Hem > Senaste nytt > Säkerhetsskyddslagen: En vägledning för leverantörer till verksamhetsutövare som bedriver säkerhetskänslig verksamhet

Säkerhetsskyddslagen: En vägledning för leverantörer till verksamhetsutövare som bedriver säkerhetskänslig verksamhet

Leverantörer som är verksamma, eller avser att bli verksamma, inom uppdrag som involverar känslig information och skyddsvärd verksamhet kommer snabbt komma i kontakt med säkerhetsskyddslagen (2018:585) och därtill hörande regelverk.

Publicerat: 9 juni, 2025
Offentliga affärer och upphandlingsrätt, Säkerhet och försvar

Det här området kan uppfattas som ett komplext system av krav och skyldigheter och vi på Foyen har därför tagit fram denna översikt, i syfte att vägleda leverantörer genom de mest centrala aspekterna av säkerhetsskyddslagstiftningen.

  1. Lagens syfte och centrala definitioner för leverantörer

Säkerhetsskyddslagen (SSL) har till ändamål att skydda Sveriges säkerhet mot antagonistiska hot såsom spioneri, sabotage och terroristbrott. Lagen är tillämplig för leverantörer när varor, tjänster eller byggentreprenader tillhandahålls en verksamhetsutövare – exempelvis en statlig myndighet, kommun, region eller enskilt företag – som bedriver säkerhetskänslig verksamhet. Följande är centrala definitioner och begrepp i detta sammanhang:

  • Säkerhetskänslig verksamhet är sådan verksamhet som är av betydelse för Sveriges säkerhet eller som omfattas av ett för Sverige förpliktande internationellt åtagande om säkerhetsskydd (1 kap. 1 § SSL).
  • Säkerhetsskyddsklassificerade uppgifter är uppgifter som rör säkerhetskänslig verksamhet och som därför är föremål för sekretess. Ett obehörigt röjande av sådana uppgifter kan medföra skada för Sveriges säkerhet. Uppgifterna indelas i säkerhetsskyddsklasser baserat på den potentiella skadans allvarlighetsgrad: kvalificerat hemlig (synnerligen allvarlig skada), hemlig (allvarlig skada), konfidentiell (inte obetydlig skada) och begränsat hemlig (ringa skada) (1 kap. 2 §, 2 kap. 5 § SSL).
  • Verksamhetsutövare kallas den uppdragsgivare som bedriver den säkerhetskänsliga verksamheten.
  • Leverantör är den part som, genom avtal, utför ett uppdrag åt verksamhetsutövaren och därmed kan komma i kontakt med dennes skyddsvärden.
  1. Säkerhetsskyddsanalys och bedömning

Grunden för allt säkerhetsskyddsarbete utgörs av en säkerhetsskyddsanalys (SSA). Det är primärt verksamhetsutövarens skyldighet att genomföra en SSA för sin verksamhet i syfte att identifiera skyddsvärden, hot och sårbarheter (2 kap. 1 § SSL). För en leverantör innebär detta att verksamhetsutövarens SSA utgör grunden för de säkerhetskrav som kommer att ställas i samarbetet. Vidare är en leverantör, baserat på de krav som verksamhetsutövaren ställer för det specifika uppdraget, skyldig att själv analysera vilka delar av den egna verksamheten och vilka av de egna systemen eller lokalerna som kommer att beröras av uppdraget, samt hur säkerhetsskyddet ska upprätthållas där. Denna analys av den egna verksamheten är avgörande för att identifiera nödvändiga säkerhetsskyddsåtgärder.

  1. Säkerhetsskyddsavtal: en kontraktuell reglering av säkerhetsskyddet

Om uppdraget medför att en leverantör, eller dess personal, kan få tillgång till säkerhetsskyddsklassificerade uppgifter i nivån konfidentiell eller högre, alternativt tillgång till annan säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet, ska ett säkerhetsskyddsavtal ingås mellan leverantören och verksamhetsutövaren (4 kap. 1 SSL). Detta är ett lagstadgat krav.

Ett säkerhetsskyddsavtal är ett juridiskt bindande dokument som detaljerat reglerar de säkerhetsskyddskrav som en leverantör måste uppfylla (4 kap. 3 § SSL). Detta innefattar specifikationer av åtgärder inom:

  • Informationssäkerhet och hantering av klassificerade uppgifter.
  • Fysisk säkerhet, så som skydd av lokaler och utrustning.
  • Personalsäkerhet – krav på leverantörens personal.

