I en kontext där cyberhoten ökar och samhällskritiska verksamheter är potentiella måltavlor är det dags att skydda det som skyddas kan. Kan man bredda tillämpning av undantag vid IT-upphandling?  

Å ena sidan kan man argumentera för att undantag ska tillämpas restriktivt, å andra sidan kan man argumentera för att det är en skyldighet att tillämpa undantag trots att definitionerna i lagtexten inte överensstämmer 100%. Kanske bör det inte ses som en paradox utan istället en möjlighet för verksamheten?  

I en alltmer föränderlig värld, där behov och hotbild ständigt förändras kanske tolkningar kring vad som är synnerliga skäl, rikets väsentliga säkerhetsintressen (LUFS), Sveriges väsentliga intressen (LOU) etc. behöver ändras snabbare än lagstiftarna hinner med? 

Kunskap men framförallt rädslan att tillämpa undantag och bli kritiserad för detta beslut kan ibland ta överhand och bli styrande. Vilket beslut tar vi om vi endast utgår från verksamhetsbehovet?  

Att skydda förmåga och kapacitet i kontexten offentlig upphandling, offentlighetsprincipen, entreprenörer, konsulter och underleverantörer är en utmaning. 

Det gäller att täppa till alla hål, medans angriparen bara behöver hitta ett. 

Som i allt säkerhetsskyddsarbete handlar det om att lägga ett omfattande pussel. Finns det pusselbitar som kan skyddas på ett bättre sätt genom en mer frikostig tillämpning av undantag? 

Om ja, till bekostnad på vad?