Post 695 av 7187 träffar
Ett starkare skydd för Sveriges säkerhet Prop. 2020/21:194
Ansvarig myndighet: Justitiedepartementet
Dokument: Prop. 194
Regeringens proposition
2020/21:194
Ett starkare skydd för Sveriges säkerhet
Prop.
2020/21:194
Regeringen överlämnar denna proposition till riksdagen.
Stockholm den 20 maj 2021
Stefan Löfven
Mikael Damberg
(Justitiedepartementet)
Propositionens huvudsakliga innehåll
För att stärka skyddet för Sveriges säkerhet föreslår regeringen ändringar i säkerhetsskyddslagen. Ändringarna innebär bl.a. följande:
* Säkerhetsskyddschefer ska ha en mer framträdande roll i säkerhetsskyddsarbetet.
* Verksamhetsutövare ska ingå säkerhetsskyddsavtal i fler situationer som innebär att en annan aktör kan få tillgång till den säkerhetskänsliga verksamheten.
* Verksamhetsutövare ska göra en särskild säkerhetsskyddsbedömning och pröva lämpligheten av utkontrakteringar och liknande förfaranden som kräver säkerhetsskyddsavtal, samt i vissa fall samråda med tillsynsmyndigheten. Om ett förfarande är olämpligt ur säkerhetsskyddssynpunkt ska tillsynsmyndigheten få besluta att det inte får genomföras och även ingripa i ett pågående förfarande.
* Tillsynsmyndigheterna får undersökningsbefogenheter och möjlighet att besluta vitesföreläggande och sanktionsavgift mot den som inte följer säkerhetsskyddslagstiftningens krav.
Förutom ändringar i säkerhetsskyddslagen föreslår regeringen följdändringar i två andra lagar. Lagändringarna föreslås träda i kraft den 1 december 2021.
Innehållsförteckning
1 Förslag till riksdagsbeslut 5
2 Lagtext 6
2.1 Förslag till lag om ändring i säkerhetsskyddslagen (2018:585) 6
2.2 Förslag till lag om ändring i lagen (2014:514) om ansvar för vissa säkerhetsfrågor vid statsministerns tjänstebostäder 16
2.3 Förslag till lag om ändring i lagen (2019:109) om säkerhetsskydd i riksdagen och dess myndigheter 17
3 Ärendet och dess beredning 18
4 Skyddet för Sveriges säkerhet behöver stärkas ytterligare 19
4.1 Kort om säkerhetsskyddslagstiftningen 19
4.2 Det finns ett behov av att skärpa säkerhetsskyddslagstiftningen 21
5 Säkerhetsskyddschefens roll stärks 22
6 Kravet på säkerhetsskyddsavtal utvidgas och förtydligas 27
6.1 Skyldigheten att ingå säkerhetsskyddsavtal utvidgas 27
6.2 Den utvidgade skyldigheten att ingå säkerhetsskyddsavtal ska ha undantag 34
6.3 Kopplingen mellan säkerhetsskyddsavtal och säkerhetsprövning förtydligas 39
6.4 Kraven på uppföljning av säkerhetsskyddsavtal förtydligas 40
7 Ytterligare åtgärder för att skydda säkerhetskänslig verksamhet som exponeras för utomstående 45
7.1 Det finns behov av ytterligare åtgärder för att hantera riskerna med utkontraktering och liknande förfaranden 45
7.2 Krav på särskild säkerhetsskyddsbedömning och egen lämplighetsprövning 48
7.3 En utvidgad skyldighet att samråda och en förbudsmöjlighet införs 54
7.4 Möjlighet att ingripa i efterhand 64
7.5 Förvaltningslagen bör gälla vid handläggningen 68
7.6 Förslagens förhållande till enskildas rättigheter och friheter och proportionalitet 69
7.6.1 Egendomsskyddet och näringsfriheten 69
7.6.2 Ersättning för rådighetsinskränkningar 71
8 Tillsyn 74
8.1 Tillsynens övergripande utformning 74
8.2 Anmälningsplikt 79
8.3 Tillsynsmyndighetens undersökningsbefogenheter 82
9 Ingripanden och sanktioner 85
9.1 Överträdelser av säkerhetsskyddslagstiftningen bör inte vara straffsanktionerade utöver vad som redan gäller 86
9.2 Vilka ytterligare administrativa sanktioner och andra möjligheter till ingripande bör införas? 87
9.2.1 Tillsynsmyndigheten ska kunna besluta om vitessanktionerade åtgärdsförelägganden 87
9.2.2 Tillsynsmyndigheten ska kunna besluta om sanktionsavgift 89
9.3 Sanktionsavgifter 92
9.3.1 Överträdelser som ska kunna leda till sanktionsavgift 92
9.3.2 Sanktionsavgift ska inte alltid tas ut 99
9.3.3 Sanktionsavgiftens storlek 101
9.3.4 När och till vilket belopp ska sanktionsavgift beslutas i det enskilda fallet? 104
9.3.5 Förfarandet vid beslut om sanktionsavgift 107
9.3.6 Hinder mot sanktionsavgift 108
10 Överklagande 109
11 Offentlighet och sekretess 112
12 Den slutliga bedömningen av säkerhetsprövningen på området luftfartsskydd 115
13 Säkerhetsskyddslagens struktur och följdändringar 117
14 Ikraftträdande- och övergångsbestämmelser 119
15 Konsekvenser 121
16 Författningskommentar 125
16.1 Förslaget till lag om ändring i säkerhetsskyddslagen (2018:585) 125
16.2 Förslaget till lag om ändring i lagen (2014:514) om ansvar för vissa säkerhetsfrågor vid statsministerns tjänstebostäder 142
16.3 Förslaget till lag om ändring i lagen (2019:109) om säkerhetsskydd i riksdagen och dess myndigheter 143
Bilaga 1 Sammanfattning av betänkandet Kompletteringar till den nya säkerhetsskyddslagen (SOU 2018:82) 144
Bilaga 2 Betänkandets lagförslag 153
Bilaga 3 Förteckning över remissinstanserna 167
Bilaga 4 Sammanfattning av Transportstyrelsens framställan om ändring i säkerhetsskyddslagen 169
Bilaga 5 Transportstyrelsens lagförslag 170
Bilaga 6 Förteckning över remissinstanserna 171
Bilaga 7 Lagrådsremissens lagförslag 172
Bilaga 8 Lagrådets yttrande 184
Utdrag ur protokoll vid regeringssammanträde den 20 maj 2021 186
1
Förslag till riksdagsbeslut
Regeringens förslag:
1. Riksdagen antar regeringens förslag till lag om ändring i säkerhetsskyddslagen (2018:585).
2. Riksdagen antar regeringens förslag till lag om ändring i lagen (2014:514) om ansvar för vissa säkerhetsfrågor vid statsministerns tjänstebostäder.
3. Riksdagen antar regeringens förslag till lag om ändring i lagen (2019:109) om säkerhetsskydd i riksdagen och dess myndigheter.
2 Lagtext
Regeringen har följande förslag till lagtext.
2.1 Förslag till lag om ändring i säkerhetsskyddslagen (2018:585)
Härigenom föreskrivs i fråga om säkerhetsskyddslagen (2018:585)
dels att 2 kap. 6-14 och 16 §§ samt 5 kap. 4 och 5 §§ ska upphöra att gälla,
dels att rubrikerna närmast före 2 kap. 6-9, 12-14 och 16 §§ samt 5 kap. 4 och 5 §§ ska utgå,
dels att nuvarande 4 och 5 kap. ska betecknas 5 kap. respektive 8 kap., och att nuvarande 2 kap. 15 § ska betecknas 2 kap. 8 §,
dels att 1 kap. 3 §, 2 kap. 1 §, den nya 2 kap. 8 §, 3 kap. 4 och 16 §§ och den nya 8 kap. 3 § ska ha följande lydelse,
dels att rubriken närmast före 2 kap. 15 § ska sättas före den nya 2 kap. 8 §,
dels att det ska införas tre nya kapitel, 4, 6 och 7 kap., fyra nya paragrafer, 2 kap. 6 och 7 §§, 3 kap. 4 b § och 8 kap. 4 §, och närmast före 2 kap. 6 och 7 §§ och 8 kap. 4 § rubriker av följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
1 kap.
3 §
För riksdagen och dess myndigheter gäller endast bestämmelserna om säkerhetsskyddsklasser i 2 kap. 5 §, säkerhetsprövning i 3 kap. och säkerhetsintyg i 4 kap. I övrigt gäller lagen (2019:109) om säkerhetsskydd i riksdagen och dess myndigheter.
För riksdagen och dess myndigheter gäller endast bestämmelserna om säkerhetsskyddsklasser i 2 kap. 5 §, säkerhetsprövning i 3 kap. och säkerhetsintyg i 5 kap. I övrigt gäller lagen (2019:109) om säkerhetsskydd i riksdagen och dess myndigheter.
Regeringen får i fråga om Regeringskansliet, utlandsmyndigheterna och kommittéväsendet meddela föreskrifter om undantag från andra bestämmelser i lagen än de som anges i första stycket.
2 kap.
1 §
Den som bedriver säkerhetskänslig verksamhet ska utreda behovet av säkerhetsskydd (säkerhetsskyddsanalys). Säkerhetsskyddsanalysen ska dokumenteras.
Den som till någon del bedriver säkerhetskänslig verksamhet (verksamhetsutövare) ska utreda behovet av säkerhetsskydd (säkerhetsskyddsanalys). Säkerhetsskyddsanalysen ska dokumenteras.
Med utgångspunkt i analysen ska verksamhetsutövaren planera och vidta de säkerhetsskyddsåtgärder som behövs med hänsyn till verksamhetens art och omfattning, förekomst av säkerhetsskyddsklassificerade uppgifter och övriga omständigheter.
Verksamhetsutövaren ska även kontrollera säkerhetsskyddet i den egna verksamheten, anmäla och rapportera sådant som är av vikt för säkerhetsskyddet och i övrigt vidta de åtgärder som krävs enligt denna lag.
Så långt det är möjligt ska säkerhetsskyddsåtgärderna utformas så att de inte medför någon skada eller annan olägenhet för andra allmänna eller enskilda intressen.
Anmälningsplikt
6 §
En verksamhetsutövare ska utan dröjsmål anmäla att den bedriver säkerhetskänslig verksamhet till tillsynsmyndigheten.
När den säkerhetskänsliga verksamheten har upphört ska verksamhetsutövaren utan dröjsmål anmäla detta till tillsynsmyndigheten.
Säkerhetsskyddschef
7 §
Vid verksamhet som omfattas av denna lag ska det finnas en säkerhetsskyddschef, om det inte är uppenbart obehövligt.
Säkerhetsskyddschefen ska leda och samordna säkerhetsskyddsarbetet samt kontrollera att verksamheten bedrivs enligt lagen och de föreskrifter som har meddelats i anslutning till lagen. Detta ansvar kan inte delegeras.
Säkerhetsskyddschefen ska vara direkt underställd chefen för verksamhetsutövarens verksamhet, om en sådan chef finns, och annars verksamhetsutövarens ledning.
15 §
Regeringen eller den myndighet som regeringen bestämmer får meddela ytterligare föreskrifter om säkerhetsskyddsanalys samt anmälnings- och rapporteringsskyldighet enligt 1 §, säkerhetsskyddsåtgärder enligt 2-4 §§, säkerhetsskyddsklassificering enligt 5 § och säkerhetsskyddsavtal enligt 6 §.
8 §
Regeringen eller den myndighet som regeringen bestämmer får meddela ytterligare föreskrifter om säkerhetsskyddsanalys samt anmälnings- och rapporteringsskyldighet enligt 1 §, säkerhetsskyddsåtgärder enligt 2-4 §§ och säkerhetsskyddsklassificering enligt 5 §.
Lydelse enligt SFS 2021:76
Föreslagen lydelse
3 kap.
4 §
Säkerhetsprövningen ska utgå från uppgifter som kommit fram när grundutredningen gjordes och den kännedom som i övrigt finns om den som ska prövas, uppgifter som har lämnats ut efter registerkontroll och särskild personutredning, arten av den verksamhet som prövningen gäller samt omständigheterna i övrigt.
Bedömningen görs av den som beslutar om anställning eller annat deltagande i den säkerhetskänsliga verksamheten, om inte annat följer av tredje stycket eller 4 a §.
Bedömningen görs av den som beslutar om anställning eller annat deltagande i den säkerhetskänsliga verksamheten, om inte annat följer av tredje stycket, 4 a eller 4 b §.
Om en myndighet har det bestämmande inflytandet över den prövades lämplighet att delta i säkerhetskänslig verksamhet hos en enskild verksamhetsutövare, är det i stället myndigheten som gör den slutliga bedömningen.
Om det finns anledning till det, ska en tidigare gjord bedömning av en persons lämplighet att delta i den säkerhetskänsliga verksamheten omprövas.
Nuvarande lydelse
Föreslagen lydelse
4 b §
Den slutliga bedömningen enligt 4 § görs av Transportstyrelsen när det gäller den som ska genomgå säkerhetsprövning till följd av ett internationellt säkerhetsskyddsåtagande på området luftfartsskydd.
16 §
Bestämmelser om registerkontroll finns också i 4 kap. om internationell säkerhetsskyddssamverkan och säkerhetsintyg.
Bestämmelser om registerkontroll finns också i 5 kap. om internationell säkerhetsskyddssamverkan och säkerhetsintyg.
4 kap. Skyldigheter när en annan aktör kan få tillgång till säkerhetskänslig verksamhet
Säkerhetsskyddsavtal
1 § En verksamhetsutövare som avser att genomföra en upphandling, ingå ett avtal eller inleda en samverkan eller ett samarbete med en annan aktör ska ingå ett säkerhetsskyddsavtal med aktören, om aktören genom förfarandet kan få tillgång till
1. säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller
2. annan säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet.
Verksamhetsutövaren ska även ingå ett säkerhetsskyddsavtal med en underleverantör som anlitas för att fullgöra den andra aktörens förpliktelse, om underleverantören genom sitt uppdrag kan få en sådan tillgång till den säkerhetskänsliga verksamheten som anges i första stycket.
Ett säkerhetsskyddsavtal ska ingås innan motparten kan få tillgång till den säkerhetskänsliga verksamheten.
2 § Mellan statliga myndigheter gäller kravet på säkerhetsskyddsavtal enligt 1 § endast vid anskaffning av en vara, tjänst eller byggentreprenad.
3 § Ett säkerhetsskyddsavtal ska innehålla de krav på motparten som behövs för att kraven på säkerhetsskydd enligt 2 kap. 1 § ska kunna tillgodoses.
Ett säkerhetsskyddsavtal ska även reglera hur verksamhetsutövaren ska få kontrollera att motparten följer säkerhetsskyddsavtalet och att verksamhetsutövaren har rätt att revidera avtalet om det krävs på grund av ändrade förhållanden.
4 § Vid säkerhetsprövning enligt ett säkerhetsskyddsavtal tillämpas bestämmelserna i 3 kap. och föreskrifter som har meddelats i anslutning till de bestämmelserna.
5 § Verksamhetsutövaren ska kontrollera att motparten följer säkerhetsskyddsavtalet och revidera avtalet om det krävs på grund av ändrade förhållanden.
Om motparten inte följer säkerhetsskyddsavtalet, ska verksamhetsutövaren vidta de åtgärder som behövs för att tillgodose kraven på säkerhetsskydd.
6 § Regeringen eller den myndighet som regeringen bestämmer får meddela ytterligare föreskrifter om säkerhetsskyddsavtal enligt 1 och 3-5 §§.
Regeringen får meddela föreskrifter om undantag från skyldigheten att ingå säkerhetsskyddsavtal. Om det finns särskilda skäl får regeringen också besluta om sådana undantag i enskilda fall.
Skyldigheter inför förfaranden som kräver säkerhetsskyddsavtal
7 § En verksamhetsutövare som avser att genomföra ett förfarande som innebär ett krav på säkerhetsskyddsavtal enligt 1 § första stycket ska göra en särskild säkerhetsskyddsbedömning och lämplighetsprövning enligt 8 §. Verksamhetsutövaren ska också samråda enligt 9 §.
Regeringen får meddela föreskrifter om undantag från första stycket. Om det finns särskilda skäl får regeringen också besluta om sådana undantag i enskilda fall.
För överlåtelser av säkerhetskänslig verksamhet och viss egendom gäller i stället 13-20 §§.
8 § Innan ett sådant förfarande som avses i 1 § första stycket inleds ska verksamhetsutövaren genom en särskild säkerhetsskyddsbedömning identifiera vilka säkerhetsskyddsklassificerade uppgifter eller vilken säkerhetskänslig verksamhet i övrigt som den andra aktören kan få tillgång till och som kräver säkerhetsskydd.
Med utgångspunkt i den särskilda säkerhetsskyddsbedömningen och övriga omständigheter ska verksamhetsutövaren pröva om det planerade förfarandet är lämpligt från säkerhetsskyddssynpunkt.
Den särskilda säkerhetsskyddsbedömningen och lämplighetsprövningen ska dokumenteras.
Om lämplighetsprövningen leder till bedömningen att det planerade förfarandet är olämpligt från säkerhetsskyddssynpunkt, får det inte inledas.
9 § Om lämplighetsprövningen enligt 8 § leder till bedömningen att det planerade förfarandet inte är olämpligt från säkerhetsskyddssynpunkt, ska verksamhetsutövaren innan den inleder förfarandet samråda med tillsynsmyndigheten, om det planerade förfarandet innebär att den andra aktören kan få tillgång till
1. säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen hemlig eller högre, eller
2. annan säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet.
Tillsynsmyndigheten får besluta att förelägga verksamhetsutövaren att vidta åtgärder enligt denna lag och föreskrifter som har meddelats i anslutning till lagen.
10 § Om verksamhetsutövaren inte samråder med tillsynsmyndigheten trots att det finns en skyldighet att göra det, får tillsynsmyndigheten inleda samrådet.
11 § Om ett beslut om föreläggande enligt 9 § inte följs eller om det planerade förfarandet är olämpligt från säkerhetsskyddssynpunkt även om ytterligare åtgärder vidtas, får tillsynsmyndigheten besluta att det planerade förfarandet inte får genomföras (förbud).
12 § Om ett pågående förfarande som omfattas av ett krav på säkerhetsskyddsavtal enligt 1 § är olämpligt från säkerhetsskyddssynpunkt, får tillsynsmyndigheten besluta om de förelägganden mot verksamhetsutövaren och den andra aktören i förfarandet som behövs för att förhindra skada för Sveriges säkerhet. Ett sådant beslut om föreläggande får förenas med vite.
Skyldigheter inför överlåtelse av säkerhetskänslig verksamhet och viss egendom
13 § En verksamhetsutövare ska göra en särskild säkerhetsskyddsbedömning och lämplighetsprövning enligt 14 § och samråda enligt 15 §, om verksamhetsutövaren avser att överlåta
1. hela eller någon del av den säkerhetskänsliga verksamheten, eller
2. egendom som har betydelse för Sveriges säkerhet eller ett för Sverige förpliktande internationellt åtagande om säkerhetsskydd.
Första stycket gäller inte för överlåtelser av fast egendom.
Regeringen får meddela föreskrifter om ytterligare undantag från första stycket. Om det finns särskilda skäl får regeringen också besluta om sådana undantag i enskilda fall.
14 § Innan ett förfarande för sådan överlåtelse som avses i 13 § inleds ska verksamhetsutövaren genom en särskild säkerhetsskyddsbedömning identifiera vilka säkerhetsskyddsklassificerade uppgifter eller vilken säkerhetskänslig verksamhet i övrigt som förvärvaren kan få tillgång till och som kräver säkerhetsskydd.
Med utgångspunkt i den särskilda säkerhetsskyddsbedömningen och övriga omständigheter ska verksamhetsutövaren pröva om överlåtelsen är lämplig från säkerhetsskyddssynpunkt.
Den särskilda säkerhetsskyddsbedömningen och lämplighetsprövningen ska dokumenteras.
Om lämplighetsprövningen leder till bedömningen att överlåtelsen är olämplig från säkerhetsskyddssynpunkt, får överlåtelsen inte genomföras.
15 § Om lämplighetsprövningen enligt 14 § leder till bedömningen att överlåtelsen inte är olämplig från säkerhetsskyddssynpunkt, ska verksamhetsutövaren samråda med tillsynsmyndigheten.
Tillsynsmyndigheten får besluta att förelägga verksamhetsutövaren att vidta åtgärder för att fullgöra sina skyldigheter enligt denna lag och föreskrifter som har meddelats i anslutning till lagen.
Skyldigheten att samråda och det som anges i andra stycket om verksamhetsutövaren gäller även den som avser att överlåta aktier eller andelar i säkerhetskänslig verksamhet, dock inte aktier i aktiebolag som är publika enligt aktiebolagslagen (2005:551).
16 § Om överlåtaren inte samråder med tillsynsmyndigheten trots att det finns en skyldighet att göra det, får tillsynsmyndigheten inleda samrådet.
17 § Om ett beslut om föreläggande enligt 15 § inte följs eller om överlåtelsen är olämplig från säkerhetsskyddssynpunkt även om ytterligare åtgärder vidtas, får tillsynsmyndigheten besluta att överlåtelsen inte får genomföras (förbud).
18 § En överlåtelse i strid med ett förbud enligt 17 § är ogiltig.
Om en överlåtelse har genomförts utan samråd enligt 15 eller 16 § och förutsättningarna för ett förbud enligt 17 § är uppfyllda, får tillsynsmyndigheten i efterhand besluta om ett sådant förbud. Överlåtelsen är då ogiltig.
19 § Om en överlåtelse är ogiltig enligt 18 § får tillsynsmyndigheten besluta om de förelägganden mot överlåtaren och förvärvaren som behövs för att förhindra skada för Sveriges säkerhet. Ett sådant beslut om föreläggande får förenas med vite.
20 § En verksamhetsutövare som avser att överlåta hela eller någon del av den säkerhetskänsliga verksamheten ska upplysa förvärvaren om att denna lag gäller för verksamheten. En sådan upplysning ska innehålla information om de skyldigheter som enligt 2 kap. 1 § gäller för en verksamhetsutövare.
6 kap. Tillsyn
Tillsynsmyndighetens uppdrag
1 § Den myndighet som regeringen bestämmer ska vara tillsynsmyndighet.
Tillsynsmyndigheten ska utöva tillsyn över att verksamhetsutövare följer lagen och de föreskrifter som har meddelats i anslutning till lagen. I det syftet får tillsynsmyndigheten även utöva tillsyn hos de aktörer som verksamhetsutövare har ingått säkerhetsskyddsavtal med.
Tillsynsmyndighetens undersökningsbefogenheter
2 § Den som står under tillsyn ska på begäran tillhandahålla tillsynsmyndigheten den information som behövs för tillsynen.
3 § Tillsynsmyndigheten har i den omfattning som det behövs för tillsynen rätt att få tillträde till områden, lokaler och andra utrymmen, dock inte bostäder, som används i verksamhet som omfattas av tillsyn.
4 § Tillsynsmyndigheten får besluta att förelägga den som står under tillsyn att tillhandahålla information och ge tillträde enligt 2 och 3 §§. Ett sådant beslut om föreläggande får förenas med vite.
5 § Tillsynsmyndigheten får begära handräckning av Kronofogdemyndigheten för att genomföra de åtgärder som avses i 2 och 3 §§. Vid handräckning gäller bestämmelserna i utsökningsbalken om verkställighet av förpliktelser som inte avser betalningsskyldighet, avhysning eller avlägsnande.
Åtgärdsförelägganden
6 § Tillsynsmyndigheten får besluta att förelägga en verksamhetsutövare att vidta åtgärder för att fullgöra sina skyldigheter enligt denna lag och föreskrifter som har meddelats i anslutning till lagen. Ett sådant beslut om föreläggande får förenas med vite.
7 kap. Administrativa sanktionsavgifter
Överträdelser som kan leda till sanktionsavgift
1 § Tillsynsmyndigheten får besluta att ta ut en sanktionsavgift av en verksamhetsutövare som
1. har åsidosatt sina skyldigheter enligt någon av
a) 2 kap. 1 § första eller andra stycket, 5 §, 6 § första stycket eller 7 § eller föreskrifter som har meddelats i anslutning till de bestämmelserna,
b) 3 kap. 1-4 eller 6-9 §§ eller 11 § första stycket eller föreskrifter som har meddelats i anslutning till de bestämmelserna,
c) 4 kap. 1 eller 3 §, 9 § första stycket eller 15 § första stycket eller föreskrifter som har meddelats i anslutning till de bestämmelserna,
2. inte har kontrollerat säkerhetsskyddet i den egna verksamheten enligt 2 kap. 1 § tredje stycket eller föreskrifter som har meddelats i anslutning till den bestämmelsen,
3. inte har kontrollerat att motparten följer säkerhetsskyddsavtalet enligt 4 kap. 5 § första stycket eller föreskrifter som har meddelats i anslutning till den bestämmelsen,
4. har inlett ett förfarande i strid med ett förbud som har meddelats med stöd av 4 kap. 11 § eller har genomfört en överlåtelse i strid med ett förbud som har meddelats med stöd av 4 kap. 17 §, eller
5. har lämnat oriktiga uppgifter i samband med samråd enligt 4 kap. 9 eller 15 § eller tillsyn.
2 § Tillsynsmyndigheten får besluta att ta ut en sanktionsavgift av en aktie- eller andelsägare som
1. inte har samrått enligt 4 kap. 15 § eller föreskrifter som har meddelats i anslutning till den bestämmelsen,
2. har genomfört en överlåtelse i strid med ett förbud som har meddelats med stöd av 4 kap. 17 §, eller
3. har lämnat oriktiga uppgifter i samband med samråd enligt 4 kap. 15 §.
När sanktionsavgift ska tas ut
3 § Vid bedömningen av om en sanktionsavgift ska tas ut ska särskild hänsyn tas till
1. den skada eller sårbarhet för Sveriges säkerhet som uppstått till följd av överträdelsen,
2. om överträdelsen har varit uppsåtlig eller berott på oaktsamhet,
3. vad verksamhetsutövaren eller aktie- eller andelsägaren har gjort för att överträdelsen ska upphöra och för att begränsa dess verkningar, och
4. om verksamhetsutövaren eller aktie- eller andelsägaren tidigare har begått en överträdelse.
Hur sanktionsavgiften ska bestämmas
4 § En sanktionsavgift ska bestämmas till lägst 25 000 kronor och högst 50 000 000 kronor. Sanktionsavgiften för en statlig myndighet, kommun eller region ska dock bestämmas till högst 10 000 000 kronor.
5 § När sanktionsavgiftens storlek bestäms ska särskild hänsyn tas till de omständigheter som anges i 3 § och till den vinst som den avgiftsskyldige gjort till följd av överträdelsen.
6 § En sanktionsavgift får efterges helt eller delvis om överträdelsen är ringa eller ursäktlig eller om det annars med hänsyn till omständigheterna skulle vara oskäligt att ta ut avgiften.
Beslut om sanktionsavgift
7 § En sanktionsavgift får inte beslutas om överträdelsen omfattas av ett föreläggande om vite och överträdelsen ligger till grund för en ansökan om utdömande av vitet.
8 § En sanktionsavgift får endast beslutas om den som avgiften ska tas ut av har fått tillfälle att yttra sig inom två år från det att överträdelsen ägde rum.
Ett beslut om sanktionsavgift ska delges.
Betalning av sanktionsavgift
9 § En sanktionsavgift ska betalas till tillsynsmyndigheten inom 30 dagar från det att beslutet om att ta ut avgiften har fått laga kraft eller inom den längre tid som anges i beslutet.
Om sanktionsavgiften inte betalas inom den tid som anges i första stycket, ska myndigheten lämna den obetalda avgiften för indrivning. Bestämmelser om indrivning finns i lagen (1993:891) om indrivning av statliga fordringar m.m. Vid indrivning får verkställighet ske enligt utsökningsbalken.
En sanktionsavgift tillfaller staten.
10 § En beslutad sanktionsavgift faller bort till den del beslutet om avgiften inte har verkställts inom fem år från det att beslutet fick laga kraft.
Nuvarande lydelse
Föreslagen lydelse
5 kap.
8 kap.
3 §
Sekretess hindrar inte att den myndighet som avses i 4 kap. 6 § i ett ärende om underlag för säkerhetsprövning enligt 4 kap. 4 § lämnar ut en uppgift som har kommit fram vid registerkontroll eller särskild personutredning till en utländsk myndighet eller en mellanfolklig organisation, om det står klart att ett sådant utlämnande är förenligt med svenska intressen.
Sekretess hindrar inte att den myndighet som avses i 5 kap. 6 § i ett ärende om underlag för säkerhetsprövning enligt 5 kap. 4 § lämnar ut en uppgift som har kommit fram vid registerkontroll eller särskild personutredning till en utländsk myndighet eller en mellanfolklig organisation, om det står klart att ett sådant utlämnande är förenligt med svenska intressen.
Överklagande
4 §
Beslut om föreläggande enligt 4 kap. 9 och 15 §§ och 6 kap. 4 och 6 §§ eller sanktionsavgift enligt 7 kap. får överklagas till Förvaltningsrätten i Stockholm. När ett sådant beslut överklagas är tillsynsmyndigheten motpart. Prövningstillstånd krävs vid överklagande till kammarrätten.
Beslut om förbud enligt 4 kap. 11, 17 och 18 §§ och föreläggande enligt 4 kap. 12 och 19 §§ får överklagas till regeringen.
Andra beslut enligt denna lag får inte överklagas.
1. Denna lag träder i kraft den 1 december 2021.
2. Äldre föreskrifter gäller fortfarande för ärenden om samråd som har inletts före ikraftträdandet.
3. Den upphävda 2 kap. 6 § gäller för säkerhetsskyddsavtal som har ingåtts före ikraftträdandet.
4. En sanktionsavgift enligt 7 kap. får beslutas endast för överträdelser som skett efter ikraftträdandet.
2.2 Förslag till lag om ändring i lagen (2014:514) om ansvar för vissa säkerhetsfrågor vid statsministerns tjänstebostäder
Härigenom föreskrivs att 4 § lagen (2014:514) om ansvar för vissa säkerhetsfrågor vid statsministerns tjänstebostäder ska ha följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
4 §
Inför att säkerhetsskyddsavtal ska träffas enligt 2 kap. 6 § säkerhetsskyddslagen (2018:585) med anledning av upphandling till egendom som används som tjänstebostad för statsministern ska den upphandlande myndigheten samråda med Säkerhetspolisen.
Inför att säkerhetsskyddsavtal ska träffas enligt 4 kap. 1 § första stycket säkerhetsskyddslagen (2018:585) med anledning av upphandling till egendom som används som tjänstebostad för statsministern ska den upphandlande myndigheten samråda med Säkerhetspolisen.
Denna lag träder i kraft den 1 december 2021.
2.3 Förslag till lag om ändring i lagen (2019:109) om säkerhetsskydd i riksdagen och dess myndigheter
Härigenom föreskrivs att 11 § lagen (2019:109) om säkerhetsskydd i riksdagen och dess myndigheter ska ha följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
11 §
Riksdagsförvaltningen utfärdar säkerhetsintyg och beslutar om registerkontroll enligt 4 kap. 1 och 2 §§ säkerhetsskyddslagen (2018:585) för personer som deltar i
Riksdagsförvaltningen utfärdar säkerhetsintyg och beslutar om registerkontroll enligt 5 kap. 1 och 2 §§ säkerhetsskyddslagen (2018:585) för personer som deltar i
1. riksdagens eller Riksdagsförvaltningens verksamhet i annan egenskap än riksdagsledamot, och
2. verksamhet som de myndigheter som anges i 1 § 5-12 bedriver.
