Regeringskansliets rättsdatabaser

1 kap. Förordningens tillämpningsområde Tillämpningsområde 1 § Denna förordning innehåller kompletterande bestämmelser till säkerhetsskyddslagen (2018:585). Ord och uttryck som används i förordningen har samma innebörd som i lagen. Förordningen gäller inte för riksdagen och dess myndigheter. 2 § För Regeringskansliet och utlandsmyndigheterna gäller endast 1 kap. 1-3 §§, 2 kap. 1-6 §§, 3 kap., 4 kap. och 5 kap. 3 och 5 §§ säkerhetsskyddslagen (2018:585) samt 1 kap. 4 och 5 §§, 2 kap. 1, 3 och 4 §§, 2 kap. 6 § första stycket och 2 kap. 6 § andra stycket 1, 3 kap. 1, 3 och 10 §§, 5 kap. och 6 kap. denna förordning. För sådana kommittéer och särskilda utredare som avses i kommittéförordningen (1998:1474) gäller endast 2 kap. 5 §, 3 kap. och 4 kap. säkerhetsskyddslagen samt 5 kap. och 6 kap. denna förordning. Förordning (2020:379). 3 § Det som föreskrivs i denna förordning om myndigheter gäller också vid säkerhetskänslig verksamhet i kommuner och regioner om inte något annat sägs. Förordning (2019:1179). Ord och uttryck 4 § Med säkerhetsskyddsklassificerad handling avses en handling som innehåller en säkerhetsskyddsklassificerad uppgift enligt 1 kap. 2 § säkerhetsskyddslagen (2018:585). 5 § Med informationssystem avses ett system av sammansatt mjuk- och hårdvara som behandlar information. 2 kap. Grundläggande bestämmelser om säkerhetsskydd Säkerhetsskyddsanalys 1 § Den som bedriver säkerhetskänslig verksamhet ska enligt 2 kap. 1 § säkerhetsskyddslagen (2018:585) göra en säkerhetsskyddsanalys. Säkerhetsskyddsanalysen innebär att säkerhetsskyddsklassificerade uppgifter och vad som i övrigt behöver ett säkerhetsskydd ska identifieras. Vilka delar av verksamheten som är skyddsvärda med hänsyn till Sveriges säkerhet samt vilka hot och sårbarheter som finns kopplade till detta skyddsvärde ska också identifieras. Säkerhetsskyddsanalysen ska även innehålla en bedömning av vilka säkerhetsskyddsåtgärder som är nödvändiga. Analysen ska hållas uppdaterad. Säkerhetsskyddschef 2 § Vid verksamhet som förordningen gäller för ska det, om det inte är uppenbart obehövligt, finnas en säkerhetsskyddschef som kontrollerar att verksamheten bedrivs i enlighet med vad som föreskrivs i säkerhetsskyddslagen (2018:585) och denna förordning. Vid myndigheter ska säkerhetsskyddschefen vara direkt underställd myndighetens chef. Behörighet att delta i säkerhetskänslig verksamhet 3 § Behörig att ta del av säkerhetsskyddsklassificerade uppgifter eller i övrigt delta i säkerhetskänslig verksamhet är, om inte något annat följer av bestämmelser i lag, endast den som 1. har bedömts pålitlig från säkerhetssynpunkt, 2. har tillräckliga kunskaper om säkerhetsskydd, och 3. behöver uppgifterna eller annan tillgång till verksamheten för att kunna utföra sitt arbete eller på annat sätt delta i den säkerhetskänsliga verksamheten. 4 § En verksamhetsutövare ska upplysa den som tillåts ta del av säkerhetsskyddsklassificerade uppgifter om räckvidden och innebörden av den sekretess och tystnadsplikt som följer av offentlighets- och sekretesslagen (2009:400) respektive 5 kap. 2 § säkerhetsskyddslagen (2018:585). Säkerhetsskyddsavtal 5 § En enskild verksamhetsutövare som avser att ingå ett säkerhetsskyddsavtal enligt 2 kap. 6 § säkerhetsskyddslagen (2018:585) ska utan dröjsmål anmäla det till den tillsynsmyndighet som anges i 7 kap. 1 § första stycket 3–6. Anmälan syftar till att uppmärksamma tillsynsmyndigheten på eventuellt behov av placering i säkerhetsklass och ska också utgöra underlag för myndighetens arbete med tillsyn över säkerhetsskyddet. I 5 kap. finns bestämmelser om beslut om placering i säkerhetsklass samt registerkontroll och särskild personutredning. 6 § En statlig myndighet som avser att genomföra en upphandling som innebär krav på säkerhetsskyddsavtal enligt 2 kap. 6 § säkerhetsskyddslagen (2018:585) ska vidta de åtgärder som anges i andra stycket, om 1. leverantören kan få tillgång till eller möjlighet att förvara säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen hemlig eller högre utanför myndighetens lokaler, eller 2. leverantören kan få tillgång till säkerhetskänsliga informationssystem utanför myndighetens lokaler och obehörig åtkomst till systemen kan medföra allvarlig skada för Sveriges säkerhet. En statlig myndighet som avser att genomföra en sådan upphandling ska innan förfarandet inleds 1. genom en särskild säkerhetsskyddsbedömning identifiera och dokumentera vilka säkerhetsskyddsklassificerade uppgifter eller säkerhetskänsliga informationssystem som leverantören kan få del av och som kräver säkerhetsskydd, och 2. samråda med den myndighet som enligt 7 kap. 1 § första stycket 1 eller 2 utövar tillsyn över den aktuella verksamheten. Tillsynsmyndigheten får förelägga myndigheten att vidta åtgärder enligt säkerhetsskyddslagen och de föreskrifter som har meddelats i anslutning till den lagen. Om ett föreläggande inte följs eller om tillsynsmyndigheten bedömer att säkerhetsskyddslagens krav inte kan tillgodoses trots att ytterligare åtgärder vidtas, får tillsynsmyndigheten besluta att myndigheten inte får genomföra upphandlingen. Förordning (2019:82). 