Avtalet ska även precisera verksamhetsutövarens rätt till kontroll av leverantörens efterlevnad samt formerna för eventuella ändringar av avtalet.

Avtalets nivå bestäms av var leverantören får tillgång till den skyddsvärda informationen eller verksamheten. Nivå 1 innebär att leverantören hanterar informationen/verksamheten utanför verksamhetsutövarens lokaler, exempelvis i egna lokaler. Denna nivå medför de mest omfattande kraven, inklusive krav på godkända lokaler och en skriftlig säkerhetsskyddsinstruktion från leverantören). Nivå 2 innebär att leverantören ges tillgång inom verksamhetsutövarens lokaler, och denna tillgång är nödvändig för uppdragets utförande. Nivå 3 innebär att leverantören kan komma att få tillgång inom verksamhetsutövarens lokaler, utan att detta är en direkt förutsättning för uppdraget (exempelvis städpersonal).

Mallar för säkerhetsskyddsavtal tillhandahålls exempelvis av Säkerhetspolisen. Det är dock avgörande att avtalet anpassas till det specifika uppdragets karaktär och de identifierade riskerna. Verksamhetsutövaren ska specificera sina krav tydligt och leverantören bör säkerställa sin förståelse för och förmåga att uppfylla dessa. Det är därför av vikt för en leverantör att noggrant granska och förstå innebörden av varje klausul och vid behov inhämta juridisk rådgivning, innan avtalet ingås.

  1. Informationssäkerhet

Hanteringen av säkerhetsskyddsklassificerade uppgifter inom ramen för verksamheten är av fundamental betydelse. Endast personal som är säkerhetsprövad, godkänd av verksamhetsutövaren och har ett reellt behov får beredas tillgång till säkerhetsklassificerade uppgifter (2 kap. 2 § säkerhetsskyddsförordningen (2021:955) [SSF]). Verksamhetsutövaren ska informera leverantören om uppgifternas säkerhetsskyddsklass. Om leverantören själv upprättar klassificerade handlingar inom ramen för uppdraget, ska dessa, i samråd med verksamhetsutövaren, märkas korrekt. Fysiska handlingar ska förvaras i godkända och ofta larmade säkerhetsskåp eller motsvarande utrymmen. Digital information på lagringsmedier ska skyddas och märkas i enlighet med gällande krav.

Eventuella informationssystem som ska användas för behandling av säkerhetsskyddsklassificerade uppgifter måste godkännas av verksamhetsutövaren före driftsättning. Detta innefattar krav på tekniska konfigurationer, så som loggning, skydd mot obehörig åtkomst och röjande, hantering av bärbara medier samt eventuella kryptografiska funktioner.

  1. Fysisk säkerhet och skydd av leverantörens lokaler

Hantering av säkerhetskänslig verksamhet eller klassificerade uppgifter i leverantörens egna lokaler medför specifika krav på fysiskt skydd. Lokalerna måste vara godkända av verksamhetsutövaren för det avsedda ändamålet. Ett robust skalskydd ska finnas för lokalerna (väggar, dörrar, fönster etc.), ofta i enlighet med specificerade skyddsklasser. System för att kontrollera och logga tillträde (passersystem) ska även implementeras. Larmanläggningar, vanligtvis anslutna till en godkänd larmcentral, utgör också ofta ett centralt krav.

  1. Personalen har en central roll

Den personal hos leverantören som ska delta i den säkerhetskänsliga verksamheten utgör en kritisk komponent och behöver uppfylla ett flertal krav innan arbetet kan påbörjas. Personal som ska delta i säkerhetskänslig verksamhet ska genomgå en säkerhetsprövning (3 kap. 1 § SSL). Prövningen syftar till att bedöma individens lojalitet gentemot de skyddsvärda intressen som lagen omfattar, samt dennes pålitlighet ur ett säkerhetsperspektiv (3 kap. 2 § SSL). Prövningen innefattar en grundutredning (bakgrundskontroller, referenstagning, intervju) och, om befattningen är placerad i säkerhetsklass, även registerkontroll hos Säkerhetspolisen samt, i vissa fall, en särskild personutredning (avseende ekonomiska förhållanden). Verksamhetsutövaren ska inventera vilka anställningar och annat deltagande i verksamheten som bör placeras i säkerhetsklass och sedan begära att ansvarig myndighet, region eller kommun fattar beslut om detta. Leverantören har ett betydande ansvar att medverka i och underlätta denna process.

