Krisberedskapsansvarig – upphandla till samhällsviktig verksamhet
Som ansvarig för frågor som rör krisberedskap behöver du vara med i början av upphandlingsprocessen. Detta för att kunna analysera förutsättningarna i verksamheten som berörs. Det är även viktigt att du deltar i implementerings- och uppföljningsfasen.
Innehåll på denna sida
Om du arbetar med frågor som handlar om att förebygga kriser kan du exempelvis ha rollen som krisberedskapsansvarig, säkerhetshandläggare, informationssäkerhetschef, linjechef, säkerhetschef, säkerhetssamordnare, beredskapschef eller beredskapssamordnare. I stödet och checklistorna nedan har vi valt att benämna rollen som krisberedskapsansvarig.
Du har en nyckelroll i processen för upphandling av eller till samhällsviktig verksamhet. Du har troligen också ett eget eller ett delegerat ansvar för att identifiera och förebygga risker i verksamheten.
För att kunna vara ett bra stöd i samband med upphandling behöver du vara väl förberedd på uppgiften och ha en grundläggande förståelse för hur upphandlingsprocessen går till. Du bör även ha god kunskap om krisberedskap, den aktuella samhällsviktiga verksamheten och genomförda risk- och sårbarhetsanalyser (RSA).
Denna sida beskriver en generisk inköpsprocess. Vissa steg och berörda aktörer kan påverkas av vilken upphandlingslag som blir tillämplig i det enskilda fallet. I detta stöd använder vi begreppet upphandlande organisation som ett samlingsbegrepp för upphandlande myndighet och upphandlande enhet.
Risk- och sårbarhetsanalyser, MSB
Planera i syfte att förebygga kris
Du kan som krisberedskapsansvarig och med insikt i den samhällsviktiga verksamheten bidra till att beskriva
- vad som är kritiskt för verksamheten
- vilket behov av en vara eller tjänst som föreligger.
Avsätt tid för att underlätta tät kontakt och goda relationer med beställare och upphandlare, relevanta företag, bransch- och fackorganisationer.
Din roll blir att stödja övriga roller, både på strategisk och taktisk nivå i frågor som rör:
- krisberedskap
- riskhantering
- kontinuitetshantering
- säkerhetsskydd
- brottsförebyggande arbete
- informationssäkerhet.
Krisberedskap bör beaktas i inköpsarbetet även om inköpen genomförs av en annan juridisk person.
Tänk på:
- Om inköp genomförs av ett helägt bolag har den politiska ledningen möjlighet att påverka innehållet i bolagsordning och ägardirektiv. Detta för att på en övergripande nivå säkerställa att bolaget beaktar behov av krisberedskap vid inköp.
- Om exempelvis ett kommunalförbund sköter organisationernas inköp i någon omfattning finns det möjlighet att påverka förbundsordningen för att säkerställa att förbundet beaktar behov av krisberedskap vid dessa inköp.
- Diskutera detta med beställare, upphandlare och ansvarig chef.
Kartlägga - led delar av analysarbetet
I samband med kartläggning av behov, marknadens förutsättningar och specifika krav har du, tillsammans med din samordningsfunktion, en viktig roll. Din roll är särskilt viktig när det gäller att leda arbetet med risk- och sårbarhetsanalys och exempelvis säkerhetsskyddsanalys. Detta arbete kan organiseras på olika sätt och din involvering i inköpsarbetet är beroende av upphandlingens art och innehåll och kan ske på strategisk, taktisk och operativ nivå.
Inför en upphandling behöver organisationens behov omsättas i krav och upphandlingsdokument. För att skapa en balanserad kravställning mot marknaden behöver krav och avtalsvillkor ställas i rimlig proportion till föremålet för upphandlingen. I din roll som krisberedskapsansvarig bör du vara med i detta arbete för att särskilt säkerställa att följande områden tas i beaktande:
- tekniska krav
- kontinuitetsplaner
- risk- och sårbarhetsanalyser
- övningar
- jour- eller beredskapsfunktion
- krav på beredskap av resurser
- krav på leverans och tillgänglighet
- krav på leverantören
- förslag på avtalsvillkor.
Tekniska krav: Det kan till exempel handla om att det ska finnas larm, inkopplingspunkter för nödvatten och reservkraft i de anläggningar som leverantören använder och som ingår i upphandlingen.
Kontinuitetsplaner: Innebär planer där det framgår hur verksamheten ska organiseras, vem som ska kontaktas, tillgänglighet och inställelsetider, vilka åtgärder som ska vidtas med mera. Intervall för revidering och test av planerna kan också utgöra krav.
Risk- och sårbarhetsanalyser: Leverantören medverkar i arbetet med risk- och sårbarhetsanalys. Det kan handla om att delta i den upphandlande organisationens riskhanteringsgrupp eller krav på att ta fram egna risk- och sårbarhetsanalyser som ska redovisas till myndigheten.
Övningar: Övningar är ett sätt att pröva krisplaner, organisation och beredskap. Leverantören kan ingå som en part vid den upphandlande organisationens krisberedskapsövningar eller genomföra övningar på egen hand. Viktigt är att reglera leverantörens åtagande och om kostnaden ingår eller regleras särskilt.
Jour- eller beredskapsfunktion: Leverantören behöver vara tillgänglig inom den tid som den upphandlande organisationen anger. Det kan handla om telefonsupport inom en viss tid, beredskap med en inställelsetid eller jourfunktioner som ska vara tillgänglig dygnet runt.
Krav på beredskap av resurser: Det kan handla om att leverantören ska garantera vissa kvantiteter av resurser som ska vara tillgängliga vid störningar. Det kan också handla om att en resurs ska vara på plats inom en viss tid, till exempel för felavhjälpning.