7 § Den som har ingått ett säkerhetsskyddsavtal enligt 2 kap. 6 § säkerhetsskyddslagen (2018:585) ska anmäla det till Säkerhetspolisen. En sådan anmälan ska också göras när ett säkerhetsskyddsavtal upphör att gälla. Säkerhetsskyddsavtal vid internationellt samarbete 8 § Den nationella industrisäkerhetsmyndigheten får ingå ett säkerhetsskyddsavtal med en leverantör, om det är nödvändigt för att leverantören ska kunna delta i ett internationellt samarbete och det behövs för att utfärda säkerhetsintyg enligt 4 kap. 1 § säkerhetsskyddslagen (2018:585). Säkerhets- skyddsavtalet ska anmälas till Säkerhetspolisen. Förordning (2019:82). Överlåtelse av säkerhetskänslig verksamhet och viss egendom 9 § Försvarsmakten är samrådsmyndighet enligt 2 kap. 9 § säkerhetsskyddslagen (2018:585) för Fortifikationsverket, Försvarshögskolan, de myndigheter som hör till Försvarsdepartementet samt enskilda överlåtare inom området för försvarsmateriel. Säkerhetspolisen är samrådsmyndighet enligt 2 kap. 9 § säkerhetsskyddslagen för övriga överlåtare. Förordning (2020:1008). 9 a § Samrådsmyndigheterna ska samverka med varandra i syfte att åstadkomma en effektiv och enhetlig hantering av samrådsärenden. Vid behov ska samrådsmyndigheterna även samverka med myndigheterna som anges i 7 kap. 1 § 3-6 och Inspektionen för strategiska produkter. Förordning (2020:1008). 9 b § Skyldigheten att göra en särskild säkerhetsskyddsbedömning och lämplighetsprövning samt att samråda enligt 2 kap. 7 § första stycket samt 8 och 9 §§ säkerhetsskyddslagen (2018:585) gäller inte överlåtelser 1. som för att genomföras kräver tillstånd enligt lagen (1992:1300) om krigsmateriel eller lagen (2000:1064) om kontroll av produkter med dubbla användningsområden och av tekniskt bistånd, 2. mellan två myndigheter som anges i 7 kap. 1 § 1 eller vid samverkan på försvarsunderrättelseområdet, eller 3. av tillstånd eller del av tillstånd att använda radiosändare som kräver ett medgivande enligt 3 kap. 23 § lagen (2003:389) om elektronisk kommunikation. Förordning (2020:1008). 9 c § Samrådsmyndigheterna får inom sina respektive ansvarsområden meddela föreskrifter om verkställigheten av säkerhetsskyddslagen (2018:585) och av denna förordning i fråga om särskild säkerhetsskyddsbedömning, lämplighetsprövning och samråd inför överlåtelse av säkerhetskänslig verksamhet och viss egendom. Samrådsmyndigheterna ska ge varandra och myndigheterna som anges i 7 kap. 1 § 3-6 tillfälle att yttra sig innan föreskrifter meddelas. Förordning (2020:1008). Anmälan vid säkerhetshotande händelser och verksamhet 10 § En verksamhetsutövare ska skyndsamt anmäla till Säkerhetspolisen om 1. en säkerhetsskyddsklassificerad uppgift kan ha röjts, 2. det inträffat en it-incident i ett informationssystem som verksamhetsutövaren är ansvarig för och som har betydelse för säkerhetskänslig verksamhet och där incidenten allvarligt kan påverka säkerheten i systemet, eller 3. verksamhetsutövaren får kännedom eller misstanke om någon annan för denne allvarlig säkerhetshotande verksamhet. Om verksamhetsutövaren tillhör Försvarsmaktens tillsynsområde enligt 7 kap. 1 § första stycket 1, ska anmälan göras också till Försvarsmakten. 11 § En verksamhetsutövare som är skyldig att anmäla säkerhetshotande händelser enligt 10 § första stycket 1 eller 2 och som tillhandahåller tjänster åt en annan verksamhetsutövare ska i samband med anmälan informera och vid behov samråda med de uppdragsgivare som berörs av incidenten. Vid anmälan enligt 10 § första stycket 1 eller 2 som rör säkerhetsskyddsklassificerade uppgifter som omfattas av ett internationellt säkerhetsskyddsåtagande enligt 6 kap. 1 §, ska Säkerhetspolisen underrätta den myndighet som är nationell säkerhetsmyndighet enligt det internationella säkerhetsskyddsåtagandet. 