CCTVplanner.io
    Efterlevnad15 min läsning

    Programvara av ryskt ursprung i EU:s kameraövervakningsprojekt (2026): efterlevnad, sanktioner och upphandlingsgenomgång

    En faktabaserad, upphandlingsfokuserad genomgång för designers inom kameraövervakning, integratörer och EU:s upphandlande myndigheter som ställer samma återkommande fråga 2026: hur gäller regler om ursprung, sanktioner och datalagring när designprogramvara för kameraövervakning är inblandad? Den här artikeln sammanfattar det offentligt tillgängliga ramverket. Det är inte juridisk rådgivning — varje konkret upphandlingsbeslut bör bekräftas med kvalificerade upphandlingsjurister.

    Viktigt: detta är en faktagenomgång, inte juridisk rådgivning

    Sanktioner, exportkontroller och upphandlingsregler ändras ofta och tolkas olika i olika EU-medlemsstater. Inget i denna artikel bör betraktas som juridisk rådgivning för någon specifik transaktion. För bindande bedömningar, konsultera kvalificerade upphandlingsjurister i den relevanta jurisdiktionen. Hänvisningar till offentligt tillgängliga standarder, regler och rättspraxis är korrekta efter bästa kunskap per maj 2026.

    Innehållsförteckning

    Varför denna fråga är viktig i EU:s upphandling 2026

    Sedan 2022 har EU antagit flera på varandra följande sanktionspaket riktade mot Ryssland, parallellt med utveckling i medlemsstaternas regler för offentlig upphandling. Den samlade effekten på programvaruupphandling har varit betydande: upphandlande myndigheter som tidigare inte frågade om programvarans ursprung inkluderar nu rutinmässigt krav på ursprungsredovisning i kvalificeringsskedet, och anbud som inte kan styrka icke-sanktionerat ursprung sållas vanligtvis bort innan den kommersiella granskningen.

    Designprogramvara för kameraövervakning hamnar i en särskild riskkategori eftersom de artefakter den producerar — planritningar, kameraplacering, nätverkstopologi, BOM — är känsliga ur både ett säkerhets- och ett operativt perspektiv. Även när ett sanktionsinstrument inte uttryckligen omfattar ett visst planeringsverktyg för kameraövervakning tenderar upphandlande myndigheter att inta en försiktig hållning, särskilt inom försvar, offentlig förvaltning, kritisk infrastruktur och stora projekt inom vård eller transport.

    Den här artikeln är den förklaring vi önskat fanns när integratörskunder först började fråga oss om programvarans ursprung i anbudssvar. Den är beskrivande, inte föreskrivande — dess syfte är att lägga ut ramverket i klarspråk så att en designer inom kameraövervakning kan ställa rätt frågor till sina upphandlingsjurister, inte att ersätta det samtalet.

    EU:s nuvarande sanktionsramverk — översiktlig sammanfattning

    EU:s restriktiva åtgärder mot Ryssland genomförs genom rådsförordningar som publiceras i Europeiska unionens officiella tidning och uppdateras genom på varandra följande ändringspaket. Ramverket vilar på tre breda pelare som är relevanta för programvaruupphandling.

    Tre pelare som är relevanta för programvara

    • Exportkontroller. Restriktioner för att leverera angivna varor, tjänster, teknik och programvara till Ryssland, med sektoriellt fokus på produkter med dubbla användningsområden, försvar och vissa industriella kategorier.
    • Finansiella sanktioner. Frysning av tillgångar och förbud mot att göra medel eller ekonomiska resurser tillgängliga för listade personer och enheter. Testet för "ägande och kontroll" är faktaberoende och gäller även när en leverantör inte själv är listad men ägs eller kontrolleras av en listad enhet.
    • Upphandlingsfilter för offentlig sektor. Bestämmelser i rådets förordning (EU) 833/2014 (i dess ändrade lydelse) som förbjuder tilldelning av offentliga kontrakt till vissa ryska personer och enheter, införlivade och kompletterade av medlemsstaternas upphandlingslagstiftning på olika sätt.

    Utöver ramverket på EU-nivå har medlemsstater som Tyskland, Frankrike, Polen, Norden och de baltiska staterna infört eget upphandlingsspråk med strängare kriterier. Resultatet är att samma leverantör kan vara godtagbar i en EU-jurisdiktion och sållas bort i en annan, även när inget instrument uttryckligen namnger dem. Upphandlingsteam tenderar därför att tillämpa den strängaste medlemsstatens språk som intern måttstock.

