Expert-intervju:

Nico Stark om säkerhetsskydd och hur det blir en konkurrensfördel

Säkerhetsskydd har gått från att vara en specialistfråga till ett avgörande affärskrav. I allt fler upphandlingar är det en förutsättning för att ens få delta. HiQ hjälper organisationer att förstå kraven, bygga rätt arbetssätt – och använda säkerhetsskydd som en konkurrensfördel.

Säkerhetsskydd som konkurrensfördel 

Säkerhetsskydd har på kort tid blivit en affärskritisk fråga. För allt fler upphandlingar inom infrastruktur, energi, fastigheter och offentlig sektor är säkerhetsskydd inte längre ett ”plus i kanten”, utan ett grundkrav för att överhuvudtaget få vara med i matchen. 

Samtidigt upplever många verksamheter området som svårt, tidskrävande och fullt av frågetecken. HiQ stöttar kunder i att förstå om de berörs av säkerhetsskyddslagen, bygga upp arbetet för att uppfylla kraven – och använda det som en konkurrensfördel istället för ett hinder. 

”Har du ordning på säkerhetsskyddet står du betydligt starkare när de stora upphandlingarna kommer.”

Nico Stark, Säkerhetsspecialist, HiQ

En av dem som leder arbetet är Nico Stark, säkerhetsskyddsspecialist på HiQ med lång erfarenhet från både polisen och Säpo. 

”Säkerhetsskydd upplevs ofta som tungt och byråkratiskt. Men för många är det samtidigt nyckeln till de mest intressanta uppdragen. Har du ordning på säkerhetsskyddet står du betydligt starkare när de stora upphandlingarna kommer”, säger Nico Stark på HiQ. 

När verksamheten blir en del av Sveriges säkerhet 

Säkerhetsskydd handlar om de delar av en verksamhet som är nationellt viktiga – sådant som Sverige som land är beroende av för att fungera. Det kan handla om allt från vår liberala demokrati, energiförsörjning och kommunikationer till kritisk IT-infrastruktur och fysiska anläggningar. 

Nico beskriver det så här: 

”Säkerhetsskydd är ett särskilt skydd mot spioneri, sabotage, terrorism och andra grova brott för verksamhetsutövare som bedriver de mest skyddsvärda säkerhetskänsliga verksamheterna, alltså sådant som är mest nationellt viktigt och som Sverige är beroende av i form av tex. tjänster, produkter eller förmågor. Man ska ge den verksamheten ett extra skydd mot antagonistiska hot där hotaktören har både avsikt och förmåga att orsaka skada. För Sveriges skull.” 

Det innebär att konsekvenserna av ett avbrott eller angrepp ofta sträcker sig långt bortom ett enskilt projekt eller en enskild kommun. 

”Man kan säga att vi pratar om verksamhet som – om den saboteras eller slås ut – inte bara påverkar en kommun eller region utan får kännbara skadekonsekvenser på nationell nivå. Det är där säkerhetsskyddet kommer in.” 

För många företag blir detta konkret först när en upphandlande myndighet ställer krav på säkerhetsskydd i en förfrågan. Då blir frågan snabbt: Kan vi uppfylla kraven – och hur snabbt kan vi ta oss dit? 

”Om du inte kan hantera säkerhetsskyddskraven riskerar du att inte kvalificera dig alls. Då spelar det ingen roll hur konkurrenskraftig du är på pris eller teknik.”

Från lagtext till säkerhetsskyddsarbete i praktiken 

Grunden för arbetet är Säkerhetsskyddslagen (2018:585) och den tillhörande säkerhetsskyddsförordningen. Utifrån dessa har Säkerhetspolisen tagit fram föreskrifter och vägledningar som gör det tydligare hur verksamheter ska arbeta. 

”Vi har en speciallag, säkerhetsskyddslagen, där den började tillämpas den 1 april 2019. Till den hör också säkerhetsskyddsförordningen. Utifrån dessa har Säpo tagit fram egna föreskrifter och vägledningar som beskriver hur man praktiskt ska arbeta med säkerhetsskydd”, säger Nico. 

Med tiden har stödet från myndigheterna blivit mer praktiskt användbart. 

”Säpo har brutit ner föreskrifterna i mer lättbegripliga vägledningar och tagit fram fiktivt exempel på en säkerhetsskyddsanalys. Det gör det mycket enklare för kommuner, myndigheter och bolag att förstå vad som faktiskt förväntas.” 