3 kap. Informationssäkerhet Förberedande åtgärder inför driftsättning av ett informationssystem 1 § Innan ett informationssystem som har betydelse för säkerhetskänslig verksamhet tas i drift ska verksamhetsutövaren genom en särskild säkerhetsskyddsbedömning ta ställning till vilka säkerhetskrav i systemet som är motiverade och se till att säkerhetsskyddet utformas så att dessa krav tillgodoses. Säkerhetsskyddsbedömningen ska dokumenteras. Förordning (2019:82). 2 § Innan ett informationssystem som kan förutses komma att behandla säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre tas i drift, eller i väsentliga avseenden förändras, ska verksamhetsutövaren skriftligen samråda med Säkerhetspolisen. Om verksamhetsutövaren hör till Försvarsmaktens tillsynsområde enligt 7 kap. 1 § första stycket 1, ska denne i stället samråda med Försvarsmakten. Samrådsskyldigheten gäller även i fråga om andra informationssystem än sådana som anges i första stycket, om obehörig åtkomst till systemen kan medföra en skada för Sveriges säkerhet som inte är obetydlig. 3 § Ett informationssystem som ska användas i säkerhetskänslig verksamhet får inte tas i drift förrän det har godkänts från säkerhetsskyddssynpunkt av verksamhetsutövaren. Godkännandet ska dokumenteras. Säkerhetskrav för informationssystem som används i säkerhetskänslig verksamhet 4 § En verksamhetsutövare som ansvarar för ett informationssystem som ska användas i säkerhetskänslig verksamhet ska vidta lämpliga skyddsåtgärder för att kunna upptäcka, försvåra och hantera skadlig inverkan på informationssystemet samt obehörig avlyssning av, åtkomst till och nyttjande av informationssystemet. Verksamhetsutövaren ska också se till att spårbarhet finns för händelser som är av betydelse för säkerheten i systemet. En verksamhetsutövare som ansvarar för ett informationssystem enligt första stycket ska beakta risken för röjande signaler och vidta lämpliga skyddsåtgärder för systemet om 1. informationssystemet avses behandla säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller 2. obehörig åtkomst till informationssystemet kan medföra en skada för Sveriges säkerhet som inte är obetydlig. 5 § Innan säkerhetsskyddsklassificerade uppgifter behandlas i ett informationssystem utanför verksamhetsutövarens kontroll ska denne försäkra sig om att säkerhetsskyddet för uppgifterna i systemet är tillräckligt. Om säkerhetsskyddsklassificerade uppgifter ska kommuniceras till ett informationssystem utanför verksamhetsutövarens kontroll ska uppgifterna skyddas med hjälp av kryptografiska funktioner som har godkänts av Försvarsmakten. 6 § Säkerhetspolisen och Försvarsmakten får inom respektive myndighets tillsynsområde meddela föreskrifter om undantag från kraven i 4 § första stycket. Försvarsmakten får om det finns särskilda skäl också besluta om undantag från kraven i 5 § andra stycket. Försvarsmakten ska samråda med Säkerhetspolisen innan ett beslut om undantag meddelas om det gäller verksamhet som hör till Säkerhetspolisens tillsynsområde och med Regeringskansliet (Utrikesdepartementet) om kravet följer av ett internationellt säkerhetsskyddsåtagande. Hantering av säkerhetsskyddsklassificerade handlingar Anteckning om säkerhetsskyddsklass 7 § En säkerhetsskyddsklassificerad handling ska förses med en anteckning om vilken säkerhetsskyddsklass uppgifterna i handlingen har. Om handlingen innehåller uppgifter med olika säkerhetsskyddsklass ska den högsta säkerhetsskyddsklassen avgöra vilken anteckning handlingen ska ha. Säkerhetspolisen och Försvarsmakten får inom respektive myndighets tillsynsområde meddela föreskrifter om undantag från kravet på anteckning om säkerhetsskyddsklass. Om en säkerhetsskyddsklassificerad handling kan antas komma att lämnas över till utländska myndigheter eller leverantörer, ska den förses med en anteckning om ursprungsland om det inte är olämpligt. 8 § Säkerhetsskyddsklassificerade handlingar som innehåller uppgifter i säkerhetsskyddsklassen kvalificerat hemlig ska inventeras minst en gång per år. Säkerhetsskyddsklassificerade handlingar som innehåller uppgifter i säkerhetsskyddsklassen hemlig eller konfidentiell ska inventeras i den omfattning som anges i Säkerhetspolisens föreskrifter eller, om det gäller verksamhet som hör till Försvarsmaktens tillsynsområde, Försvarsmaktens föreskrifter. För arkiverade handlingar gäller kravet på inventering enbart för handlingar i säkerhetsskyddsklassen kvalificerat hemlig. Hos myndigheter och annan verksamhet som offentlighets- och sekretesslagen (2009:400) är tillämplig på gäller kravet på inventering endast för allmänna