Bakgrund – upphandlingen och det omtvistade säkerhetskravet
Arbetsförmedlingen genomförde en offentlig upphandling av IT-arbetsplats, klienter och tjänster. Med hänvisning till sin roll som beredskapsmyndighet och behovet av att skydda säkerhetsskyddsklassificerad information, införde myndigheten ett särskilt säkerhetskrav. Kravet innebar att ett anbud skulle förkastas om en representant från en stat, som enligt Säkerhetspolisens öppna källor utgör ett hot mot Sverige, hade ett direkt eller indirekt ägande eller en röstandel överstigande 10 procent i anbudsgivaren, tillverkaren eller en för uppdraget kritisk underleverantör. Arbetsförmedlingen placerade kravet som ett kvalificeringskrav, med motiveringen att kravet var nödvändigt för att skydda säkerhetsskyddsklassificerade uppgifter och uppfylla proportionalitet i förhållande till upphandlingens art.
Lenovo (Sweden) AB, ett svenskt aktiebolag med en kinesisk ägarandel som överstiger gränsen, ansåg sig därmed förhindrat att delta och ansökte om överprövning. Bolaget argumenterade för att kravet var olagligt då det stred mot de grundläggande principerna i LOU. Förvaltningsrätten avslog ansökan, varpå bolaget överklagade till kammarrätten.
Kammarrättens vägledande bedömning – en prövning av de grundläggande principerna
Kammarrätten meddelade prövningstillstånd men fann, efter en egen prövning av målet, ingen anledning att göra en annan bedömning än förvaltningsrätten. Domstolen gjorde prövningen i ljuset av principerna i 4 kap. LOU. Domstolen fastställer därmed att Arbetsförmedlingens agerande var förenligt med upphandlingslagstiftningen och går i sin dom igenom de centrala rättsliga principerna.
Likabehandlingsprincipen och icke-diskrimineringsprincipen – ingen jämförbar situation
Olika situationer får behandlas olika. Det konstateras att det inte har kommit fram några uppgifter i målet som ger stöd för att anbudslämnare som är etablerade i andra medlemsstater eller i tredjeländer som har undertecknat GPA har svårare att delta i den aktuella upphandlingen på grund av det omtvistade kravet. Kammarrätten bekräftar vidare att likabehandlingsprincipen inte har överträtts. Även om Lenovo är ett svenskt bolag, befinner sig en leverantör med ägarintressen från en stat som utpekas som ett säkerhetshot inte i en objektivt jämförbar situation med andra leverantörer. Särbehandlingen är därmed sakligt motiverad av det legitima syftet att skydda nationell säkerhet. Eftersom kravet utgick från SÄPO:s öppet redovisade hotbild och tillämpades lika för alla leverantörer med sådan ägarkoppling, ansågs åtgärden sakligt motiverad och förenlig med likabehandling och icke‑diskriminering.
Proportionalitetsbedömningen – en noggrann avvägning av motstående intressen
Den avgörande frågan var om kravet var proportionerligt. Kammarrätten fastställer att den avvägning som gjorts mellan Arbetsförmedlingens behov av ett robust säkerhetsskydd och leverantörernas intresse av fri konkurrens var korrekt.
Domstolen bekräftar att Arbetsförmedlingens starka skyddsintresse motiveras av flera tungt vägande faktorer:
• Myndighetens status: Som beredskapsmyndighet har Arbetsförmedlingen en central roll i Sveriges totalförsvar, vilket medför ett förhöjt skyddsbehov.
• Informationens karaktär: Den upphandlade utrustningen är avsedd att hantera säkerhetsskyddsklassificerade uppgifter och användas av personal i säkerhetsklass.
• Expertbaserat underlag: Kravet var inte godtyckligt utan grundades på rekommendationer från expertmyndigheter som Nationellt cybersäkerhetscentrum (NCSC) och regeringens nationella säkerhetsstrategi.