Riksbanken, Riksdagens ombudsmän och Riksrevisionen utfärdar säkerhetsintyg och beslutar om registerkontroll enligt 4 kap. 1 och 2 §§ säkerhetsskyddslagen för personer som deltar i respektive myndighets verksamhetsområde.
Riksbanken, Riksdagens ombudsmän och Riksrevisionen utfärdar säkerhetsintyg och beslutar om registerkontroll enligt 5 kap. 1 och 2 §§ säkerhetsskyddslagen för personer som deltar i respektive myndighets verksamhetsområde.
Denna lag träder i kraft den 1 december 2021.
3 Ärendet och dess beredning
Regeringen beslutade den 23 mars 2017 att ge en särskild utredare i uppdrag att överväga vissa frågor i säkerhetsskyddslagstiftningen. Uppdraget gavs i syfte att komplettera de förslag som lämnats i betänkandet En ny säkerhetsskyddslag (SOU 2015:25). Utredaren fick i uppdrag att föreslå bl.a. åtgärder som förebygger att säkerhetsskyddsklassificerade uppgifter eller i övrigt säkerhetskänslig verksamhet utsätts för risker i samband med utkontraktering, upplåtelse och överlåtelse, ett system med sanktioner och hur en ändamålsenlig tillsyn enligt säkerhetsskyddslagstiftningen ska vara utformad (dir. 2017:32). Genom tilläggsdirektiv den 18 januari 2018 utvidgades utredningens uppdrag till att även omfatta att analysera och föreslå i vilken utsträckning verksamhetsutövare som bedriver säkerhetskänslig verksamhet ska vara skyldiga att ingå säkerhetsskyddsavtal vid överenskommelser med utomstående som berör den säkerhetskänsliga verksamheten (dir. 2018:2).
Utredningen, som tog namnet Utredningen om vissa säkerhetsskyddsfrågor (Ju 2017:08), överlämnade i november 2018 betänkandet Kompletteringar till den nya säkerhetsskyddslagen (SOU 2018:82). En sammanfattning av betänkandet finns i bilaga 1. Utredningens lagförslag finns i bilaga 2. Betänkandet har remissbehandlats. En förteckning över remissinstanserna finns i bilaga 3. Remissvaren finns tillgängliga i Justitiedepartementet (Ju2018/05292). De förslag i betänkandet som rör överlåtelse av säkerhetskänslig verksamhet har hanterats separat i propositionen Åtgärder till skydd för Sveriges säkerhet vid överlåtelser av säkerhetskänslig verksamhet (prop. 2020/21:13). Betänkandets övriga förslag behandlas i denna proposition.
Riksdagen har tillkännagett för regeringen att tillsynsmyndigheternas ansvar och befogenheter ska regleras i säkerhetsskyddslagen (2018:585) (bet. 2017/18:JuU21 punkt 3, rskr. 2017/18:289). Tillkännagivandet, som behandlas i avsnitt 7.3 och 8.3, är slutbehandlat. Riksdagen har även tillkännagett för regeringen det som utskottet anför om att det bör göras en översyn av tillsynsmyndigheternas ansvar, organisation och resursfördelning (bet. 2017/18:JuU21 punkt 4, rskr. 2017/18:289). Tillkännagivandet behandlas i avsnitt 8.1. Tillkännagivandet är inte slutbehandlat.
Riksdagen har vidare tillkännagett för regeringen att den ställer sig bakom det som utskottet anför om tidsbegränsning av samrådsmyndighetens handläggningstid (bet. 2020/21:JuU10 punkt 2, rskr. 2020/21:79). Tillkännagivandet behandlas i avsnitt 7.3. Riksdagen har också tillkännagett det som utskottet anför om bättre möjligheter till stöd och vägledning till verksamhetsutövare (bet. 2020/21:JuU10 punkt 4, rskr. 2020/21:79). Tillkännagivandet behandlas i avsnitt 8.1. Tillkännagivandena är inte slutbehandlade.
I denna proposition behandlas slutligen också en framställan från Transportstyrelsen med förslag om att myndigheten ska göra den slutliga bedömningen av säkerhetsprövningen i vissa fall. En sammanfattning av Transportstyrelsens framställan finns i bilaga 4. Transportstyrelsens lagförslag finns i bilaga 5. Framställan har remissbehandlats. En förteckning över remissinstanserna finns i bilaga 6. Remissyttrandena finns tillgängliga i Justitiedepartementet (Ju2020/03136).
Lagrådet
Regeringen beslutade den 18 mars 2021 att inhämta Lagrådets yttrande över de lagförslag som finns i bilaga 7. Lagrådets yttrande finns i bilaga 8. Regeringen har följt Lagrådets förslag. Lagrådets synpunkt behandlas i avsnitt 6.1 och i författningskommentaren.
I förhållande till lagrådsremissen har det även gjorts vissa språkliga och redaktionella ändringar.
4 Skyddet för Sveriges säkerhet behöver stärkas ytterligare
4.1 Kort om säkerhetsskyddslagstiftningen
Säkerhetsskydd är förebyggande åtgärder för att skydda Sveriges säkerhet mot spioneri, sabotage, terroristbrott och andra brott. För att stärka säkerhetsskyddet trädde en ny säkerhetsskyddslag (2018:585) i kraft den 1 april 2019.
Med säkerhetsskydd avses för det första skydd av säkerhetskänslig verksamhet mot spioneri, sabotage, terroristbrott och andra brott som kan hota verksamheten. En verksamhet är säkerhetskänslig om den är av betydelse för Sveriges säkerhet eller om den omfattas av ett internationellt åtagande om säkerhetsskydd som är förpliktande för Sverige. Uttrycket "Sveriges säkerhet" tar sikte på förhållanden av grundläggande betydelse för Sverige. Det kan handla om både militär och civil verksamhet, så länge verksamheten har en sådan betydelse. Förutom militär verksamhet kan det exempelvis gälla central statsförvaltning och diplomatisk verksamhet eller viktig civil infrastruktur som flygplatser, energianläggningar och informationssystem för elektronisk kommunikation.
Med säkerhetsskydd avses för det andra skydd av säkerhetsskydds-klassificerade uppgifter. Säkerhetsskyddsklassificerade uppgifter är uppgifter som rör säkerhetskänslig verksamhet och som därför omfattas av sekretess enligt offentlighets- och sekretesslagen (2009:400), eller uppgifter som skulle ha omfattats av sekretess enligt den lagen om den hade varit tillämplig. Säkerhetsskyddsklassificerade uppgifter ska delas in i någon av fyra säkerhetsskyddsklasser (kvalificerat hemlig, hemlig, konfidentiell eller begränsat hemlig) utifrån den skada som ett röjande av uppgiften kan medföra för Sveriges säkerhet eller för Sveriges förhållande till en annan stat eller mellanfolklig organisation. Till skillnad från skyddet av säkerhetskänslig verksamhet ska säkerhetsskyddet för uppgifter även skydda mot andra händelser än brottsliga sådana. Det kan exempelvis handla om att uppgifterna på grund av misstag, bristande rutiner eller olyckshändelse sprids, förstörs eller förvanskas utan att det är fråga om ett brott.
Det är den som till någon del bedriver säkerhetskänslig verksamhet (verksamhetsutövaren) som omfattas av säkerhetsskyddslagen och som är skyldig att bedriva ett säkerhetsskyddsarbete. Utgångspunkten för säkerhetsskyddsarbetet är en säkerhetsskyddsanalys. Verksamhetsutövaren ska genom en sådan analys utreda vilket behov som finns av säkerhetsskydd. Utifrån analysen ska verksamhetsutövaren planera ett väl avvägt säkerhetsskydd där olika säkerhetsskyddsåtgärder samverkar med varandra. Bedömningen av om en verksamhetsutövare omfattas av säkerhetsskyddslagen är beroende av att denne gjort en korrekt analys av verksamhetens skyddsvärden. Grundläggande för lagstiftningen är alltså att ansvaret för identifiering och bedömning av behovet av säkerhetsskydd är knutet till verksamhetsutövaren.
De olika säkerhetsskyddsåtgärderna
Det finns tre olika typer av säkerhetsskyddsåtgärder: informationssäkerhet, fysisk säkerhet och personalsäkerhet.
Informationssäkerhet handlar om skydd för säkerhetsskyddsklassificerade uppgifter. Säkerhetsskyddsåtgärderna ska förebygga att sådana uppgifter obehörigen röjs, ändras, görs otillgängliga eller förstörs. Vidare syftar informationssäkerhet till att förebygga skadlig inverkan i övrigt på uppgifter och informationssystem som gäller säkerhetskänslig verksamhet. Det handlar då framför allt om skyddsåtgärder för att tillgodose behov av tillgänglighet och riktighet i fråga om uppgifter och informationssystem som inte utgör eller innehåller säkerhetsskyddsklassificerade uppgifter, men som har avgörande betydelse för viktiga samhällsfunktioner. Det kan till exempel vara fråga om skydd för uppgifter och informationssystem som har en avgörande betydelse för styrning, reglering och övervakning av el- och vattenförsörjning och digital infrastruktur eller sådana sammanställningar av uppgifter, till exempel folkbokföringsregistret, som är av grundläggande betydelse för ett fungerande samhälle.
Fysisk säkerhet handlar bl.a. om att förebygga att obehöriga personer får tillträde till områden, byggnader och andra anläggningar eller objekt där de kan få tillgång till säkerhetsskyddsklassificerade uppgifter eller där säkerhetskänslig verksamhet i övrigt bedrivs. Åtgärden kan också avse skydd mot sådan skadlig inverkan som kan orsakas utan att någon obehörig har berett sig tillträde till platsen. Det skulle exempelvis kunna röra sig om att en kabel för samhällsviktig elektronisk kommunikation skyddas genom ett robust hölje eller larm eller åtgärder för att skydda ett objekt mot obemannade luftfartyg, s.k. drönare.
Personalsäkerhet handlar bl.a. om att förebygga att personer som inte är pålitliga från säkerhetssynpunkt deltar i säkerhetskänslig verksamhet. Det som avses är verksamhet där de kan få tillgång till säkerhetsskyddsklassificerade uppgifter eller verksamhet som är säkerhetskänslig av någon annan anledning, till exempel att verksamheten bedrivs vid ett skyddsobjekt enligt skyddslagen (2010:305). Personalsäkerhet inkluderar krav på säkerhetsprövning, vilket i vissa fall innefattar registerkontroll och undersökning av den kontrollerades ekonomiska förhållanden. Personalsäkerhet inkluderar också en skyldighet för verksamhetsutövaren att säkerställa att de som deltar i säkerhetskänslig verksamhet har tillräcklig kunskap om säkerhetsskydd.
Säkerhetsskyddsåtgärder kan vara mycket ingripande för enskilda. Säkerhetsskyddslagen innehåller därför ett uttryckligt krav på att säkerhetsskyddsåtgärderna så långt det är möjligt ska utformas så att de inte medför skada eller annan olägenhet för andra allmänna eller enskilda intressen.
Säkerhetsskyddsavtal
Verksamhetsutövare har enligt säkerhetsskyddslagen en skyldighet att ingå säkerhetsskyddsavtal inför vissa upphandlingar och andra anskaffningar, om den leverantör som anlitas kan få tillgång till verksamhetsutövarens säkerhetskänsliga verksamhet. Kravet är ett uttryck för en grundläggande princip inom säkerhetsskyddet som innebär att de intressen som lagstiftningen slår vakt om bör ha samma skydd oavsett var och hur verksamheten bedrivs. Säkerhetsskyddsavtalet ska klargöra för leverantören vilka säkerhetsskyddsåtgärder som denne ska vidta under samarbetets gång för att säkerhetsskyddet ska kunna tillgodoses.
Samråd vid vissa upphandlingar
Skyldigheten att ingå säkerhetsskyddsavtal kompletteras för statliga myndigheter med ett krav på att göra en särskild säkerhetsskyddsbedömning och samråda med tillsynsmyndigheten inför vissa särskilt känsliga upphandlingar. Tillsynsmyndigheten får under samrådet förelägga myndigheten att vidta åtgärder enligt säkerhetsskyddslagen och de föreskrifter som har meddelats i anslutning till den lagen. Om ett föreläggande inte följs eller om tillsynsmyndigheten bedömer att säkerhetsskyddslagens krav inte kan tillgodoses trots att ytterligare åtgärder vidtas, får tillsynsmyndigheten besluta att myndigheten inte får genomföra upphandlingen.
Överlåtelser av säkerhetskänslig verksamhet
Sedan den 1 januari 2021 finns det särskilda krav enligt säkerhetsskyddslagen i samband med överlåtelse av säkerhetskänslig verksamhet och viss egendom. Kraven innebär i huvudsak att en verksamhetsutövare som avser att genomföra en sådan överlåtelse är skyldig att göra en särskild säkerhetsskyddsbedömning och en lämplighetsprövning samt samråda med en samrådsmyndighet. Samrådsmyndigheten har möjlighet att förelägga verksamhetsutövare att vidta åtgärder för att uppfylla sina skyldigheter enligt lagen och ytterst besluta att en överlåtelse inte får genomföras (förbud).
4.2 Det finns ett behov av att skärpa säkerhetsskyddslagstiftningen
Genom införandet av den nya säkerhetsskyddslagen har skyddet för Sveriges säkerhet stärkts. Det har dock framkommit att det finns behov av att ytterligare skärpa säkerhetsskyddslagstiftningen.
Till att börja med har flera uppmärksammade händelser de senaste åren visat på att verksamhetsutövare av stor betydelse för Sveriges säkerhet haft ett eftersatt säkerhetsskydd. Detta har i sig haft flera delorsaker, bl.a. att verksamhetsutövare har haft otillräcklig kunskap om sina egna skyddsvärden och att säkerhetsskyddsfrågor inte varit tillräckligt prioriterade i den egna organisationen.
Vidare har det nuvarande kravet på att ingå säkerhetsskyddsavtal vissa påtagliga begränsningar. Kravet gäller endast i vissa upphandlingssituationer men inte vid rena samarbeten eller vid ren samverkan, exempelvis forskningssamarbeten. Det gäller inte heller i situationer då verksamhetsutövaren uppträder som leverantör i stället för beställare. Skyldigheten att göra en särskild säkerhetsskyddsbedömning och att samråda med tillsynsmyndigheten gäller dessutom endast för statliga myndigheter men inte för enskilda verksamhetsutövare. Det är angeläget att verksamhetsutövares säkerhetsskydd är fullgott även i dessa fall och oavsett om verksamhetsutövaren är en offentlig eller enskild aktör.
Den tillsyn som i dag bedrivs på säkerhetsskyddsområdet är i huvudsak av rådgivande och stödjande karaktär. Tillsynsmyndigheterna har inga särskilda undersökningsbefogenheter och kan, med något undantag, inte besluta sanktioner eller ingripa på annat sätt mot dem som har brustit i sitt säkerhetsskydd. En grundläggande förutsättning för att tillsynen ska fungera är således att verksamhetsutövare samarbetar med tillsynsmyndigheterna och rättar sig efter de anvisningar och rekommendationer som lämnas. Avsaknaden av sedvanliga tillsynsbefogenheter och möjligheter att ingripa gör dock att det finns en risk att verksamhetsutövare är mindre benägna att följa tillsynsmyndigheternas anvisningar och säkerhetsskyddslagstiftningens krav, vilket i förlängningen kan leda till skada för Sveriges säkerhet.
Sammanfattningsvis finns ett stort behov av att ytterligare skärpa säkerhetsskyddslagstiftningen. Det är mot bakgrund av detta behov som förslagen i denna proposition presenteras.
5 Säkerhetsskyddschefens roll stärks
Regeringens förslag: Det ska införas ett generellt krav på att säkerhetsskyddschefen ska vara direkt underställd chefen för verksamhetsutövarens verksamhet. Om en sådan chef inte finns ska säkerhetsskyddschefen i stället vara direkt underställd verksamhetsutövarens ledning.
Säkerhetsskyddschefens ansvar ska utökas till att även omfatta ledning och samordning av säkerhetsskyddsarbetet. Säkerhetsskyddschefens ansvar ska inte kunna delegeras.
Utredningens förslag överensstämmer i huvudsak med regeringens. Utredningen föreslår att säkerhetsskyddschefen ska vara direkt underställd "den person som är ansvarig för verksamhetsutövarens verksamhet", vilket enligt utredningen innebär att säkerhetsskyddschefen ska vara direkt underställd verksamhetsutövarens högsta chef.
Remissinstanserna: Försvarets materielverk, Inspektionen för strategiska produkter, Migrationsverket och Pensionsmyndigheten är positiva till förslaget. Flera remissinstanser, såsom Sveriges Kommuner och Regioner (SKR), Stockholms kommun, Region Skåne, Lidingö kommun och Svenska Bankföreningen, ifrågasätter en detaljreglering av hur säkerhetsskyddsarbetet ska organiseras. Vissa, såsom Finansinspektionen, E-hälsomyndigheten, Försäkringskassan, Svenskt Näringsliv, Vattenfall AB (Vattenfall) och Skövde kommun, anser inte att säkerhetsskyddschefens organisatoriska placering bör regleras. Finansinspektionen förespråkar att moder- och dotterbolag ska kunna ha en gemensam säkerhetsskyddschef. SKR och ett antal kommuner, såsom Gävle kommun, Kristianstads kommun och Luleå kommun, tycker att det är otydligt var i organisationen säkerhetsskyddschefen ska placeras när det gäller kommuner och dess bolag. Lidingö kommun avstyrker förslaget om att säkerhetsskyddschefen ska få ett utökat ansvar. Finansinspektionen och Vattenfall motsätter sig att säkerhetsskyddschefen inte ska kunna delegera sitt ansvar.
Skälen för regeringens förslag
Enligt 2 kap. 2 § första stycket säkerhetsskyddsförordningen (2018:658) ska det finnas en säkerhetsskyddschef vid säkerhetskänslig verksamhet om det inte är uppenbart obehövligt. Säkerhetsskyddschefens uppgift ska enligt bestämmelsen vara att kontrollera att verksamheten bedrivs i enlighet med säkerhetsskyddslagen (2018:585) och säkerhetsskyddsförordningen.
När det gäller statliga myndigheter som är verksamhetsutövare krävs dessutom, enligt 2 kap. 2 § andra stycket säkerhetsskyddsförordningen, att säkerhetsskyddschefen ska vara direkt underställd myndighetens chef. Av 1 kap. 3 § säkerhetsskyddsförordningen framgår att motsvarande krav gäller för kommuner och regioner som är verksamhetsutövare.
Ett generellt krav på säkerhetsskyddschefens organisatoriska placering
Utredningens kartläggning visar att det ofta förekommer brister i kommunikationen mellan en verksamhetsutövares säkerhetsfunktion och dess ledning. Samtidigt är det ofta ledningen som beslutar i större frågor som rör den säkerhetskänsliga verksamheten, t.ex. om upphandlingar och utkontrakteringar som kan innebära att någon utomstående får tillgång till verksamheten. För att ett väl anpassat säkerhetsskydd ska kunna upprätthållas måste verksamhetsutövare beakta säkerhetsskyddsaspekter tidigt i olika beslutsprocesser. Exempelvis behöver en verksamhetsutövare i god tid innan en eventuell upphandling eller utkontraktering ta ställning till en rad frågor, såsom om och i vilken utsträckning en tilltänkt leverantör kan få tillgång till den säkerhetskänsliga verksamheten och i så fall vilka krav som ska ställas. Det kan också vara så att en viss verksamhet över huvud taget inte bör läggas ut på någon annan aktör. Vidare ska verksamhetsutövaren innan en eventuell överlåtelse av säkerhetskänslig verksamhet göra en säkerhetsskyddsbedömning och lämplighetsprövning samt i vissa fall samråda med samrådsmyndigheten (2 kap. 7-9 §§ säkerhetsskyddslagen). Om säkerhetsorganisationen fungerar som en isolerad del av verksamheten riskerar säkerhetsskyddsfrågorna att komma in för sent i processerna, vilket kan leda till brister i säkerhetsskyddet och i förlängningen äventyra Sveriges säkerhet.
Det anförda visar enligt regeringen på vikten av att säkerhetsskyddschefen organisatoriskt finns nära verksamhetsutövarens ledning och chef. En sådan ordning skapar förutsättningar för en bättre kommunikation mellan säkerhetsfunktionen och ledningen och medför att säkerhetsskyddsfrågorna får hög prioritet. Vidare ger det säkerhetsskyddschefen möjlighet att få en bild av hela verksamhetens skyddsvärden, vilket är en förutsättning för det interna säkerhetsskyddsarbetet. Det är därför som det finns krav på statliga myndigheter, kommuner och regioner att säkerhetsskyddschefen ska vara direkt underställd verksamhetsutövarens chef. Skälen gör sig även gällande beträffande andra verksamhetsutövare, vilket talar starkt för att det införs ett generellt krav på att säkerhetsskyddschefen ska vara direkt underställd chefen för verksamhetsutövarens verksamhet.
Flera remissinstanser, däribland SKR, Stockholms kommun, Region Skåne, Lidingö kommun och Svenska Bankföreningen, är emot en detaljreglering av hur säkerhetsskyddsarbetet ska organiseras. Vissa remissinstanser, såsom Finansinspektionen, E-hälsomyndigheten, Försäkringskassan, Svenskt Näringsliv, Vattenfall och Skövde kommun, framför särskilt att säkerhetsskyddschefens organisatoriska placering inte bör regleras. Skövde kommun och Svenska Bankföreningen föreslår att säkerhetsskyddschefen i stället kan rapportera till verksamhetens högsta chef, i likhet med vad som gäller för dataskyddsombud enligt EU:s dataskyddsförordning (Europaparlamentets och rådets förordning [EU] 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG). Remissinstanserna hänvisar främst till att det bör vara upp till varje verksamhet att organisera sitt säkerhetsskyddsarbete på lämpligt sätt. Regeringen har förståelse för att verksamheter kan se mycket olika ut. Skälen för att en säkerhetsskyddschef ska finnas nära verksamhetsutövarens ledning och chef gör sig dock lika starkt gällande oavsett en verksamhetsutövares storlek eller organisation. Ett krav på att säkerhetsskyddschefen ska vara direkt underställd chefen för verksamhetsutövarens verksamhet hindrar inte heller att verksamhetsutövare utifrån detta organiserar sitt säkerhetsskyddsarbete på en rad olika sätt, t.ex. genom att bedriva det inom flera enheter i en organisation. Enbart ett rapporteringskrav garanterar inte säkerhetsskyddschefens position på samma sätt. Genom ett krav på att säkerhetsskyddschefen ska vara direkt underställd den person som är chef för verksamhetsutövarens verksamhet kommer säkerhetsskyddschefen typiskt sett att ingå i en ledningsgrupp och vara en organisatorisk del av ledningen, vilket ger bättre förutsättningar för att säkerhetsskyddsfrågor uppmärksammas och beaktas i den dagliga styrningen av verksamheten. Regeringen anser därför i linje med utredningen att det bör införas ett generellt krav på verksamhetsutövare att säkerhetsskyddschefen ska vara direkt underställd chefen för verksamhetsutövarens verksamhet. I exempelvis vissa myndigheter och juridiska personer finns det dock inte en person som kan anses som chef för verksamhetsutövarens verksamhet. I sådana fall bör säkerhetsskyddschefen i stället vara direkt underställd verksamhetsutövarens ledning.
Finansinspektionen föreslår att moder- och dotterbolag bör kunna ses som en enhet och ha en gemensam säkerhetsskyddschef. Det vore dock varken lämpligt eller möjligt med hänsyn till att säkerhetsskyddslagstiftningen bygger på att varje verksamhetsutövare, såsom ett aktiebolag som bedriver säkerhetskänslig verksamhet, ansvarar för sin säkerhetskänsliga verksamhet.
Vad det föreslagna kravet på säkerhetsskyddschefens organisatoriska ställning innebär för en verksamhetsutövare beror på vilken organisation det är fråga om. I en statlig myndighet är myndighetschefen att anse som chefen för verksamhetsutövarens verksamhet. Säkerhetsskyddschefen ska alltså liksom i dag vara underställd myndighetschefen när en sådan finns. I de fall som en statlig myndighet är en nämndmyndighet innebär kravet normalt sett att säkerhetsskyddschefen ska vara underställd den nämnd som leder myndigheten. I ett aktiebolag är den verkställande direktören vanligtvis att anse som chefen för verksamhetsutövarens verksamhet. Om det inte finns en verkställande direktör för aktiebolaget ska säkerhetsskyddschefen i stället vara underställd styrelsen. SKR, Gävle kommun, Kristianstads kommun och Luleå kommun ställer sig frågande till hur regleringen ska förstås i förhållande till kommuner och kommunala bolag. För kommuner och regioner är kommun- respektive regiondirektören att anse som chef för verksamhetsutövarens verksamhet (7 kap. 1 och 2 §§ kommunallagen [2017:725]). Säkerhetsskyddschefen ska alltså precis som i dag vara underställd den person som har den befattningen. I kommunala bolag är den verkställande direktören i normalfallet att anse som chef för verksamheten, liksom när det gäller andra bolag. Det kan noteras att Säkerhetspolisen och Försvarsmakten enligt 7 kap. 4 § 3 respektive 7 kap. 5 § 3 säkerhetsskyddsförordningen får meddela verkställighetsföreskrifter om kravet på säkerhetsskyddschef, t.ex. i syfte att precisera vem som är att anse som chefen för verksamhetsutövarens verksamhet respektive verksamhetsutövarens ledning i olika fall.
Säkerhetsskyddschefens ansvar utvecklas och förtydligas
Säkerhetsskyddschefens nuvarande funktion - att kontrollera att verksamheten bedrivs i enlighet med säkerhetsskyddslagen och säkerhetsskyddsförordningen - är viktig och behöver finnas kvar. I enlighet med utredningens förslag bör dock kontrollansvaret inte bara avse förenligheten med säkerhetsskyddslagen och säkerhetsskyddsförordningen, utan även de myndighets- och verkställighetsföreskrifter som meddelats i anslutning till säkerhetsskyddslagen.
Däremot har det framkommit att det finns behov av att förtydliga och utvidga säkerhetsskyddschefens roll i arbetet med att ta fram och bibehålla ett väl anpassat säkerhetsskydd. Behovet har bl.a. framkommit genom flera uppmärksammade händelser de senaste åren där det visat sig att centrala verksamhetsutövare haft ett eftersatt säkerhetsskydd. Ett exempel är den upphandling om förändrad it-drift hos Transportstyrelsen som bl.a. medförde att säkerhetsskyddsklassificerade och av andra skäl sekretessbelagda uppgifter hanterades på ett sätt som stred mot svensk lag. Under 2017 genomfördes en granskning av upphandlingen som redovisas i promemorian Granskning av Transportstyrelsens upphandling av it-drift (Ds 2018:6). Utredaren konstaterar att den grundläggande orsaken till att säkerhetsskyddsklassificerade uppgifter röjdes var att det i allt för hög grad saknades relevant kunskap om vilken information som myndigheten hanterade, hur denna information hanterades och vilka krav som ställdes på informationshanteringen. Detta berodde enligt utredaren i sin tur bl.a. på att säkerhetsfunktionerna på myndigheten var utspridda och saknade tillräcklig samordning. Enligt utredaren uppfattade säkerhetsskyddschefen att det var svårt att få genomslag för säkerhetsskyddsfrågor både på ledningsnivå och i verksamheten samt att säkerhetsfrågorna kom in alldeles för sent i processen (Ds 2018:6 s. 98 och s. 220).
Regeringen anser liksom utredningen att säkerhetsskyddschefen även bör ha som uppgift att leda och samordna säkerhetsskyddsarbetet i verksamheten. På så sätt stärks säkerhetsskyddschefens roll ytterligare, både i förhållande till verksamhetens ledning och till säkerhetsorganisationen i övrigt. Lidingö kommun avstyrker förslaget eftersom det enligt kommunen bl.a. kan leda till att den som är ansvarig för verksamheten fjärmar sig från sitt ansvar för säkerhetsskyddet. Regeringen konstaterar dock att förslaget om säkerhetsskyddschefens ansvar inte fråntar det ansvar för säkerhetsskyddet som ligger på den som är ytterst ansvarig för verksamhetsutövaren. Förslaget ger snarare bättre förutsättningar för det ansvaret.
En särskild fråga är om säkerhetsskyddschefens ansvar bör kunna delegeras till någon annan person i organisationen. Vattenfall och Finansinspektionen anser att det måste vara möjligt att delegera både ansvar och arbetsuppgifter. I vilket fall bör det enligt Finansinspektionen förtydligas om rollen som säkerhetsskyddschef kan kombineras med en annan roll i verksamheten. I likhet med utredningen anser regeringen att det inte bör vara möjligt att delegera säkerhetsskyddschefens ansvar för ledning, samordning och kontroll. Skälet till detta är att det alltid bör finnas en person som har ansvaret för att kontrollera att säkerhetsskyddsregleringen följs och som har en helhetsbild av verksamhetens skyddsvärden och säkerhetsskydd. Om ansvaret delegeras uppnås inte de viktiga fördelar som finns med att säkerhetsskyddschefen är direkt underställd verksamhetsutövarens ledning. Det bör inte heller vara möjligt att ha flera säkerhetsskyddschefer med delat ansvar inom samma verksamhet. Risken är då, som i det uppmärksammade fallet med Transportstyrelsen, att säkerhetsfunktionerna blir utspridda utan samordning och tydlig koppling till ledningen. En annan sak är att det måste vara möjligt att delegera olika arbetsuppgifter på säkerhetsskyddsområdet till andra än säkerhetsskyddschefen. Det bör också vara möjligt för en säkerhetsskyddschef att även ha andra arbetsuppgifter och roller i en verksamhet.
Eftersom de föreslagna bestämmelserna om krav på säkerhetsskyddschef och dennes organisatoriska ställning och ansvar innebär åligganden för enskilda, bör de placeras i säkerhetsskyddslagen i stället för säkerhetsskyddsförordningen. Liksom tidigare bör kravet på säkerhetsskyddschef endast gälla under förutsättning att det inte är uppenbart obehövligt. Så kan vara fallet om den säkerhetskänsliga verksamheten är av en mycket begränsad omfattning. För bedömningen kan det också ha betydelse vilka säkerhetsskyddsklassificerade uppgifter som finns i verksamheten och hur säkerhetskänslig verksamheten i övrigt är. Vidare kan noteras att det finns en möjlighet att göra undantag från skyldigheterna med stöd av 1 kap. 3 § andra stycket säkerhetsskyddslagen. Det kan finnas skäl att göra sådana undantag när det gäller Regeringskansliet, utlandsmyndigheterna och kommittéväsendet.
6 Kravet på säkerhetsskyddsavtal utvidgas och förtydligas
6.1 Skyldigheten att ingå säkerhetsskyddsavtal utvidgas
Regeringens förslag: Skyldigheten att ingå säkerhetsskyddsavtal ska utvidgas på så sätt att den även ska gälla andra förfaranden än upphandlingar och andra anskaffningar. Den utvidgade skyldigheten ska innebära att en verksamhetsutövare som avser att genomföra en upphandling, ingå ett avtal eller inleda en samverkan eller ett samarbete med en annan aktör, ska ingå ett säkerhetsskyddsavtal med aktören, om aktören genom förfarandet kan få tillgång till
1. säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller
2. annan säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet.