handlingar. Skydd för säkerhetsskyddsklassificerade uppgifter som lämnas till utländska aktörer 9 § Säkerhetsskyddsklassificerade uppgifter som lämnas till en utländsk myndighet eller en mellanfolklig organisation ska omfattas av ett internationellt säkerhetsskyddsåtagande som Sverige har ingått med den andra staten eller organisationen, om det inte finns särskilda skäl för att sådana uppgifter ändå kan lämnas. Säkerhetsskyddsklassificerade uppgifter får inte lämnas till en utländsk leverantör om inte Sverige har ingått ett internationellt säkerhetsskyddsåtagande med den andra staten och leverantören har godkänts genom en kontroll enligt den andra statens säkerhetsskyddslagstiftning. Förordning (2019:82). 10 § För försändelser till och från utlandet med säkerhetsskyddsklassificerade handlingar och som inte skyddas av kryptografiska funktioner enligt 5 §, ska Utrikesdepartementets kurirförbindelser anlitas. Säkerhetspolisen och Försvarsmakten får inom respektive myndighets tillsynsområde meddela föreskrifter om undantag från kravet i första stycket. 4 kap. Fysisk säkerhet 1 § Områden, byggnader och andra anläggningar eller objekt där säkerhetsskyddsklassificerade uppgifter förvaras eller annars behandlas, eller där säkerhetskänslig verksamhet i övrigt bedrivs, ska vara försedda med funktioner för att upptäcka, försvåra och hantera obehörigt tillträde och skadlig inverkan utifrån ett identifierat säkerhetsskyddsbehov. 5 kap. Personalsäkerhet Utbildning i säkerhetsskydd 1 § Den som är ansvarig för en säkerhetskänslig verksamhet ska se till att den som anställs eller på annat sätt deltar i verksamheten får utbildning i säkerhetsskydd. Behovet av utbildning ska följas upp under den tid deltagandet i den säkerhetskänsliga verksamheten pågår. Genomförandet av säkerhetsprövningen 2 § Med grundutredning enligt 3 kap. 3 § säkerhetsskyddslagen (2018:585) avses en utredning om personliga förhållanden av betydelse för säkerhetsprövningen. Utredningen ska omfatta betyg, intyg, referenser och uppgifter som den som prövningen gäller har lämnat, samt andra uppgifter i den utsträckning det är relevant för prövningen. Vid behov ska en identitetskontroll göras. 3 § Bestämmelser om registerkontroll och särskild personutredning som utförs efter ett beslut om placering i säkerhetsklass finns i 12–22 §§. Om det redan efter grundutredningen står klart att den som prövningen gäller inte uppfyller kraven för en godkänd säkerhetsprövning enligt 3 kap. 2 § säkerhetsskyddslagen (2018:585), ska registerkontroll och särskild personutredning inte göras. 4 § En myndighet som beslutar om placering i säkerhetsklass eller som ansöker om registerkontroll vid Säkerhetspolisen i fråga om någon som inte ska anlitas i myndighetens verksamhet, ska vid behov samråda med arbetsgivaren om säkerhetsprövningsåtgärder enligt 3 kap. 3 § säkerhetsskyddslagen (2018:585). Samråd ska ske löpande under hela den tid som deltagandet i den säkerhetskänsliga verksamheten pågår. 5 § Resultatet av säkerhetsprövningen ska dokumenteras i de fall en person har bedömts vara pålitlig ur säkerhetssynpunkt och beslut har fattats om anställning eller annat deltagande i verksamheten. Beslut om placering i säkerhetsklass 6 § Regeringen beslutar om placering i säkerhetsklass om inget annat anges i 8-11 §§. Förordning (2020:379). 7 § Om en kommun, en region eller en sådan myndighet som anges i 8 eller 11 §§ bedömer att det finns behov av att placera en anställning eller annat deltagande i säkerhetsklass 1, ska kommunen, regionen eller myndigheten begära att regeringen beslutar om en sådan placering. Detsamma gäller för de verksamhetsutövare som anges i 9 §. Förordning (2019:1179). 8 § Kommuner, regioner och de myndigheter som anges i bilagan till denna förordning beslutar om 1. placering i säkerhetsklass 2 och 3 i fråga om anställning eller annat deltagande i den egna verksamheten, och 2. placering i säkerhetsklass 2 och 3 i fråga om anställning eller uppdrag hos en leverantör som de har ingått ett säkerhetsskyddsavtal enligt 2 kap. 6 § säkerhetsskyddslagen (2018:585) med. Kommuner och regioner beslutar även om placering i säkerhetsklass 2 och 3 i fråga om anställning eller annat deltagande hos enskilda verksamhetsutövare som de utövar ett rättsligt bestämmande inflytande över enligt 2 kap. 3 § offentlighets- och sekretesslagen (2009:400). Förordning (2019:1179). 9 § Kungl. Hovstaterna, Sveriges Radio Aktiebolag, Sveriges Television Aktiebolag och Teracom Group AB beslutar om placering i säkerhetsklass 2 och 3 i fråga om anställning eller annat deltagande i den egna verksamheten. 