    Den amerikanska sidan: NDAA §889 och ICTS-presidentorder

    På den amerikanska sidan citeras två instrument rutinmässigt även av EU:s upphandlingstjänstemän som informella måttstockar. NDAA §889 (the John S. McCain National Defense Authorization Act for Fiscal Year 2019) förbjuder federala myndigheter och federala leverantörer att köpa eller använda omfattad telekommunikations- och videoövervakningsutrustning från vissa namngivna kinesiska tillverkare. Presidentorderna om informations- och kommunikationsteknik och -tjänster (ICTS), främst Executive Order 13873 och dess efterföljare, ger det amerikanska handelsdepartementet vida befogenheter att granska transaktioner som involverar utländska motståndare.

    Inget av instrumenten gäller juridiskt för en typisk EU-upphandling. De används dock ofta som mallspråk i upphandlingar. En upphandlande EU-myndighet som 2026 utformar ett anbud för kameraövervakning kräver vanligtvis att leverantören intygar att dess programvara, hosting och personal inte skulle uteslutas enligt regler motsvarande §889, även när §889 i sig är irrelevant för kontraktet. Leverantörer som inte kan göra det intyget hamnar i konkurrensnackdel oavsett anbudets underliggande laglighet.

    Direkt upphandlingspåverkan på designprogramvara för kameraövervakning

    Kategorierna nedan är de fyra där vi ser frågor om programvarans ursprung uppstå oftast i EU:s kameraövervakningsprojekt 2026.

    Upphandlingar i offentlig sektor

    Upphandlingar inom myndigheter, försvar, vård och utbildning inkluderar i allt högre grad uttryckliga klausuler om redovisning av "programvarans ursprung". Utlösaren är vanligtvis en av de upphandlingsfilterbestämmelser som diskuterats ovan, tillämpad genom nationellt införlivande. Även när den rättsliga tröskeln kan diskuteras är den praktiska verkligheten att anbud som inte kan styrka godtagbart ursprung sållas bort i kvalificeringsskedet. Projektörer som svarar på offentliga upphandlingar 2026 bör räkna med att avge positiva ursprungsförsäkringar för varje programvaruverktyg som används i projekteringsprocessen, inte bara för själva övervakningshårdvaran.

    Kontrakt inom kritisk infrastruktur

    Upphandling inom energi, transport, bankväsende och vattenförsörjning styrs av NIS2 (direktiv (EU) 2022/2555) och överlappande sektoriella regler. Även om NIS2 i sig är riskbaserat snarare än ursprungsbaserat identifierar de resulterande riskbedömningarna ofta leveranskedjans ursprung som en relevant faktor, och leverantörer av samhällsviktiga tjänster har byggt in det i sina upphandlingsramverk. Kraven på bevis för programvarans ursprung i projekt inom kritisk infrastruktur är väsentligt högre än för allmän kommersiell upphandling.

    Efterlevnadsrevisioner i privata företag

    Stora företag med egna ramverk för ESG, leveranskedja eller cyberrisk reviderar rutinmässigt sina leverantörer och underleverantörer. Även när ingen specifik upphandling är inblandad kan en integratör som använder programvara vars ursprung inte kan styrkas tas bort från en lista över föredragna leverantörer under en årlig översyn. Den här dynamiken accelererade märkbart under 2024 och 2025 och fortsätter in i 2026.

    Gränsöverskridande integratörsuppdrag

    Integratörer med verksamhet i både EU- och icke-EU-jurisdiktioner möter ytterligare komplexitet eftersom upphandlingsstandarderna skiljer sig åt. Ett verktyg som är godtagbart för ett privat kommersiellt projekt i en jurisdiktion kanske inte passerar upphandlingsfiltret för ett offentligt projekt i en annan. Många integratörer har rationaliserat detta genom att standardisera på verktyg av EU-ursprung för alla projekt, vilket förenklar svaret på framtida upphandlingar oavsett var de landar.

    Hur köpare verifierar programvarans ursprung

    En upphandlingstjänsteman som gör en ursprungskontroll har en ganska standardiserad verktygslåda. Ingen av dessa kontroller bevisar ursprung på egen hand — tillsammans byggs en trianguleringsbild från offentlig information.

    • WHOIS-register på leverantörens domän — registrarens land, registrantorganisation, namnserverns ASN.
    • Leverantörens redovisning av juridiskt namn, registreringsland och skatte-ID — krävs vanligtvis vid kvalificering.
    • Granskning av hostingleverantör — den molnregion där SaaS-infrastrukturen fysiskt körs, styrkt av ett intyg eller ett hostingavtal med tredje part.
    • Offentliga företagsregistreringar — register över verkliga huvudmän, moderbolagsstruktur och eventuell korskontroll mot sanktionslistor.
    • Intyg om leveranskedja — en skriftlig försäkran från leverantören som beskriver var programvaran utvecklas, hostas och supportas, och som namnger eventuella underleverantörer.