Mot denna bakgrund finner kammarrätten att ägarkravet var en lämplig, nödvändig och ändamålsenlig åtgärd. Domstolen avfärdar argumentet att mindre ingripande åtgärder, såsom tekniska kontroller eller avtalsvillkor, skulle vara tillräckliga. Sådana åtgärder bedöms inte kunna erbjuda ett likvärdigt skydd mot den specifika risken för otillbörlig påverkan som kan uppstå genom ägarinflytande från en främmande makt. Det intrång i konkurrensen som kravet medför ansågs därmed stå i rimlig proportion till det mycket starka allmänintresset av att skydda Sveriges säkerhet.
Analys – domen i ett nytt säkerhetspolitiskt och juridiskt landskap
Kammarrättens dom är en logisk följd av det paradigmskifte som skett i och med den skärpta syn på säkerhetsskydd som råder, samtidigt som EU och EU-domstolen tydligt visar att det skydd som EU-rätten ger inte automatiskt gäller för tredjeland som inte har samarbetsavtal med EU.
Upphandlande myndigheter och enheter har ett ansvar att skydda sin verksamhet från främmande makt. Ofta är verksamheten säkerhetskänslig verksamhet vilket innebär en skyldighet att genomföra säkerhetsskyddsanalyser och vidta åtgärder för att skydda sin verksamhet. Domen visar ett perspektiv på hur ansvaret omsätts i praktiken vid en offentlig upphandling. I svensk rätt ger LOU ett manöverutrymme för att värna väsentliga säkerhetsintressen; i yttersta fall kan upphandling undantas, men domen visar att välmotiverade krav inom LOU:s ram kan räcka.
Fokus läggs på leverantörens pålitlighet och eventuella sårbarheter kopplade till ägarstruktur, leveranskedjor och geopolitisk hemvist blir därmed centrala utvärderingsfaktorer, inte bara perifera kvalificeringskrav.
Praktiska konsekvenser och rekommendationer
Domen ger en tydligare spelplan för både upphandlande myndigheter och leverantörer i de fall leverantören har ägare i tredje land där landet har utpekats som ett hot mot Sveriges säkerhet.
För upphandlande myndigheter:
• Stärkt mandat, men med ansvar: Domen ger ett robust rättsligt stöd för att ställa långtgående krav som skyddar samhällsviktig verksamhet. Detta mandat är dock villkorat med ett stort ansvar att kunna motivera kraven.
• Krav på gediget underlag: En robust och dokumenterad säkerhetsskyddsanalys är en förutsättning. Myndigheter måste kunna redogöra för hotbilden, identifierade sårbarheter och varför de valda kraven är nödvändiga för att hantera dessa risker. Hänvisningar till SÄPO, MUST och NCSC blir centrala.
• Proportionalitetens gränser: Myndigheter kan inte införa generella ägarkrav i alla upphandlingar. Kraven måste vara skräddarsydda för den specifika upphandlingen och dess riskprofil. Det räcker inte med ett allmänt resonemang; kopplingen mellan kravet och det specifika skyddsbehovet måste vara tydlig.
För leverantörer:
• Krav på intern due diligence: Företag måste proaktivt analysera sina egna ägarkedjor, koncernstrukturer och geografiska närvaro. Detta gäller inte bara det anbudsgivande bolaget utan även tillverkare och kritiska underleverantörer.
• Strategisk riskhantering: Internationella företag måste förhålla sig till att deras kopplingar till vissa stater kan utgöra ett hinder för att delta i svenska offentliga upphandlingar. Detta kan kräva strategiska beslut om bolagsstrukturer eller marknadsfokus.
Sammanfattning
Sammanfattningsvis bekräftar kammarrätten att när de grundläggande upphandlingsrättsliga principerna ställs mot ett konkret och väldokumenterat nationellt säkerhetshot, har det senare företräde. Domen är en juridisk realitet som markerar ett nytt normalläge för upphandlingar inom IT, telekom, energi, vattenförsörjning och annan kritisk infrastruktur. Samtidigt sätter LOU tydliga ramar: kravet måste ha anknytning till det som upphandlas och vara proportionerligt i det enskilda fallet, i annat fall riskerar det att underkännas.