10 § Regeringskansliet beslutar om placering i säkerhetsklass 2 och 3 när det gäller 1. sådana kommittéer och särskilda utredare som avses i kommittéförordningen (1998:1474), 2. övriga anställningar, uppdrag eller annat deltagande i verksamhet som regeringen beslutar om, och 3. uppdrag som styrelseledamot i bolag med statligt ägande där staten nominerar samtliga styrelseledamöter. I fråga om ordinarie domare i en allmän domstol, en allmän förvaltningsdomstol och Arbetsdomstolen och hyresråd i en hyres- och arrendenämnd beslutar Regeringskansliet om placering i säkerhetsklass 2 och 3 endast när det gäller anställningar som chef för en sådan domstol eller nämnd. Förordning (2021:94). 11 § I andra fall än de som anges i 8–10 §§ beslutar de myndigheter som anges i 7 kap. 1 § första stycket 3–6 om placering i säkerhetsklass 2 och 3 i fråga om anställning eller annat deltagande i verksamhet hos enskilda verksamhetsutövare som de utövar tillsyn över. Registerkontroll och särskild personutredning Registerkontroll och särskild personutredning vid placering i säkerhetsklass 12 § Ett beslut om att en anställning eller annat deltagande i säkerhetskänslig verksamhet ska placeras i säkerhetsklass medför att 1. säkerhetsprövningen vid en sådan anställning eller ett sådant deltagande ska omfatta en registerkontroll i enlighet med 3 kap. 13 § säkerhetsskyddslagen (2018:585), och 2. en särskild personutredning ska göras vid registerkontrollen i den utsträckning som anges i 3 kap. 17 § säkerhetsskyddslagen. Registerkontroll utan placering i säkerhetsklass 13 § En registerkontroll av den som ska delta i säkerhetskänslig verksamhet får göras utan placering i säkerhetsklass om det finns särskilda skäl. Regeringen beslutar om registerkontroll enligt första stycket. Vid större evenemang, statsbesök eller andra liknande händelser med närvaro av någon för vars personskydd Säkerhetspolisen ansvarar, får beslut om registerkontroll i stället fattas av Säkerhetspolisen. Förutsättningar för registerkontroll 14 § En ansökan om registerkontroll får göras endast om den som säkerhetsprövningen gäller kan antas komma att anställas eller på annat sätt delta i den aktuella verksamheten. Om det finns synnerliga skäl får en ansökan göras utan ett sådant antagande. Utförande av registerkontroll och särskild personutredning 15 § Säkerhetspolisen ska utföra en registerkontroll efter ansökan från den som beslutat om placering i säkerhetsklass eller från en sådan verksamhetsutövare som avses i 9 § eller från den som i annat fall beslutat om registerkontroll. När regeringen beslutat om placering i säkerhetsklass ska, om inte något annat anges i beslutet, kontrollen utföras efter ansökan från den som beslutar om placering i säkerhetsklass 2 och 3. När det gäller sådana anställningar som anges i 25 § första och andra styckena förordningen (2007:1266) med instruktion för Försvarsmakten ska kontrollen utföras efter ansökan från Försvarsmakten. När det gäller sådana anställningar som ordinarie domare och hyresråd som anges i 3 kap. 4 a § första stycket säkerhetsskyddslagen (2018:585) ska kontrollen utföras efter ansökan från Domarnämnden. Förordning (2021:94). 16 § Om det finns särskilda skäl får en myndighet som anges i 7 kap. 1 § första stycket 3–6 besluta att en enskild verksamhetsutövare, med anledning av ett beslut om placering i säkerhetsklass, får ansöka om registerkontroll hos Säkerhetspolisen. 17 § Den som ansöker om registerkontroll ansvarar för att samtycke enligt 3 kap. 18 § säkerhetsskyddslagen (2018:585) har inhämtats. Till en ansökan om registerkontroll ska det bifogas en uppgift om placering i säkerhetsklass eller, om registerkontrollen inte föranleds av ett beslut om placering i säkerhetsklass, ett beslut om registerkontroll. Om registerkontrollen avser en anställning eller annat deltagande i en verksamhet som har placerats i säkerhetsklass 1 eller 2, ska också ett skriftligt underlag bifogas där den som kontrollen avser har lämnat uppgifter om sina personliga förhållanden. 18 § Säkerhetspolisens uppgift att utföra registerkontrollen innefattar även uppgiften att göra en särskild personutredning enligt 3 kap. 17 § säkerhetsskyddslagen (2018:585). 