållning och resurser från både verksamhetsutövare och leverantör – särskilt när det gäller större projekt eller entreprenader med lång leverantörskedja och komplexa arbeten. Nedan följer fyra konkreta förslag på hur verksamhetsutövare kan höja nivån på säkerhetsskyddskraven i upphandlingar och därmed skapa bättre förutsättningar för efterlevnad i genomförandet.
- Värdera säkerhetsskyddskompetens och -mognad som ett mervärde i anbudsutvärderingen. Detta skapar incitament för leverantörer att satsa på att bli ännu bättre på säkerhetsskydd och sänder en tydlig signal att den upphandlande verksamheten prioriterar frågan högt.
- Peka på ansvar och skapa utrymme i budget. Vem i leverantörens projektorganisation samordnar säkerhetsskyddsfrågan och hur får hen förutsättningar att omhänderta det ansvaret i projektet över tid? Leverantören måste skapa en plan för detta arbete samtidigt som det från verksamhetsutövarens håll måste finnas acceptans, och förväntan, på att frågan tar plats i projektbudgeten.
- Kräv redogörelser av uppdragsspecifika arbetssätt. Ställ mer krav på det projektspecifika än på det övergripande. Om leverantören ska arbeta i egna lokaler och system, är säkerhetsskyddsinstruktionen anpassad efter det specifika uppdraget? Hur hanteras samordning av eventuella underleverantörer? Hur tar leverantören höjd för tidsaspekterna av exempelvis säkerhetsprövningar i tidplanen?
- Ta hjälp och lär av varandra, internt såväl som externt. Sänk trösklarna för kunskapsöverföring och våga utveckla tillsammans. Kroka arm internt mellan säkerhets-, upphandlings- och projektavdelningar, sträck ut en hand till systerorganisationer i branschen som föregår med gott exempel och sträva efter kontinuerlig dialog för uppföljning och lärande mellan verksamhetsutövare och leverantör.
Verktygen för att höja nivån finns. Säkerhetsskyddet får inte vara endast ett administrativt krav som bockas av i upphandlingar och sedan blir eftersatt under själva genomförandet. Vi både kan och måste vara bättre än så.
