God säkerhetskultur och fungerande organisation
Att enbart fokusera på att uppfylla säkerhetsskyddslagstiftningens krav är inte tillräckligt för att uppnå ändamålsenligt och effektivt säkerhetsskydd i praktiken. Organisationer som bedriver säkerhetskänslig verksamhet behöver skapa en väl fungerande organisation där det bland annat är klart och tydligt hur ni fördelar arbetet och ansvaret samt samarbetar internt exempelvis inför en säkerhetsskyddad upphandling. Ni behöver också lägga tid och kraft på att skapa en god säkerhetskultur med hög kompetens, medvetenhet, förståelse och engagemang bland de anställda liksom hos leverantörens personal.
Innehåll på denna sida
- Organisera ert säkerhetsarbete så att det blir en självklar del av verksamheten
- Ledningen behöver visa ett engagemang för säkerhetsfrågorna
- Samspel mellan olika kompetenser skapar balans vid upphandlingar
- Tätt samarbete mellan säkerhetsskydd och inköp
- Tydliggör i styrdokument hur ni ska arbeta med säkerhetsskydd vid upphandlingar
- Inköpsplaner
- Källhänvisningar
Organisera ert säkerhetsarbete så att det blir en självklar del av verksamheten
För ett framgångsrikt säkerhetsskyddsarbete behövs en väl fungerande säkerhetsorganisation med rätt kompetenser, genomförda analyser och avsatt tid.
I er organisation ska det finnas en utsedd säkerhetsskyddschef som leder och samordnar säkerhetsskyddsarbetet, om det inte är uppenbart att det inte behövs. Säkerhetsskyddschefen ska kontrollera att verksamheten bedrivs i enlighet med säkerhetsskyddslagstiftningen. Säkerhetsskyddschefen ska vara direkt underställd verksamhetsutövarens högsta chef, såsom generaldirektören hos en myndighet eller verkställande direktören i ett aktiebolag.
Syftet med att säkerhetslagstiftningen tydligt pekar ut säkerhetsskyddschefens roll och position är att säkerhetsfrågorna ska prioriteras och få bättre förutsättningar i verksamheterna.
Ett framgångsrikt säkerhetsskyddsarbete handlar även om kunskap och medvetenhet hos personalen kring säkerhetsfrågor. Det gäller att etablera god kompetens och tydliga arbetssätt, regler och rutiner finns på plats och att kommunicera dessa på lämpligt sätt. Detta inkluderar regler där ni tydliggör vilka förväntningar som finns på säkerheten och för hantering av säkerhetsskyddsklassificerade uppgifter, inklusive förvaring och förstöring, hur man rapporterar om eventuella säkerhetsincidenter med mera.
Ledningen behöver visa ett engagemang för säkerhetsfrågorna
För att skapa rätt förutsättningar, engagemang och uppnå ett beteendemönster som främjar säkerhetskulturen i hela verksamheten är det viktigt med engagemang i och prioritering av säkerhetsfrågor från ledningens sida. Det behövs en miljö där alla deltagare i verksamheten, inklusive medarbetare, chefer och leverantörers personal, har och känner ett gemensamt ansvar och arbetar aktivt för att minska säkerhetsrisker.
Samspel mellan olika kompetenser skapar balans vid upphandlingar
Ökad kunskap, medvetenhet och engagemang skapar även förutsättningar för ett väl fungerande samarbete och samspel mellan olika kompetenser inom organisationen i olika arbetsgrupper, projekt, styrgrupper och ledning.
Ett väl fungerande samspel mellan kompetenser inom exempelvis säkerhet, it, upphandling, juridik med flera är viktigt även i samband med säkerhetsskyddade upphandlingar. Detta inte minst för att uppnå en god balans mellan krav från olika delar av organisationen, krav som inte sällan står i konflikt med varandra.
Tätt samarbete mellan säkerhetsskydd och inköp
För att lyckas få med säkerhetsskyddsaspekter vid upphandling i rätt tid och på ett ändamålsenligt sätt är det viktigt att ni som upphandlande organisation har etablerat tydliga arbetssätt för hur er inköps-, säkerhets- och övrig (ofta beställande) organisation ska samarbeta inför upphandlingar.
De säkerhetsansvariga bör tidigt vara inblandade i sådana upphandlingar som kan komma att bli säkerhetsskyddade, för att undvika brister i säkerhetsskyddet och i förlängningen undvika att äventyra Sveriges säkerhet. Ofta är det nödvändigt att även andra specialistkompetenser deltar. Det kan röra sig om it-säkerhetsspecialister, jurister, lokalansvariga/lokalförvaltare med flera.
Tydliggör i styrdokument hur ni ska arbeta med säkerhetsskydd vid upphandlingar
För att skapa goda förutsättningar för och tydlighet i samspelet bör ni i relevanta styrdokument tydliggöra hur säkerhetsskydd ska beaktas vid upphandlingar och vilken roll- och ansvarsfördelning som gäller i processer som rör säkerhetsskyddade upphandlingar.
Ett exempel på styrdokument där säkerhetsskydd bör vara med som en aspekt är ett styrdokument som ofta benämns inköpspolicy. I den framkommer vanligtvis övergripande mål för vad verksamheten vill uppnå med sina inköp och upphandlingar och allmänna ramar för inköpsarbetet.
Andra exempel på styrdokument där säkerhetsskydd bör beaktas är riktlinjer eller rutiner för hur inköpsarbetet ska bedrivas. Dessa kan bland annat tydliggöra i vilka fall, i vilket skede och hur en särskild säkerhetsskyddsbedömning ska initieras. Det kan också handla om eventuella strategier som tas fram kopplade till inköp på olika nivåer. Dessa kan exempelvis innehålla ställningstaganden om i vilken utsträckning verksamhet ska bedrivas i egen regi eller inte.
Inköpsplaner
Inköpsorganisationen bör även ta fram planer för sina inköp, så kallade inköpsplaner. En inköpsplan redovisar planerade inköp under en given tidsperiod, till exempel nästkommande år eller flera år framåt.
Syftet med inköpsplanen är att ge goda förutsättningar för den egna verksamheten att planera för och genomföra upphandlingar i rätt tid och på ett effektivt sätt. Även leverantörer som är intresserade av kommande upphandlingar har nytta av god framförhållning i inköpsplaneringen.
Inköpsorganisationen bör ta fram planerna i nära samarbete med bland annat säkerhetsorganisationen, eller åtminstone låta säkerhetsorganisationen ta del av planerna så att de i god tid kan identifiera inköp och upphandlingar som kräver säkerhetsskydd.
-
Kompletteringar till den nya säkerhetsskyddslagen, SOU 2018:82
-
Ett starkare skydd för Sveriges säkerhet, prop. 2020/21:194, sid. 23–26
-
2 kap. 7 § säkerhetsskyddslagen (2018:585)