    För upphandling med högre risk (försvar, kritisk infrastruktur) kan bedömningen utvidgas till källkodens proveniens, säkerhetstest av tredje part och ett oberoende juridiskt utlåtande. Den marginella kostnaden för bedömningen på den högre nivån är inte obetydlig, och upphandlande myndigheter beställer den vanligtvis bara när kontraktets värde eller känslighet motiverar det.

    GDPR-vinkeln om överföringar till tredjeland

    GDPR artiklarna 44 till 49 reglerar överföringar av personuppgifter till länder utanför Europeiska ekonomiska samarbetsområdet. Huvudregeln är att en sådan överföring är förbjuden om inte någon av de angivna skyddsåtgärderna gäller: ett beslut om adekvat skyddsnivå av Europeiska kommissionen, en godkänd överföringsmekanism såsom standardavtalsklausuler med lämpliga kompletterande åtgärder, eller ett undantag för särskilda situationer.

    EU-domstolen gjorde i Schrems II (mål C-311/18, 2020) klart att standardavtalsklausuler måste kompletteras med en konsekvensbedömning av överföringen som tar hänsyn till mottagarlandets lagar och om de ger ett väsentligen likvärdigt skydd. Ryssland finns inte på Europeiska kommissionens lista över länder med adekvat skyddsnivå, och den rådande tolkningen är att det är svårt att uppnå "väsentligen likvärdigt" skydd för överföringar till Ryssland med tanke på det rättsliga landskapet där. Den praktiska följden är att varje designverktyg för kameraövervakning som överför personuppgifter till servrar i Ryssland, eller till enheter under rysk jurisdiktion, möter en betydande börda av konsekvensbedömning av överföringen som EU-värda verktyg helt enkelt inte gör.

    För kameraövervakningsprojekt är detta viktigt eftersom designverktyg berör personuppgifter oftare än man tror — projektmetadata, information om slutkundens plats, e-postadresser till konton, innehåll i supportärenden. En köpare som tar GDPR på allvar vill ha en försäkran om att inga av dessa uppgifter lämnar EU/EES på ett sätt som utlöser granskning enligt kapitel V.

    Varför CCTVplanner finns — EU-värd, EU-utvecklad

    CCTVplanner drivs av DEFENSAR, registrerat i Polen, med frontend hostad i Polen och backend på molninfrastruktur i EU-region. Det är innebörden av rubriken "100 % utvecklad och hostad inom EU" — den juridiska enheten, utvecklingen och hostingen finns allihop inom Europeiska unionen, och det finns inga underleverantörer i tredjeland i standardarkitekturen.

    För upphandlingsteam översätts detta till ett kort, deklarativt svar på de frågor om ursprungsredovisning som beskrivits ovan. Det finns ingen underleverantör under rysk, kinesisk eller amerikansk jurisdiktion någonstans i datavägen. Det finns ingen börda av konsekvensbedömning av överföring enligt GDPR kapitel V eftersom uppgifterna inte lämnar EU. Det finns ingen diskvalificerare motsvarande §889 i leveranskedjan. Den EU-by-default-arkitekturen, som integratörer från hela världen litar på, är den enskilda egenskap som kommer upp oftast i upphandlingssamtal 2026.

    EU-hållning i ett stycke

    • Driftbolaget DEFENSAR registrerat och skattskyldigt i Polen.
    • Frontend hostad i Polen; backend på moln i EU-region (eu-west).
    • Inga underleverantörer av data i tredjeland i standardarkitekturen.
    • GDPR-anpassad som standard — ingen separat konsekvensbedömning av överföring krävs för EU-köpare.

    Verkligheten kring "Byta från JVSG"

    En praktisk fråga vi hör från integratörer 2026 är: "Vi är nöjda med vårt nuvarande designverktyg för kameraövervakning, men upphandlingsteamet har flaggat redovisning av programvarans ursprung som en risk. Hur ser en övergång ut?" Svaret är mestadels mekaniskt — exportera planritningen till DXF, importera den till CCTVplanner, placera om kamerorna från en katalog med 65 000+ modeller, matcha DORI-trösklarna, dra om kablaget, exportera den flersidiga PDF-leveransen. Vi har skrivit en steg-för-steg-spelbok i migreringsguiden som länkas nedan. Inget av stegen är särskilt svårt. Det svåraste är i regel beslutet att göra bytet, inte själva bytet.