Verksamhetsutövaren ska se till att berörd personal erhåller relevant utbildning i säkerhetsskydd. Personalen måste ha kännedom om hotbilden, de skyddsvärden som är aktuella i uppdraget och hur dessa ska hanteras. All personal som deltar i säkerhetskänslig verksamhet är också underkastad en lagstadgad tystnadsplikt avseende säkerhetsskyddsklassificerade uppgifter (8 kap. 2 § SSL). Denna tystnadsplikt kvarstår även efter uppdragets avslutande. Leverantörens personal ska i regel underteckna en särskild erinran om tystnadsplikten som ska förvaras hos verksamhetsutövaren.

  1. Incidenthantering och rapportering

Trots förebyggande åtgärder kan incidenter inträffa. I sådana fall är det avgörande att en leverantör till en verksamhetsutövare agerar korrekt. Leverantören ska ha etablerade rutiner för att upptäcka och hantera säkerhetsincidenter. Om en säkerhetsskyddsklassificerad uppgift kan ha röjts, om en allvarlig IT-incident har inträffat i ett informationssystem av betydelse för den säkerhetskänsliga verksamheten, eller om leverantören får kännedom om eller misstänker annan allvarlig säkerhetshotande verksamhet som berör uppdraget, ska leverantören skyndsamt anmäla detta till verksamhetsutövaren. Det ankommer därefter på verksamhetsutövaren att, vid behov, anmäla detta vidare till Säkerhetspolisen eller Försvarsmakten (2 kap. 4 § SSF).

  1. Tillsyn och uppföljning

Säkerhetsskyddsarbete är en kontinuerlig process som kräver uppföljning från båda parter. Verksamhetsutövaren äger rätt att kontrollera en leverantörs efterlevnad av säkerhetsskyddsavtalet (4 kap. 5 § SSL). Detta kan ske genom inspektioner och granskning av relevant dokumentation. Leverantören är skyldig att medverka vid sådana kontroller och tillhandahålla den information och tillgång till lokaler som erfordras (6 kap. 2-3 §§ SSL). Även leverantören ska fortlöpande kontrollera att säkerhetsskyddet inom den egna verksamheten, vad avser uppdraget, upprätthålls.

  1. Konsekvenser vid bristande efterlevnad

Underlåtenhet att följa SSL, SSF eller ingånget säkerhetsskyddsavtal kan medföra allvarliga konsekvenser för en leverantör. Verksamhetsutövaren kan äga rätt att häva avtalet med omedelbar verkan vid väsentligt avtalsbrott från leverantörens sida. Leverantören kan i en sådan situation bli skyldig att erlägga skadestånd, förlora uppdraget och därmed sammanhängande intäkter. Leverantörens anseende kan också skadas väsentligt, vilket kan inverka negativt på framtida affärsmöjligheter. Dessutom hänger säkerhetsskyddsavtal ofta ihop med ett upphandlat kontrakt eller ramavtal, och om ett sådant sägs upp till följd av leverantörens brister enligt säkerhetsskyddsavtalet kan leverantören riskera att uteslutas från kommande upphandlingar (jfr. 13 kap. 3 § lagen om offentlig upphandling).

Även om sanktionsavgifter enligt SSL primärt riktas mot verksamhetsutövaren för dennes brister kan leverantörens brister resultera i att verksamhetsutövaren drabbas av sådana avgifter (7 kap. SSL). Detta kan i sin tur leda till att verksamhetsutövaren riktar skadeståndsanspråk mot leverantören.

  1. Leverantören kan själv komma att omfattas av säkerhetsskyddslagstiftningen

Enligt Säkerhetspolisens promemoria ”Vad är säkerhetskänslig verksamhet?” och förarbetena till SSL (se prop. 2017/18:89 sid. 45) kan en leverantör som har flera uppdrag som omfattas av krav på säkerhetsskyddsavtal i vissa fall, genom sina samlade uppdrag anses bedriva säkerhetskänslig verksamhet. Säkerhetsskyddslagen kan i sådana fall bli direkt tillämplig på leverantören. I promemorian anges som exempel att en leverantör tillhandahåller driftstjänster till flertal myndigheter eller omfattande infrastrukturlösningar, som utgör en vital del av samhällets nationella förmåga.