HiQ hjälper ofta kunder att översätta detta regelverk till deras verklighet: vilka delar av verksamheten berörs, vilka roller behövs och hur kopplas det här till pågående och kommande affärer? 

Säkerhetsskyddsanalysen – nyckeln till att kvala in 

Avgörandet om en verksamhet omfattas av säkerhetsskydd eller inte kommer genom säkerhetsskyddsanalysen. Det är också här grunden läggs för att kunna delta i upphandlingar där säkerhetsskydd är ett krav.  

Säkerhetsskyddsanalys ska inte förväxlas med en risk- och sårbarhetsanalys. Den största analytiska skillnaden mellan en risk- och sårbarhetsanalys och säkerhetsskyddsanalys är syftet i analysformen. Riskanalysen syftar till att bibehålla och se till att verksamheten har en tolerabel kontinuitet vid ett oönskat avbrott eller vid en kris och att planera för alternativa arbetssätt. Den hanterar dessutom risk begreppet utifrån sannolikhet och konsekvens.  

Säkerhetsskyddsanalys bygger däremot helt på skadekonsekvens utifrån antagonistiska hot där sannolikheten är helt irrelevant då den inte går att uppskatta för Sveriges säkerhet. Därför arbetar vi i stället med begrepp som sårbarhet och robusta säkerhetsskyddsåtgärder och inte med riskkalkyler. 

Femstegsmodellen leder till en genomtänkt prioriterad åtgärd 

”Det är en femstegsmodell för civil verksamhet som gäller. Du följer en strukturerad metod, svarar på ett antal frågor och bedömer om verksamheten får nationella konsekvenser om något går fel”, säger Nico.  

Arbetet kan delas in i fem huvuddelar: 

  1. Verksamhetsbeskrivning 
    Här beskriver man kärnverksamheten och dess beroenden. 

”Först beskriver man vad företaget, organisationen eller bolaget gör. Vad är huvudleveranserna? Vilka beroenden har man – tekniska, organisatoriska, externa, både svenska och utländska – för att kunna leverera sina tjänster eller förmågor?” 

  1. Identifiera och klassa skyddsvärden 
    Sedan pekar man ut det som verkligen är skyddsvärt – ”guldäggen” – och bedömer konsekvenserna om något händer. 

”Om man misstänker att man bedriver säkerhetskänslig verksamhet ska det motiveras. Man gör en konsekvensbedömning: vad händer om leveransen saboteras? Leder det till att kommunala verksamheter slås ut, att regional räddningstjänst inte fungerar, eller andra effekter på nationell nivå?” 

”Sedan identifierar man sina skyddsvärden – guldäggen – och klassar dem. Det finns fyra konsekvensnivåer, från ringa skada till kvalificerad allvarlig skada. Det här steget är ofta det mest tidskrävande.” 

  1. Säkerhetshotbeskrivning 
    Här analyseras antagonistiska hot – bland annat främmande makt, organiserad brottslighet och terrorism – och hur de kan påverka skyddsvärdena. 
     
  1. Sårbarhetsbedömning 
    I nästa steg kartläggs svagheter i den egna miljön: brister i lås, larm och fysisk säkerhet, avtal med väktare eller skyddsvakter, brister i utbildning, rutiner eller IT-miljöer. 

”Här blir svagheterna tydliga. Det är ofta här man ser vad som faktiskt behöver göras”, säger Nico. 

  1. Föreslagna åtgärder 
    Till sist tas realistiska åtgärder fram, prioriterade utifrån påverkan och genomförbarhet. 

”Det är bättre med 5–10 tydliga åtgärder som går att genomföra än hundra punkter som aldrig lämnar pappret. Analysen ska dessutom fastställas och omprövas minst vartannat år.” 

HiQ leder ofta analysarbetet som extern analysledare, faciliterar workshops och ser till att resultatet blir användbart – inte bara ett dokument för hyllan. 

”Det här är i hög grad bedömningar. Därför är workshopformat ofta effektivt – flera funktioner i samma rum som får stöta och blöta vad som är rimligt. Vid nästa omprövning ska det dessutom gå att upptäcka om tidigare bedömningar varit orimliga”, säger Nico. 

”Det är bättre med 5–10 tydliga åtgärder som går att genomföra än hundra punkter som aldrig lämnar pappret.”

När säkerhetsskyddet avgör om du får vara med 

För många verksamheter märks säkerhetsskyddet tydligast i upphandlingar. Krav på säkerhetsskyddsanalys, säkerhetsskyddschef och förmåga att hantera säkerhetskänslig information blir avgörande för om man ens blir kvalificerad. 

