Christoffer Stavenow och Max Thimmig gav ut boken Säkerhetsskyddad upphandling – juridik och praktik under 2019 och har nu skrivit en krönika i ämnet på Inköpsrådet.se.

De menar att hotbilden blir allt mer komplicerad och att den inte enbart riktar sig mot Försvarsmakten utan även mot övrig offentlig sektor och delar av det svenska civilsamhället. Cyberattacker och databasstölder riktar sig mot såväl företag som mot myndigheter. Ett annat scenario som utgör ett hot mot Sveriges säkerhet är obehöriga leverantörer till offentlig sektor som får ta del av säkerhetsklassade uppgifter. Det kan vara företag som på något sätt ägs av en främmande makt som har intressen som kan skada Sveriges säkerhet och som får information som de inte ska ha tillgång till, menar Christoffer Stavenow och Max Thimmig.

De anser att situationen ställer krav på såväl upphandlande myndigheter som på leverantörer men att det är något som upphandlande myndigheter kanske inte alltid inser eller tänker på och det kan få stora konsekvenser.

Fler och fler upphandlande myndigheter får upp ögonen för den ett år gamla säkerhetsskyddslagstiftningen och antalet säkerhetsskyddade upphandlingar ökar, skriver Stavenow och Thimmig. ”Men det förekommer att myndigheter gör bedömningar som inte grundar sig på säkerhetsskyddslagstiftningen. Sådana bedömningar och beslut kan få stora konsekvenser för Sveriges säkerhet.”

En upphandlande myndighet måste ta ställning till många olika frågor och bedömningar vid en säkerhetsskyddad upphandling – det ska bland annat göras en säkerhetsskyddsanalys, säkerhetsprövning, placering i säkerhetsklass och registerkontroller. "Behovet av information om olika saker i myndighetens verksamhet kan vara nödvändigt för utförandet av ett kontrakt. Då gäller det att myndigheten har analyserat vilken information i myndighetens verksamhet som behöver skydd", skriver Stavenow och Thimmig.

Och det kräver att all verksamhet analyserats och dokumenterats enligt Säkerhetsskyddslagen. Att inte göra analysen, vilket är första steget till att skydda känslig information, innebär en stor risk att skyddsvärda uppgifter hamnar i fel händer, menar Stavenow och Thimmig.