Under i övrigt samma förutsättningar ska verksamhetsutövaren även ingå säkerhetsskyddsavtal med de underleverantörer som anlitas för att fullgöra den andra aktörens förpliktelse.
Det ska förtydligas att säkerhetsskyddsavtal ska ingås innan motparten kan få tillgång till den säkerhetskänsliga verksamheten.
Utredningens förslag överensstämmer i huvudsak med regeringens. Utredningens föreslår inte att det ska tydliggöras i vilka fall en verksamhetsutövare ska ingå säkerhetsskyddsavtal med underleverantörer. Vidare föreslår utredningen inte något förtydligande av när ett säkerhetsskyddsavtal senast ska ingås.
Remissinstanserna: Flera remissinstanser är i stort positiva till förslaget att utöka skyldigheten att ingå säkerhetsskyddsavtal, såsom Energiföretagen Sverige, Försvarets materielverk (FMV), Inspektionen för strategiska produkter (ISP), Malmö kommun, Post- och telestyrelsen (PTS), Riksgälden, Sveriges Kommuner och Regioner (SKR) och Säkerhetspolisen. Flera remissinstanser, såsom Försvarsmakten, Säkerhets- och försvarsföretagen, Lidingö kommun, Livsmedelsverket, Luleå kommun, Länsstyrelsen i Norrbotten, Vattenfall AB (Vattenfall), Swedavia och Finansinspektionen, påpekar att ett krav på säkerhetsskyddsavtal vid samarbeten kommer vara mycket resurskrävande vid samarbeten med många parter. Vattenfall föreslår att alla aktiebolag inom samma koncern ska kunna anses vara en och samma verksamhetsutövare med följd att det inte skulle krävas säkerhetsskyddsavtal vid samarbeten mellan bolagen. Alternativt föreslår Vattenfall ett certifieringssystem för säkerhetsskydd. Totalförsvarets forskningsinstitut (FOI) anser att det även bör gälla krav på säkerhetsskyddsavtal vid förfaranden när en annan aktör kan få tillgång till säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen begränsat hemlig. SKR anser att kravet även bör omfatta tvångsupplåtelser. FRA anser inte att säkerhetsskyddsavtal bör krävas inför vissa förfaranden inom ramen för myndighetens underrättelseverksamhet. FMV framför att frågan om hur säkerhetsskyddsavtal bör utformas när en leverantör har sitt säte utanför Sverige måste utredas vidare. Swedavia och Specialfastigheter AB anser att det bör införas ett särskilt krav på att ingå säkerhetsskyddsavtal om verksamhetsutövaren upptäcker behovet av ett säkerhetsskyddsavtal först efter ett affärsavtal eller liknande har ingåtts. E-hälsomyndigheten menar att förslagets arbetsrättsliga konsekvenser behöver utredas ytterligare. FMV och FOI framhåller att en myndighet som tecknat avtal med en leverantör även bör ansvara för tecknande av säkerhetsskyddsavtal med de underleverantörer som anlitas.
Skälen för regeringens förslag
Nuvarande krav på säkerhetsskyddsavtal
En grundläggande princip inom säkerhetsskyddet är att säkerhetskänslig verksamhet ska ha samma skydd oavsett var och hur den bedrivs. En följd av den principen är kravet i 2 kap. 6 § säkerhetsskyddslagen (2018:585) om att en verksamhetsutövare i vissa fall ska ingå ett säkerhetsskyddsavtal med en leverantör innan leverantören engageras i verksamheten.
Kravet gäller för statliga myndigheter, kommuner och regioner som är verksamhetsutövare och som avser att genomföra en upphandling och ingå ett avtal om varor, tjänster eller byggentreprenader, under förutsättning att
- det i upphandlingen förekommer säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller
- upphandlingen i övrigt avser eller ger leverantören tillgång till säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet.
Verksamhetsutövaren ska - förutom med leverantören - även ingå säkerhetsskyddsavtal med de underleverantörer som anlitas, om det behövs för att tillgodose kraven på säkerhetsskydd (prop. 2017/18:89 s. 131).
Enligt 2 kap. 6 § tredje stycket säkerhetsskyddslagen omfattas även enskilda verksamhetsutövare av kravet på säkerhetsskyddsavtal. Eftersom enskilda i huvudsak inte omfattas av upphandlingslagstiftningen gäller skyldigheten i stället i motsvarande situationer, dvs. när enskilda verksamhetsutövare avser ingå avtal om varor, tjänster och byggentreprenader med en leverantör.
Kravet på säkerhetsskyddsavtal gäller alltså endast vid vissa typer av anskaffningar. Dessutom gäller det endast förfaranden i vilka det förekommer uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller förfaranden som avser eller ger leverantören tillgång till annan säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet. Följaktligen finns det inte något krav på att ingå säkerhetsskyddsavtal om det endast handlar om uppgifter som är begränsat hemliga eller säkerhetskänslig verksamhet av motsvarande betydelse.
I säkerhetsskyddsavtalet ska det enligt 2 kap. 6 § första stycket säkerhetsskyddslagen specificeras vilka säkerhetsskyddskrav som ska tillgodoses av leverantören. Ett säkerhetsskyddsavtal kan bl.a. innehålla överenskommelser om säkerhetsskyddsorganisationen, informationssäkerhet, säkerhetsprövning av personal, inklusive placering i säkerhetsklass och registerkontroll, utbildning och fördelning av kostnaderna för säkerhetsskyddet. Som regel görs affärsavtalet beroende av att åliggandena i säkerhetsskyddsavtalet följs av leverantören.
Förutom att ett säkerhetsskyddsavtal innebär att en leverantör kontraktuellt har förbundit sig att vidta vissa säkerhetsskyddsåtgärder, utgör ett säkerhetsskyddsavtal också grund för säkerhetsprövning av personal hos leverantören enligt 3 kap. säkerhetsskyddslagen (prop. 2017/18:89 s. 104 och 141). Ett säkerhetsskyddsavtal innebär dock inte i sig att säkerhetsskyddslagen blir direkt tillämplig på leverantörens verksamhet. Däremot kan en leverantör som exempelvis tillhandahåller driftstjänster åt ett flertal myndigheter genom sitt samlade engagemang anses bedriva säkerhetskänslig verksamhet. Säkerhetsskyddslagstiftningen kan alltså i sådana fall bli direkt tillämplig på leverantören av driftstjänsterna.
Det finns behov av att utvidga kravet på säkerhetsskyddsavtal
Liksom utredningen anser regeringen att det kan finnas ett behov av säkerhetsskyddsavtal under andra förfaranden än sådana offentliga upphandlingar och andra anskaffningar som i dag omfattas av krav på säkerhetsskyddsavtal.
För det första krävs inte säkerhetsskyddsavtal inför avtal, samverkan och samarbeten som inte sker i anslutning till offentlig upphandling eller annan anskaffning. Exempelvis sker sådan samverkan och sådant samarbete inom ramen för forskning, t.ex. när det gäller utveckling av försvarsmateriel eller informationssystem. Ett annat exempel är samverkan inom ramen för arbetet med informations- och cybersäkerhet. Vid förfaranden av de angivna slagen kan säkerhetsskyddsklassificerade uppgifter eller i övrigt säkerhetskänslig verksamhet behöva exponeras för de andra aktörer som verksamhetsutövaren samverkar eller samarbetar med. Om de utomstående aktörerna inte genomför tillräckliga säkerhetsskyddsåtgärder, såsom säkerhetsprövning av personal och informationssäkerhetsåtgärder för att förhindra att obehöriga får tillgång till säkerhetsskyddsklassificerade uppgifter, kan det innebära sårbarheter för Sveriges säkerhet. Det kan därför finnas behov av säkerhetsskyddsavtal inför avtal, samverkan och samarbeten som inte sker i anslutning till anskaffning för att kraven på säkerhetsskydd ska tillgodoses.
Det finns inte heller krav på säkerhetsskyddsavtal inför förfaranden då verksamhetsutövaren är leverantör och beställaren kan få tillgång till säkerhetskänslig verksamhet genom uppdraget. Ett praktiskt exempel är när offentliga eller enskilda verksamhetsutövare med höga skyddsvärden upplåter en fastighet, lokal eller anläggning - kanske inklusive tekniska resurser - åt någon annan aktör. Det kan vara fråga om upplåtelse av plats i skyddsrum eller bergrum eller möjlighet att använda ett laboratorium. Ett annat exempel kan vara när offentliga eller enskilda verksamhetsutövare levererar varor, såsom när FMV överlåter eller upplåter stridsflygplan eller annan lös egendom med höga skyddsvärden. Vid dessa former av upplåtelse och försäljning kan det finnas ett behov av att klargöra för hyresgästen eller beställaren hur olika skyddsvärden ska skyddas under t.ex. ett upphandlingsförfarande, en avtalsförhandling eller under avtalstiden. Om ett säkerhetsskyddsavtal inte ingås finns det en fara att skyddsvärdena inte får ett tillräckligt skydd.
Vidare är det oklart om det krävs säkerhetsskyddsavtal när statliga myndigheter ska ingå avtal om varor, tjänster eller byggentreprenader med andra statliga myndigheter. Detta har sin grund i att det i olika sammanhang har framförts att statliga myndigheter inte kan ingå avtal i civilrättslig mening med varandra eftersom de båda ingår i den juridiska personen staten (se bl.a. SOU 1994:136 s. 181). Det får till följd att det är osäkert om upphandlingslagstiftningen, som gäller åtgärder som vidtas i syfte att anskaffa varor, tjänster eller byggentreprenader genom tilldelning av kontrakt, gäller för sådana anskaffningar. En dom från Kammarrätten i Stockholm talar för att upphandlingslagstiftningen kan vara tillämplig i vissa fall (dom den 23 juni 2017 i mål nr 7355-16). Konkurrensverket har emellertid i december 2018 publicerat ett ställningstagande (diarienummer 514/2018) där myndigheten gör bedömningen att anskaffningar mellan statliga myndigheter inte omfattas av upphandlingslagstiftningen om de båda myndigheterna ingår i samma juridiska person. Upphandlingsmyndigheten har i sitt remissvar till utredningen Statliga servicekontor - mer service på fler platser (SOU 2018:43) kommit till samma slutsats. Något prejudikat från Högsta förvaltningsdomstolen som klargör rättsläget finns inte. Av förarbetena till säkerhetsskyddslagen framgår visserligen att kravet på säkerhetsskyddsavtal gäller all typ av upphandling, även upphandling som med stöd av lagen (2016:1145) om offentlig upphandling (LOU) är undantagen från kraven i upphandlingsregelverket (prop. 2017/18:89 s. 141). Däremot är det oklart om det kan anses vara fråga om en upphandling i säkerhetsskyddslagens mening om ett förfarande över huvud taget inte faller inom upphandlingslagstiftningens tillämpningsområde. Osäkerheten kring om kravet på säkerhetsskyddsavtal gäller vid anskaffningar mellan statliga myndigheter är otillfredsställande eftersom det - liksom vid anskaffningar mellan andra aktörer - kan finnas behov av att ingå säkerhetsskyddsavtal för att kraven på säkerhetsskydd ska bli tillgodosedda.
Sammanfattningsvis finns det alltså inte något krav på säkerhetsskyddsavtal inför avtal, samarbeten och samverkan som gäller annat än anskaffning samt inför förfaranden då en verksamhetsutövare agerar leverantör. Vidare är det osäkert om det finns krav på säkerhetsskyddsavtal vid anskaffningar mellan statliga myndigheter. Behovet av säkerhetsskyddsavtal kan dock vara lika stort under angivna förfaranden som under förfaranden som i dag omfattas av krav på säkerhetsskyddsavtal. Avsaknaden av krav på säkerhetsskyddsavtal inför vissa avtal, samverkan och samarbeten där säkerhetskänslig exponeras för utomstående medför en beaktansvärd risk för att nödvändiga säkerhetsskyddsåtgärder inte vidtas och följaktligen för Sveriges säkerhet. Det finns därför ett behov av att utvidga kravet på säkerhetsskyddsavtal.
Kravet på säkerhetsskyddsavtal ska som huvudregel gälla i alla situationer där säkerhetskänslig verksamhet exponeras
Mot bakgrund av de risker för Sveriges säkerhet som avsaknad av säkerhetsskyddsavtal kan innebära i vissa situationer - och i linje med principen om att säkerhetskänslig verksamhet ska ha samma skydd oavsett var och hur verksamheten bedrivs - bör skyldigheten att ingå säkerhetsskyddsavtal inte vara begränsad till offentlig upphandling och andra anskaffningar. I stället bör risken för att en annan aktör får tillgång till säkerhetsskyddsklassificerade uppgifter i eller i övrigt säkerhetskänslig verksamhet vara avgörande. Att det är risken för exponering snarare än anledningen till exponeringen som bör vara avgörande tillstyrks också av flera remissinstanser, såsom FMV, ISP, PTS och Säkerhetspolisen. En reglering som är inriktad på t.ex. en viss typ av avtal eller samarbete riskerar dessutom att bli överspelad. Regeringen anser därför att en verksamhetsutövare som huvudregel bör vara skyldig att ingå ett säkerhetsskyddsavtal oavsett om denne är leverantör eller beställare och oavsett vilken typ av avtal, samverkan eller samarbete det är fråga om, under förutsättning att den andra aktören kan få tillgång till den säkerhetskänsliga verksamheten.
Att utvidga kravet på säkerhetsskyddsavtal kan, som flera remissinstanser påpekar, innebära en ökad arbetsbörda för verksamhetsutövare och fördröja vissa samarbeten. Det gäller särskilt, såsom Försvarsmakten, Säkerhets- och försvarsföretagen, Lidingö kommun, Livsmedelsverket, Luleå kommun och Länsstyrelsen i Norrbotten anför, inom forskningssamarbeten, totalförsvarsplaneringen inklusive arbete med civilt försvar och krisberedskap, när säkerhetsskyddsklassificerad information delas mellan ett stort antal statliga myndigheter, kommuner, regioner och privata aktörer. Som Vattenfall, Finansinspektionen och Swedavia påpekar kan det även få liknande konsekvenser vid samarbeten mellan flera bolag inom samma koncern. Dessa konsekvenser är dock motiverade med hänsyn till det behov av säkerhetsskydd som normalt även finns vid samarbeten. Det är vidare varken möjligt eller lämpligt att, som Vattenfall föreslår, ändra begreppet verksamhetsutövare till att i vissa fall avse hela koncerner med följd att det inte skulle krävas säkerhetsskyddsavtal mellan aktiebolag inom samma koncern. Som Vattenfall anför anses en verksamhetsutövare inte kunna vara två aktiebolag, utan varje juridisk person, statlig myndighet, kommun eller region som bedriver säkerhetskänslig verksamhet utgör en verksamhetsutövare med en egen skyldighet att tillgodose kraven på säkerhetsskydd. Det är därför som ett aktiebolag ska ingå säkerhetsskyddsavtal med ett annat bolag i samma koncern om förutsättningarna i övrigt i 2 kap. 6 § säkerhetsskyddslagen är uppfyllda (prop. 2017/18:89 s. 142). Något beredningsunderlag för att ändra detta centrala begrepp inom ramen för detta lagstiftningsärende finns inte. Det är vidare inte lämpligt att ändra begreppets omfattning till att ibland omfatta koncerner, bl.a. med tanke på att åtgärdsförelägganden och sanktionsavgifter, som tillsynsmyndigheterna enligt regeringens förslag i avsnitt 9 ska få besluta, bör beslutas mot ett bolag och inte en koncern. Det finns inte heller beredningsunderlag för att inom detta lagstiftningsärende behandla Vattenfalls förslag om att införa ett certifieringssystem för säkerhetsskydd.
Regeringen anser däremot, till skillnad från FOI, inte att kravet på säkerhetsskyddsavtal bör utvidgas till att gälla förfaranden där den andra aktören endast kan få tillgång till uppgifter i säkerhetsskyddsklassen begränsat hemlig eller säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet. Som FOI påpekar kan det visserligen finnas behov av att skydda även begränsat hemliga uppgifter. Den frågan har dock inte omfattats av utredningens uppdrag och kan därför inte behandlas inom ramen för detta lagstiftningsärende. Det ska dock poängteras att det i situationer där det inte finns krav på säkerhetsskyddsavtal ändå kan finnas anledning att ingå andra typer av säkerhetsskyddsöverenskommelser för att reglera säkerhetsskyddet (jfr 7 kap. 1 § andra stycket PMFS 2019:2). Sådana överenskommelser utgör dock i sig inte grund för beslut om att placera en anställning eller annat deltagande hos motparten i säkerhetsklass eller för säkerhetsprövning med registerkontroll och särskild personutredning av en person som innehar en sådan befattning.
Kravet på säkerhetsskyddsavtal bör vidare inte utvidgas till att omfatta situationer när en myndighet har makt att med tvång bereda sig tillgång till säkerhetsskyddsklassificerade uppgifter eller i övrigt säkerhetskänslig verksamhet. Sådana maktmedel finns främst inom ramen för tillsyn och brottsutredningar, såsom husrannsakan, beslag och motsvarande åtgärder. Till skillnad från SKR anser regeringen inte heller att kravet bör omfatta tvångsupplåtelser, såsom beslut om ledningsrätt för en mobilantenn på ett vattentorn. Det vore i de flesta fall orimligt att kräva säkerhetsskyddsavtal vid sådana tvångsförfaranden. Vidare framstår det som svårt att genomföra praktiskt, särskilt i de fall där det krävs skyndsamhet eller där det är viktigt att den som åtgärden vidtas hos inte underrättas i förväg.
Kravet bör inte heller utvidgas till att gälla tillståndsförfaranden eller, som FRA anför, förfaranden enligt 6 kap. 19 a § lagen (2003:389) om elektronisk kommunikation. Enligt 6 kap. 19 a § lagen om elektronisk kommunikation är operatörer som för signaler i elektronisk form över Sveriges gräns skyldiga att för FRA:s underrättelseverksamhet lämna sådan information till FRA som gör det enkelt för myndigheten att ta hand om signalerna. Som FRA anför vore det inte lämpligt om ett sådant förfarande skulle omfattas av krav på säkerhetsskyddsavtal och följaktligen att operatörerna bl.a. skulle pröva lämpligheten av att lämna ut säkerhetsskyddsklassificerade uppgifter till myndigheten.
Liksom tidigare bör kravet på säkerhetsskyddsavtal gälla oavsett om en leverantör har sin juridiska hemvist i ett annat land. Som FMV anför kan det finnas behov av mer vägledning om hur kravet på bl.a. säkerhetsskyddsavtal ska tillämpas i dessa fall. Sådana anvisningar bör dock i så fall ske på annat sätt än genom lagstiftning.
Sammanfattningsvis bör alltså kravet på säkerhetsskyddsavtal utvidgas på så sätt att det utgår från risken för exponering av den säkerhetskänsliga verksamheten snarare än vilken sorts avtal, samarbete eller samverkan det är fråga om och vilken roll i förfarandet som verksamhetsutövaren har. Kravet bör därför gälla när en verksamhetsutövare avser att genomföra en upphandling, ingå ett avtal eller inleda en samverkan eller ett samarbete med en annan aktör under förutsättning att aktören genom förfarandet kan få tillgång till säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller annan säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet. Liksom tidigare bör ett säkerhetsskyddsavtal vara på plats innan den andra aktören kan få tillgång till den säkerhetskänsliga verksamheten för att verksamheten aldrig ska stå utan skydd. Detta bör dock tydliggöras i lagtexten. Det ska poängteras att det föreslagna kravet på säkerhetsskyddsavtal inte per automatik innebär att det är lämpligt ur säkerhetsskyddssynpunkt att genomföra vissa förfaranden om ett säkerhetsskyddsavtal ingås. I avsnitt 7.2 föreslår regeringen också att verksamhetsutövaren ska göra en särskild säkerhetsskyddsbedömning och en lämplighetsprövning innan ett förfarande som kräver säkerhetsskyddsavtal inleds.
Till skillnad från Swedavia och Specialfastigheter AB anser regeringen inte att det bör införas ett särskilt krav på att ingå säkerhetsskyddsavtal om verksamhetsutövaren upptäcker behovet av ett sådant avtal först efter att ett affärsavtal har ingåtts. Att ett säkerhetsskyddsavtal ska vara på plats innan den andra aktören kan få tillgång till den säkerhetskänsliga verksamheten, innebär inte att skyldigheten att ingå säkerhetsskyddsavtal slutar gälla efter det skedet av förfarandet. Om verksamhetsutövaren felaktigt har bedömt att ett visst förfarande inte kräver säkerhetsskyddsavtal måste verksamhetsutövaren alltså ingå säkerhetsskyddsavtal i efterhand eller avbryta samarbetet i den del det innebär att den andra parten får tillgång till den säkerhetskänsliga verksamheten. En särskild bestämmelse om att teckna säkerhetsskyddsavtal i efterhand behövs därför inte.
Som E-hälsomyndigheten påpekar kan kraven på säkerhetsprövning i ett säkerhetsskyddsavtal få konsekvenser för arbetstagare i den verksamhet som omfattas av avtalet, såsom omplaceringar och uppsägningar. Detta är dock en konsekvens som redan följer av gällande lagstiftning. Regeringen anser därför till skillnad från E-hälsomyndigheten inte att de närmare arbetsrättsliga konsekvenserna av förslaget bör utredas vidare inom ramen för detta lagstiftningsärende.
Säkerhetsskyddsavtal ska även i fortsättningen ingås med underleverantörer
I linje med vad FOI och FMV uttrycker är det viktigt att en verksamhetsutövare, liksom i dag, även har ansvar för att ingå avtal med underleverantörer. Annars riskerar hela syftet med säkerhetsskyddsavtal att gå förlorat. Med hänsyn till att regeringen i avsnitt 9 föreslår att sanktionsavgift ska kunna beslutas bl.a. om verksamhetsutövare inte ingår säkerhetsskyddsavtal bör dock skyldigheten förtydligas. Det är även viktigt att skyldigheten tydliggörs med tanke på att det endast är i de fall det finns en skyldighet att ingå säkerhetsskyddsavtal som ett sådant avtal utgör grund för säkerhetsprövning av motpartens personal. Som Lagrådet anför bör skyldigheten gälla de underleverantörer som anlitas för att fullgöra leverantörens förpliktelse mot verksamhetsutövaren, oavsett om det är en underleverantör som leverantören anlitar eller en underleverantör i senare led. Liksom kravet på att ingå säkerhetsskyddsavtal med leverantörer och andra, bör kravet på säkerhetsskyddsavtal med en underleverantör endast gälla om underleverantören genom sitt uppdrag kan få tillgång till säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller annan säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet. Vidare bör det krävas att säkerhetsskyddsavtalet ingås innan underleverantören kan få tillgång till den säkerhetskänsliga verksamheten. I de fall som underleverantören i fråga endast kommer att kunna få tillgång till uppgifter i säkerhetsskyddsklassen begränsat hemlig eller säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet, kommer det alltså inte att finnas krav på säkerhetsskyddsavtal. En verksamhetsutövare behöver dock i sådana fall i regel vidta andra åtgärder för att tillgodose säkerhetsskyddet.
FMV anser att förslaget innebär att både den upphandlande myndigheten och leverantören kommer behöva teckna säkerhetsskyddsavtal med en underleverantör inom ramen för samma uppdrag. Det menar FMV är problematiskt eftersom det finns en risk att säkerhetsskyddsavtalen står i strid med varandra. Regeringen instämmer i FMV:s synpunkt på så vis att både den upphandlande myndigheten och leverantören i vissa fall kan behöva teckna säkerhetsskyddsavtal med en underleverantör inom ramen för samma uppdrag. Den situationen kommer dock bara uppstå om även leverantören är verksamhetsutövare och under förutsättning att underleverantören genom sitt uppdrag kan få tillgång till både den upphandlande myndighetens och leverantörens säkerhetskänsliga verksamhet. Risken för oförenliga villkor kan framförallt tänkas uppkomma om de båda verksamhetsutövarna har olika tillsynsmyndigheter och omfattas av olika myndighetsföreskrifter. De båda avtalen kommer dock i sådana fall ha olika syften. Det ena avtalet kommer ha till syfte att skydda den upphandlande myndighetens säkerhetskänsliga verksamhet och det andra kommer ha till syfte att skydda leverantörens säkerhetskänsliga verksamhet. Enligt regeringens uppfattning kan det således behövas två säkerhetsskyddsavtal i de situationerna för att ett fullgott säkerhetsskydd ska upprätthållas under uppdraget.
6.2 Den utvidgade skyldigheten att ingå säkerhetsskyddsavtal ska ha undantag
Regeringens förslag: Mellan statliga myndigheter ska kravet på säkerhetsskyddsavtal endast gälla vid anskaffning av en vara, tjänst eller byggentreprenad.
Regeringen ska få meddela föreskrifter om undantag från skyldigheten att ingå säkerhetsskyddsavtal. Om det finns särskilda skäl ska regeringen också få besluta om sådana undantag i enskilda fall.
Utredningens förslag överensstämmer i huvudsak med regeringens. Utredningen föreslår dock inte att det ska krävas särskilda skäl för att regeringen ska få besluta undantag från kravet på säkerhetsskyddsavtal i enskilda fall.
Remissinstanserna: Skövde kommun, Socialstyrelsen och Affärsverket svenska kraftnät anser att det även kan finnas behov av säkerhetsskyddsavtal vid förfaranden mellan myndigheter som inte gäller anskaffning av en vara, tjänst eller byggentreprenad. Bland annat FOI, FRA och Försvarsunderrättelsedomstolen anser att gränsen mellan anskaffning respektive samarbete och samverkan kan behöva klargöras. SKR och ett antal kommuner, regioner och länsstyrelser, såsom Gävle kommun, Stockholms kommun, Gotlands kommun, Göteborgs kommun, Luleå kommun, Region Kronoberg, Region Skåne, Region Stockholm och Länsstyrelsen i Skåne, anser att det i någon mån behövs undantag för samarbete och samverkan mellan kommuner och mellan regioner. Vissa av dem anser att det även bör införas undantag för samverkan och samarbeten mellan kommuner och regioner, kommuner och deras bolag och regioner och dess bolag. Ett antal remissinstanser, såsom FOI, Försvarsmakten, FRA, Försvarsunderrättelsedomstolen, Säkerhets- och försvarsföretagen och Svenska Bankföreningen, anser att det i någon mån bör göras undantag från kravet på säkerhetsskyddsavtal när båda parter bedriver säkerhetskänslig verksamhet. Specialfastigheter AB framför att det behövs klargörande om vad som gäller när båda parter bedriver säkerhetskänslig verksamhet. Luleå kommun anser inte att kommunen bör vara skyldig att ingå säkerhetsskyddsavtal inför viss samverkan som krävs av kommunen enligt lag. Ingen remissinstans motsätter sig att regeringen ska få föreskriva och besluta om undantag från kravet på säkerhetsskyddsavtal. Vissa remissinstanser, såsom FRA, Fortifikationsverket, Försvarsunderrättelsedomstolen och Svenskt Näringsliv, har dock synpunkter på vilka som bör beviljas undantag.
Skälen för regeringens förslag
Den utvidgade skyldighet att ingå säkerhetsskyddsavtal som regeringen föreslår i avsnitt 6.1 omfattar krav på säkerhetsskyddsavtal vid vitt skilda mellanhavanden mellan olika typer av aktörer. Det bör därför övervägas om det finns skäl att i vissa fall göra undantag från kravet.
Mellan statliga myndigheter bör kravet på säkerhetsskyddsavtal endast gälla anskaffning av varor, tjänster och byggentreprenader
Det första undantaget som bör övervägas är det som utredningen föreslår, nämligen att det mellan statliga myndigheter endast ska finnas krav på säkerhetsskyddsavtal när det gäller anskaffning av en vara, tjänst eller byggentreprenad. Det innebär att rena samverkans- och samarbetssituationer mellan statliga myndigheter undantas från kravet på säkerhetsskyddsavtal.
Samverkan och samarbeten mellan statliga myndigheter kan ha många former. I vissa fall kan det handla om enstaka eller regelbundna avstämningar eller om utbyte av information. I andra fall kan det handla om mer långvariga samarbeten eller samverkan på ett visst område och mot ett gemensamt mål. Skyldigheten att samverka kan följa av författning eller regeringsbeslut, men kan också ske på myndigheternas eget initiativ som ett led i strävan att på bästa sätt utföra myndigheternas uppdrag.
Ett skäl som talar för att undanta rena samarbeten och ren samverkan mellan statliga myndigheter från kravet på att ingå säkerhetsskyddsavtal är att statliga myndigheter ingår i den juridiska personen staten, och att de därmed företräder samma övergripande statliga intresse. Ett annat skäl är att det på båda sidor handlar om en verksamhet som i hög grad är regelstyrd på så sätt att skyldigheten att samverka många gånger följer av författning eller regeringsbeslut. Ett ytterligare skäl är att båda parter omfattas av regleringen i offentlighets- och sekretesslagen (2009:400), OSL. De säkerhetsskyddsklassificerade uppgifter som kan behöva delas mellan myndigheter inom ramen för ett samarbete eller en samverkan är normalt sådana att de omfattas av sekretess som gäller oavsett i vilken verksamhet de förekommer, såsom utrikes- eller försvarssekretess enligt 15 kap. 1 och 2 §§ OSL. Det innebär att uppgifterna regelmässigt kommer ha samma sekretesskydd hos båda parter. Avsaknaden av säkerhetsskyddsavtal skulle därför inte innebära att säkerhetsskyddsklassificerade uppgifter helt saknar skydd. Myndigheter är som regel också vana vid att hantera sekretessbelagd information och har rutiner för det. Dessutom omfattas statliga myndigheter i större utsträckning än enskilda aktörer av säkerhetsskyddslagen med följd att det finns säkerhetsskydd hos båda parter. Dessa skäl medför att det generellt sett inte finns ett lika stort behov av krav på säkerhetsskyddsavtal vid samarbete och samverkan mellan statliga myndigheter. Som Skövde kommun, Socialstyrelsen och Affärsverket svenska kraftnät framför kan det dock finnas enskilda avvikelser.
Det mer begränsade behovet ställt mot de olägenheter som krav på säkerhetsskyddsavtal kan innebära gör att regeringen, i linje med utredningen, anser att ren samverkan och rent samarbete mellan statliga myndigheter bör undantas från kravet på säkerhetsskyddsavtal. Detta innebär dock inte, som Socialstyrelsen anför, att statliga myndigheter kommer sakna incitament för att identifiera och skydda den säkerhetsskyddsklassificerade information som överförs. Frånvaro av krav på säkerhetsskyddsavtal innebär inte att en myndighet som är verksamhetsutövare kan bortse från säkerhetsskyddet under ett viss förfarande, utan att detta får tillgodoses på andra sätt. Bland annat kan det finnas anledning att ingå någon annan form av säkerhetsskyddsöverenskommelse. Det är också naturligt att en statlig myndighet som ska ingå samverkan med en annan statlig myndighet, där utbyte av säkerhetsskyddsklassificerade uppgifter kan ske, förvissar sig om att säkerhetsskyddet hos den andra myndigheten är godtagbart.