19 § När den särskilda personutredningen gäller anställningar och annat deltagande i verksamhet som har placerats i säkerhetsklass 1, ska Säkerhetspolisen hålla ett personligt samtal med den som prövningen gäller, om det inte står klart att samtalet inte behövs. Ett personligt samtal ska, om det behövs, även hållas när utredningen gäller anställningar och annat deltagande i verksamhet som har placerats i säkerhetsklass 2. Säkerhetspolisen får vid behov begära ett uppföljande samtal med den som prövningen gäller. Utlämnande av uppgifter 20 § Om det vid registerkontrollen eller den särskilda personutredningen kommer fram en uppgift som kan antas vara av betydelse för säkerhetsprövningen ska Säkerhetspolisen, efter att ha hört Säkerhets- och integritetsskyddsnämnden, ge den som uppgiften gäller tillfälle att yttra sig enligt de förutsättningar som anges i 3 kap. 20 § säkerhetsskyddslagen (2018:585). I brådskande fall får Säkerhetspolisen inhämta ett sådant yttrande utan att ha hört nämnden. Säkerhetspolisen ska därefter underställa Säkerhets- och integritetsskyddsnämnden frågan om huruvida uppgiften ska lämnas ut för säkerhetsprövning enligt 3 kap. 19 § säkerhetsskyddslagen. Säkerhetspolisen ska ge Säkerhets- och integritetsskyddsnämnden tillgång till samtliga uppgifter som kan vara av betydelse för prövningen. Säkerhetspolisen ska dokumentera och verkställa nämndens beslut. 21 § En uppgift som efter beslut av Säkerhets- och integritetsskyddsnämnden ska lämnas ut för säkerhetsprövning får inte åtföljas av något annat yttrande än en förtydligande kommentar till uppgiften. Det får inte framgå av svaret på en ansökan om registerkontroll att det finns någon uppgift om den kontrollerade som inte lämnas ut. Avanmälan 22 § När en anställning eller något annat deltagande som föranlett en placering i säkerhetsklass upphör, eller vid en omplacering till en lägre säkerhetsklass, ska verksamhetsutövaren skyndsamt anmäla till Säkerhetspolisen att registerkontrollen ska avslutas eller anpassas till den lägre säkerhetsklassen. 6 kap. Internationell samverkan och säkerhetsintyg 1 § Regeringskansliet ska vara nationell säkerhetsmyndighet för internationella säkerhetsskyddsåtaganden gentemot Europeiska unionen och dess medlemsländer inom ramen för EU-arbetet, Nato och Europeiska rymdorganet (ESA) och fullgöra de uppgifter som en sådan myndighet ska ansvara för i enlighet med dessa internationella säkerhetsskyddsåtaganden. Tillsyn över säkerhetsskyddet utövas av de myndigheter som anges i 7 kap. 1 § första stycket. För andra generella internationella säkerhetsskyddsåtaganden ska regeringen besluta vilken myndighet som ska vara nationell säkerhetsmyndighet och fullgöra de uppgifter som en sådan myndighet ska ansvara för i enlighet med det internationella säkerhetsskyddsåtagandet. 2 § Försvarets materielverk ska vara nationell industrisäkerhetsmyndighet och fullgöra de uppgifter som en sådan myndighet ska ansvara för i enlighet med internationella säkerhetsskyddsåtaganden. 3 § Regeringskansliet beslutar om registerkontroll, utfärdar intyg och lämnar underlag enligt 4 kap. 1, 2 och 4 §§ säkerhetsskyddslagen (2018:585). Regeringskansliet får besluta att även andra myndigheter som anges i bilagan till denna förordning ska utföra dessa uppgifter för personer som deltar i myndigheternas egen verksamhet. Om en registerkontroll föranleds av ett ärende om säkerhetsintyg för en leverantör, beslutar i stället Försvarets materielverk om registerkontrollen och utfärdar intyg enligt 4 kap. 1 § säkerhetsskyddslagen. 4 § Om en person eller en leverantör ansöker om ett säkerhetsintyg enligt 4 kap. 1 § säkerhetsskyddslagen (2018:585), får en tidigare gjord säkerhetsprövning eller ett tidigare träffat säkerhetsskyddsavtal läggas till grund för utfärdande av ett sådant intyg i den utsträckning som är lämpligt. 5 § Bestämmelserna i 5 kap. om säkerhetsprövning, registerkontroll och särskild personutredning gäller vid ärenden enligt 4 kap. 1 och 4 §§ säkerhetsskyddslagen (2018:585). 7 kap. Tillsyn, föreskrifter och rådgivning Tillsyn 1 § Tillsyn över säkerhetsskyddet ska utövas av 1. Försvarsmakten när det gäller Fortifikationsverket och Försvarshögskolan samt de myndigheter som hör till Försvarsdepartementet, 2. Säkerhetspolisen när det gäller övriga myndigheter, utom Justitiekanslern, samt kommuner och regioner, 3. Affärsverket svenska kraftnät när det gäller enskilda verksamhetsutövare som bedriver elförsörjningsverksamhet, 4. Transportstyrelsen när det gäller enskilda verksamhetsutövare som bedriver flygtrafiktjänst för civil luftfart, flygtrafikledningstjänst för militär luftfart och verksamhet som är av betydelse inom luftfartsskydd, sjöfarts- skydd eller hamnskydd, 5. Post- och telestyrelsen när det gäller enskilda verksamhetsutövare som bedriver verksamhet som avser elektronisk kommunikation och posttjänst, och 6. länsstyrelserna när det gäller enskilda verksamhetsutövare som bedriver andra säkerhetskänsliga verksamheter än sådana som anges i 3-5. De myndigheter som anges i första stycket får inom sitt tillsynsområde utöva tillsyn över säkerhetsskyddet hos leverantörer som omfattas av ett säkerhetsskyddsavtal enligt 2 kap. 6 § säkerhetsskyddslagen (2018:585). Sådan tillsyn får också utövas över underleverantörer som leverantören har anlitat inom ramen för säkerhetsskyddsavtalet. Förordning (2019:1179). 