För att omfattas av SSL som leverantör bör det enligt Säkerhetspolisen vara frågan om ett mer varaktigt förhållande, där leverantörens tjänster utgör en beständig förutsättning för de övriga säkerhetskänsliga verksamhetsutövarnas förmåga att lösa sina respektive uppdrag. Även om de enskilda uppdragen var för sig inte anses som säkerhetskänsliga kan leverantörens samlade engagemang innebära risker för de myndigheter som den utför tjänster åt. Om den skada för Sveriges säkerhet som en antagonistisk handling (t.ex. spioneri, sabotage eller terroristbrott) mot leverantörens verksamhet kan medföra är allvarligare än den skadebedömning som legat till grund för respektive säkerhetsskyddsavtal betyder det att säkerhetsskyddsavtalen inte omhändertar leverantörens behov av säkerhetsskydd. Därav följer att SSL kan bli tillämplig på leverantören själv. En leverantör som har flera uppdrag åt flera verksamhetsutövare bör därför analysera om det samlade uppdraget är av betydelse för Sveriges säkerhet och om det finns behov av att vidta ytterligare säkerhetsskyddsåtgärder för den egna verksamheten.

  1. Sammanfattande rekommendationer för efterlevnad

Att delta i säkerhetskänslig verksamhet innebär ett betydande förtroende och ett stort ansvar. Därför är efterlevnad av säkerhetsskyddsregelverket något som kräver stort engagemang och noggrannhet av en leverantör. Foyen rekommenderar att en leverantör som överväger att bli verksam inom uppdrag som omfattar säkerhetskänslig verksamhet vidtar följande åtgärder.

  • En intern analys bör genomföras för att identifiera hur uppdraget påverkar den egna verksamheten och vilka åtgärder som är nödvändiga för leverantören att vidta med anledning av detta. Inta ett proaktivt förhållningssätt till säkerhetsskyddsarbetet och i dialogen med verksamhetsutövare.
  • Säkerställ att nödvändig kompetens inom säkerhetsskydd finns tillgänglig, antingen internt genom utbildning eller genom anlitande av extern expertis.
  • Allokera tillräckliga resurser för att säkerställa en grundlig förståelse av verksamhetsutövarens säkerhetsskyddsanalys och de specifika kraven i säkerhetsskyddsavtalet.
  • En tydligt utsedd person eller funktion bör internt ansvara för säkerhetsskyddsfrågor relaterade till dessa uppdrag, exempelvis en säkerhetsskyddschef eller motsvarande.
  • Personalens kompetens och tillförlitlighet är av största vikt. Investera i säkerhetsprövning och kontinuerlig utbildning. En robust säkerhetskultur är av stor betydelse.

Genom att noggrant beakta dessa skyldigheter kan leverantören säkerställa regelefterlevnad och etablera sig som en tillförlitlig och värdefull part i arbetet med att skydda Sveriges säkerhet. Foyen har bred erfarenhet av att arbeta med säkerhetsskyddsfrågor och ni är välkomna att kontakta oss för stöd i ert säkerhetsskyddsarbete.

För ytterligare vägledning, ta del av Foyens ”Säkerhetsskyddsguide 2025 – Hur ska offentliga aktörer agera i förhållande till säkerhetsskydd?” framtagen för att stödja kommuner, regioner och deras bolag i ett strukturerat och rättssäkert säkerhetsskyddsarbete. Guiden finns tillgänglig via länken nedan.

Liknande artiklar

EU-flaggor som vajar
Offentliga affärer och upphandlingsrätt2025.05.14

Hårdare krav på offentliga upphandlare när IPI-förordningen uppdateras

Den 7 maj 2025 beslutade riksdagen, i enlighet med proposition 2024/25:116, att genomföra lagändringar för att anpassa svensk upphandlingslagstiftning till EU:s instrument för internationell upphandling (”IPI-förordningen”).

Offentliga affärer och upphandlingsrätt2025.05.02

Finns möjligheten till jämkning enligt 36 § avtalslagen eller är det en utopi?

Svea hovrätt har i en dom den 27 mars 2025 i mål T 10437-23 prövat förutsättningarna för att jämka en ansvarsfriskrivning i ett avtal mellan två kommersiella och jämbördiga parter med stöd av 36 § avtalslagen. Domen belyser de höga krav som ställs för att åsidosätta avtalsvillkor i kommersiella avtalsrelationer, särskilt när frågan om vårdslöshet aktualiseras.
Offentliga affärer och upphandlingsrätt2025.01.23

Foyen biträder Adda i volymavtalsförhandlingar med Google Cloud

Foyen har biträtt Adda i förhandlingarna av ett volymavtal med Google Cloud. Adda är ett dotterbolag till Sveriges Kommuner och Regioner (SKR).
Fler nyheter