Liksom utredningen anser regeringen inte att skälen mot ett generellt krav på säkerhetsskyddsavtal vid ren samverkan och rena samarbeten har samma tyngd när det gäller situationer där statliga myndigheter är beställare och leverantör i förhållande till varandra, dvs. när en myndighet anskaffar en vara, tjänst eller byggentreprenad av en annan myndighet. I sådana situationer handlar det inte främst om att myndigheterna arbetar mot ett gemensamt statligt mål, utan de agerar snarare som aktörer på en marknad. Vid utkontraktering och andra anskaffningar kan det inte sällan finnas intressen - inte minst effektivitetsskäl - som kan stå i motsats till kraven på säkerhetsskydd. Vidare rör det sig i många fall om varor och tjänster med stora skyddsvärden. Ett exempel kan vara att en statlig myndighet hanterar andra statliga myndigheters personaladministration och därför får tillgång till säkerhetsskyddsklassificerade uppgifter. Även om parterna på ömse sidor är statliga myndigheter kan det då finnas ett stort behov av att klargöra vilka krav på säkerhetsskydd som gäller i fråga om de säkerhetsskyddsklassificerade uppgifter som utföraren behandlar. Med hänsyn till att behovet av säkerhetsskydd vid anskaffningar mellan statliga myndigheter generellt sett är större än vid rena samarbeten och samverkan, anser regeringen att det ska finnas krav på säkerhetsskyddsavtal i dess fall.
Statliga myndigheter ska alltså endast ha en skyldighet att ingå säkerhetsskyddsavtal med en annan statlig myndighet när det gäller anskaffning av en vara, tjänst och byggentreprenad. Ett antal remissinstanser, bl.a. FOI, FRA och Försvarsunderrättelsedomstolen, anser att det behöver klarläggas vad som är anskaffning respektive sådant samarbete och sådan samverkan som är undantaget från krav på säkerhetsskyddsavtal. Ledning för tolkning av begreppet anskaffning av vara, tjänst eller byggentreprenad kan hämtas ur upphandlingslagstiftningen. Enligt förarbetena till 1 kap. 2 § LOU avser uttrycket att någon genom oneröst fång, dvs. ett ömsesidigt förpliktande avtal, får tillgång till varor, tjänster eller byggentreprenader. Typfall är köp, hyra och leasing (prop. 2015/16:195 s. 932). Som FOI anför kan vissa förfaranden, som exempelvis när en myndighet är inhyrd hos en annan myndighet, innefatta både samarbete, samverkan och anskaffning. Regeringen anser dock till skillnad från FOI inte att det bör vara förenat med beaktansvärda tillämpningsproblem att urskilja vilken del av ett samarbete som avser anskaffning av en vara, tjänst eller byggentreprenad och därför kräver säkerhetsskyddsavtal.
Andra undantag bör inte införas i säkerhetsskyddslagen
SKR och ett antal kommuner, regioner och länsstyrelser, såsom Gävle kommun, Stockholms kommun, Gotlands kommun, Göteborgs kommun, Luleå kommun, Region Kronoberg, Region Skåne, Region Stockholm och Länsstyrelsen i Skåne, anser att det även behövs undantag för samarbete och samverkan mellan kommuner och mellan regioner. Vissa av remissinstanserna anser att det även bör införas undantag för samarbeten och samverkan mellan kommuner och regioner, kommuner och deras bolag och regioner och deras bolag. Flera av dessa remissinstanser framhåller att samma skäl som finns för ett undantag när det gäller statliga myndigheter också gör sig gällande för kommuner och regioner. Vidare framför vissa av dem att kravet på säkerhetsskyddsavtal kommer bli administrativt tungrott, resurskrävande och riskera att motverka samverkan.
Regeringen anser dock inte att skälen för ett undantag när det gäller samverkan och samarbeten mellan statliga myndigheter gör sig gällande på samma sätt beträffande kommuner och regioner. Kommuner och regioner sköter lokala och regionala angelägenheter av allmänt intresse och kan därför inte sägas företräda samma övergripande intresse som statliga myndigheter gör. Det kan alltså finnas ett spänningsförhållande mellan exempelvis kommunala och statliga intressen, vilket har uppmärksammats i ett flertal ärenden med säkerhetspolitiska inslag, t.ex. när det gäller uthyrningen av hamnkapacitet på Gotland och i Blekinge inom ramen för naturgasprojektet Nordstream 2. Med hänsyn till det anser regeringen att behovet av ett generellt krav på säkerhetsskyddsavtal i dessa situationer väger över de olägenheter som ett sådant krav kan innebära. Något undantag för kommuners och regioners samverkan och samarbeten bör därför inte införas i säkerhetsskyddslagen. Det bör dock framhållas att det många gånger kan finnas sätt att undvika att behöva ingå säkerhetsskyddsavtal, inte minst genom att verksamhetsutövare minimerar utomståendes insyn i verksamheten till situationer där det verkligen är nödvändigt, och genom att minimera utomståendes tillgång till säkerhetsskyddsklassificerade uppgifter. Om ett samarbete eller en samverkan kan genomföras utan att motparten kan få tillgång säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre eller säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet, behöver något säkerhetsskyddsavtal inte ingås.
FOI, Försvarsmakten, FRA, Försvarsunderrättelsedomstolen, Säkerhets- och försvarsföretagen och Svenska Bankföreningen anser att det i någon mån bör göras undantag från kravet på säkerhetsskyddsavtal när båda parter bedriver säkerhetskänslig verksamhet. Specialfastigheter AB framför att det behövs klargörande om vad som gäller när båda parter bedriver säkerhetskänslig verksamhet. En verksamhetsutövares säkerhetsskyddsåtgärder utgår från den egna säkerhetskänsliga verksamheten och de skyddsvärden som finns i den. När båda parter omfattas av säkerhetsskyddslagen har alltså säkerhetsskyddsavtal den funktionen att det anpassar och preciserar säkerhetsskyddet hos en verksamhetsutövare för att också skydda motpartens verksamhet under det aktuella förfarandet. Utan krav på säkerhetsskyddsavtal i dessa situationer finns det en risk för att fel eller otillräckliga säkerhetsskyddsåtgärder vidtas. Regeringen anser därför inte att den omständigheten att båda parter bedriver säkerhetskänslig verksamhet berättigar till undantag från kravet på säkerhetsskyddsavtal.
Luleå kommun anser inte att det bör krävas säkerhetsskyddsavtal för sådan samverkan som krävs av kommunen enligt lagen (2006:544) om kommuners och regioners åtgärder inför och vid extraordinära händelser i fredstid och höjd beredskap. Enligt Luleå kommun behöver säkerhetsskyddsklassificerade uppgifter i vissa fall utbytas inom ramen för den samverkan. Regeringen delar Luleå kommuns synpunkt på så sätt att det kan vara problematiskt med krav på säkerhetsskyddsavtal i situationer när det samtidigt finns krav enligt författning eller regeringsbeslut som förutsätter ett utbyte av säkerhetsskyddsklassificerade uppgifter. Synpunkten avser dock en speciell situation som är svår att reglera i lag genom ett generellt undantag. Det bör i stället övervägas om ett sådant undantag bör regleras inom ramen för den möjlighet till undantag genom föreskrifter och beslut som regeringen föreslår.
Regeringen bör kunna föreskriva och besluta om undantag
Det kan finnas vissa relationer mellan myndigheter där det inte framstår som rimligt eller nödvändigt med ett krav på säkerhetsskyddsavtal. Ett exempel skulle kunna vara relationen mellan Försvarsmakten och FMV. Dessa två myndigheter har ett mycket omfattande samarbete och är tätt sammanflätade. Även andra liknande undantag kan vara motiverade. Det bör därför finnas en möjlighet att undanta myndigheter och andra från kravet att ingå säkerhetsskyddsavtal. Eftersom behoven kan variera över tid bör dessa undantag regleras genom förordning. Regeringen bör följaktligen bemyndigas att meddela föreskrifter om undantag från kravet på säkerhetsskyddsavtal.
Det kan vidare finnas ett behov av undantag i vissa specifika fall. Ett samarbete som en myndighet bedriver i enlighet med författning eller regeringsbeslut och som förutsätter ett utbyte av säkerhetsskyddsklassificerade uppgifter, och där förtroendet mellan parterna bygger på ett ömsesidigt intresse av att säkerheten för uppgifterna upprätthålls, kan vara ett sådant fall. Viss samverkan på underrättelseområdet, t.ex. partnersamarbeten, kan därför bli aktuellt för undantag. En annan situation där ett undantag kan vara lämpligt är anskaffningar av varor och tjänster i ett tillstånd av höjd beredskap. Denna typ av undantag bör som regel ske genom beslut snarare än genom föreskrifter. Om det finns särskilda skäl bör därför regeringen, som har det övergripande ansvaret för Sveriges säkerhet, även få fatta beslut om undantag från kravet på säkerhetsskyddsavtal i enskilda fall.
Flera remissinstanser har synpunkter på vilka undantag som bör föreskrivas och beslutas, bl.a. FRA, Fortifikationsverket, Förvarsunderrättelsedomstolen, FOI och Svenskt Näringsliv. Synpunkterna kommer hanteras i det fortsatta förordningsarbetet.
6.3 Kopplingen mellan säkerhetsskyddsavtal och säkerhetsprövning förtydligas
Regeringens förslag: Det ska förtydligas att bestämmelserna om säkerhetsprövning i säkerhetsskyddslagstiftningen tillämpas vid säkerhetsprövning enligt ett säkerhetsskyddsavtal.
Utredningens förslag överensstämmer i huvudsak med regeringens. Utredningens förslag förtydligar dock inte att det är vid säkerhetsprövning enligt ett säkerhetsskyddsavtal som bestämmelserna om säkerhetsprövning får tillämpas.
Remissinstanserna: Försvarsunderrättelsedomstolen ställer sig bakom förslaget. Ingen annan remissinstans yttrar sig särskilt i denna del.
Skälen för regeringens förslag: I 3 kap. säkerhetsskyddslagen och 5 kap. säkerhetsskyddsförordningen (2018:658) finns bestämmelser om krav på verksamhetsutövare att säkerhetspröva personer innan de genom anställning eller på annat sätt får delta i den säkerhetskänsliga verksamheten. Säkerhetsprövningen görs av den som ska anställa eller anlita personen i fråga. Det huvudsakliga syftet med prövningen är att klarlägga om personen kan antas vara lojal med de intressen som ska skyddas och i övrigt pålitlig ur säkerhetssynpunkt. Ett annat syfte är att utreda eventuella sårbarheter som skulle kunna göra att personen hamnar i en utsatt situation och blir sårbar för yttre påtryckningar. Säkerhetsprövningen grundar sig på en säkerhetsprövningsintervju och uppgifter som framgår av till exempel betyg, intyg och referenser. En säkerhetsprövning av en person inför en befattning som är placerad i säkerhetsklass inkluderar även registerkontroll och i vissa fall en särskild personutredning. Om säkerhetsprövning görs inför en befattning som inte är placerad i säkerhetsklass kan den endast genomföras i mer begränsad omfattning. Vilken säkerhetsklass en befattning ska placeras i styrs av vilken tillgång till säkerhetsskyddsklassificerade uppgifter den person som innehar befattningen har och vilken möjlighet personen har att orsaka skada för Sveriges säkerhet. Vilka myndigheter och andra som beslutar om placering i säkerhetsklass varierar. Enbart regeringen kan besluta om placering i säkerhetsklass 1. I vissa andra fall är det verksamhetsutövaren eller en tillsynsmyndighet som beslutar om placering i säkerhetsklass. Säkerhetspolisen utför sedan registerkontroll, efter ansökan av verksamhetsutövaren eller tillsynsmyndigheten. Säkerhetspolisen har också ansvar att i vissa fall genomföra en särskild personutredning.
En aktör som har ingått säkerhetsskyddsavtal med en verksamhetsutövare anses som regel inte bedriva den säkerhetskänsliga verksamhet som aktören får tillgång till. Enbart tillgången till uppgifterna gör alltså inte att aktören är en verksamhetsutövare som omfattas av kraven på säkerhetsprövning. I säkerhetsskyddslagen och säkerhetsskyddsförordningen förutsätts dock att en verksamhetsutövare genom ett säkerhetsskyddsavtal ska kunna ställa krav på säkerhetsprövning med registerkontroll och särskild personutredning motsvarande de som gäller för anställda hos verksamhetsutövare. Vidare förutsätts att beslut om placering i säkerhetsklass, registerkontroll och särskild personutredning får ske med stöd av avtalet. I linje med detta anges i förarbetena till säkerhetsskyddslagen att säkerhetsprövning enligt 3 kap. säkerhetsskyddslagen gäller vid säkerhetsprövning enligt ett säkerhetsskyddsavtal (prop. 2017/18:89 s. 141). Vidare framgår att ett säkerhetsskyddsavtal är grund för beslut om placering i säkerhetsklass (prop. 2017/18:89 s. 104).
Av säkerhetsskyddslagen framgår dock inte tydligt att ett säkerhetsskyddsavtal kan utgöra grund för krav på säkerhetsprövning av motpartens personal, eller att det kan utgöra grund för beslut om placering i säkerhetsklass, registerkontroll och särskild personutredning. Denna koppling mellan säkerhetsskyddsavtal och säkerhetsprövning bör klargöras i lag, särskilt eftersom en säkerhetsprövning kan uppfattas som integritetskränkande och påverka den kontrollerades anställning.
Som utredningen föreslår bör det därför framgå direkt av säkerhetsskyddslagen att bestämmelserna i 3 kap. säkerhetsskyddslagen och föreskrifter som har meddelats i anslutning till de bestämmelserna tillämpas när ett säkerhetsskyddsavtal har ingåtts. För tydlighets skull bör det dock preciseras att det är vid säkerhetsprövning enligt avtalet som tillämpningen får ske.
6.4 Kraven på uppföljning av säkerhetsskyddsavtal förtydligas
Regeringens förslag: Det ska införas ett krav i säkerhetsskyddslagen på att verksamhetsutövaren ska revidera ett säkerhetsskyddsavtal om det krävs på grund av ändrade förhållanden. Det ska även införas ett tydligare krav på verksamhetsutövare att vidta de åtgärder som behövs för att tillgodose kraven på säkerhetsskydd om motparten i ett säkerhetsskyddsavtal bryter mot avtalet.
Vidare ska det göras tydligare att ett säkerhetsskyddsavtal ska innehålla de krav på motparten som behövs för att kraven på säkerhetsskydd ska kunna tillgodoses. Dessutom ska det införas krav på att i säkerhetsskyddsavtal reglera hur verksamhetsutövaren ska få kontrollera att motparten följer säkerhetsskyddsavtalet och att verksamhetsutövaren har rätt att revidera avtalet om det krävs på grund av ändrade förhållanden.
Utredningens förslag överensstämmer delvis med regeringens. Utredningen föreslår dock inte att det ska tydliggöras vad en verksamhetsutövare har för skyldigheter när motparten i ett säkerhetsskyddsavtal bryter mot avtalet. Vidare föreslår utredningen varken att det ska tydliggöras att ett säkerhetsskyddsavtal ska innehålla de krav på motparten som behövs för att kraven på säkerhetsskydd ska kunna tillgodoses eller att ett säkerhetsskyddsavtal ska reglera hur verksamhetsutövaren ska få kontrollera att motparten följer avtalet.
Remissinstanserna: Majoriteten av remissinstanserna tillstyrker eller har inte några invändningar mot förslaget, såsom Polismyndigheten, Säkerhetspolisen, Finansinspektionen, Sjöfartsverket och Stockholms tingsrätt. Svenskt Näringsliv och Näringslivets regelnämnd har synpunkter på vem som ska kontrollera att ett säkerhetsskyddsavtal följs. Finansinspektionen anser att det bör regleras hur ofta en verksamhetsutövare ska följa upp ett säkerhetsskyddsavtal. Lidingö kommun anser att det föreslagna kravet på revidering kan leda till färre anbudsgivare och dyrare upphandlingar. Svenska bankföreningen anser inte att bankerna bör påföras ytterligare krav om uppföljning. Kammarrätten i Stockholm efterfrågar förtydligande angående ansvaret för uppföljningen i vissa fall. Upphandlingsmyndigheten och SKR framför att det behövs en fördjupad analys av hur kravet på revidering förhåller sig till upphandlingslagstiftningen. Ett antal remissinstanser, såsom Lidingö kommun, Swedavia och Svenskt Näringsliv, efterfrågar reglering om kostnadsansvaret för en revidering eller brutet kontrakt. Säkerhetspolisen påpekar att formerna för kontroll av att ett säkerhetsskyddsavtal följs måste regleras i säkerhetsskyddsavtalet och Upphandlingsmyndigheten påpekar att det bör anges i upphandlingsdokumenten att affärsavtalet får hävas om motparten bryter mot säkerhetsskyddsavtalet.
Skälen för regeringens förslag
Genom uppgifter till utredningen från tillsynsmyndigheter och verksamhetsutövare har det framkommit att det ofta brister i uppföljningen av säkerhetsskyddsavtal.
För ett väl anpassat säkerhetsskydd hos en aktör som en verksamhetsutövare har ingått säkerhetsskyddsavtal med, kan det vara lika viktigt med löpande uppföljning av avtalet som den ursprungliga analysen av vilka säkerhetsskyddsåtgärder som behövs. Bristande eller utebliven uppföljning kan i värsta fall få mycket allvarliga konsekvenser för Sveriges säkerhet eftersom det utan en sådan kontroll inte är möjligt att slå fast eller göra något åt att skyldigheterna enligt ett säkerhetsskyddsavtal inte följs. Vidare kan bristande uppföljning göra att verksamhetsutövaren inte uppmärksammar att säkerhetsskyddsavtalet behöver revideras för att säkerhetsskyddsåtgärderna ska vara ändamålsenliga.
Tydligare krav på uppföljning
I säkerhetsskyddslagstiftningen finns det bestämmelser med krav på kontroll och revidering av säkerhetsskyddsavtal.
Enligt 2 kap. 6 § andra stycket säkerhetsskyddslagen ska verksamhetsutövaren kontrollera att leverantören följer säkerhetsskyddsavtalet. Kravet är tydligt och det finns inte anledning att anta att kravets utformning bidrar till den bristande uppföljningen. Kravet måste dock justeras till att gälla kontroll av alla aktörer - inte endast leverantörer - som en verksamhetsutövare enligt förslaget i avsnitt 6.1 kan ha ingått säkerhetsskyddsavtal med. Någon anledning att ändra kravet och flytta ansvaret för kontrollen till en statlig aktör för att förbättra uppföljningen, som Svenskt Näringsliv och Näringslivets regelnämnd förespråkar, finns inte heller. En grundprincip inom säkerhetsskyddet är att det är den som bedriver säkerhetskänslig verksamhet som ansvarar för den. Kontrollskyldigheten bör därför ligga kvar hos verksamhetsutövaren. En annan sak är att tillsynsmyndigheterna, inom sina tillsynsområden, får utöva tillsyn hos dem som har ingått säkerhetsskyddsavtal med en verksamhetsutövare. Däremot kan det, som Finansinspektionen framför, finnas anledning att reglera hur ofta som säkerhetsskyddsavtal ska följas upp, men en sådan bestämmelse bör i så fall införas på lägre författningsnivå. Vidare kan det finnas ett särskilt behov av vägledning om hur uppföljningen ska gå till när motparten är en utländsk leverantör.
I säkerhetsskyddslagstiftningen finns emellertid inget krav som särskilt avser vad en verksamhetsutövare har för skyldigheter när det vid en kontroll framkommer att motparten inte följer säkerhetsskyddsavtalet. Av bl.a. 2 kap. 1 § säkerhetsskyddslagen följer dock att en verksamhetsutövare alltid - oavsett om verksamhetsutövaren har ingått ett säkerhetsskyddsavtal - har en skyldighet att se till att den säkerhetskänsliga verksamheten har ett fullgott säkerhetsskydd. Om behovet av säkerhetsskydd inte tillgodoses genom ett säkerhetsskyddsavtal, måste verksamhetsutövaren alltså agera. I vissa fall kan det vara tillräckligt att verksamhetsutövaren påpekar bristerna och begär att motparten ändrar sitt agerande. I andra fall kan det dock krävas att verksamhetsutövaren avbryter det förfarande som ger motparten tillgång till den säkerhetskänsliga verksamheten för att kraven på säkerhetsskydd ska bli tillgodosedda. Det är därför som ett affärskontrakt som regel villkoras av att säkerhetsskyddsavtalet följs. Med hänsyn till att det är helt centralt att verksamhetsutövaren agerar när motparten bryter mot säkerhetsskyddsavtalet, bör denna skyldighet framgå på ett tydligare sätt av säkerhetsskyddslagen. Det bör därför införas en bestämmelse i säkerhetsskyddslagen som tydliggör att en verksamhetsutövare ska vidta de åtgärder som behövs för att tillgodose kraven på säkerhetsskydd om motparten inte följer säkerhetsskyddsavtalet.
I Försvarsmaktens och Säkerhetspolisens föreskrifter om säkerhetsskydd finns bestämmelser om revidering av säkerhetsskyddsavtal (7 kap. 7 § PMFS 2019:2 och 8 kap. 1 § andra stycket FFS 2019:2). Liksom kravet på att kontrollera att ett säkerhetsskyddsavtal följs bör ett krav på revidering finnas i säkerhetsskyddslagen. I föreskrifterna beskrivs inte närmare i vilka fall revidering ska ske. För att kravet ska bli tydligare för båda parter som ingått säkerhetsskyddsavtal bör det specificeras. Regeringen anser liksom utredningen att kravet på revidering bör gälla vid ändrade förhållanden, dvs. när den bedömning som legat till grund för valet av säkerhetsskyddåtgärder blivit överspelad. Exempelvis kan det handla om att förhållanden i omvärlden har förändrats på ett sådant sätt att det finns anledning för verksamhetsutövaren att ställa krav på andra säkerhetsskyddsåtgärder än vad som följer av det ursprungliga säkerhetsskyddsavtalet. Det kan även handla om ändrade förhållanden i den verksamhet som omfattas av säkerhetsskyddsavtalet, såsom ändring i ägarförhållanden eller flytt till nya lokaler.
Eftersom det redan i dag finns krav på kontroll och revidering innebär förslagen i denna del inte, såsom Lidingö kommun menar, att vissa upphandlingar kommer att bli dyrare eller leda till färre anbudsgivare. Av samma skäl innebär det inte att bankerna, vilket Svenska bankföreningen påstår, påförs ytterligare krav.
Regeringen anser, till skillnad från Kammarrätten i Stockholm, inte att det behöver förtydligas vem som ansvarar för att kontrollera efterlevnaden av och att revidera säkerhetsskyddsavtal som en leverantör har ingått med en underleverantör. Av de krav på säkerhetsskyddsavtal, kontroll och revidering som regeringen föreslår framgår tydligt att det är den verksamhetsutövare som har ingått ett säkerhetsskyddsavtal med en annan aktör för att skydda sin säkerhetskänsliga verksamhet som ansvarar för kontroll och revidering. Oftast är det endast den verksamhetsutövare som har ingått ett säkerhetsskyddsavtal med en leverantör som har en skyldighet att teckna säkerhetsskyddsavtal med en underleverantör som leverantören ska anlita för att fullgöra sin förpliktelse mot verksamhetsutövaren. I fall där även leverantören är verksamhetsutövare och har en skyldighet att teckna säkerhetsskyddsavtal med en underleverantör för att skydda sin säkerhetskänsliga verksamhet, kommer emellertid leverantören vara skyldig att kontrollera och revidera sitt säkerhetsskyddsavtal med underleverantören.
Upphandlingsmyndigheten och SKR anser att förhållandet mellan det föreslagna kravet på revidering och upphandlingslagstiftningen behöver förtydligas och i vissa fall regleras. Som Upphandlingsmyndigheten påpekar är det upphandlingslagstiftningen som sätter ramarna för vilka ändringar av ett upphandlat kontrakt som är tillåtna, se 17 kap. 8-16 §§ LOU, 16 kap. 8-16 §§ lagen (2016:1146) om upphandling inom försörjningssektorerna och 14 kap. 8-16 §§ lagen (2016:1147) om upphandling av koncessioner. Av de reglerna följer bl.a. att ändringar som inte ändrar kontraktets övergripande karaktär eller som inte är väsentliga kan göras utan ny upphandling. Att ändra ett säkerhetsskyddsavtal kan öka kostnaderna för leverantören och påverka kontraktets eller ramavtalets omfattning. Upphandlingsmyndigheten anser att det behövs en fördjupad analys av om, och i så fall under vilka förutsättningar, reglerna om ändring av avtal i upphandlingslagstiftningen kan komma i konflikt med föreslaget krav på revidering. Enligt regeringen är det dock svårt att generellt bedöma i vilka situationer som en revidering av ett säkerhetsskyddsavtal på grund av ändrade förhållanden kan anses utgöra en otillåten ändring av ett kontrakt, bl.a. eftersom det beror på vilket kontrakt och vad för typ av revidering det är fråga om. Utgångspunkten är att båda regelverken ska följas, vilket måste beaktas av den verksamhetsutövare som ska genomföra en upphandling som kräver säkerhetsskyddsavtal.
Flera remissinstanser har synpunkter på hur kostnaderna för revidering och uppsägning av avtal bör fördelas. Lidingö kommun avstyrker förslaget med hänsyn till att det är oklart vem som ska stå kostnaden för en revidering. Svenskt Näringsliv anser att det bör regleras att det är uppdragsgivande myndighet som ska stå för de kostnader som uppstår på grund av en revidering. Swedavia förespråkar i stället att leverantören ska stå för kostnaden. Regeringen anser emellertid inte att kostnadsansvaret bör regleras, utan att det som utgångspunkt ska stå parterna fritt att avtala om kostnaderna. Om den upphandlande myndigheten genom revideringen har brutit mot upphandlingslagstiftningen stadgar dock den lagstiftningen att myndigheten kan bli skadeståndsskyldig och att Konkurrensverket kan väcka talan om upphandlingsskadeavgift.
Sammanfattningsvis finns det endast skäl att föreslå smärre ändringar i befintliga krav på uppföljning. Bristerna i uppföljningen verkar till största del bero på bristande efterlevnad av de krav som finns. I avsnitt 9 föreslår regeringen att tillsynsmyndigheterna ska kunna besluta om åtgärdsförelägganden och, i vissa fall, sanktionsavgift om en verksamhetsutövare inte följer dessa krav, vilket är avsett att förbättra efterlevnaden.
Tydligare krav på vad ett säkerhetsskyddsavtal ska innehålla
Även innehållet i ett säkerhetsskyddsavtal har betydelse för uppföljningen av avtalet.
I 2 kap. 6 § säkerhetsskyddslagen stadgas att det i ett säkerhetsskyddsavtal ska anges hur kraven på säkerhetsskydd enligt 1 § samma kapitel ska tillgodoses av leverantören.
För att en verksamhetsutövare ska ha befogenhet gentemot motparten att kontrollera säkerhetsskyddsavtalet måste även det, som Säkerhetspolisen framhåller, regleras i säkerhetsskyddsavtalet. Detsamma gäller, som utredningen påpekar, för rätten till revidering. Om detta anges i avtalet blir det dessutom tydligt för t.ex. en myndighet som avser att genomföra en offentlig upphandling, att möjligheten till kontroll och revidering av säkerhetsskyddsavtalet måste framgå redan av förfrågningsunderlaget, så att anbudsgivarna kan anpassa sina anbud och andra förhållningssätt efter det. Motsvarande fördelar uppkommer för dem som inte omfattas av upphandlingslagstiftningen. Kravet på vad ett säkerhetsskyddsavtal ska innehålla bör därför kompletteras med krav på att reglera hur verksamhetsutövaren ska få kontrollera att säkerhetsskyddsavtalet följs och att verksamhetsutövaren har rätt att revidera säkerhetsskyddsavtalet om det krävs på grund av ändrade förhållanden.
Som Upphandlingsmyndigheten påpekar är det vid upphandlingar helt centralt att verksamhetsutövaren i upphandlingsdokumenten reglerar en rätt att säga upp affärsavtalet om motparten i någon mån bryter mot säkerhetsskyddsavtalet. Även när det gäller andra avtal, samarbeten och samverkan kan en sådan rätt behöva regleras. I vilken mån en rätt att avbryta det förfarande som ger motparten tillgång till den säkerhetskänsliga verksamheten behöver regleras och i vilken mån det är bäst att reglera rätten i säkerhetsskyddsavtalet eller på annat sätt varierar dock. Det bör därför inte införas krav på verksamhetsutövare att reglera den rätten i säkerhetsskyddsavtalet.
Befintligt krav på att i säkerhetsskyddsavtal ange hur kraven på säkerhetsskydd ska tillgodoses av leverantören behöver dessutom anpassas för att - utöver leverantörer - gälla alla som kan vara motparter i ett säkerhetsskyddsavtal enligt förslaget i avsnitt 6.1. Vidare anser regeringen att kravet behöver förtydligas så att det klart framgår att verksamhetsutövare inte bara har en skyldighet att reglera vilka motpartens åtaganden är, utan att de krav som ställs på motparten också ska göra att kraven på säkerhetsskydd kan bli tillgodosedda under förfarandet. Kravet bör därför formuleras så att ett säkerhetsskyddsavtal ska innehålla de krav på motparten som behövs för att kraven på säkerhetsskydd ska kunna tillgodoses.
7 Ytterligare åtgärder för att skydda säkerhetskänslig verksamhet som exponeras för utomstående
7.1 Det finns behov av ytterligare åtgärder för att hantera riskerna med utkontraktering och liknande förfaranden
Utkontraktering av säkerhetskänslig verksamhet
Alla förvaltningsmyndigheter under regeringen ska enligt myndighetsförordningen (2007:515) bedriva sin verksamhet effektivt och hushålla väl med statens resurser. I förlängningen innebär kravet att offentligt drivna verksamheter måste analysera om alla arbetsuppgifter bör utföras inom den egna organisationen eller om varor och tjänster i stället ska upphandlas externt från enskilda utförare. Motiven för att genom upphandling lägga ut viss verksamhet på en extern aktör kan t.ex. vara effektivitets- eller besparingsskäl. Det kan också röra sig om större projekt där samverkan mellan offentlig och privat sektor är nödvändig.
Utredningen har använt utkontraktering som samlingsbegrepp för förfaranden där en verksamhet läggs ut på en annan aktör. Detta begrepp används även fortsättningsvis i denna proposition. Utkontraktering innebär alltså att en verksamhet lägger ut en del av den egna verksamheten på entreprenad. Det kan t.ex. handla om att man lägger ut underhållet av ett system eller utveckling av någon produkt på en extern leverantör. Det centrala i en utkontraktering är att det handlar om en del av den egna verksamheten samt att det handlar om någon form av tjänst eller verksamhet och inte om ett köp av varor.
Utkontraktering av säkerhetskänslig verksamhet kan, liksom utkontraktering av annan verksamhet, i många sammanhang innebära stora kostnadsbesparingar och andra fördelar för den utkontrakterande verksamheten. Utkontraktering kan emellertid också innebära ökade risker för Sveriges säkerhet. Säkerhetspolisen har under senare år uppmärksammat flera händelser där olika verksamhetsutövare har anlitat externa aktörer för arbete som berört säkerhetskänslig verksamhet och där säkerhetsskyddet varit bristfälligt. I vissa fall har avtalsförhållanden reglerats genom säkerhetsskyddsavtal som varit bristfälligt utformade. Det finns också exempel på att bestämmelser i säkerhetsskyddsavtal inte har följts. Säkerhetspolisen har vidare framhållit att utkontraktering ofta kan innebära att flera kunders system och information samlas i samma lagringsmedium, t.ex. en molntjänst, vilket innebär en ökad sårbarhet för bl.a. säkerhetsskyddsklassificerade uppgifter. Myndigheten har vidare konstaterat att leverantören därigenom riskerar att bli ett attraktivt mål för andra länders underrättelseinhämtning.