2 § Säkerhetspolisen och Försvarsmakten får utöva tillsyn inom de ansvarsområden som anges i 1 § första stycket 3–6 och andra stycket. När sådan tillsyn har utövats ska den som har ansvar för tillsynen enligt 1 § underrättas. Säkerhetspolisen och Försvarsmakten får även utöva tillsyn över leverantörer som har uppdrag för flera verksamhetsutövare om leverantörens samlade uppdrag är av stor betydelse för Sveriges säkerhet. 3 § Om det vid tillsynen över säkerhetsskyddet konstateras allvarliga brister som trots påpekanden inte rättas till, ska Säkerhetspolisen eller Försvarsmakten anmäla förhållandet till regeringen. Det gäller dock inte brister hos sådana leverantörer där villkoren för säkerhetsskyddet angetts i ett säkerhetsskyddsavtal. Om sådana brister i säkerhetsskyddet som anges i första stycket konstaterats av någon av de myndigheter som enligt 7 kap. 1 § första stycket 3-6 utövar tillsyn, ska myndigheten informera Säkerhetspolisen och Försvarsmakten. Förordning (2019:82). Rätt att meddela föreskrifter 4 § Säkerhetspolisen får meddela föreskrifter om 1. säkerhetsskyddsanalys, anmälnings- och rapporteringsskyldighet, säkerhetsskyddsåtgärder, säkerhetsskyddsklassificering och säkerhetsskyddsavtal enligt säkerhetsskyddslagen (2018:585) och denna förordning med undantag av Försvarsmaktens tillsynsområde, 2. verkställigheten av säkerhetsskyddslagen i fråga om förfarandet vid registerkontroll, och 3. verkställigheten av säkerhetsskyddslagen i övrigt med undantag av Försvarsmaktens tillsynsområde och det som följer av 6 och 7 §§. Innan föreskrifter meddelas ska Säkerhetspolisen ge Försvarsmakten tillfälle att yttra sig. Detsamma gäller i fråga om föreskrifter enligt 3 kap. 6 § första stycket samt 3 kap. 7 och 10 §§. Regeringskansliet (Utrikesdepartementet) ska underrättas om innehållet i föreskrifterna. 5 § Försvarsmakten får meddela föreskrifter om 1. kryptografiska funktioner som är avsedda för skydd av säkerhetskänslig verksamhet, utöver det bemyndigande för myndigheten som finns i 33 § förordningen (2007:1266) med instruktion för Försvarsmakten, 2. säkerhetsskyddsanalys, anmälnings- och rapporteringsskyldighet, säkerhetsskyddsåtgärder, säkerhetsskyddsklassificering och säkerhetsskyddsavtal enligt säkerhetsskyddslagen (2018:585) och denna förordning inom sitt tillsynsområde, och 3. verkställigheten av säkerhetsskyddslagen inom sitt tillsynsområde med undantag av det som följer av 6 och 7 §§. Innan föreskrifter meddelas ska Försvarsmakten ge Säkerhetspolisen tillfälle att yttra sig. Detsamma gäller i fråga om föreskrifter enligt 3 kap. 6 § första stycket samt 3 kap. 7 och 10 §§. Regeringskansliet (Utrikesdepartementet) ska underrättas om innehållet i föreskrifterna. 6 § Regeringskansliet (Utrikesdepartementet) får meddela föreskrifter om verkställigheten av säkerhetsskyddslagen (2018:585) när det gäller utfärdande av säkerhetsintyg enligt 4 kap. 1 § säkerhetsskyddslagen för personer som har hemvist i Sverige. Innan sådana föreskrifter meddelas ska Regeringskansliet (Utrikesdepartementet) samråda med Säkerhetspolisen, Försvarsmakten och Försvarets materielverk. 7 § Försvarets materielverk får meddela föreskrifter om verkställigheten av säkerhetsskyddslagen (2018:585) i fråga om utfärdande av säkerhetsintyg enligt 4 kap. 1 § säkerhetsskyddslagen för leverantörer med säte i Sverige. Försvarets materielverk ska innan sådana föreskrifter meddelas samråda med Säkerhetspolisen och Försvarsmakten. Regeringskansliet (Utrikesdepartementet) ska underrättas om innehållet i föreskrifterna. 8 § De myndigheter som enligt 1 § första stycket 3–6 utövar tillsyn över enskilda verksamhetsutövare får inom sitt respektive ansvarsområde meddela föreskrifter som kompletterar sådana föreskrifter som meddelats med stöd av 4–5 och 7 §§ av Säkerhetspolisen, Försvarsmakten och Försvarets materielverk. Innan en myndighet meddelar föreskrifter ska myndigheten samråda med Säkerhetspolisen och Försvarsmakten. 