    Specifikt för upphandlingsdrivna byten är vårt råd att dokumentera övergången skriftligt — den utlösande händelsen, de alternativ som utvärderats, den valda ersättaren och datumet då det befintliga verktyget tas ur arbetsflödet. Både upphandlingsjurister och ESG-revisorer belönar dokumenterade beslut, och en skriftlig övergångslogg är en vanlig artefakt i due diligence-paket.

    Avslutande ansvarsfriskrivning

    Den här artikeln är en faktagenomgång baserad på offentligt tillgängliga standarder, regler och rättspraxis per maj 2026. Den är inte juridisk rådgivning och ersätter inte rådgivning från kvalificerade upphandlingsjurister i din jurisdiktion. Sanktioner, exportkontroller och upphandlingsregler utvecklas ofta och tolkas olika i olika EU-medlemsstater. Varje konkret upphandlingsbeslut bör bekräftas med jurister som är insatta i den specifika upphandlande myndigheten, sektorn och jurisdiktionen i fråga.

    Inget uttalande i den här artikeln är avsett som nedvärdering av något land, företag eller leverantörskategori. Avsikten är att beskriva upphandlingsramverket så som köpare upplever det 2026, så att integratörer kan förbereda anbudssvar och projekteringsarbetsflöden som klarar kvalificeringsskedet.

    Vanliga frågor

    Is software of Russian origin banned from EU public procurement in 2026?

    There is no single blanket EU rule that says "all software of Russian origin is banned". Instead, several layered EU instruments — sanctions regulations, public-procurement rules, sectoral export controls and member-state interpretations — combine to make Russian-origin software difficult or impossible to procure in many specific contexts (defence, public administration, critical infrastructure, financial services). Whether your specific procurement is permitted depends on the contracting authority, the sector and the country. Always consult your in-house counsel or external procurement advisor for a binding determination.

    Does the EU sanctions framework apply to design software, not just hardware?

    Sanctions instruments commonly cover "goods, services, technology and software" — software is treated as a category of its own, separate from physical hardware. Whether a particular CCTV design tool falls inside or outside a specific sanctions instrument is a fact-specific legal question. Public-sector tenders increasingly include explicit "software origin" disclosure requirements, and a vendor unable to evidence non-Russian origin is usually filtered out at the qualification stage regardless of the underlying sanctions analysis.

    How does GDPR interact with Russian-hosted software?

    GDPR Articles 44 to 49 govern personal-data transfers to third countries. Russia is not on the European Commission's list of countries with an adequacy decision, and standard contractual clauses to Russian processors face additional scrutiny under the Schrems II reasoning of the European Court of Justice. In practice this means that any CCTV design tool that transmits personal data — project metadata, account information, customer-site details — to servers in Russia or to entities under Russian jurisdiction faces a meaningful GDPR transfer-impact assessment burden that EU-hosted tools do not.

    What is NDAA §889 and does it apply outside the United States?

    NDAA §889 is a US federal procurement rule that prohibits federal agencies and federal contractors from buying or using telecommunications and video-surveillance equipment from certain named Chinese companies. It is a US instrument with US scope, but it is increasingly cited as a procurement template by EU and UK contracting authorities updating their own rules. Procurement officers in 2026 routinely ask vendors whether their products would qualify under §889 even when §889 itself does not legally apply to the contract.

    What practical due-diligence does a procurement team perform on software origin?

    Standard checks include WHOIS lookups on the vendor domain, verification of the legal entity name and registration country, review of hosting providers (where the SaaS infrastructure physically runs), inspection of public corporate filings, and a request for a written supply-chain attestation from the vendor. For higher-risk procurements (defence, critical infrastructure) the assessment can extend to source-code provenance, third-party penetration testing, and an independent legal opinion. None of this is a substitute for advice from procurement counsel, which is why the recurring recommendation in this article is to consult one.

    Relaterade artiklar

    CCTVplanner kontra JVSG

    Jämförelse sida vid sida, inklusive hållning kring datalagring.

    Byta från JVSG: migreringsguide för 2026

    Steg-för-steg-spelbok för ett upphandlingsdrivet byte.

    Bästa gratis designprogram för kameraövervakning (2026)

    Alternativ på gratisnivå granskade för EU-ursprung och GDPR-hållning.

    EN 62676-4:2025 OODPCVS-uppdatering (2026)

    Uppdatering på standardsidan relevant för EU:s upphandlingsspråk.

    DORI-kalkylator

    EU-värd webbläsarkalkylator, ingen installation krävs.

    EN 62676-4-kalkylator

    Standardmedveten objektivrekommendation, EU-värd.

    ← Tillbaka till bloggen

    © 2026 CCTVplanner. Alla rättigheter förbehållna.