Krav på leverans och tillgänglighet: Leverantören måste uppfylla krav vid avbrott eller support. Det kan vara krav på:
- Hur ofta fel får inträffa (mean time between failure, MTBF).
- Återställningstid för funktionen (mean time to repair, MTTR).
- Tillgänglighet (total tillgänglighet i procent per år).
När kraven på upphandlingsföremålet är identifierade är det dags att fundera på vilka förutsättningar en leverantör behöver ha för att kunna leverera efterfrågad vara eller tjänst inom rätt tidsram.
Tänk på:
- En grundförutsättning för att en leverantör ska komma ifråga är att denne godkänns i form av en redbarhetsbedömning. I upphandlingslagstiftningen kallas sådana krav för uteslutningsgrunder.
- Kraven på leverantören ska syfta till att uppnå uppsatta mål för upphandlingen. Det kan gälla ekonomisk, teknisk och yrkesmässig kapacitet. Sådana krav kallas vanligen för kvalificeringskrav.
- Det är också viktigt att kartlägga och bedöma hur underleverantörskedjor kan se ut och om de hindrar eller möjliggör säkra leveranser.
Exempel på krav att ställa på leverantörer
- Att denne genomför kontinuitetshantering för sin verksamhet. Det innebär att leverantören har alternativa sätt eller lösningar för att driva sin verksamhet vid störningar eller avbrott.
- Arbetar utifrån principer för riskhantering. Det innebär att leverantören arbetar med samordnade aktiviteter för att styra och leda organisationen med avseende på riskhantering.
- Arbetar systematiskt med informationssäkerhet. Det innebär att leverantören arbetar med att skydda information utifrån krav på dess konfidentialitet, riktighet och tillgänglighet. Till detta kommer även spårbarhet som är ett antal säkerhetsåtgärder för att följa upp dessa tre aspekter.
- Innehar specifik kompetens. Det kan handla om att vissa roller eller funktioner, i det sammanhang som upphandlingen avser, har särskild kompetens. Kraven kan handla om erfarenhet av en typ av arbete, eller formell utbildning inom området, till exempel inom informationssäkerhet.
- Har en upparbetad samverkan med externa parter inför och under samhällsstörningar. Det kan till exempel handla om att en vårdgivare har förmåga att samverka med den upphandlande organisationen eller andra samhällsaktörer inför och under krissituationer.
- Har särskilda organisatoriska förutsättningar, till exempel att leverantören har en utpekad kontaktperson för krisberedskapsfrågor eller har rutiner för incidentrapportering.
Viktigt!
Det ska vara möjligt att bedöma om en leverantör uppfyller kravet.
När upphandlingsdokumenten är färdiga är det dags att, i förekommande fall, annonsera upphandlingen. Efter anbudsfristens slut utvärderas anbuden i samverkan med verksamhetsansvarig och upphandlingsansvarig.
Utvärderingen av inkomna anbud leder till ett tilldelningsbeslut och slutligen ett eller flera undertecknade avtal. Beroende på vad som upphandlas kan din kompetens behövas även i dessa steg, inte minst när det gäller krav du har identifierat, detta för att säkerställa att ställda krav och avtalsvillkor är uppfyllda.
Implementera – i dialog med leverantören
Denna fas i inköpsprocessen utgörs av implementeringen av avtalet i organisationen. Här är dialogen mellan er och leverantören, med grund i avtalet, en viktig del.
Följande frågor besvaras i dialogen
Exempel på frågor att föra dialog kring:
- Eventuella säkerhetsprövningar av leverantören och dess personal.
- Kontinuitetshantering, det vill säga leverantörens alternativa sätt eller lösningar för att driva sin verksamhet vid störningar eller avbrott.
- Principer för riskhantering, det vill säga leverantörens arbete med att styra och leda organisationen med avseende på riskhantering.
- Systematiskt informationssäkerhetsarbete, det vill säga leverantörens arbete med att skydda information utifrån krav på dess konfidentialitet, riktighet och tillgänglighet. Till detta kommer även spårbarhet som är ett antal säkerhetsåtgärder för att följa upp dessa tre aspekter.
- Ömsesidig kompetensutveckling. Det kan handla om att informera och utbilda leverantören kring exempelvis rutiner och riktlinjer som de behöver känna till för att praktiskt kunna leverera, det kan handla om inpassering, informationssäkerhet och så vidare.
Förvalta och följ upp
Som krisberedskapsansvarig har du en viktig roll att fylla under kontraktsperioden. Att bedriva en aktiv avtalsförvaltning är ett bra sätt att säkerställa att leverantören uppfyller avtalade krav och villkor, men också att de är lyhörda för avvikelser och agerar på dessa.
Använd följande metoder i uppföljningen
Tips på olika uppföljningsmetoder där du kan bidra är:
- möten med leverantören
- stickprovskontroller av leveranser och fakturor
- enkätundersökningar till verksamhetsansvarig, användare och leverantören
- kontroll av leverantörens egenrapportering
- kontroll av leverantörens kontinuitetsplan
- kontroll av leverantörens kvalitets- och miljöledningssystem
- platsbesök hos leverantören
- revisioner.
- Vägledningen ”Upphandling av samhällsviktig verksamhet” (pdf)
- Mer information om samhällsviktig verksamhet och risk- och sårbarhetsanalys på MSB:s webbplats
- Mer information om offentlig upphandling på Upphandlingsmyndighetens webbplats
- Vägledning för säkerhetsskyddad upphandling på Upphandlingsmyndighetens webbplats
- Mer information om säkerhetsskydd vid upphandlingar och samarbeten på Säkerhetspolisens webbplats
- Upphandling vid akuta situationer