9 § Myndigheter som omfattas av säkerhetsskyddslagen (2018:585) får meddela ytterligare föreskrifter om verkställigheten av den lagen i fråga om säkerhetsskyddet för sin egen verksamhet. Om det behövs ska en myndighet innan sådana föreskrifter meddelas ge Säkerhetspolisen och Försvarsmakten tillfälle att yttra sig. Rådgivning 10 § Säkerhetspolisen och Försvarsmakten ska på begäran lämna råd om säkerhetsskydd till Regeringskansliet, riksdagen och dess myndigheter och till Justitiekanslern. Säkerhetspolisen och Försvarsmakten ska informera varandra när råd har lämnats enligt första stycket. 11 § De myndigheter som utövar tillsyn över enskilda verksamhetsutövare ska inom sina respektive ansvarsområden lämna råd om säkerhetsskydd. Överklagande 12 § Beslut enligt denna förordning får inte överklagas. Övergångsbestämmelser 2018:658 1. Denna förordning träder i kraft den 1 april 2019. 2. Förordningen tillämpas inte på sådana internationella åtaganden om säkerhetsskydd som anges i 6 kap. 1 § och som ingåtts före ikraftträdandet. 3. Bestämmelsen i 3 kap. 7 § tillämpas inte på handlingar som är arkiverade vid ikraftträdandet. I fråga om andra handlingar som har märkts enligt säkerhetsskyddslagen (1996:627) ska 3 kap. 7 § tillämpas från och med den 1 januari 2022. 4. Genom förordningen upphävs säkerhetsskyddsförordningen (1996:633). 5. Ett beslut om registerkontroll enligt 26 eller 27 § säkerhetsskyddsförordningen (1996:633) ska, om inte annat beslutas, motsvara ett beslut om placering i säkerhetsklass 3 enligt 3 kap. 8 § säkerhetsskyddslagen (2018:585), dock längst till dess att ett beslut om placering i säkerhetsklass meddelas enligt den lagen. Ett sådant beslut ska meddelas senast vid utgången av 2024. 6. Bestämmelsen i 3 kap. 9 § om säkerhetsskyddsklassificerade uppgifter som lämnas till en utländsk myndighet, mellanfolklig organisation eller utländsk leverantör behöver inte tillämpas förrän den 1 januari 2025. Förordning (2021:157). Bilaga Följande statliga myndigheter beslutar om placering i säkerhetsklass i enlighet med vad som anges i 5 kap. 8 §. Affärsverket svenska kraftnät Allmänna domstolarna Allmänna förvaltningsdomstolarna Arbetsdomstolen Arbetsförmedlingen Arbetsgivarverket Arbetsmiljöverket Brottsförebyggande rådet Centrala studiestödsnämnden Domarnämnden Domstolsverket E-hälsomyndigheten Ekobrottsmyndigheten Ekonomistyrningsverket Elsäkerhetsverket Energimarknadsinspektionen Exportkreditnämnden Finansinspektionen Folke Bernadotteakademin Folkhälsomyndigheten Fortifikationsverket Försvarets materielverk Försvarets radioanstalt Försvarshögskolan Försvarsmakten Försvarsunderrättelsedomstolen Försäkringskassan Granskningsnämnden för försvarsuppfinningar Göteborgs universitet Havs- och vattenmyndigheten Hyres- och arrendenämnderna Inspektionen för strategiska produkter Institutet för rymdfysik Integritetsskyddsmyndigheten Justitiekanslern Kammarkollegiet Kemikalieinspektionen Konkurrensverket Kriminalvården Kronofogdemyndigheten Kungl. Tekniska högskolan Kustbevakningen Lantmäteriet Linköpings universitet Livsmedelsverket Luftfartsverket Lunds universitet Läkemedelsverket Länsstyrelserna Migrationsverket Myndigheten för digital förvaltning Myndigheten för samhällsskydd och beredskap Myndigheten för tillväxtpolitiska utvärderingar och analyser Mälardalens högskola Naturvårdsverket Patent- och registreringsverket Pensionsmyndigheten Polarforskningssekretariatet Polismyndigheten Post- och telestyrelsen Regeringskansliet Riksantikvarieämbetet Riksarkivet Riksgäldskontoret Rymdstyrelsen Rättshjälpsmyndigheten Sjöfartsverket Skatteverket Socialstyrelsen Statens energimyndighet Statens fastighetsverk Statens haverikommission Statens inspektion för försvarsunderrättelseverksamheten Statens jordbruksverk Statens servicecenter Statens tjänstepensionsverk Statens veterinärmedicinska anstalt Statens överklagandenämnd Statistiska centralbyrån Statskontoret Stockholms universitet Strålsäkerhetsmyndigheten Styrelsen för internationellt utvecklingssamarbete Sveriges geologiska undersökning Sveriges lantbruksuniversitet Sveriges meteorologiska och hydrologiska institut Säkerhets- och integritetsskyddsnämnden Säkerhetspolisen Totalförsvarets forskningsinstitut Totalförsvarets plikt- och prövningsverk Trafikverket Transportstyrelsen Tullverket Umeå universitet Uppsala universitet Valmyndigheten Verket för innovationssystem Vetenskapsrådet Åklagarmyndigheten Förordning (2021:907).