”Det är ganska enkelt: om du inte kan hantera säkerhetsskyddskraven riskerar du att inte kvalificera dig alls. Då spelar det ingen roll hur konkurrenskraftig du är på pris eller teknik. Du kommer inte förbi dörrvakten”, säger Nico. 

Att bygga upp säkerhetsskydd innebär en investering, särskilt i större projekt. 

”Ett större infrastrukturprojekt som är belagt med säkerhetsskydd kan bli ungefär 15–20 procent dyrare totalt. Men samtidigt är det ofta just de här projekten som är de mest intressanta affärsmässigt. För många kunder är säkerhetsskydd en inträdesbiljett till en del av marknaden som de annars inte skulle nå.” 

Här hjälper HiQ verksamheter att hitta en balans: nivå på säkerhetsskyddet, kostnad, tidsplan – och affärsnytta. 

”För många av våra kunder handlar det i praktiken om att låsa upp en ny del av marknaden. Har man ordning på säkerhetsskyddet kan man vara med när de stora samhällskritiska uppdragen upphandlas”, säger Nico. 

Vanliga fallgropar – och varför de påverkar affären 

När HiQ går in som partner i säkerhetsskyddsarbete syns ett antal återkommande mönster: 

  • Analysen görs bara en gång och omprövas inte när verksamheten ändras. 
  • Säkerhetsprövad personal följs inte upp med återkommande samtal. 
  • Åtgärderna i säkerhetsskyddsplanen genomförs inte, utan blir liggande. 
  • Säkerhetsprövningar avslutas inte, vilket gör att personer ligger kvar som registerkontrollerade utan lagstöd. 

Det här är inte bara en juridisk fråga – det påverkar också förtroende och affär. 

”Mycket av det här handlar inte om ovilja, utan om brist på struktur och tid. Men från ett upphandlande myndighetsperspektiv är det fortfarande brister som måste åtgärdas. Och då riskerar du både relationer och möjligheten att vara med i framtida uppdrag”, säger Nico. 

Ett heltäckande säkerhetserbjudande

HiQ:s erbjudande inom säkerhet täcker flera områden som ofta hänger ihop i verkligheten: 

  • Säkerhetsskydd och säkerhetsskyddsanalyser
  • Informationssäkerhet och cybersäkerhet
  • Personalsäkerhet och säkerhetsprövning
  • Stöd till säkerhetsskyddschef, HR och verksamhetsledning
  • Struktur, processer och utbildning kopplat till säkerhet i vardagen
  • Internkontroller av säkerhetsskyddet

Målet är att kunderna ska kunna leva med sitt säkerhetsskydd – inte bara klara en enstaka tillsyn. 

”Gör man sin säkerhetsskyddsanalys ordentligt, ar hjälp där det behövs och bygger upp ett långsiktigt arbetssätt för att följa upp åtgärder och personal, är det ingen katastrof att synas och granskas –tvärtom. Då har man både minskat risken för brister och samtidigt skapat förutsättningar att varaen trygg partner i uppdrag där säkerhetsskydd ställs som krav. Ytterst handlar det mycket om attverksamheten genomgår sin egna säkerhetskyddskulturresa avslutar Nico”. 

Är ni redo att kvalificera er för de mest attraktiva upphandlingarna?
Med rätt säkerhetsskydd på plats ökar både era affärsmöjligheter och ert förtroende.

Jobba på HiQ

Kontakta oss!

Välj ditt närmaste kontor, ser fram emot att prata!

Fler expertintervjuer

hiqexperts Det stora AI-skiftet har börjat – men ledarskapet släpar efter
hiqexperts Naim Latifi
hiqexperts Kalle Kivi
hiqexperts Gustav Isaksson
hiqexperts Från AI-hajp till affärsnytta – så skapar företag verkligt värde med AI 
hiqexperts Granskad av DIGG
hiqexperts Digital tillgänglighet – så kommer du igång!
hiqexperts Etisk hacking i praktiken
hiqexperts Data Science och AI på djupet
hiqexperts Datainsikter som gör skillnad: Victor Martinez Albarracin om BI och analys
hiqexperts Datans dilemma: Hur dålig data kan döda ett projekt
hiqexperts Att bygga en användarcentrerad produkt
hiqexperts Lärdomar i ledarskap från rollspel
hiqexperts Produktcyber-säkerhet i en föränderlig värld
hiqexperts Framtidens front-end-utveckling