Överlåtelser och upplåtelser av säkerhetskänslig verksamhet
En närbesläktad situation där det kan uppstå liknande problematik som vid utkontraktering är när en verksamhetsutövare överlåter eller upplåter säkerhetskänslig verksamhet eller delar av en sådan verksamhet. I rättsliga sammanhang brukar begreppet överlåtelse användas för att beteckna en övergång av äganderätt genom köp, byte eller gåva. När avtalet avser en mer begränsad rätt än äganderätt används i stället termen upplåtelse. Typexempel på upplåtelser är bl.a. avtal om hyra, leasing, arrende och andra nyttjanderätter som inte innebär att ägaren avhänder sig sin äganderätt.
Exempel på upplåtelser där det kan uppstå en problematik i förhållande till behovet av säkerhetsskydd, är att verksamhetsutövare till någon utomstående aktör upplåter en lokal i en anläggning där säkerhetskänslig verksamhet bedrivs eller den specifika lokal, t.ex. ett laboratorium, där säkerhetskänslig verksamhet bedrivs, vilket medför att den säkerhetskänsliga verksamheten exponeras.
Nuvarande krav på särskild säkerhetsskyddsbedömning och samråd vid överlåtelser och vissa upphandlingar
Sedan den 1 januari 2021 finns det särskilda krav enligt 2 kap. säkerhetsskyddslagen (2018:585) i samband med överlåtelse av säkerhetskänslig verksamhet och viss egendom. Kraven innebär i huvudsak att en verksamhetsutövare som avser att genomföra en sådan överlåtelse är skyldig att genomföra en särskild säkerhetsskyddsbedömning och en lämplighetsprövning samt samråda med en samrådsmyndighet. Samrådsmyndigheten har möjlighet att förelägga verksamhetsutövaren att vidta åtgärder för att uppfylla sina skyldigheter enligt lagen och ytterst besluta att en överlåtelse inte får genomföras (förbud).
Säkerhetsskyddslagen innehåller inte några motsvarande krav avseende utkontrakteringar eller upplåtelser. I säkerhetsskyddsförordningen (2018:685) finns dock bestämmelser om skyldigheter i samband med vissa statliga upphandlingar. Enligt 2 kap. 6 § säkerhetsskyddsförordningen ska statliga myndigheter som avser att genomföra en upphandling som innebär krav på säkerhetsskyddsavtal enligt 2 kap. 6 § säkerhetsskyddslagen, i vissa särskilt angelägna fall göra en särskild säkerhetsskyddsbedömning och samråda med tillsynsmyndigheten. Tillsynsmyndigheten får förelägga myndigheten att vidta åtgärder enligt säkerhetsskyddslagen och de föreskrifter som har meddelats i anslutning till den lagen. Om ett föreläggande inte följs eller om tillsynsmyndigheten bedömer att säkerhetsskyddslagens krav inte kan tillgodoses trots att ytterligare åtgärder vidtas, får tillsynsmyndigheten besluta att myndigheten inte får genomföra upphandlingen.
Det nuvarande regelverket behöver utvecklas
Utredningen har under sitt arbete identifierat ett antal problem och brister i säkerhetsskyddsarbetet som bl.a. yttrar sig vid utkontraktering av säkerhetskänslig verksamhet men också vid vissa upplåtelser och andra förfaranden där utomstående kan få tillgång till den säkerhetskänsliga verksamheten. Vissa av dessa brister avser säkerhetsskyddet generellt men får särskild betydelse vid utkontraktering och liknande förfaranden. Ett sådant generellt problem som utredningen pekar på, är att det antagligen finns verksamheter av stor betydelse för Sveriges säkerhet som inte tillämpar säkerhetsskyddslagen. Utredningen konstaterar att det är särskilt allvarligt med brister i tillämpningen vid utkontraktering, upplåtelser och liknande förfaranden eftersom säkerhetskänslig verksamhet eller säkerhetsklassificerade uppgifter därigenom kan utsättas för ytterligare sårbarheter.
Utredningen har också identifierat ett antal brister som mer specifikt har att göra med utkontraktering. Den har t.ex. konstaterat att verksamheter i allt större utsträckning ställs inför frågan om delar av verksamheten bör utföras inom den egna organisationen eller av andra och att det då förekommer att myndigheter mer eller mindre tar för givet att säkerhetskänsliga delar av deras verksamheter ska utkontrakteras utan att myndigheterna dessförinnan har prövat det lämpliga i detta. Avsaknaden av lämplighetsprövningar har enligt utredningen i sig flera delorsaker, bl.a. att verksamhetsutövare har otillräcklig kunskap om sina egna skyddsvärden och att myndigheter inför beslut om utkontraktering ofta ställs inför målkonflikter där andra krav regelmässigt överordnas säkerhetsskyddet.
Ett annat problem med den nuvarande regleringen är att den endast ger begränsade möjligheter att ingripa mot olämpliga utkontrakteringar. Bestämmelserna i 2 kap. 6 § säkerhetsskyddsförordningen gäller till att börja med bara vid vissa upphandlingar som görs av statliga myndigheter. De innebär således ingen möjlighet till ingripande mot enskilda verksamhetsutövare. Som en följd av bl.a. privatiseringen av offentlig verksamhet har antalet verksamheter av betydelse för Sveriges säkerhet som bedrivs i enskild regi ökat. Förekomsten av sådana verksamheter kan också på goda grunder antas fortsätta öka framöver. Även behovet av att kunna ingripa mot enskilda verksamhetsutövares utkontrakteringar har därför ökat.
Vidare ger den nuvarande regleringen inga skarpa verktyg för att ingripa i en redan pågående utkontraktering. Tillsynsmyndigheten kan i en sådan situation uppmana verksamhetsutövaren att vidta åtgärder men i praktiken står det i dessa fall verksamhetsutövaren fritt att välja om uppmaningen ska följas. Denna problematik berördes bl.a. i granskningen av Transportstyrelsens upphandling av it-drift där det konstaterades att Säkerhetspolisen inte hade någon annan möjlighet än att i skarpa ordalag rekommendera Transportstyrelsen att vidta åtgärder (Ds 2018:6 s. 189). Införandet av bestämmelserna om krav på bl.a. samråd och möjlighet för Säkerhetspolisen och Försvarsmakten att vägra upphandlingar, som i dag alltså finns i 2 kap. 6 § säkerhetsskyddsförordningen, löser endast delvis problemet. Även om en utkontraktering har genomgått en sådan kontroll kan den vid ett senare tillfälle visa sig olämplig från säkerhetsskyddssynpunkt. Det kan ske t.ex. när den säkerhetskänsliga verksamheten ändrar karaktär eller på grund av förändrade ägarförhållanden hos leverantören, nya hotbilder och liknande.
Mot denna bakgrund anser regeringen, i likhet med utredningen, att det finns ett stort behov av att utveckla regelverket om statliga myndigheters upphandlingar för att bättre hantera riskerna med utkontraktering och liknande förfaranden.
7.2 Krav på särskild säkerhetsskyddsbedömning och egen lämplighetsprövning
Regeringens förslag: Innan ett förfarande som kräver säkerhetsskyddsavtal inleds ska en verksamhetsutövare genom en särskild säkerhetsskyddsbedömning identifiera vilka säkerhetsskyddsklassificerade uppgifter eller vilken säkerhetskänslig verksamhet i övrigt som den andra aktören kan få tillgång till och som kräver säkerhetsskydd.
Med utgångspunkt i den särskilda säkerhetsskyddsbedömningen och övriga omständigheter ska verksamhetsutövaren göra en lämplighetsprövning av det planerade förfarandet. Den särskilda säkerhetsskyddsbedömningen och lämplighetsprövningen ska dokumenteras.
Om lämplighetsprövningen leder till bedömningen att förfarandet är olämpligt från säkerhetsskyddssynpunkt, ska förfarandet inte få inledas.
Regeringen ska få meddela föreskrifter om undantag från skyldigheterna. Om det finns särskilda skäl ska regeringen också få besluta om sådana undantag i enskilda fall.
Skyldigheterna ska inte gälla vid överlåtelser som omfattas av motsvarande krav.
Utredningens förslag överensstämmer delvis med regeringens. Utredningen benämner dock den bedömning som ska göras särskild säkerhetsbedömning. Vidare föreslår utredningen inte något bemyndigande för regeringen att meddela föreskrifter eller besluta om undantag. Utredningen föreslår inte heller något förtydligande om hur skyldigheterna förhåller sig till reglerna om överlåtelse av säkerhetskänslig verksamhet.
Remissinstanserna: En majoritet av remissinstanserna tillstyrker eller har inga invändningar mot förslaget. Lidingö kommun föreslår att en särskild säkerhetsskyddsbedömning och lämplighetsprövning i stället borde ingå som en del i den säkerhetsskyddsanalys som ändå behöver göras eftersom samma metod och terminologi kan användas vid bedömningen av säkerhetsskyddsbehovet inför en upphandling, samverkan eller samarbete. Swedavia anser att det saknas tillräcklig vägledning kring vad som gäller om ett avtal som ingåtts och inte bedömts olämplig vid lämplighetsprövningen senare blir olämpligt, t.ex. på grund av ändrade ägarförhållanden. Swedavia framhåller att en enskild aktör har begränsade möjligheter att kontrollera och lämplighetspröva förändrade ägarförhållanden. Inspektionen för strategiska produkter (ISP) framhåller att myndigheten tillämpar regler som överlappar med det föreslagna regelverket, t.ex. vad gäller tillstånd för utförsel av krigsmateriel eller tekniskt bistånd och att det är angeläget att undvika motstridiga bedömningar i den del förslagen tangerar dessa regelverk.
Skälen för regeringens förslag
Kravet på särskild säkerhetsskyddsbedömning bör utvidgas
En hörnpelare i säkerhetsskyddslagstiftningen är att det är verksamhetsutövaren som har ansvar för säkerhetsskyddet i sin säkerhetskänsliga verksamhet. I detta ligger bl.a. att verksamhetsutövaren måste bedöma vilka skyddsvärda tillgångar som finns i organisationen. Detta är av särskild vikt i de fall en verksamhetsutövare planerar att genomföra en utkontraktering eller ett annat förfarande som innebär att verksamheten exponeras för andra aktörer. Statliga myndigheter som avser att genomföra en upphandling som innebär krav på säkerhetsskyddsavtal, är enligt 2 kap. 6 § säkerhetsskyddsförordningen i vissa fall skyldiga att göra en särskild säkerhetsskyddsbedömning. Den huvudsakliga innebörden av kravet är att verksamhetsutövaren ska identifiera vilka säkerhetsskyddsklassificerade uppgifter eller vilken säkerhetskänslig verksamhet i övrigt som den andra aktören kan få tillgång till genom förfarandet och som kräver säkerhetsskydd.
Regeringen anser att kravet på att göra en särskild säkerhetsskyddsbedömning bör utvidgas. Det finns till att börja med skäl att utvidga kretsen av verksamhetsutövare som omfattas av kravet. De befintliga bestämmelserna i säkerhetsskyddsförordningen gäller som framgått bara för statliga myndigheters upphandlingar. Med hänsyn till att enskilda aktörer numera i relativt stor omfattning bedriver säkerhetskänslig verksamhet och att sådan verksamhet även bedrivs i kommuner och regioner, anser regeringen att även den typen av verksamhetsutövare bör omfattas av bestämmelser om särskild säkerhetsskyddsbedömning. Bestämmelserna bör alltså gälla för alla verksamhetsutövare.
En annan fråga är vilka förfaranden som ska omfattas av reglerna om särskild säkerhetsskyddsbedömning. I dag gäller reglerna för upphandlingar som omfattas av krav på säkerhetsskyddsavtal. Som framgår i avsnitt 6.1 föreslår regeringen att kravet på säkerhetsskyddsavtal ska utvidgas till att gälla inte bara vid upphandlingssituationer, utan vid alla slags avtal, samarbeten och samverkan. Skälen för det förslaget gör sig enligt regeringen gällande även beträffande kravet på särskild säkerhetsskyddsbedömning. Det som i första hand ska avgöra om det finns ett behov av en särskild säkerhetsskyddsbedömning är alltså om ett visst förfarande innebär att en annan aktör kan få tillgång till säkerhetsskyddsklassificerade uppgifter eller säkerhetskänslig verksamhet i övrigt. Detta kriterium har betydligt större praktisk betydelse än hur ett visst förfarande rubriceras rättsligt. Bestämmelserna om särskild säkerhetsskyddsbedömning bör därför, i linje med vad som föreslås gälla för säkerhetsskyddsavtal, frigöras från kopplingen till upphandling och särskilda typer av avtal. De bör inte heller begränsas till utkontraktering eller upplåtelse av säkerhetskänslig verksamhet. I stället bör skyldigheten som utgångspunkt gälla för alla de typer av avtal och förfaranden som omfattas av krav på säkerhetsskyddsavtal.
Det befintliga kravet på särskild säkerhetsskyddsbedömning är vidare begränsat till att gälla i de fall då leverantören kan få tillgång till eller möjlighet att förvara säkerhetsskyddsklassificerade uppgifter i de två högsta säkerhetsskyddsklasserna utanför myndighetens lokaler, eller då leverantören kan få tillgång till säkerhetskänsliga informationssystem utanför myndighetens lokaler och obehörig åtkomst till systemen kan medföra skada av motsvarande betydelse för Sveriges säkerhet. De föreslagna bestämmelserna om säkerhetsskyddsavtal är bredare i sitt tillämpningsområde på så sätt att de dels gäller tillgång till uppgifter och verksamhet på en lägre säkerhetsskyddsklass- och skadenivå, dels inte är begränsade till tillgång utanför verksamhetens lokaler. Regeringen anser att det finns skäl att även i dessa avseenden utvidga kravet på säkerhetsskyddsbedömning till att gälla under samma förutsättningar som kravet på säkerhetsskyddsavtal. Alla förfaranden som innebär krav på säkerhetsskyddsavtal kan potentiellt medföra negativa konsekvenser för Sveriges säkerhet och det är därvid inte avgörande var uppgifter t.ex. förvaras, även om sårbarheterna typiskt sett kan vara större när utomstående får tillgång till eller möjlighet att förvara uppgifter utanför verksamhetsutövarens lokaler. Av betydelse i sammanhanget är också att verksamhetsutövare i de fall säkerhetsskyddsavtal ska ingås, under alla förhållanden måste göra en analys av vilken exponering som kommer att ske av uppgifter i de säkerhetsskyddsklasser som kravet på säkerhetsskyddsavtal avser. Det innebär därför inte något större merarbete att göra denna analys även inom ramen för en särskild säkerhetsskyddsbedömning. Som Lidingö kommun framhåller kan det finnas metodmässiga likheter mellan en särskild säkerhetsskyddsbedömning och lämplighetsprövning å ena sidan och den grundläggande säkerhetsskyddsanalysen å andra sidan. Däremot är den förstnämnda bedömningen situationsberoende och kan därmed inte, som Lidingö kommun föreslår, göras i samband med verksamhetens säkerhetsskyddsanalys.
Sammantaget anser regeringen att reglerna om särskild säkerhetsskyddsbedömning fullt ut bör kopplas till kravet på att ingå säkerhetsskyddsavtal såsom detta har formulerats enligt regeringens förslag i avsnitt 6. Det innebär alltså att en verksamhetsutövare måste göra en särskild säkerhetsskyddsbedömning innan den inleder en upphandling, ingår ett avtal eller påbörjar en samverkan eller ett samarbete som innebär att den andra aktören kan få tillgång till säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre. Samma skyldighet gäller om den andra aktören genom förfarandet kan få tillgång till annan säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet. Detta innebär motsatsvis att om förfarandet inte uppfyller dessa kriterier och således inte heller medför krav på säkerhetsskyddsavtal, eller om det omfattas av ett undantag från kravet på säkerhetsskyddsavtal, så gäller inte någon skyldighet att göra en särskild säkerhetsskyddsbedömning.
Skyldigheten att göra en särskild säkerhetsskyddsbedömning bör vidare enligt regeringen inte gälla inför säkerhetsskyddsavtal med underleverantörer. Konsekvenserna av en sådan skyldighet är inte utredda och behöver övervägas vidare. Även om skyldigheten att göra en särskild säkerhetsskyddsbedömning inte specifikt kommer att gälla inför säkerhetsskyddsavtal med en underleverantör, behöver en verksamhetsutövare dock inom ramen för den särskilda säkerhetsskyddsbedömningen avseende huvudleverantören beakta i vilken mån underleverantörer kommer eller kan antas komma att anlitas, vilka åtgärder som bör vidtas på grund av detta och vilken inverkan som detta får på lämpligheten i förfarandet. Vidare måste en verksamhetsutövare inför ett eventuellt säkerhetsskyddsavtal med en underleverantör identifiera vilka skyddsvärden som underleverantören kan få tillgång till och som kräver säkerhetsskydd. Denna analys behöver göras för att avgöra om ett säkerhetsskyddsavtal ska tecknas med underleverantören, hur det i så fall ska utformas och om det är lämpligt att underleverantören anlitas.
I likhet med vad som gäller i dag för såväl särskilda säkerhetsskyddsbedömningar vid överlåtelser av säkerhetskänslig verksamhet och viss egendom enligt 2 kap. 8 § säkerhetsskyddslagen som vid upphandlingar enligt 2 kap. 6 § säkerhetsskyddsförordningen, bör gälla ett krav på att den särskilda säkerhetsskyddsbedömningen ska dokumenteras.
Eftersom de föreslagna reglerna delvis avser förhållandet mellan enskilda och det allmänna och innehåller skyldigheter för enskilda bör de tas in i säkerhetsskyddslagen.
Ett uttryckligt krav på lämplighetsprövning bör införas
Som framgår ovan förekommer det att verksamhetsutövare inte gör någon analys av om en utkontraktering är lämplig från säkerhetsskyddssynpunkt eller att analysen som utförs är bristfällig. Detta är ett mycket allvarligt problem. Det är av yttersta vikt att fördelarna med ett sådant förfarande ställs mot de risker för Sveriges säkerhet som förfarandet kan innebära. I vissa fall kan dessa risker hanteras genom ett väl formulerat säkerhetsskyddsavtal. I andra fall kan man inte ens genom ett optimalt säkerhetsskyddsavtal motverka de säkerhetsskyddsproblem som uppstår genom en utkontraktering. Förfarandet är i sådana fall inte lämpligt från säkerhetsskyddsynpunkt och bör därför inte genomföras.
Enligt 2 kap. 7-8 §§ säkerhetsskyddslagen är en verksamhetsutövare som avser att överlåta säkerhetskänslig verksamhet eller annan egendom skyldig att pröva om överlåtelsen i fråga är lämplig från säkerhetsskyddsynpunkt. Det finns starka skäl att nu införa ett uttryckligt krav på lämplighetsprövning även gällande andra förfaranden som omfattas av krav på säkerhetsskyddsavtal. En sådan uttrycklig regel skulle, som utredningen också konstaterat, i kombination med kravet på en särskild säkerhetsskyddsbedömning förstärka principen om att det är verksamhetsutövaren själv som bär ansvaret för säkerhetsskyddet och att detta gäller även när utomstående involveras i verksamheten. En uttrycklig regel betonar därtill vikten av säkerhetsskydd i samband med t.ex. utkontrakteringar, vilket i sin tur kan ge verksamhetsutövarens säkerhetsfunktion mer tyngd och tydligare stöd för att internt framhålla säkerhetsskyddsaspekter vid sådana förfaranden. Med hänsyn till det anförda anser regeringen att det bör införas ett uttryckligt krav på att den särskilda säkerhetsskyddsbedömningen ska följas av en lämplighetsprövning.
Lämplighetsprövningen ska klarlägga om det aktuella förfarandet kan leda till skadekonsekvenser på nationell nivå och utmynna i en bedömning av om förfarandet är lämpligt från säkerhetsskyddssynpunkt. Bedömningen bör göras med utgångspunkt i den särskilda säkerhetsskyddsbedömningen och övriga omständigheter och innefatta en analys av om det är möjligt att tillgodose de behov av säkerhetsskydd som har identifierats vid den särskilda säkerhetsskyddsbedömningen. Som Swedavia anför kan lämplighetsprövningen vara ett svårt moment för en verksamhetsutövare att genomföra. Syftet med kravet på lämplighetsprövning är dock att alla verksamhetsutövare utifrån sin förmåga och de kunskaper och den information man har tillgång till ska göra en så ambitiös prövning som möjligt av om det aktuella förfarandet är lämpligt från säkerhetsskyddssynpunkt. Som Swedavia också anför kan det dock behövas ytterligare vägledning i vad kravet på lämplighetsprövning innebär.
Förfaranden där andra aktörer får tillgång till säkerhetskänslig verksamhet kan vara olämpliga av olika skäl. Det kan t.ex. handla om utkontraktering av kritisk verksamhet till en aktör i ett land som inte har ingått någon bilateral överenskommelse om säkerhetsskydd med Sverige. Sådana överenskommelser innehåller i regel åtaganden från de berörda länderna att på begäran utfärda säkerhetsintyg för personer med hemvist inom deras territorium. Säkerhetsintyget syftar till att visa att en behörig myndighet i landet har genomfört en utredning och kommit fram till att personen i fråga kan anses pålitlig att hantera säkerhetsskyddsklassificerade uppgifter upp till en viss nivå. Avsaknaden av en överenskommelse om säkerhetsskydd kan innebära att det saknas reella möjligheter till adekvat säkerhetsprövning av personal hos aktören i landet, vilket kan göra förfarandet olämpligt. Det kan också finnas situationer där det är olämpligt att utkontraktera eller inleda någon form av samarbete med en viss aktör. Så kan t.ex. vara fallet om det på grund av motpartens ägarförhållanden eller andra omständigheter finns anledning att anta att den har illojala syften med förfarandet.
Den särskilda säkerhetsskyddsbedömningen och lämplighetsprövningen bör ske innan det aktuella förfarandet inleds. Det är mycket viktigt att verksamhetsutövaren prövar frågan om lämplighet i ett tidigt skede. Detta gäller i synnerhet för myndigheters upphandlingar där det av såväl rättsliga och ekonomiska som praktiska skäl kan vara svårt att avbryta ett påbörjat upphandlingsförfarande. Om lämplighetsprövningen leder fram till bedömningen att förfarandet inte är lämpligt, får det inte inledas. Detta bör framgå uttryckligen av regleringen.
I likhet med vad som gäller i dag vid överlåtelser av säkerhetskänslig verksamhet och viss egendom enligt 2 kap. 8 § säkerhetsskyddslagen, bör verksamhetsutövaren vara skyldig att dokumentera lämplighetsprövningen. Dokumentationen kommer att utgöra ett betydelsefullt underlag både för samrådsprocessen, som behandlas nedan, och för tillsynsmyndigheternas verksamhet.
De föreslagna reglerna om lämplighetsprövning avser delvis förhållandet mellan enskilda och det allmänna och innehåller skyldigheter för enskilda. De bör därför tas in i säkerhetsskyddslagen.
Undantag från skyldigheterna
Lagen (1992:1300) om krigsmateriel och förordningen (1992:1303) om krigsmateriel innehåller bestämmelser om tillstånd för samt skyldigheter avseende krigsmaterielrelaterad verksamhet. Enligt detta regelverk krävs tillstånd för bl.a. tillverkning, tillhandahållande och utförsel från Sverige av krigsmateriel samt för tillhandahållande av tekniskt bistånd avseende krigsmateriel. Tillstånd krävs också för vissa former av upplåtelser och samarbeten med parter i utlandet.
Produkter med dubbla användningsområden regleras i rådets förordning (EG) nr 428/2009 av den 5 maj 2009 om upprättande av en gemenskapsordning för kontroll av export, överföring, förmedling och transitering av produkter med dubbla användningsområden (rådets förordning) och den till rådets förordning kompletterande lagen (2000:1064) om kontroll av produkter med dubbla användningsområden och av tekniskt bistånd. Med produkter med dubbla användningsområden avses produkter som både har en civil användning och kan nyttjas för militära ändamål eller för framställning av massförstörelsevapen och dess bärare. Regelverket innebär bland annat ett krav på tillstånd för export (utförsel utanför EU) och för överföring inom EU av produkter med dubbla användningsområden.
De föreslagna reglerna i säkerhetsskyddslagen och befintligt regelverk om krigsmateriel kan, som ISP anför, komma att få delvis överlappande tillämpningsområden. Det kan konstateras att tillstånd enligt 1 § lagen om krigsmateriel endast får lämnas om det finns säkerhets- eller försvarspolitiska skäl för det och det inte strider mot Sveriges internationella förpliktelser eller Sveriges utrikespolitik i övrigt. Detta innebär att intresset av att värna Sveriges säkerhet beaktas vid tillståndsgivning när det gäller krigsmateriel. Mot denna bakgrund anser regeringen att det inte finns något behov av att nu införa skyldigheter i säkerhetsskyddslagen avseende utkontrakteringar och liknande förfaranden som för att kunna genomföras kräver tillstånd enligt regelverket om krigsmateriel. Sådana förfaranden bör alltså, på motsvarande sätt som gjorts i fråga om överlåtelser av säkerhetskänslig verksamhet, kunna undantas från kravet på särskild säkerhetsskyddsbedömning och lämplighetsprövning. Undantaget kommer därmed att gälla även för skyldigheten att samråda, som behandlas nedan. Föreskrifter om undantag kan lämpligen regleras på förordningsnivå med stöd av ett bemyndigande i säkerhetsskyddslagen.
Även enligt regelverket om produkter med dubbla användningsområden ska nationella utrikes- och säkerhetspolitiska aspekter beaktas vid tillståndsgivningen (artikel 12 i rådets förordning). Det kan enligt regeringen inte uteslutas att en utkontraktering eller ett liknande förfarande skulle kunna omfattas av både de skyldigheter som nu föreslås i säkerhetsskyddslagen och krav på tillstånd enligt regleringen om produkter med dubbla användningsområden. Regeringen kommer att överväga frågan om behovet av undantag i förhållande till den regleringen i det fortsatta förordningsarbetet.
För att undvika överlappande regleringar finns det alltså behov av ett bemyndigande för regeringen att meddela föreskrifter om undantag från de föreslagna skyldigheterna i säkerhetsskyddslagen. Det finns också andra skäl till sådana undantag. Om det finns särskilda skäl bör regeringen därför även få besluta om undantag i enskilda fall. Särskilda skäl för undantag kan exempelvis finnas för en utkontraktering inom försvars- eller underrättelseområdet samt vid höjd beredskap.
De nu föreslagna skyldigheterna att göra en särskild säkerhetsskyddsbedömning och lämplighetsprövning inför förfaranden som kräver säkerhetsskyddsavtal kan även överlappa med de motsvarande krav som gäller vid överlåtelse av säkerhetskänslig verksamhet och viss egendom. Sådana överlåtelser kan innehålla moment som medför krav på säkerhetsskyddsavtal och som därmed också träffas av de nu föreslagna skyldigheterna. Om ett överlåtelseförfarande omfattas av reglerna om överlåtelse av säkerhetskänslig verksamhet bör förfarandet inte också omfattas av de nu föreslagna skyldigheterna att göra en särskild säkerhetsskyddsbedömning och lämplighetsprövning. Samma sak gäller det nedan behandlade förslaget om krav på samråd.
7.3 En utvidgad skyldighet att samråda och en förbudsmöjlighet införs
Regeringens förslag: Om lämplighetsprövningen leder till bedömningen att det planerade förfarandet inte är olämpligt från säkerhetsskyddssynpunkt, ska verksamhetsutövaren i vissa fall vara skyldig att samråda med tillsynsmyndigheten innan den inleder förfarandet. Samrådsskyldighet ska föreligga om det planerade förfarandet innebär att den andra aktören kan få tillgång till
1. säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen hemlig eller högre, eller
2. annan säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet.
Tillsynsmyndigheten ska få förelägga verksamhetsutövaren att vidta åtgärder enligt säkerhetsskyddslagen och de föreskrifter som har meddelats i anslutning till den lagen.
Om verksamhetsutövaren inte samråder med tillsynsmyndigheten trots att det finns en skyldighet att göra det, ska tillsynsmyndigheten få inleda samrådet.
Om ett beslut om föreläggande inte följs eller om tillsynsmyndigheten bedömer att det planerade förfarandet är olämpligt från säkerhetsskyddssynpunkt även om ytterligare åtgärder vidtas, ska tillsynsmyndigheten få besluta att verksamhetsutövaren inte får genomföra det planerade förfarandet (förbud).
Utredningens förslag överensstämmer delvis med regeringens. Utredningen föreslår dock att samrådsskyldighet ska föreligga i tre särskilda fall. Dessa är om förfarandet innebär att den andra aktören får tillgång till eller möjlighet att förvara säkerhetsskyddsklassade uppgifter i säkerhetsskyddsklassen hemlig eller högre utanför verksamhetsutövarens lokaler, om förfarandet utgör en upplåtelse som kan ge den andra aktören tillgång till säkerhetskänslig verksamhet i övrigt av motsvarande betydelse för Sveriges säkerhet eller om det ger den andra aktören tillgång till informationssystem utanför verksamhetsutövarens lokaler och åtkomst till systemen kan medföra allvarlig skada för Sveriges säkerhet. Vidare föreslår utredningen en uttrycklig bestämmelse om att tillsynsmyndigheten ska få besluta att förelägganden ska gälla omedelbart och att det ska införas undantag från vissa av reglerna i förvaltningslagen (2017:900) om försenad handläggning. Utredningen föreslår också att förelägganden och förbud ska kunna kompletteras med tvångsåtgärder.
Remissinstanserna: Många remissinstanser tillstyrker eller har inte några invändningar mot förslagen. Försvarets materielverk (FMV) och Försvarets radioanstalt (FRA) avstyrker förslaget om samråd och förbud. FMV föreslår - i stället för ett krav på samråd - ett krav på anmälan till tillsynsmyndigheten och krav på samverkan som ger tillsynsmyndigheten möjlighet att yttra sig kring säkerhetsskyddets utformning. FRA väcker frågan om och hur en myndighetslednings ansvar för att genomföra myndighetens verksamhet i enlighet med regeringens uppdrag påverkas för det fall tillsynsmyndigheten förbjuder ett förfarande som har direkt påverkan på möjligheten att bedriva verksamheten. Kammarrätten i Stockholm anser att ett tillståndsförfarande i stället borde övervägas då den föreslagna ordningen visar stora likheter med ett sådant. Om så inte sker anser kammarrätten att samrådsförfarandet bör specificeras, särskilt eftersom en sanktionsavgift kan komma att tas ut om samrådsskyldigheten inte fullgörs. Kammarrätten anser vidare att det bör övervägas om tillsynsmyndigheten ska få besluta att ett förbud ska gälla omedelbart, eftersom förbud endast kommer att aktualiseras när det kan uppstå en allvarlig skada eller synnerligen allvarlig skada för Sveriges säkerhet. Dessutom menar kammarrätten att befogenheten att besluta åtgärdsförelägganden under samråd överlappar med möjligheten att besluta förelägganden vid tillsyn, vilket enligt kammarrätten kan leda till tillämpningsproblem. Totalförsvarets forskningsinstitut (FOI) påpekar att den föreslagna omfattningen av samrådsskyldigheten innebär att FOI måste samråda i varje fall då ett säkerhetsskyddsavtal upprättas med en motpart, vilket enligt FOI inte är motiverat. FOI anser att skyldigheten att samråda i första hand bör gälla i mer komplexa eller svårbedömda ärenden. Trafikverket avstyrker att samråd ska ske med tillsynsmyndigheterna och menar att det är bättre att ge Säkerhetspolisen och Försvarsmakten, som har tillgång till underrättelseuppgifter som kan vara av betydelse, ett veto vid utkontraktering. Trafikverket ifrågasätter vidare varför samrådsskyldigheten, med undantag för upplåtelser, inte omfattar situationer där den andra aktören ges tillgång till säkerhetskänslig verksamhet i övrigt. Trafikverket ifrågasätter också utredningens resonemang om att förfaranden som ändrar karaktär kan omfattas av samrådsskyldighet efter hand. Trafikverket påpekar i denna del att ett samråd kan få till följd att en myndighet i praktiken blir tvungen att avbryta en pågående affärsrelation vilket kan få juridiska och ekonomiska konsekvenser. Vattenfall AB ser problem med den föreslagna ordningen för koncerner och föreslår att en koncern i vissa fall ska kunna anses vara en verksamhetsutövare, med följd att vissa koncerninterna förfaranden inte kommer omfattas av kravet på samråd. Säkerhets- och försvarsföretagen anser att förslagen kommer innebära en väsentligt ökad administration för såväl enskilda som myndigheter och att de därför inte står i proportion till de fördelar de skulle innebära. Ett flertal remissinstanser påpekar vikten att samrådsförfarandet görs skyndsamt för att inte fördröja t.ex. upphandlingsprocesser. Försäkringskassan och Luleå kommun anser att det bör införas ett skyndsamhetskrav för tillsynsmyndigheterna. Lidingö kommun anser att det bör anges att samråd ska ske inom viss tid. Svenskt Näringsliv framhåller att beslut om förbud bör fattas av regeringen snarare än tillsynsmyndigheterna eftersom regeringen har bättre förutsättningar att ha ett mer holistiskt perspektiv. Region Kronoberg framhåller att tillsynsmyndigheternas möjligheter att förbjuda utkontraktering måste användas restriktivt. Riksdagens ombudsmän (JO) avstyrker utredningens förslag om tvångsåtgärder och anför att det kräver en djupare analys. Svenska bankföreningen anför att bankers outsourcing redan är reglerad och innefattar krav på samråd med Finansinspektionen. Föreningen anser att Finansinspektionen och Säkerhetspolisen bör samordna sin hantering av dessa ärenden. Den anser också att samordningsmyndigheterna bör få rätt att föreskriva om undantag från bestämmelser i säkerhetsskyddslagen där dubbelreglering förekommer.
Skälen för regeringens förslag
Skyldigheten att samråda bör utvidgas
Enligt 2 kap. 6 § säkerhetsskyddsförordningen gäller ett antal skyldigheter för statliga myndigheter som avser att genomföra vissa upphandlingar som innebär krav på säkerhetsskyddsavtal. Utöver skyldigheten att göra en särskild säkerhetsskyddsbedömning - som regeringen föreslår ska utvidgas och kompletteras med ett uttryckligt krav på lämplighetsprövning - innehåller paragrafen ett krav på att den upphandlande myndigheten innan upphandlingsförfarandet inleds ska samråda med tillsynsmyndigheten. Tillsynsmyndigheten får därvid förelägga myndigheten att vidta åtgärder enligt säkerhetsskyddslagstiftningen och - ytterst - besluta att myndigheten inte får genomföra upphandlingen.
Som framgår av avsnitt 7.1 kan utkontraktering av säkerhetskänslig verksamhet och liknande förfaranden innebära stora risker för Sveriges säkerhet. Vilka åtgärder som bör vidtas för att skydda känsliga uppgifter eller verksamheter kan vara en komplex bedömning. Det finns därför starka skäl för att ställa krav på verksamhetsutövare att, utöver att göra en särskild säkerhetsskyddsbedömning och lämplighetsprövning, i vissa fall samråda med en utpekad myndighet innan ett sådant förfarande inleds. Ett sådant krav på samråd motsvarar vad som redan gäller inför överlåtelser av säkerhetskänslig verksamhet och viss egendom.
Regeringen delar inte FMV:s uppfattning om att det är tillräckligt med ett krav på anmälan till och samverkan med tillsynsmyndigheten i utkontrakteringssituationer. Regeringen delar inte heller Kammarrätten i Stockholms bedömning att ett tillståndsförfarande bör användas i stället för samråd. Utkontraktering och liknande förfaranden kan medföra komplexa frågeställningar där möjligheten att t.ex. lägga ut verksamhet på entreprenad behöver vägas mot vilka konsekvenser som förfarandet kan ha för Sveriges säkerhet. Ett samrådsförfarande möjliggör för verksamhetsutövaren att kunna föra en dialog med myndigheten om hur utkontrakteringen ska kunna genomföras, vilket alltså också är i linje med vad som nu gäller för samrådsförfaranden vid överlåtelser (se prop. 2020/21:13 s. 20). Ett samrådsförfarande innebär enligt regeringen en mer flexibel lösning än ett tillståndsförfarande.
Skyldigheten att samråda enligt 2 kap. 6 § säkerhetsskyddsförordningen gäller, som tidigare beskrivits, bara för vissa statliga myndigheters upphandlingar. Regeringen föreslår ovan att skyldigheten att utföra en särskild säkerhetsskyddsbedömning och lämplighetsprövning ska gälla för alla verksamhetsutövare och inte vara begränsad till upphandlingar, eller för den delen utkontrakteringar eller upplåtelser. I stället föreslås att det ska gälla för alla förfaranden som omfattas av det föreslagna kravet på att ingå säkerhetsskyddsavtal. Skälen för detta gör sig gällande även i fråga om krav på samråd. Även detta krav bör alltså gälla för alla verksamhetsutövare, oavsett om det är en myndighet, kommun, region eller enskild. Vidare bör det inte vara begränsat till upphandlingar, utan gälla alla de typer av förfaranden som enligt regeringens förslag kan medföra krav på säkerhetsskyddsavtal.
Skyldigheten att samråda bör gälla i vissa särskilt angelägna situationer
Det finns anledning att begränsa skyldigheten att samråda till att gälla de mest angelägna fallen. Vid utformningen av regleringen måste intresset av att motverka ur säkerhetsskyddssynpunkt olämpliga förfaranden vägas mot intresset av att inte göra systemet för ingripande och kostnadsdrivande för verksamhetsutövarna. Det är också av vikt att bestämmelserna inte innebär en onödigt stor arbetsbelastning för myndigheterna som ska ansvara för samrådet. En stor ärendemängd kan leda till långa handläggningstider, vilket i sin tur kan medföra stora nackdelar för verksamhetsutövarna. Regeringen delar därför FOI:s uppfattning om att en ordning som innebär att samrådsskyldighet föreligger i samtliga fall då det finns en skyldighet att ingå säkerhetsskyddsavtal, inte framstår som lämplig.
Utredningen har delvis med förebild av 2 kap. 6 § säkerhetsskydds-förordningen föreslagit att samrådsskyldighet ska föreligga i tre situationer, nämligen om förfarandet innebär att den andra aktören får tillgång till eller möjlighet att förvara säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen hemlig eller högre utanför verksamhetsutövarens lokaler, om förfarandet utgör en upplåtelse som kan ge den andra aktören tillgång till säkerhetskänslig verksamhet i övrigt av motsvarande betydelse för Sveriges säkerhet eller om förfarandet ger den andra aktören tillgång till informationssystem utanför verksamhetsutövarens lokaler och åtkomst till systemen kan medföra allvarlig skada för Sveriges säkerhet.
Regeringen anser i likhet med utredningen att skyldigheten att samråda först och främst bör gälla om förfarandet kan ge den andra aktören tillgång till uppgifter i säkerhetsskyddsklassen hemlig eller högre. Till skillnad från utredningen bedömer regeringen dock inte att det finns skäl att begränsa samrådskravet till att endast gälla vid tillgång utanför verksamhetsutövarens lokaler. Även tillgång till uppgifter inom en verksamhetsutövares lokaler kan innebära sårbarheter och risker som motiverar ett samrådskrav. Enligt regeringen innefattar begreppet "tillgång till uppgifter" en möjlighet att förvara uppgifter. Det behöver därför inte särskilt anges att förvaring av uppgifter medför krav på samråd. Genom att begränsa kravet till att gälla exponering av säkerhetsskyddsklassificerade uppgifter i de två högsta säkerhetsskyddsklasserna uppnås enligt regeringen en lämplig avvägning mellan intresset av att motverka olämpliga förfaranden och intresset av att inte göra systemet för ingripande och resurskrävande.
En skyldighet att samråda bör enligt regeringen vidare gälla om förfarandet kan ge den andra aktören tillgång till annan säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet, dvs. verksamhet där ett angrepp kan medföra allvarlig skada för Sveriges säkerhet. Till skillnad från utredningen och i likhet med Trafikverket anser regeringen alltså inte att samrådsskyldigheten i denna del bör begränsas till att bara gälla förfaranden som utgör upplåtelser. Regeringen delar i och för sig utredningens uppfattning att upplåtelser av säkerhetskänslig verksamhet, t.ex. uthyrning av en lokal som används i verksamheten, kan innebära att den andra aktören får tillgång till verksamheten på ett sätt som kan medföra en möjlighet att skada den och att detta kan utgöra skäl för ett samråd. Emellertid kan även andra typer av förfaranden, såsom samarbetsavtal och underhållsavtal, medföra en sådan från säkerhetsskyddssynpunkt olämplig exponering av verksamheten. Det framstår därför som omotiverat att begränsa samrådsskyldigheten i denna del till upplåtelser. Uttrycket "tillgång till annan säkerhetskänslig verksamhet" innefattar bl.a. tillgång till sådana informationssystem som nämns särskilt i utredningens förslag. Ett sådant system kan innehålla stora informationsmängder och ha ett högt skyddsvärde, även om uppgifterna som hanteras i systemet inte är säkerhetsskyddsklassificerade. Som regeringen tidigare har framhållit finns ett stort behov av att skydda sådana system (prop. 2017/18:89 s. 34 och 70). Någon särskild reglering avseende tillgång till sådana system behövs dock inte.
Sammantaget bedömer regeringen alltså att en verksamhetsutövare bör ha en samrådsskyldighet i två situationer, givet att det är fråga om ett förfarande som omfattas av krav på säkerhetsskyddsavtal. Den första situationen är om förfarandet kan ge den andra aktören tillgång till säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen hemlig eller högre. Den andra är om förfarandet kan ge den andra aktören tillgång till annan säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet. Regleringen kommer därmed att baseras på samma förutsättningar som kravet på säkerhetsskyddsavtal, med den skillnaden att samrådskravet gäller först vid exponering av hemliga eller kvalificerat hemliga uppgifter eller annan säkerhetskänslig verksamhet av motsvarande betydelse.
För att undvika kringgående av de föreslagna reglerna bör det även införas en möjlighet för tillsynsmyndigheten att inleda ett samråd, om verksamhetsutövaren inte gör det trots att det finns en samrådsskyldighet.
Regeringen anser, i linje med vad som tidigare anförts om kravet på säkerhetsskyddsavtal inom koncerner (se avsnitt 6.1) och till skillnad från Vattenfall AB, inte att det finns skäl att undanta koncerninterna förfaranden från kravet på samråd. Det förhållandet att samrådsskyldigheten, till skillnad från kravet på säkerhetsskyddsavtal, endast kommer att gälla förfaranden som ger den andra aktören tillgång till hemliga eller kvalificerat hemliga uppgifter eller verksamhet av motsvarande betydelse, bör dessutom innebära att antalet samråd begränsas betydligt inom de flesta koncerner.
Tillsynsmyndigheten bör ansvara för samrådet
En fråga som inställer sig när samrådsskyldigheten ska utökas till att gälla fler verksamhetsutövare, är om samråd ska ske med den myndighet som är tillsynsmyndighet för verksamhetsutövaren i fråga eller om samrådsansvaret, som Trafikverket föreslår, ska fördelas mellan Säkerhetspolisen och Försvarsmakten. Det sistnämnda alternativet har flera fördelar, bl.a. att endast Säkerhetspolisen och Försvarsmakten har den samlade bilden av hoten mot Sveriges säkerhet och Sveriges samlade skyddsvärden, vilket kan vara av värde vid samrådet. De myndigheterna har därtill redan rekryterat för och i övrigt byggt upp en samrådsverksamhet. Det finns emellertid även nackdelar med att samla samrådsansvaret hos dessa myndigheter. En sådan är att det kan medföra en kännbar ökning av deras arbetsbelastning. En annan nackdel är att Säkerhetspolisen och Försvarsmakten inte har samma nivå av sakkunskap om verksamheten på de olika verksamhetsområdena som de övriga tillsynsmyndigheterna. En uppdelning av samrådsansvaret mellan tillsynsmyndigheterna skulle också vara mer i linje med de förslag om tillsynsbefogenheter och ingripandemöjligheter för tillsynsmyndigheterna som lämnas i avsnitt 8 och 9. Sammantaget anser regeringen, i motsats till Trafikverket, att övervägande skäl talar för att samrådsansvaret bör fördelas mellan tillsynsmyndigheterna utifrån deras respektive ansvarsområde.
I sammanhanget bör framhållas att utredningen föreslår att det i säkerhetsskyddsförordningen ska införas en skyldighet för tillsynsmyndigheterna att i vissa fall ge Säkerhetspolisen respektive Försvarsmakten tillfälle att yttra sig innan ett samråd avslutas, så att deras unika kunskaper om bl.a. hotbilder vid behov kan tillföras ärendet. Därigenom får dessa myndigheter ett inflytande i linje med vad Trafikverket efterfrågat. Regeringen återkommer i det fortsatta förordningsarbetet till frågan om Säkerhetspolisens och Försvarsmaktens rätt att yttra sig under samråd.
När samrådet bör inledas
För att samrådet ska vara verkningsfullt och motverka potentiellt skadlig exponering av uppgifter eller verksamhet i övrigt, bör det påbörjas innan verksamhetsutövaren inleder det förfarande som medför krav på samråd.
Det kan inträffa att förfaranden ändrar karaktär efter att de inletts. Exempelvis kan det förekomma att ett visst samarbete inte varit avsett att innehålla moment som aktualiserar samrådsskyldighet, men att det efter viss tid visar sig finnas ett sådant behov. Regeringen instämmer i utredningens bedömning att det utökade samarbetet i ett sådant fall bör ses som ett förfarande som omfattas av samrådsskyldighet, varför verksamhetsutövaren bör vara skyldig att samråda med tillsynsmyndigheten innan det aktuella momentet påbörjas. Vad Trafikverket anfört om att detta kan få bl.a. ekonomiska konsekvenser för verksamhetsutövaren, föranleder ingen annan bedömning.
Hur samrådet bör genomföras
En naturlig utgångspunkt är att verksamhetsutövaren inleder samrådet genom att ge in dokumentationen av den särskilda säkerhetsskyddsbedömningen och lämplighetsprövningen samt eventuellt utkast till säkerhetsskyddsavtal till tillsynsmyndigheten. Vilket underlag i övrigt som är nödvändigt för att tillsynsmyndigheten ska kunna göra en fullständig bedömning kan variera beroende på vad för typ av förfarande det är fråga om. När det är fråga om ett förfarande som omfattas av upphandlingslagstiftningen bör även upphandlingsdokument med bilagor ges in. I andra fall bör en beskrivning av det planerade förfarandet ges in, liksom eventuell dokumentation avseende förfarandet. I många fall kan verksamhetsutövaren även behöva ge tillsynsmyndigheten tillgång till sin säkerhetsskyddsanalys.
Tillsynsmyndigheten bör vid samrådet bedöma om det aktuella förfarandet kräver att ytterligare åtgärder vidtas. Det kan t.ex. gälla att förbättra kravställningen i säkerhetsskyddsavtalet. Det är dock fortfarande verksamhetsutövaren som har ansvar för sina skyddsvärden och hur säkerhetsskyddet utformas i detalj. Hur omfattande samrådet behöver vara får avgöras med hänsyn till omständigheterna i det särskilda fallet. I vissa fall kan det vara enkelt att konstatera att ett förfarande inte är problematiskt från säkerhetsskyddssynpunkt, t.ex. för att det rör sig om en mindre och tydligt avgränsad exponering av den säkerhetskänsliga verksamheten som kan hanteras genom ett säkerhetsskyddsavtal. Då kan tillsynsmyndigheten relativt omgående avsluta samrådet utan vidare åtgärd. Regeringen delar därför inte Säkerhets- och försvarsföretagens uppfattning att förslaget kommer innebära en ökad administration som är oproportionerlig.
Utgångspunkten bör vara att samrådet ska ha avslutats innan det planerade förfarandet inleds. Det innebär bl.a. att en offentlig upphandling som utgångspunkt inte får påbörjas innan samrådet har genomförts. Om tillsynsmyndigheten bedömer det som nödvändigt bör den dock kunna ge klartecken till att en upphandlingsprocess påbörjas och att samrådet ska pågå fortlöpande under upphandlingsprocessen. När tillsynsmyndigheten bedömer att syftet med samrådet har uppfyllts och att verksamhetsutövaren kan gå vidare med det planerade förfarandet bör tillsynsmyndigheten fatta ett beslut om att avsluta samrådet utan vidare åtgärd.
Som framgår i avsnitt 3 har riksdagen tillkännagett för regeringen att den ställer sig bakom det som utskottet anför om tidsbegränsning av samrådsmyndighetens handläggningstid (bet. 2020/21:JuU10 punkt 2, rskr. 2020/21:79). Av tillkännagivandet framgår bl.a. att riksdagen anser att det skulle leda till ökad tydlighet och förutsebarhet för verksamhetsutövare om en tidsbegränsning av handläggning av samrådsärenden införs (bet. 2020/21:JuU10 s. 14 f.). Även Försäkringskassan, Luleå kommun och Lidingö kommun anser att tillsynsmyndighetens handläggningstid vid samrådsförfarandet bör regleras genom införande av en sådan begränsning eller ett skyndsamhetskrav. Av förvaltningslagen, som är tillämplig vid tillsynsmyndighetens handläggning av samrådsärenden (se avsnitt 7.5 nedan), följer att alla ärenden ska handläggas så enkelt, snabbt och kostnadseffektivt som möjligt utan att rättssäkerheten eftersätts (9 § första stycket förvaltningslagen). Enligt förvaltningslagen har en enskild vidare rätt att begära att ett ärende ska avgöras om handläggningen i första instans har pågått i sex månader, varpå den handläggande myndigheten inom fyra veckor antingen ska avgöra ärendet eller avslå begäran (12 § förvaltningslagen). Regeringen anser, till skillnad från utredningen, att den möjligheten bör finnas även i samrådsärenden. Det saknas tillräckligt beredningsunderlag för att i detta lagstiftningsärende därutöver införa särskilda bestämmelser om skyndsamhet eller tidsgränser för handläggningen. Regeringen kommer dock fortsätta att följa frågan. Tillkännagivandet är inte slutbehandlat.
Kammarrätten i Stockholm efterfrågar klargöranden om handläggningen av samrådsärenden, exempelvis hur samrådet ska initieras och vad som krävs för att samrådsskyldigheten ska anses fullgjord. Närmare bestämmelser om detta bör enligt regeringen lämpligen meddelas genom förordning eller myndighetsföreskrifter.
Förelägganden under samrådet
Tillsynsmyndigheten bör på samma sätt som enligt den befintliga regleringen, inom ramen för samrådet få besluta att förelägga verksamhetsutövaren att vidta åtgärder för att fullgöra sina skyldigheter enligt säkerhetsskyddslagen och föreskrifter som har meddelats i anslutning till den lagen. Ett föreläggande kan exempelvis gälla vad en verksamhetsutövare behöver förbättra i fråga om säkerhetsåtgärderna som anges i 2 kap. 2-4 §§ säkerhetsskyddslagen, dvs. informationssäkerhet, personalsäkerhet och fysisk säkerhet. Föreläggandet bör också kunna innebära att verksamhetsutövaren vid en senare tidpunkt under samrådsförfarandet ska återrapportera till tillsynsmyndigheten hur olika åtgärder har genomförts. I samrådet fyller alltså föreläggandet funktionen att beskriva vad som behöver göras för att det planerade förfarandet ska vara godtagbart från säkerhetsskyddssynpunkt.
Föreläggandena behöver inte kunna förenas med vite. Huvudskälet till detta är, som utvecklas nedan, att följden av att inte följa ett föreläggande är att det planerade förfarandet inte får genomföras. Något ytterligare incitament för verksamhetsutövaren att följa föreläggandet behövs inte.
Befogenheten att besluta förelägganden kommer - som Kammarrätten i Stockholm påpekar - till viss del att överlappa med den befogenhet att besluta om åtgärdsförelägganden som tillsynsmyndigheterna enligt förslaget i avsnitt 9.2.1 kommer att ha vid tillsyn. Det handlar dock om förelägganden under två olika förfaranden - samråd respektive tillsyn. Regeringens uppfattning är att såväl pedagogiska som strukturella skäl talar för att införa en särskild bestämmelse om föreläggande under samråd.
Regeringen ser till skillnad från utredningen inget behov av en särskild bestämmelse i säkerhetsskyddslagen om att tillsynsmyndigheten ska få besluta att ett föreläggande under samrådet ska gälla omedelbart. Som framgår i avsnitt 7.5 är förvaltningslagen tillämplig vid tillsynsmyndigheternas handläggning av samrådsärenden. Av 35 § förvaltningslagen framgår att beslut i vissa fall får verkställas omedelbart. Någon ytterligare reglering om omedelbar verkställighet krävs inte.
Beslut att ett förfarande inte får genomföras (förbud)
Skyddet av Sveriges säkerhet är ett mycket viktigt allmänt intresse och det är av stor vikt att det finns en möjlighet att förhindra att förfaranden som kan skada Sveriges säkerhet genomförs. Regeringen anser därför, till skillnad från FMV och trots de problem som FRA pekar på, att tillsynsmyndigheten bör ha möjlighet att besluta att förfaranden som är olämpliga från säkerhetsskyddssynpunkt inte ska få genomföras. En sådan möjlighet finns redan i dag enligt 2 kap. 6 § tredje stycket säkerhetsskyddsförordningen, beträffande de statliga upphandlingar som den paragrafen gäller. Ett förbud bör kunna aktualiseras dels när ett meddelat föreläggande inte följs, dels när förfarandet bedöms olämpligt även om ytterligare åtgärder vidtas.
Svenskt Näringsliv förordar att beslut om förbud bör fattas av regeringen. Regeringen anser dock att befogenheten att meddela sådana beslut bör tillkomma respektive tillsynsmyndighet, bl.a. eftersom tillsynsmyndigheten genom samrådet redan är insatt i ärendet vilket både sparar resurser och förkortar handläggningstiden. Ett sådant förfarande är också i linje med vad som gäller för överlåtelser av säkerhetskänslig verksamhet. Som framgår i avsnitt 10 föreslås emellertid att överklagande av förbudsbeslut ska ske till regeringen.
Ett beslut om att förbjuda ett visst förfarande är en mycket långtgående åtgärd och bör, som Region Kronoberg framhåller, användas restriktivt. Som utvecklas i avsnitt 7.6.1 måste tillsynsmyndigheten också i varje enskilt fall göra en proportionalitetsbedömning. Proportionalitetsprincipen är en central rättsprincip inom både EU-rätten och svensk rätt och kommer numera även till uttryck i 5 § tredje stycket förvaltningslagen. Kravet på proportionalitet innebär bl.a. att tillsynsmyndigheten när den överväger att förbjuda ett visst förfarande måste väga de potentiella skadekonsekvenserna för Sveriges säkerhet som förfarandet kan medföra mot de skador eller olägenheter som orsakas motstående intressen genom förbudet.
Det är inte möjligt att i författning närmare beskriva vilka situationer som skulle kunna medföra ett beslut om förbud. Proportionalitetsbedömningen innebär dock att ett sådant beslut ska ses som en sista utväg. Ett förbud kan t.ex. behöva beslutas om det inte är möjligt att genomföra säkerhetsprövning av personal hos motparten, om motparten är ett företag som fungerar som bulvan för en aktör med antagonistiska syften eller om det är fråga om så skyddsvärda uppgifter att det inte är lämpligt att utomstående får möjlighet att hantera dem utanför verksamhetsutövarens lokaler även med beaktande av ett väl utformat säkerhetsskyddsavtal.
Kammarrätten i Stockholm anser att det bör övervägas om tillsynsmyndigheten ska få besluta att ett förbud ska gälla omedelbart, eftersom förbud endast kommer att aktualiseras när det kan uppstå en allvarlig skada för Sveriges säkerhet. Som framgår i avsnitt 7.5 kommer förvaltningslagen att vara tillämplig på tillsynsmyndigheternas handläggning av samrådsärenden. Av 35 § andra stycket den lagen framgår att en myndighet får verkställa ett beslut omedelbart i vissa fall, bl.a. om ett väsentligt allmänt intresse kräver det. Någon ytterligare reglering avseende omedelbar verkställighet är inte nödvändig.
Bestämmelserna bör framgå av lag
Bestämmelserna om samråd, förelägganden och förbud kommer med den utvidgning som regeringen föreslår delvis att avse förhållanden mellan enskilda och det allmänna. De innehåller också skyldigheter för enskilda. De bör därför tas in i säkerhetsskyddslagen.
Som framgår i avsnitt 3 har riksdagen tillkännagett för regeringen att den ställer sig bakom det som utskottet anför om att tillsynsmyndigheternas ansvar och befogenheter ska regleras i säkerhetsskyddslagen (bet. 2017/18:JuU21 punkt 3, rskr. 2017/18:289). Av tillkännagivandet framgår att riksdagen anser att tillsynsmyndigheternas ansvar när det gäller bl.a. tillsyn och möjligheter att stoppa en överlåtelse eller utkontraktering av säkerhetskänslig verksamhet är av sådan vikt att befogenheterna bör regleras i lag (bet. 2017/18:JuU21 s. 20). Tillkännagivandet har delvis tillgodosetts genom de bestämmelser i säkerhetsskyddslagen om överlåtelse av säkerhetskänslig verksamhet som trädde i kraft den 1 januari 2021. Genom de nu redovisade förslagen om samråd, förelägganden och förbud vid utkontrakteringar och de i avsnitt 8.3 behandlade förslagen om tillsynsbefogenheter, bedömer regeringen att tillkännagivandet är helt tillgodosett och därmed slutbehandlat.
Tvångsåtgärder
Utredningen bedömer att det i vissa fall kan finnas ett behov av att tillgripa tvångsåtgärder för att syftet med förelägganden och förbud under samrådsprocessen inte ska motverkas. Den föreslår därför att tillsynsmyndigheten, om ett föreläggande eller förbud meddelas, ska kunna ansöka hos Stockholms tingsrätt om sådana tvångsåtgärder som avses i 15 kap. 1-3 §§ rättegångsbalken, dvs. bl.a. kvarstad. Förslaget gäller även sådana förelägganden som avser ingripande i efterhand som behandlas i nästa avsnitt.
Bestämmelserna i 15 kap. 1-3 §§ rättegångsbalken är avsedda att tillämpas i tvister som avser tillvaratagande av parters enskilda rätt. JO anser att bestämmelserna redan av den anledningen är mindre lämpade att använda när det allmänna genom en myndighet ansöker om tvångsåtgärder och att ledning i stället bör hämtas från tvångsåtgärder där det offentliga ingriper mot enskilda. JO påtalar också att utredningens förslag om att väsentliga delar av bestämmelserna inte ska tillämpas riskerar att leda till tolkningssvårigheter och att det framstår som mest förutsebart och rättssäkert att reglera de tvångsmedel det finns behov av i de nu aktuella situationerna direkt i säkerhetsskyddslagstiftningen.
Regeringen instämmer delvis i de synpunkter som JO för fram och noterar att det finns bestämmelser om tvångsåtgärder där det offentliga ingriper mot enskilda i annan lagstiftning, t.ex. på skatteområdet, som skulle kunna tjäna som förebild för en reglering avseende tvångsåtgärder på säkerhetsskyddsområdet. Regeringen ser också, i likhet med JO, vissa fördelar med att samla bestämmelserna om tvångsåtgärder i en och samma lag. Det saknas dock beredningsunderlag för att överväga en sådan ordning i detta lagstiftningsärende.
Regeringen anser sammantaget att frågan om tvångsåtgärder i de nu aktuella situationerna behöver övervägas ytterligare.
Förslagets förhållande till vissa angränsande regelverk
Som framgår i avsnitt 7.2 ovan, anser regeringen att det kan finnas behov av att undanta vissa förfaranden från de nu föreslagna skyldigheterna, bl.a. för att undvika parallella prövningar enligt överlappande regler som tillgodoser samma skyddsintressen som säkerhetsskyddslagen.
Utöver de överlappande regelverk som nämns i avsnitt 7.2 finns - som Svenska bankföreningen framhåller - även vissa överlappande bestämmelser rörande bankers möjlighet att utkontraktera verksamhet i lagen (2004:297) om bank- och finansieringsrörelse (LBF). Bestämmelserna i LBF innebär att kreditinstitut som omfattas av lagen och vill uppdra åt någon att utföra vissa angivna tjänster ska anmäla det till Finansinspektionen. Sådana uppdrag får, enligt bestämmelserna, endast ges under vissa förutsättningar. Regeringen konstaterar att den nu föreslagna samrådsskyldigheten och prövningen enligt LBF har olika syften och skyddsintressen. Det är därför godtagbart att ett förfarande kan komma att omfattas av båda regelverken. Regeringen anser därför, till skillnad från föreningen, inte att det krävs några bestämmelser om undantag avseende förfaranden som omfattas av LBF.
7.4 Möjlighet att ingripa i efterhand
Regeringens förslag: Om ett pågående förfarande som omfattas av ett krav på säkerhetsskyddsavtal är olämpligt från säkerhetsskyddssynpunkt, ska tillsynsmyndigheten få besluta om de förelägganden mot verksamhetsutövaren och den andra aktören i förfarandet som behövs för att förhindra skada för Sveriges säkerhet.
Ett sådant beslut om föreläggande ska få förenas med vite.
Utredningens förslag överensstämmer i huvudsak med regeringens. Utredningen föreslår dock även en bestämmelse om att tillsynsmyndigheten ska kunna bestämma att beslut om föreläggande ska gälla omedelbart.
Remissinstanserna: En majoritet av remissinstanserna tillstyrker eller har inte några invändningar mot förslaget. FMV avstyrker förslaget. Flera remissinstanser, bl.a. Vattenfall AB och Evry AB, anser att förslaget kan leda till avtalsrättsliga problem och negativa ekonomiska konsekvenser. Lidingö kommun anser inte att en tillsynsmyndighet ska kunna rikta åtgärdsförelägganden mot en utomstående part, t.ex. en leverantör som upphandlats av en kommun. En sådan ordning kan, enligt kommunen, bl.a. leda till att kommunen inte får kännedom om och tar fullt ansvar för tillkommande krav som tillsynsmyndigheten ställer samt oklarheter kring t.ex. om det är kommunen eller tillsynsmyndigheten som ska stå för tillkommande kostnader som den utomstående parten drabbas av. Kommunen menar också att tillsynsmyndighetens krav kan innebära en väsentlig förändring av upphandlingsföremålet som medför att kommunen kan behöva göra om upphandlingen och då riskerar att bli skadeståndsskyldig. Det finns enligt kommunen en risk för att dessa oklarheter leder till färre anbudsgivare och dyrare upphandlingar. Svenska bankföreningen framhåller att banker bedriver tillståndspliktig verksamhet under Finansinspektionens tillsyn och att det finns omfattande regler om outsourcing i det aktuella regelverket. Föreningen anser att Finansinspektionen redan i dag har den ingripandemöjlighet som föreslås och att det därmed riskerar att uppstå en dubbelreglering på området som ger upphov till rättsosäkerhet.
Skälen för regeringens förslag
Det behövs en möjlighet att ingripa under ett pågående förfarande
Säkerhetsskyddslagstiftningen innehåller inga skarpa verktyg som tillsynsmyndigheten kan använda för att ingripa i pågående avtalsförhållanden, samarbeten och samverkan som bedöms som olämpliga. Tillsynsmyndigheten kan i en sådan situation uppmana verksamhetsutövaren att vidta åtgärder men i praktiken står det i dessa fall verksamhetsutövaren fritt att välja om uppmaningen ska följas och hur skyndsamt det ska ske.
De föreslagna bestämmelserna om samråd, förelägganden och förbud syftar till att förebygga att verksamhetsutövare påbörjar förfaranden som är olämpliga från säkerhetsskyddssynpunkt. Det kan dock, trots dessa regler, inte uteslutas att det ändå inträffar att förfaranden påbörjas och först därefter bedöms som olämpliga. En sådan situation skulle exempelvis kunna uppstå om verksamhetsutövaren felaktigt bedömer att förfarandet inte omfattas krav på samråd. En sådan situation skulle också kunna inträffa om väsentliga förhållanden, avseende t.ex. hotbilder eller den säkerhetskänsliga verksamhetens karaktär, ändras efter det att förfarandet har inletts.
Enligt regeringen är det inte acceptabelt att det saknas en möjlighet att ingripa mot ett pågående förfarande som kan orsaka skada för Sveriges säkerhet. Regeringen anser därför, i motsats till FMV, att det bör införas en sådan ingripandemöjlighet. Som Vattenfall AB och Evry AB påpekar kan regler om ingripanden i efterhand få vissa negativa följder för de inblandade parterna. Möjligheterna till ingripande bör därför inte vara mer långtgående än vad som krävs i det enskilda fallet och ingripande bör endast få ske när det är befogat med hänsyn till de intressen som står på spel.
Tillsynsmyndigheten bör få ingripa genom föreläggande
Vilka möjligheter till ingripande i pågående förfaranden som det finns behov av kan variera från fall till fall. I vissa fall kan ett förfarande till följd av exempelvis ändrade förhållanden bli olämpligt i sin helhet vilket medför behov av att helt kunna stoppa detsamma. I andra fall kan förfarandet vara lämpligt i huvudsak men innehålla vissa olämpliga moment, t.ex. att vissa särskilt känsliga uppgifter hanteras av verksamhetsutövarens motpart. I ett sådant fall kan det vara tillräckligt med en möjlighet att få verksamhetsutövaren att återta kontrollen av just dessa uppgifter men att förfarandet i övrigt kan fortgå. Ingripandeverktyget bör således ha en viss flexibilitet. I likhet med utredningen anser regeringen därför att bestämmelser om civilrättslig ogiltighet inte framstår som ett bra alternativ. En ordning som innebär att parternas avtal blir helt eller delvis ogiltigt om ett förfarande bedöms som olämpligt är ett förhållandevis trubbigt verktyg. Tröskeln för att kunna tillämpa sådana regler skulle behöva läggas mycket högt. Regeringen anser i stället att det varierande behovet av ingripande i kombination med vikten av att ett sådant inte blir mer långtgående än nödvändigt, leder till slutsatsen att ingripandemöjligheten bör bestå av en rätt för respektive tillsynsmyndighet att besluta förelägganden mot de inblandade parterna. Ett föreläggande kan anpassas till just det behov av ingripande som finns i det aktuella fallet. Föreläggandet skulle således vid behov kunna innebära att ett förfarande ska avbrytas helt men också att endast en mindre arbetsuppgift ska återtas från motparten.
Effektivitetsskäl talar för att ett föreläggande bör kunna riktas mot både verksamhetsutövaren och den andra aktören i förfarandet. Som anges ovan skulle behovet av ingripande exempelvis kunna bestå av att viss säkerhetskänslig egendom behöver återlämnas från den andra aktören till verksamhetsutövaren. En sådan åtgärd kan behöva ske skyndsamt och det är därför angeläget att krav kan riktas inte bara mot verksamhetsutövaren utan även mot den part som faktiskt disponerar över egendomen, dvs. den andra aktören. Den risk för att en verksamhetsutövare inte skulle få kännedom om eventuella krav som ställs på den andra aktören, som Lidingö kommun pekar på, bör enligt regeringen inte överdrivas. Det starka skyddsintresset - att skydda Sveriges säkerhet - väger enligt regeringen tyngre än de eventuella risker som förslaget kan medföra för verksamhetsutövare, t.ex. oklarheter kring kostnadsansvar och dyrare upphandlingar, som kommunen pekar på. I sammanhanget kan påpekas att aktörer som bedriver säkerhetskänslig verksamhet eller ingår avtal som innebär att de engageras i annans säkerhetskänsliga verksamhet måste vara medvetna om att sådan verksamhet innebär särskilda risker och beakta dessa i ett tidigt skede, t.ex. vid ingående av avtal eller innan en upphandlingsprocess inleds. Det är inte orimligt att ställa sådana krav på aktörerna. Sammantaget anser regeringen att ett föreläggande, för att bli tillräckligt effektivt och trots de risker som Lidingö kommun pekar på, bör kunna riktas mot såväl verksamhetsutövaren som den andra aktören.
Ett föreläggande bör, för att bli tillräckligt verkningsfullt, kunna förenas med vite. Allmänna bestämmelser om viten finns i lagen (1985:206) om viten, kallad viteslagen. Viteslagen innehåller bl.a. bestämmelser om hur ett vitesföreläggande ska vara utformat i olika avseenden, hur vitesbeloppet ska fastställas och om utdömande av vite. Bestämmelserna i viteslagen är lämpliga att använda för tillsynsmyndighetens vitesförelägganden. Det finns alltså inte anledning att införa bestämmelser som avviker från dem.
En särskild fråga i sammanhanget är om vitesförelägganden enligt den föreslagna regleringen ska kunna riktas mot verksamhetsutövare som är statliga myndigheter. I doktrinen anförs angående vite mot statliga myndigheter bl.a. att staten enligt gängse uppfattning är att betrakta som ett enhetligt rättssubjekt, vilket bör innebära att vitesföreläggande inte får förekomma inom statlig offentlig verksamhet (Lavin, Viteslagstiftningen, Juno version 3 B, kommentaren till 2 §). I förarbetena till viteslagen överlämnas frågan till rättstillämpningen, dock med kommentaren att sådana viten bör komma i fråga främst i situationer där staten i så utpräglad grad uppträder som privaträttsligt subjekt, t.ex. på det marknadsrättsliga området, att det skulle vara onaturligt om vitesmöjligheten inte stod till buds. Vidare uttalas att det utanför det marknadsrättsliga området bör krävas att ett helt speciellt undantagsfall är för handen för att ett vitesföreläggande mot en statlig aktör ska vara godtagbart (prop. 1984/85:96 s. 99 f.). Regeringen konstaterar att det nu aktuella regelverket avser ingripanden som syftar till att skydda Sveriges säkerhet, vilket alltså är ett synnerligen tungt vägande intresse som gör sig gällande i samma utsträckning oavsett om det är en privat eller offentlig aktör som bedriver den säkerhetskänsliga verksamheten. Säkerhetsskyddslagstiftningen gäller statliga myndigheter på i stort samma sätt som andra aktörer och ingripanden kommer, såvitt nu är i fråga, att rikta sig mot myndigheter vars säkerhetskänsliga verksamhet exponerats för andra aktörer genom exempelvis civilrättsliga avtal om utkontraktering och liknande förfaranden. Myndigheterna får i sådana fall anses agera utanför sin rent offentligrättsliga kapacitet. Det får i och för sig förutsättas att rättelse i de flesta fall kommer att ske på frivillig väg och att tillsynsmyndigheten endast undantagsvis behöver förena ett föreläggande mot en statlig myndighet med vite. Så kan exempelvis bli fallet om det rör sig om en mycket påtaglig risk för Sveriges säkerhet som behöver hanteras skyndsamt eller om det redan förekommit kontakter som gett anledning att misstänka bristande följsamhet. Sammantaget anser regeringen dock, med visst beaktande av att liknande reglering finns på andra områden (se t.ex. 28 § lagen [2018:1174]) om informationssäkerhet för samhällsviktiga och digitala tjänster), att möjligheten att förena ett föreläggande med vite bör kunna användas även mot statliga aktörer.
Av samma skäl som anförts ovan avseende bl.a. tillsynsmyndighetens beslut om förbud, anser regeringen inte att det krävs någon reglering i säkerhetsskyddslagen om att tillsynsmyndigheten ska få besluta att förlägganden ska gälla omedelbart.
Det är enligt regeringen inte möjligt att i lagtexten närmare specificera vad föreläggandena kan komma att gå ut på. Syftet med dem bör dock vara att förmå verksamhetsutövaren och den utomstående parten att vidta åtgärder som är nödvändiga för att förhindra skada för Sveriges säkerhet. Föreläggandena bör kunna ges den utformning som är nödvändig och lämplig i det enskilda fallet. Enligt regeringen är det godtagbart med en så vid ingripandemöjlighet när det handlar om Sveriges säkerhet och skyddet för de allra mest skyddsvärda verksamheterna i landet. Som utvecklas nedan måste dock ingripandet vara proportionerligt med hänsyn till bl.a. de olägenheter som kan tänkas uppstå hos den som det riktas mot.
Det förhållandet att kreditinstitut redan står under tillsyn och kan bli föremål för vissa ingripanden enligt den finansiella rörelselagstiftningen, vilket Svenska bankföreningen tar upp, utgör enligt regeringen inte ett skäl mot att införa den nu föreslagna ingripandemöjligheten. Eftersom regelverken har olika syften, bedömer regeringen att en eventuell dubbelreglering är godtagbar.
Förutsättningar för ett ingripande
Möjligheten att ingripa i efterhand bör inte vara begränsad till att gälla sådana förfaranden som omfattas av ett krav på samråd. Det finns flera situationer som inte omfattas av kravet på samråd där säkerhetskänslig verksamhet och säkerhetsskyddsklassificerade uppgifter exponeras för utomstående. Det vore enligt regeringen otillfredsställande om det inte fanns en möjlighet att ingripa i ett sådant fall trots att det står klart att förfarandet är olämpligt från säkerhetsskyddssynpunkt. Regeringen anser i stället att möjligheten att ingripa i efterhand ska gälla i alla fall där förfarandet omfattas av ett krav på säkerhetsskyddsavtal.
Som regeringen anför ovan, bör ingripande bara få ske om förfarandet i fråga bedöms vara olämpligt från säkerhetsskyddsynpunkt. Samma krav gäller enligt förslaget i avsnitt 7.3 om att tillsynsmyndigheten ska få besluta om ett förbud i samband med ett samråd. För att regelverket ska hänga ihop och vara konsekvent bör samma grundläggande kriterium gälla för ingripande i pågående förfaranden. En annan sak är dock att det kan krävas en större grad av olämplighet, t.ex. att den potentiella skadan är mer allvarlig, för att tillsynsmyndigheten ska ingripa mot ett pågående förfarande än mot ett förfarande som inte har påbörjats.
Eftersom det kan variera hur pass ingripande ett föreläggande behöver vara är det enligt regeringen inte lämpligt att kräva en viss nivå av skada för att ingripande ska få ske. Det bör alltså inte ställas krav på att det kan uppstå t.ex. allvarlig eller rentav synnerligen allvarlig skada. Ett ingripande i efterhand får dock bara beslutas om det är proportionerligt i det enskilda fallet, se avsnitt 7.6. Vid proportionalitetsbedömningen bör alla skador och olägenheter för enskilda intressen beaktas och vägas mot de skäl som talar för föreläggandet. Hur allvarlig den potentiella skadan för Sveriges säkerhet bedöms vara bör då vara en viktig parameter. Utgångspunkten bör vara att bestämmelserna om ingripande i efterhand ska tillämpas restriktivt.
7.5 Förvaltningslagen bör gälla vid handläggningen
Regeringens bedömning: Förvaltningslagen bör gälla vid handläggningen av ärenden enligt säkerhetsskyddslagen hos Säkerhetspolisen.
Utredningens förslag och bedömning överensstämmer med regeringens bedömning.
Remissinstanserna: Ingen remissinstans yttrar sig särskilt över förslaget.
Skälen för regeringens bedömning: Förvaltningslagen gäller för handläggning av ärenden hos förvaltningsmyndigheterna och handläggning av förvaltningsärenden hos domstolarna. Lagen innehåller bl.a. bestämmelser om grunderna för god förvaltning och allmänna krav på handläggning av ärenden. Regeringen bedömer att tillsynsmyndigheternas handläggning av samrådsärenden och deras möjlighet att besluta om förelägganden och förbud samt att ingripa i efterhand mot pågående förfaranden, kommer att utgöra sådan handläggning av ärenden som medför att förvaltningslagen är tillämplig. Detsamma gäller i fråga om andra ärenden enligt säkerhetsskyddslagen, såsom tillsynsärenden.
I 3 § förvaltningslagen finns emellertid ett undantag för handläggning av ärenden i den brottsbekämpande verksamheten hos bl.a. Säkerhetspolisen. Av paragrafen följer att 9 § andra stycket och 10-49 §§ förvaltningslagen inte tillämpas i sådan verksamhet.
Med uttrycket brottsbekämpande verksamhet i förvaltningslagen avses verksamhet som syftar till att förebygga, förhindra eller upptäcka brottslig verksamhet eller utreda och beivra brott (prop. 2016/17:180 s. 287). Regeringen har tidigare gjort bedömningen att all Säkerhetspolisens verksamhet, även på säkerhetsskyddsområdet, i någon mening är brottsbekämpande (se prop. 2013/14:110 s. 481 och prop. 2015/16:65 s. 40). Även bestämmelserna i lagen (2019:1182) om Säkerhetspolisens behandling av personuppgifter ger stöd åt en sådan tolkning.
Regeringen anser dock att starka skäl talar för att förvaltningslagens bestämmelser bör gälla fullt ut vid Säkerhetspolisens handläggning av ärenden om samråd, förelägganden och förbud samt vid tillsyn och ärenden rörande sanktionsavgift. En sådan ordning skulle skapa en stadga och förutsebarhet i förfarandet som är önskvärd, inte minst med hänsyn till att den föreslagna regleringen delvis rör myndighetsutövning mot enskilda. Enligt regeringens bedömning bör förvaltningslagens bestämmelser inte heller vara problematiska att tillämpa vid handläggning enligt säkerhetsskyddslagen. Det bör därför införas en bestämmelse om att undantaget i 3 § förvaltningslagen inte gäller vid nu aktuella ärenden. Det är dock tillräckligt att detta regleras på förordningsnivå.
7.6 Förslagens förhållande till enskildas rättigheter och friheter och proportionalitet
7.6.1 Egendomsskyddet och näringsfriheten
Regeringens bedömning: Förslagen är förenliga med egendomsskyddet och näringsfriheten. Det behöver inte införas ett uttryckligt krav på proportionalitet i säkerhetsskyddslagen.
Utredningens bedömning överensstämmer delvis med regeringens. Utredningen föreslår dock att det ska införas en lagbestämmelse med ett uttryckligt krav på proportionalitet.
Remissinstanserna: Majoriteten av remissinstanserna har inget att invända mot förslaget eller yttrar sig inte särskilt i denna del. Ett antal remissinstanser har dock synpunkter på förslagens förhållande till egendomsskyddet. Svenskt Näringsliv påpekar att förslagen är en inskränkning av äganderätten som kan innebära att värdet på tillgångar minskar och anser att större tydlighet krävs i den föreslagna lagtexten. Flera andra remissinstanser, bl.a. Näringslivets regelnämnd, IKEM Innovations- och kemiindustrierna och It- och telekomföretagen, framför liknande synpunkter och anser att frågan bör utredas vidare.
Skälen för regeringens bedömning
Förslagen kan medföra inskränkningar av egendomsskyddet och näringsfriheten
Principen om skydd för egendomsrätten kommer till uttryck i 2 kap. 15 § första stycket regeringsformen. Där anges att var och ens egendom är tryggad genom att ingen kan tvingas avstå sin egendom till det allmänna eller till någon annan enskild genom expropriation eller något annat sådant förfogande, eller tåla att det allmänna inskränker användningen av mark eller byggnad utom när det krävs för att tillgodose angelägna allmänna intressen. Regeringen lämnar i denna proposition inga förslag som innebär expropriation eller annat sådant förfogande som avses i paragrafen. Däremot kan det enligt regeringen inte uteslutas att förslagen om förbud mot att genomföra förfaranden kan medföra att användningen av mark eller byggnad inskränks, s.k. rådighetsinskränkningar. Bestämmelsen om rådighetsinskränkningar omfattar inte rätten att använda lös egendom (prop. 2009/10:80 s. 164). Det är därför i första hand de förslag som berör upplåtelser som skulle kunna aktualisera bestämmelsens tillämpning. Den skulle exempelvis kunna aktualiseras om en verksamhetsutövare hindras från att hyra ut en fastighet eller byggnad till följd av tillsynsmyndighetens beslut om föreläggande eller förbud. Det går inte heller att utesluta att ett ingripande i ett pågående förfarande skulle kunna medföra en rådighetsinskränkning.
Förslagen kan också medföra inskränkningar av egendomsskyddet enligt Europakonventionen, som gäller som lag i Sverige (lag [1994:1219] om den europeiska konventionen angående skydd för de mänskliga rättigheterna och de grundläggande friheterna). Av 2 kap. 19 § regeringsformen följer att lag eller annan föreskrift inte får meddelas i strid med Sveriges åtaganden på grund av Europakonventionen. Enligt första stycket i artikel 1 i det första tilläggsprotokollet till Europakonventionen ska varje fysisk eller juridisk person ha rätt till respekt för sin egendom och ingen får berövas sin egendom annat än i det allmännas intresse och under de förutsättningar som anges i lag och i folkrättens allmänna grundsatser. Enligt andra stycket inskränker emellertid detta inte en stats rätt att genomföra sådan lagstiftning som staten finner nödvändig för att reglera nyttjandet av egendom i överensstämmelse med bl.a. det allmännas intresse. Med egendom avses inte bara fast och lös egendom utan också begränsade sakrätter samt fordringar om immateriella rättigheter. Vid samtliga slag av äganderättsintrång gäller en proportionalitetsprincip som innebär att nödvändigheten av ett intrång i det allmännas intresse måste balanseras mot det men den enskilde lider av intrånget. Ett krav på proportionalitet följer också av 2 kap. 15 § regeringsformen (se bl.a. NJA 2018 s. 753).
Förslagen kan vidare medföra en inskränkning av näringsfriheten, som kommer till uttryck i 2 kap. 17 § regeringsformen. Där anges att begränsningar i rätten att driva näring eller utöva yrke får införas endast för att skydda angelägna allmänna intressen och aldrig i syfte enbart att ekonomiskt gynna vissa personer eller företag. Europakonventionen innehåller inget specifikt skydd för näringsfrihet (prop. 2003/04:65 s. 15).
Förslagen är förenliga med egendomsskyddet och näringsfriheten
Som framgår ovan är egendomsskyddet inte ovillkorligt utan kan inskränkas när det krävs för att tillgodose angelägna allmänna intressen. Detsamma gäller näringsfriheten. Som regeringen tidigare har anfört utgör Sveriges säkerhet - som de nu föreslagna bestämmelserna om förelägganden och förbud syftar till att skydda - utan tvekan ett sådant angeläget allmänt intresse som kan motivera inskränkningar i egendomsskyddet och näringsfriheten (prop. 2020/21:13 s. 27 f.). Det finns enligt regeringen inte några mindre ingripande alternativ som skapar ett tillräckligt skydd mot från säkerhetsskyddssynpunkt olämpliga utkontrakteringar och liknande förfaranden. Enligt regeringen är förslagen såväl ändamålsenliga som nödvändiga. Regeringen har viss förståelse för de önskemål om ytterligare tydlighet som framförs av Svenskt Näringsliv, i vart fall när det gäller förslagen om ingripande i efterhand som är förhållandevis vida i sin utformning. Som framgår i avsnitt 7.4 är utformningen i denna del dock nödvändig och enligt regeringen godtagbar utifrån det viktiga skyddsintresse som ligger till grund för regleringen.
Sammantaget anser regeringen att den föreslagna regleringen är tillräckligt tydlig och att det stärkta skydd för Sveriges säkerhet som den medför står i proportion till sådana eventuella inskränkningar i egendomsskyddet och näringsfriheten som tillämpningen kan komma att medföra. Regeringen anser med andra ord, i likhet med utredningen, att förslagen är förenliga med de grundlagsskyddade fri- och rättigheterna och Europakonventionens bestämmelser om egendomsskydd. Regeringen delar inte Näringslivets regelnämnds, IKEM Innovations- och kemiindustriernas och It- och telekomföretagens uppfattning att frågan behöver utredas vidare.
Det behöver inte införas ett krav på proportionalitet i säkerhetsskyddslagen
Av Europadomstolens praxis framgår att en proportionalitetsbedömning ska göras i varje enskilt fall där det allmänna inskränker den enskildes rätt att använda sin egendom. Detta innebär att även om det finns ett allmänt intresse som kan motivera ingreppet måste det vägas mot den enskildes intresse, och åtgärden måste genomföras på ett sådant sätt att den inte innebär en oskälig börda för den enskilde. Som framgår ovan följer en motsvarande princip av 2 kap. 15 § regeringsformen.
Proportionalitetsprincipen kommer också till uttryck i 5 § tredje stycket förvaltningslagen där det anges att en myndighet får ingripa i ett enskilt intresse endast om åtgärden kan antas leda till det avsedda resultatet. Vidare anges att åtgärden inte får vara mer långtgående än vad som behövs och får vidtas endast om det avsedda resultatet står i rimligt förhållande till de olägenheter som kan antas uppstå för den som åtgärden riktas mot. Denna bestämmelse gäller vid tillsynsmyndigheternas handläggning av ärenden enligt säkerhetsskyddslagen. De måste därför göra en proportionalitetsbedömning i varje enskilt fall där ett föreläggande eller förbud övervägs och påverkar ett enskilt intresse.
Utredningen har mot bakgrund av proportionalitetskravets stora betydelse vid nu aktuella beslut om förelägganden och förbud föreslagit att det ska införas en särskild bestämmelse om proportionalitet i säkerhetsskyddslagen. Regeringen har i samband med införandet av regleringen om överlåtelse av säkerhetskänslig verksamhet gjort bedömningen att en sådan bestämmelse inte är nödvändig (prop. 2020/21:13 s. 28 f.). Regeringen gör ingen annan bedömning nu. Proportionalitetsprincipen är som framgått en central rättsprincip och är därtill numera även fastslagen i förvaltningslagen. Principen kan därför tillgodoses vid tillsynsmyndigheternas beslutsfattande enligt säkerhetsskyddslagen även utan att det införs en sådan bestämmelse som utredningen föreslår.
7.6.2 Ersättning för rådighetsinskränkningar
Regeringens bedömning: Det bör inte införas någon rätt till ersättning vid rådighetsinskränkning som grundas på säkerhetsskyddslagen.
Utredningens bedömning överensstämmer med regeringens.
Remissinstanserna: Majoriteten av remissinstanserna har inget att invända mot bedömningen eller yttrar sig inte särskilt i denna del. Näringslivets regelnämnd motsätter sig att åtgärder och inskränkningar i äganderätten och näringsfriheten ska kunna göras utan att det utgår ersättning. Energiföretagen Sverige anser att det kan ifrågasättas om det är proportionerligt och förenligt med egendomsskyddet att en drabbad verksamhetsutövare inte får en lagstadgad rätt till ersättning. Kammarrätten i Stockholm och Sveriges advokatsamfund anser att frågan om rätt till ersättning bör utredas vidare. Flera remissinstanser, bl.a. JO, Svenskt Näringsliv och Evry AB, har synpunkter på rätten till ersättning vid ingrepp i pågående avtalsförhållanden. JO anser att rätten till ersättning i dessa fall bör övervägas vidare. Svenskt Näringsliv framhåller att även om ingripanden i pågående förfaranden blir ovanliga, är omvärldsutvecklingen oförutsägbar och ett försämrat läge skulle kunna påverka ett flertal sektorer samtidigt. I ett sådant läge skulle det, enligt Svenskt Näringsliv, innebära en stor osäkerhet för drabbade företag att behöva lita på att regeringen ska fatta tillfredställande ex gratia-beslut. Svenskt Näringsliv menar att privata aktörer som agerat korrekt utifrån en tidigare existerande hotbild bör få ersättning för de kostnader som uppstår om tillsynsmyndigheten ingriper. Evry AB föreslår att det införs en möjlighet för verksamhetsutövarens motpart att kräva ersättning när en tillsynsmyndighet begränsar eller avbryter en upphandling. Uppsala universitet (Juridiska fakulteten) understryker att en proportionalitetsbedömning vad gäller ingreppet i en rättighet måste göras separat från bedömningen av ersättningens vara eller inte vara. Att en rådighetsinskränkning är godtagbar med hänsyn till en proportionalitetsbedömning utesluter inte per automatik en bedömning av ersättningsfrågan. Enligt universitetet kan en inskränkning dock, enligt konventionsrätten, anses oproportionerlig om skälig ersättning inte utgår.
Skälen för regeringens bedömning: I 2 kap. 15 § andra stycket regeringsformen finns bestämmelser om ersättning till den som drabbas av inskränkningar i sin rätt till egendom till följd av antingen expropriation eller annat sådant förfogande eller rådighetsinskränkningar. Enligt huvudregeln avseende rådighetsinskränkningar ska ersättning tillförsäkras den för vilken det allmänna inskränker användningen av mark eller byggnad på sådant sätt att pågående markanvändning inom berörd del av fastigheten avsevärt försvåras eller att skada uppkommer som är betydande i förhållande till värdet på denna del av fastigheten. I förarbetena anges att ersättningsrätt enligt denna regel föreligger exempelvis vid inskränkningar till följd av beslut enligt miljöbalken om nationalparker, naturreservat, kulturreservat och biotopskyddsområden (prop. 2009/10:80 s. 168).
I 2 kap. 15 § tredje stycket regeringsformen anges att det vid inskränkningar som sker av hälsoskydds-, miljöskydds-, eller säkerhetsskäl gäller vad som följer av lag i fråga om rätt till ersättning. Bestämmelsen ger uttryck för principen enligt svensk rätt att ingripanden från det allmänna som har sin grund i hälsoskydds-, miljöskydds- eller säkerhetsskäl inte medför rätt till ersättning (prop. 2009/10:80 s. 168). Innebörden av bestämmelsen är att det i samband med att lagstiftning tas fram som medför rätt för det allmänna att inskränka användningen av mark eller byggnad av något av de angivna skälen, ska göras en bedömning av om det bör finnas en rätt till ersättning. Eftersom de eventuella inskränkningar som kan uppstå till följd av de nu aktuella förslagen kommer att ske av säkerhetsskäl, inställer sig frågan om det ska införas en rätt till ersättning i händelse av en sådan inskränkning.
Som framgått kommer ingripanden med stöd av den föreslagna regleringen att vidtas i syfte att skydda Sveriges säkerhet. Detta är enligt regeringen ett så angeläget allmänt intresse att ingripanden i regel bör få ske utan att någon ersättning lämnas. Det gäller även i de fall där den enskildes intresse kan sägas väga tungt. Det kan vidare konstateras att regleringen syftar till att avvärja risker och att merparten av de åtgärder som tillsynsmyndigheten genom förslagen får rätt att vidta, handlar om förebyggande åtgärder som aktualiseras innan ett förfarande inleds. I linje med vad regeringen tidigare har anfört, bör den som bedriver verksamhet som är av betydelse för Sveriges säkerhet och därmed omfattas av säkerhetsskyddslagen inte kunna åberopa legitima förväntningar att fritt - utan hänsyn till eventuell skada för Sverige - kunna genomföra t.ex. utkontrakteringar eller inleda samarbeten med andra aktörer (prop. 2020/21:13 s. 30). Allt detta talar med styrka för att det inte bör införas bestämmelser om rätt till ersättning vid inskränkningar som grundas på säkerhetsskyddsregleringen.
En särskild fråga är hur man bör se på möjligheten till ersättning för ingripanden i pågående förfaranden. Det som skulle kunna tala för en särbehandling av dessa ingripanden, när det gäller frågan om rätt till ersättning, är att de i vissa fall kan medföra större konsekvenser för de inblandade parterna än de rent förebyggande åtgärder som tillsynsmyndigheten kan vidta i samband med ett samråd och att ingripandet skulle kunna aktualiseras till följd av förhållanden som i någon mån ligger utanför parternas kontroll, t.ex. vid ändrade hotbilder eller förändringar i motpartens ägarförhållanden. En verksamhetsutövare måste dock vara medveten om att den typen av förändrade förhållanden kan uppstå och innebära konsekvenser för verksamhetens säkerhetsskydd. Verksamhetsutövaren måste därför beakta dessa risker i ett tidigare skede, t.ex. vid ingåendet av avtal i samband med utkontrakteringar och liknande förfaranden. Det kan exempelvis avse frågor om prissättning och reglering av kostnadsansvar. I linje med detta föreslår regeringen i avsnitt 6.4 också att verksamhetsutövare i ett säkerhetsskyddsavtal ska reglera en rätt att revidera avtalet vid ändrade förhållanden. Av viss betydelse är också att inskränkningarna som kan uppstå till följd av ett ingripande är förhållandevis begränsade i den mening att de är inriktade på ett visst specifik förfarande. Sådana situationer är därmed inte jämförbara med de mer permanenta inskränkningar i form av t.ex. inrättande av naturreservat och nationalparker som enligt huvudregeln bör medföra ersättningsrätt. De är vidare, till skillnad från sådana beslut, inte heller av bevarandekaraktär utan syftar till att avvärja risker avseende ett mycket tungt vägande allmänt intresse som är direkt eller indirekt hänförliga till de aktörer som ingripandet riktas mot. Även detta talar för att någon rätt till ersättning inte ska föreligga (se SOU 2013:59 s. 104). Vidare ska, som framgår i avsnitt 7.4, möjligheten att ingripa i efterhand tillämpas restriktivt och endast när övriga förebyggande åtgärder inte har varit tillräckliga. Utgångspunkten är att sådana ingripanden ska fungera som en "nödbroms" som alltså ska tillgripas som en sista utväg. I samtliga fall ska ingripanden dessutom bara ske när det bedöms proportionerligt. Regeringens förslag om utökade krav på säkerhetsskyddsavtal, särskild säkerhetsskyddsbedömning och lämplighetsprövning, i kombination med verksamhetsutövarens arbete med sin säkerhetsskyddsanalys, syftar till att förfaranden som redan från början framstår som olämpliga ska kunna sållas bort i ett tidigt skede. Regeringen utgår därmed från att det kommer bli mycket ovanligt att reglerna behöver tillämpas och att mer omfattande ingripanden, som leder till att t.ex. ett avtalsförhållande måste avbrytas, kommer att bli oerhört sällsynta.
Vid en sammantagen bedömning anser regeringen, till skillnad från bl.a. Näringslivets regelnämnd, Svenskt Näringsliv, Energiföretagen Sverige och Evry AB, inte att det är befogat att föreslå särskilda regler om rätt till ersättning vid rådighetsinskränkningar till följd av vare sig ingripanden i planerade eller pågående förfaranden. Till skillnad från JO, Kammarrätten i Stockholm och Sveriges advokatsamfund ser regeringen inte behov av att utreda frågorna vidare.
Europakonventionens bestämmelser om egendomsskydd innehåller inte något uttryckligt krav på ersättning vid rådighetsinskränkningar. Hänsyn ska dock, som Uppsala universitet (Juridiska fakulteten) framhåller, tas till om den enskilde tillerkänns ersättning vid avgörandet om ett ingrepp i den enskildes rätt är proportionerligt.
8 Tillsyn
8.1 Tillsynens övergripande utformning
Regeringens förslag: Det ska förtydligas att tillsynsmyndighetens uppgift är att kontrollera att verksamhetsutövare följer säkerhetsskyddslagen och föreskrifter som har meddelats i anslutning till den lagen. Tillsyn i detta syfte ska även få utövas hos de aktörer som verksamhetsutövare har ingått säkerhetsskyddsavtal med.
Regeringens bedömning: Bestämmelser om vilken eller vilka myndigheter som ska vara tillsynsmyndighet bör liksom i dag meddelas i förordning.
Utredningens förslag överensstämmer delvis med regeringens. Utredningen föreslår dock inte att syftet med tillsynen hos dem som har ingått säkerhetsskyddsavtal med verksamhetsutövare ska förtydligas.
Remissinstanserna: Flera remissinstanser har synpunkter på om regeringen bör utse en eller flera tillsynsmyndigheter, vilka myndigheter som därvid ska utses och vilka tillsynsobjekt som ska omfattas av respektive myndighets tillsynsansvar. Specialfastigheter AB anser inte att tillsynsåtgärder bör kunna riktas mot aktörer som verksamhetsutövare har ingått säkerhetsskyddsavtal med eftersom säkerhetsskyddslagstiftningen inte gäller för sådana aktörer om de inte bedriver någon egen säkerhetskänslig verksamhet.
Skälen för regeringens förslag
Tillsynsstrukturen
Ansvaret för tillsyn enligt säkerhetsskyddslagen (2018:585) är i dag uppdelat mellan flera myndigheter. I 5 kap. 4 § första stycket säkerhetsskyddslagen finns en bestämmelse som upplyser om att den myndighet som regeringen bestämmer ska utöva tillsyn över säkerhetsskyddet hos myndigheter och andra som lagen gäller för. Den närmare uppdelningen av tillsynsansvaret regleras i 7 kap. 1 § säkerhetsskyddsförordningen (2018:658). Där framgår att tillsyn över säkerhetsskyddet ska utövas av Försvarsmakten när det gäller Fortifikationsverket, Försvarshögskolan och de myndigheter som hör till Försvarsdepartementet och av Säkerhetspolisen när det gäller övriga myndigheter, förutom Justitiekanslern, samt kommuner och regioner. Vidare framgår att tillsynen över säkerhetsskyddet hos enskilda verksamhetsutövare utövas av Affärsverket svenska kraftnät, Transportstyrelsen, Post- och telestyrelsen (PTS) och länsstyrelserna, enligt en närmare angiven uppdelning utifrån olika sektorer.
Utredningen har identifierat ett antal brister i tillsynsverksamheten på säkerhetsskyddsområdet, varav vissa anknyter till utformningen av tillsynsstrukturen. Utredningen konstaterar bl.a. att det inte finns någon myndighet som har en samlad bild över tillsynen, att tillsynen som bedrivs generellt är begränsad och att vissa tillsynsmyndigheter inte bedriver någon tillsyn alls. Det har också framkommit att vissa tillsynsmyndigheter saknar den sak- och tillsynskunskap som behövs. Regeringen anser utifrån detta att det behövs en reformering av tillsynsstrukturen. Det behövs också en bred ambitions- och kunskapshöjning på tillsynsområdet.
Säkerhetspolisen och Försvarsmakten har en särställning inom tillsynen
Inom Säkerhetspolisen och Försvarsmakten finns hög kompetens avseende säkerhetsskydd. Myndigheterna har också en omfattande erfarenhet av tillsyn och rådgivning på området. Regeringen anser därför att tillsynsstrukturen även framöver ska bygga på att det huvudsakliga ansvaret för tillsynen ska vila på dessa myndigheter.
Att tillsynsansvaret i dag är uppdelat mellan flera myndigheter har bl.a. fått till följd att det inte finns någon myndighet med en samlad bild över hur tillsynen bedrivs. Säkerhetspolisen och Försvarsmakten kan enligt 7 kap. 2 § säkerhetsskyddsförordningen kontrollera säkerhetsskyddet hos enskilda verksamhetsutövare som i första hand kontrolleras av de sektorsansvariga myndigheterna. De har dock ingen författningsreglerad skyldighet att upprätthålla en sammantagen bild över tillsynen. Avsaknaden av en sådan bild gör det svårare att systematiskt följa upp, utvärdera och utveckla tillsynen. Den minskar också möjligheterna att prioritera tillsynsinsatser och att avgöra om tillsynsverksamheten som bedrivs är ändamålsenlig och kostnadseffektiv.
Utredningen föreslår mot denna bakgrund att Säkerhetspolisen och Försvarsmakten, utöver att ha ansvar för tillsyn över vissa verksamhetsutövare, ska utses till samordningsmyndigheter med uppdrag att följa upp, utvärdera och utveckla tillsynsarbetet på området. Genom samordningsrollen ska myndigheterna, enligt utredningen, få en bättre överblick över tillsynen som bedrivs, vilket möjliggör för dem att fånga upp om någon tillsynsmyndighet inte bedriver tillräcklig tillsyn. I syfte att bl.a. höja tillsynskompetensen bland tillsynsmyndigheterna, föreslår utredningen vidare att samordningsrollen ska innefatta ett ansvar att verka för erfarenhetsutbyte mellan tillsynsmyndigheterna samt att utveckla metodstöd och förmedla relevant hotinformation till dem. Regeringen anser att samordning mellan tillsynsmyndigheterna i någon form kan vara viktig för att uppnå en effektiv och enhetlig tillsyn. Regeringen kommer i det fortsatta förordningsarbetet att överväga om och i så fall hur samordningen bör regleras. Regeringen har vidare gett Försvarsmakten och Säkerhetspolisen i uppdrag att bl.a. inrätta samarbetsforum för att underlätta samordning och åstadkomma en effektiv och likvärdig tillsyn (Ju/2021/01245).
Tillsyn ska även i fortsättningen bedrivas sektorsvis
Utredningen föreslår att Säkerhetspolisen och Försvarsmakten alltjämt ska vara tillsynsmyndigheter över de allra mest skyddsvärda verksamheterna och att tillsyn i övrigt ska koncentreras till områden där det typiskt sett bedrivs säkerhetskänslig verksamhet. Utredningen föreslår att tillsyn ska koncentreras till de tillsynsområden där Affärsverket svenska kraftnät, PTS och Transportstyrelsen i dag är ansvariga samt till områdena finansiella företag, kärnteknisk verksamhet, energi- och elförsörjning och försvarsmateriel. Inom dessa områden föreslår utredningen att det ska finnas en särskilt utpekad tillsynsmyndighet som har särskild kompetens på området. Utöver det bedömer utredningen att det liksom i dag behöver finnas myndigheter som har särskilt ansvar för tillsyn över verksamhetsutövare som inte direkt kan anses bedriva verksamhet inom något av de angivna områdena.
Att utöva tillsyn över aktörer som bedriver säkerhetskänslig verksamhet kan många gånger vara en komplex uppgift. Regeringen delar därför utredningens uppfattning att denna verksamhet måste fördelas på flera myndigheter. Närmare bestämmelser om vilka myndigheter som ska vara tillsynsmyndigheter och vilka tillsynsområden som de ska ha ansvar över, bör även framöver anges i förordning. I säkerhetsskyddslagen bör det därför, på liknande sätt som i dag, endast upplysas om att den myndighet som regeringen bestämmer ska vara tillsynsmyndighet.
En ordning med flera tillsynsmyndigheter medför vissa utmaningar för tillsynsmyndigheterna. En svårighet är att det inte alltid är självklart vilken sektor som en verksamhetsutövare ska anses tillhöra. En annan komplicerad situation kan vara att verksamhetsutövaren bedriver verksamhet som faller in under flera tillsynsmyndigheters ansvarsområden. Situationen kan tänkas uppstå inom samtliga tillsynsområden men särskilt inom området försvarsmateriel, som innefattar företag som samverkar med försvarsmyndigheter och samtidigt är aktiva inom ett annat tillsynsområde. Det är därför viktigt att tillsynsmyndigheterna verkar för en samsyn i dessa frågor.
Riksdagen har, som framgår i avsnitt 3, tillkännagett för regeringen att den ställer sig bakom det som utskottet anför om att det bör göras en översyn av tillsynsmyndigheternas ansvar, organisation och resursfördelning (bet. 2017/18:JuU21 punkt 4, rskr. 2017/18:289). Enligt regeringens bedömning tillgodoses tillkännagivandet delvis genom den föreslagna regleringen om tillsyn. Tillkännagivandet är inte slutbehandlat.
Tillsynsmyndighetens uppdrag
Som framgår ovan föreskrivs i 5 kap. 4 § första stycket säkerhetsskyddslagen att den myndighet som regeringen bestämmer ska utöva tillsyn över säkerhetsskyddet hos myndigheter och andra som säkerhetsskyddslagen gäller för. Vilka aktörer som säkerhetsskyddslagen gäller för framgår av 1 kap. 1 § första stycket säkerhetsskyddslagen. Där anges att lagen gäller för verksamhetsutövare, dvs. den som till någon del bedriver verksamhet av betydelse för Sveriges säkerhet eller som omfattas av ett för Sverige förpliktande internationellt åtagande om säkerhetsskydd. I 1 kap. 1 § andra stycket säkerhetsskyddslagen anges att lagen även innehåller bestämmelser som gäller den som avser att överlåta aktier eller andelar i säkerhetskänslig verksamhet. Sådana aktie- eller andelsägare bedriver dock, till skillnad från verksamhetsutövare, ingen egen säkerhetskänslig verksamhet. Till skillnad från verksamhetsutövares motparter i säkerhetsskyddsavtal hanterar de inte heller verksamhetsutövarens skyddsvärden. Det är verksamhetsutövaren själv, som egen juridisk person, som ansvarar för verksamhetens skyddsvärden. Aktie- och andelsägare bör därför inte omfattas av tillsyn enligt säkerhetsskyddslagen. Detta bör förtydligas i lagtexten. En annan sak är att dessa aktörer inom ramen för ett samråd inför en överlåtelse av säkerhetskänslig verksamhet kan behöva lämna information till samrådsmyndigheten för att denna ska kunna pröva lämpligheten i förfarandet. Detta ligger i samrådets natur och följer direkt av samrådsskyldigheten enligt 2 kap. 9 § säkerhetsskyddslagen.
En traditionellt inriktad tillsyn tar sikte på att tillsynsmyndigheten ska kontrollera att de krav som följer av det relevanta regelverket följs. Så är tillsynsuppgiften definierad i exempelvis lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster. Det är enligt regeringen också detta som är tillsynsuppgiften på säkerhetsskyddsområdet. Regeringen anser att även detta bör förtydligas i lagtexten. I stället för den nuvarande regleringen i 5 kap. 4 § första stycket säkerhetsskyddslagen, bör det därför föreskrivas att tillsynsmyndigheten ska utöva tillsyn över att verksamhetsutövare följer lagen och de föreskrifter som har meddelats i anslutning till den.
Av 5 kap. 4 § andra stycket säkerhetsskyddslagen framgår att den myndighet som regeringen bestämmer även får utöva tillsyn hos leverantörer som har träffat säkerhetsskyddsavtal. Som Specialfastigheter AB framhåller gäller inte säkerhetsskyddslagstiftningens krav för en aktör som har ingått säkerhetsskyddsavtal med en verksamhetsutövare, förutsatt att inte aktören själv bedriver säkerhetskänslig verksamhet. Aktörens säkerhetsskyddsåtaganden vilar i stället på obligationsrättslig grund, dvs. på säkerhetsskyddsavtalet. Syftet med regleringen om tillsyn hos leverantörer är därför inte att kontrollera om leverantören uppfyller kraven i säkerhetsskyddslagstiftningen. Avsikten med tillsynen är i stället att tillsynsmyndigheten ska kunna kontrollera att verksamhetsutövare som har ingått säkerhetsskyddsavtal med en leverantör uppfyller säkerhetsskyddslagens krav på säkerhetsskydd i sin verksamhet, vilken leverantören fått tillgång till.
Det är av stor vikt att tillsynsmyndigheten även fortsättningsvis har möjlighet att bedriva tillsyn mot aktörer som omfattas av ett säkerhetsskyddsavtal. Behovet av tillsyn i detta avseende handlar framför allt om att tillsynsmyndigheten ska ha möjlighet att inhämta information om hur säkerhetsskyddsavtalet har upprätthållits och vilka åtgärder som verksamhetsutövaren har vidtagit för att följa upp och kontrollera hur den säkerhetskänsliga verksamheten har skyddats. Regeringen anser alltså att det även framöver bör finnas en bestämmelse som ger tillsynsmyndigheten möjlighet att bedriva tillsyn hos aktörer som har ingått säkerhetsskyddsavtal. Det bör dock förtydligas vad syftet med tillsynen ska vara. Vidare behöver bestämmelsen anpassas för att omfatta en befogenhet att utöva tillsyn hos alla de aktörer - inte enbart leverantörer - som verksamhetsamhetsutövare enligt regeringens förslag i avsnitt 6.1 kan ingå säkerhetsskyddsavtal med.
Tillsyn och rådgivning
Tillsynen på säkerhetsskyddsområdet är i dag huvudsakligen av rådgivande och stödjande karaktär. Regeringen har tidigare framhållit att det ligger i tillsynsmyndighetens uppgift att genom bl.a. föreskrifter, rekommendationer och rådgivning bidra till att underlätta verksamhetsutövares arbete med att bedöma om de omfattas av säkerhetsskyddslagen, ta fram enhetliga riktlinjer och vägledningar kring utformning av säkerhetsskyddsanalyser, ge stöd i fråga om personalsäkerhet och i övrigt bistå verksamhetsutövare med råd t.ex. när säkerhetsskyddsavtal ska upprättas (se prop. 2017/18:89 s. 43, 56 och 108).
I denna proposition lämnas förslag som innebär att tillsynsmyndigheterna får nya tillsynsbefogenheter och möjligheter att ingripa mot verksamhetsutövare som inte uppfyller säkerhetsskyddslagens krav, bl.a. genom att besluta om sanktionsavgifter. Förslagen medför att tillsynen ändrar karaktär från i huvudsak rådgivande och stödjande verksamhet till tillsyn i mer traditionell mening.
Utredningen gör bedömningen att en kombinerad roll som rådgivande myndighet och tillsynsmyndighet visserligen kan ha fördelar, exempelvis när det gäller samordningsvinster, men att övervägande skäl talar för att rollerna inte bör förenas. De huvudsakliga skäl som anförs för detta är att det finns en risk för att de dubbla rollerna underminerar syftet med tillsynen som en fristående granskning och att verksamhetens ansvar för dess bedömningar och säkerhetsskyddsåtgärder förskjuts i riktning mot tillsynsmyndigheterna.
Regeringen har viss förståelse för utredningens bedömning. Samtidigt är det stöd som tillsynsmyndigheterna i dagsläget tillhandahåller mycket värdefullt för berörda verksamheter, inte minst för mindre myndigheter och enskilda verksamhetsutövare. Detta har också påtalats av flera remissinstanser. Vissa remissinstanser framhåller att en avveckling eller inskränkning av tillsynsmyndigheternas stödjande funktion riskerar att leda till försämrade förutsättningar för verksamhetsutövare att upprätthålla ett tillräckligt säkerhetsskydd. Det går enligt regeringen inte att bortse från dessa synpunkter.
Sammantaget anser regeringen att det är både nödvändigt och ofrånkomligt att tillsynsmyndigheterna även framöver ger verksamhetsutövare stöd i säkerhetsskyddsarbetet. I linje med vad utredningen framhåller bör sådant stöd som utgångspunkt inte besvara frågor om vad ska göras i ett specifikt fall utan snarare innefatta upplysningar om innebörden av den relevanta regleringen och hur den ska tolkas samt metoder för hur den kan uppfyllas. Sådant stöd är, som regeringen tidigare framhållit, ofta en förutsättning för att verksamheten ska kunna utföra ett korrekt och relevant säkerhetsskyddsarbete (se prop. 2017/18:89 s. 56). Regeringen noterar att detta även ligger i linje med den utveckling på tillsynsområdet som Statskontoret redovisar i en rapport från 2020 gällande den statliga tillsynens utveckling. En slutats som dras i den rapporten är att tillsynen kan bli mer kvalitativ genom att tillsynsmyndigheten prioriterar dialog och muntlig kommunikation (På väg mot en bättre tillsyn? En studie av den statliga tillsynens utveckling, 2020, s. 5 f.). Det finns dock skäl att understryka att - oavsett den förändring av tillsynen som nu föreslås - ansvaret för identifiering och bedömning av behovet av säkerhetsskydd ligger kvar hos verksamhetsutövaren.
Som framgår i avsnitt 3 har riksdagen tillkännagett för regeringen att den ställer sig bakom det som utskottet anför om bättre möjligheter till stöd och vägledning till verksamhetsutövare (bet. 2020/21:JuU10 punkt 4, rskr. 2020/21:79). Av tillkännagivandet framgår att riksdagen anser att det är viktigt att säkerställa att det finns goda möjligheter för berörda verksamhetsutövare att få stöd i form av dialog med samrådsmyndigheten och vägledning i form av generella riktlinjer (bet 2020/21:JuU10 s. 14 f.). Tillkännagivandet beslutades i samband med riksdagens behandling av propositionen Åtgärder till skydd för Sveriges säkerhet vid överlåtelser av säkerhetskänslig verksamhet (prop. 2020/21:13), i vilken regeringen föreslog nya regler om bl.a. samråd vid överlåtelse av säkerhetskänslig verksamhet. Som regeringen då anförde innebär ett samrådsförfarande en möjlighet för verksamhetsutövare att föra en dialog med tillsynsmyndigheten om hur en ett visst förfarande ska kunna genomföras (samma prop. s. 20).
Regeringen kommer att beakta behovet av stöd till verksamhetsutövare i det fortsatta förordningsarbetet. Tillkännagivandet är inte slutbehandlat genom förslagen i denna proposition.
8.2 Anmälningsplikt
Regeringens förslag: Den som bedriver säkerhetskänslig verksamhet ska utan dröjsmål anmäla detta till tillsynsmyndigheten. Detsamma ska gälla när den säkerhetskänsliga verksamheten har upphört.
Utredningens förslag överensstämmer med regeringens.
Remissinstanserna: Majoriteten av remissinstanserna har inget att erinra mot förslaget och yttrar sig inte särskilt i denna del. Flera av de som yttrar sig, bl.a. Affärsverket svenska kraftnät, Skövde kommun och Stockholms tingsrätt, tillstyrker förslaget. Svenskt Näringsliv framför att en anmälningsplikt vore problematisk, bl.a. eftersom det finns risk att företagen inte känner till säkerhetsskyddslagen och att det därtill kan vara svårt för dessa att avgöra om de träffas av den. Svensk Näringsliv anser därför att staten, som bär ansvaret för Sveriges säkerhet, genom tillsynsmyndigheterna bör informera berörda företag om att de bör analysera om de träffas av lagstiftningen och samråda med tillsynsmyndigheten om resultatet av deras analys. Stockholms tingsrätt ställer sig tveksam till om det är proportionerligt att en anmälan om att en säkerhetskänslig verksamhet har upphört ska ske utan dröjsmål. Strålsäkerhetsmyndigheten anser inte att anmälningsplikten bör omfatta myndigheter, i vart fall inte de myndigheter som Säkerhetspolisen och Försvarsmakten ska ha tillsyn över. Energimyndigheten välkomnar anmälningsplikten men ifrågasätter om det finns tillräckligt mandat för tillsynsmyndigheten att begära in underlag från verksamhetsutövare för att kunna bedöma om plikten försummats. Energimyndigheten anser att det bör övervägas att ge tillsynsmyndigheten ett sådant mandat i de fall det finns skäl att anta att den verksamhet som bedrivs omfattas av anmälningskravet. Transportstyrelsen anför att en anmälningsplikt skapar bättre förutsättningar att bedriva och planera tillsyn men anser att det därutöver även bör införas bestämmelser om att Säkerhetspolisen ska tillgängliggöra information i incidentrapporter för tillsynsmyndigheterna.
Skälen för regeringens förslag: Som framgår ovan har utredningen identifierat ett antal brister i tillsynsverksamheten på säkerhetsskyddsområdet. En brist som uppmärksammats är att flera tillsynsmyndigheter har haft svårt att ange hur många tillsynsobjekt de har ansvar för. Det får anses vara en förutsättning för att kunna bedriva ändamålsenlig tillsyn att myndigheten har en uppfattning om vilka verksamheter som man har i uppdrag att kontrollera. Utan en bild över vilken säkerhetskänslig verksamhet som bedrivs inom respektive tillsynsområde är det knappast möjligt att planera och bedriva en effektiv tillsyn.
Det kan enligt utredningen med fog också antas att det finns verksamheter av betydelse för Sveriges säkerhet som överhuvudtaget inte tillämpar säkerhetsskyddslagstiftningen. Det är givetvis mycket allvarligt ur ett säkerhetsskyddsperspektiv. Den verksamhetsutövare som inte är medveten om att verksamheten omfattas av säkerhetsskyddsregleringen kommer inte heller att följa den. Detta kan få negativa konsekvenser för Sveriges säkerhet.
Det finns med anledning av det anförda skäl att överväga att införa en skyldighet för alla som till någon del bedriver säkerhetskänslig verksamhet att anmäla detta till en tillsynsmyndighet. En sådan skyldighet skulle ge tillsynsmyndigheten bättre förutsättningar att få en samlad bild över tillsynsområdet. Det skulle också bli lättare för tillsynsmyndigheterna att ringa in vilka tillsynsobjekt som finns och planera och prioritera i tillsynsverksamheten. En anmälningsskyldighet kan vidare motverka att aktörer som bedriver säkerhetskänslig verksamhet inte tillämpar säkerhetsskyddslagen. Med en sådan mekanism skapas ett incitament för verksamhetsutövare att noga överväga om den verksamhet de bedriver helt eller delvis är säkerhetskänslig, vilket kan medföra att de påbörjar det säkerhetsskyddsarbete som krävs enligt säkerhetsskyddslagstiftningen.
Det finns alltså starka skäl för att införa en anmälningsplikt. Det som främst talar mot ett införande är att det, som Svenskt Näringsliv påpekar, kan vara svårt för en verksamhetsutövare, särskilt en enskild sådan, att ta ställning till om den omfattas av säkerhetsskyddslagen. Svenskt Näringsliv anser att det vore rimligare med en omvänd ordning där tillsynsmyndigheterna informerar de företag som de antar kan träffas av lagstiftningen och i samband med det upplyser företagen om att de ska göra en säkerhetsskyddsanalys. Denna fråga aktualiserades även vid arbetet med den nu gällande säkerhetsskyddslagen. Regeringen tog då tydligt ställning mot att tillsynsmyndigheterna skulle peka ut vilka verksamheter som de anser omfattas av säkerhetsskyddslagstiftningen. I motiven framhöll regeringen särskilt att ansvaret för identifiering och bedömning av behovet av säkerhetsskydd är knutet till verksamhetsutövaren. Regeringen pekade också på att det på samma sätt som gäller inom t.ex. kris- och beredskapslagstiftningen måste vara den enskilde verksamhetsutövarens ansvar att hålla sig informerad om och bedriva sin verksamhet enligt de lagar och regler som gäller på detta område (se prop. 2017/18:89 s. 43). Det finns inte skäl att göra någon annan bedömning nu. Det är en annan sak att respektive tillsynsmyndighet kan underlätta verksamhetsutövares arbete med bedömningar om hur säkerhetsskyddslagstiftningen ska tillämpas genom föreskrifter och vägledning. Vidare kan tillsynsmyndigheterna genom en anmälningsplikt få bättre kunskap om aktörer och förhållanden inom sitt ansvarsområde, vilket kan leda till att myndigheterna får större möjlighet att aktivt uppmärksamma aktörer på att dessa kan bedriva verksamhet som omfattas av säkerhetsskyddslagens tillämpningsområde.
Sammantaget anser regeringen, i likhet med utredningen, att skälen för att införa en anmälningsplikt väger tyngre än skälen mot. En verksamhetsutövare bör därför vara skyldig att anmäla sin verksamhet. Det framstår som naturligt att anmälan ska göras till tillsynsmyndigheten. Anmälan bör, med hänsyn till de värden som säkerhetsskyddet avser att skydda, ske utan dröjsmål. Det förtjänar att påpekas att fullgjord anmälningsplikt inte är en förutsättning för att tillsyn ska kunna ske. Även om anmälningskravet inte har uppfyllts kan tillsyn utövas mot en aktör om tillsynsmyndigheten bedömer att den omfattas av säkerhetsskyddslagen.
Nästa fråga är om det även ska införas en skyldighet att anmäla när verksamheten inte längre är säkerhetskänslig. En sådan skyldighet skulle motverka att olika moment inom säkerhetsprövningen, i synnerhet registerkontroller, fortsätter att löpa när det inte är motiverat. Den skulle också bidra till att hålla tillsynsmyndighetens bild över sina tillsynsobjekt uppdaterad vilket i sin tur motverkar att tillsynsmyndigheten lägger resurser på åtgärder som inte längre är nödvändiga. Regeringen anser mot bakgrund av detta att anmälningsplikten också ska gälla det förhållandet att den säkerhetskänsliga verksamheten upphört. De ovan angivna integritets- och resursaspekterna motiverar även ett krav på att skyldigheten att avanmäla ska uppfyllas utan dröjsmål. Regeringen delar därför inte Stockholms tingsrätts synpunkt om att ett sådant krav är oproportionerligt.
Med hänsyn till den variation av myndigheter som kan omfattas av säkerhetsskyddslagen är det enligt regeringens uppfattning inte lämpligt att generellt undanta myndigheter från anmälningsplikten, vilket Strålsäkerhetsmyndigheten föreslår. Att peka ut vissa myndigheter som undantagna skulle kräva ett stort kartläggningsarbete och innefatta gränsdragningsproblem. Att anmäla en säkerhetskänslig verksamhet innebär därtill knappast något större merarbete för de större myndigheter som Strålsäkerhetsmyndigheten särskilt pekar på. Sammantaget finns enligt regeringen inte tillräckliga skäl att undanta myndigheter från anmälningsplikten, varken generellt eller genom utpekande av vissa myndigheter.
Vad gäller Energimyndighetens ifrågasättande av om det finns tillräckligt mandat för tillsynsmyndigheten att begära in underlag från verksamhetsutövare för att kunna bedöma om anmälningsplikten har försummats, konstaterar regeringen att det i avsnitt 8.3 lämnas förslag om bestämmelser om utökade undersökningsbefogenheter som innefattar bl.a. en rätt för tillsynsmyndigheten att inhämta den information som den behöver för tillsynen. Regeringen anser inte att det därutöver behöver införas bestämmelser om en sådan rätt att inhämta underlag som Energimyndigheten efterfrågar.
Enligt säkerhetsskyddsförordningen ska olika former av säkerhetshotande händelser och verksamhet anmälas till Säkerhetspolisen och Försvarsmakten. För att tillsynen ska kunna bedrivas på ett effektivt och konstruktivt sätt är det viktigt att tillsynsmyndigheten har kännedom om vilka brister som kan finnas hos en verksamhetsutövare för att över tid kunna följa upp vilka åtgärder som har vidtagits för att avhjälpa sådana brister. Frågan om i vilken mån incidentrapporter som inkommit till Säkerhetspolisen ska delas med tillsynsmyndigheterna, som Transportstyrelsen tar upp, får övervägas i det fortsatta förordningsarbetet.
Regeringen eller den myndighet som regeringen bestämmer kan meddela närmare föreskrifter om vilken information som en anmälan ska innehålla liksom föreskrifter om de närmare formerna för fullgörandet av anmälningsskyldigheten.
Frågan om anmälningsplikten ska vara sanktionerad behandlas i avsnitt 9.3.1.
8.3 Tillsynsmyndighetens undersökningsbefogenheter
Regeringens förslag: Den som står under tillsyn ska på begäran ge tillsynsmyndigheten den information som behövs för tillsynen.
Tillsynsmyndigheten ska ha rätt att i den omfattning det behövs för tillsynen få tillträde till områden, lokaler och andra utrymmen, dock inte bostäder, som används i verksamhet som omfattas av tillsyn.
Tillsynsmyndigheten ska få förelägga den som står under tillsyn att tillhandahålla information och att ge tillträde till lokaler och liknande. Ett sådant föreläggande ska få förenas med vite.
Tillsynsmyndigheten ska även få begära handräckning av Kronofogdemyndigheten för att genomföra tillsynsåtgärder. Vid handräckning gäller bestämmelserna i utsökningsbalken om verkställighet av förpliktelser som inte avser betalningsskyldighet, avhysning eller avlägsnande.
Utredningens förslag överensstämmer med regeringens.
Remissinstanserna: Majoriteten av remissinstanserna tillstyrker förslaget eller har inget att invända mot det. Försvarets materielverk (FMV) påpekar att det finns svårigheter att bedriva tillsyn hos utländska leverantörer.
Skälen för regeringens förslag
Det finns skäl att införa undersökningsbefogenheter
Säkerhetsskyddslagstiftningen innehåller i dag inga särskilda befogenheter för utövande av tillsyn. En grundläggande förutsättning för tillsynen av säkerhetsskyddet är därför att tillsynsobjekten samarbetar med tillsynsmyndigheterna och rättar sig efter deras anvisningar och rekommendationer.
Regeringen anser att ett effektivt system för tillsyn inte kan bygga på antagandet att det alltid finns samförstånd mellan tillsynsmyndigheten och tillsynsobjektet. Detta gäller inte minst med hänsyn till de skyddsvärden det är fråga samt eftersom antalet verksamheter av betydelse för Sveriges säkerhet har ökat i takt med privatiseringen av offentlig verksamhet och får antas fortsätta öka framöver (se prop. 2017/18:89 s. 125).
Regeringen anser, i likhet med utredningen, att det finns skäl för att ge tillsynsmyndigheterna undersökningsbefogenheter för tillsyn enligt säkerhetsskyddslagen. Frågan om vilka närmare befogenheter tillsynsmyndigheten bör ha behandlas nedan. Tillsynsmyndighetens möjlighet att besluta åtgärdsföreläggande och sanktionsavgift vid överträdelse av säkerhetsskyddslagstiftningens bestämmelser behandlas i avsnitt 9.
Som FMV framhåller finns det många gånger begränsade möjligheter att utöva tillsyn över utländska leverantörer och det är inte alltid tillräckligt att en sådan leverantör har godkänts genom en kontroll enligt den andra statens säkerhetsskyddslagstiftning. Det är emellertid alltid verksamhetsutövarens ansvar att bedöma om det är lämpligt att involvera en extern aktör för arbete eller uppdrag som medför krav på säkerhetsskyddsavtal. Möjligheten att kontrollera att en utländsk motpart genomför de åtgärder som följer av säkerhetsskyddsavtalet är en parameter som verksamhetsutövaren måste överväga inför att ett säkerhetsskyddsavtal ingås. Som framgår av avsnitt 7.2 ska en lämplighetsbedömning alltid göras i vissa förfaranden som rör verksamheter med högre skyddsvärden. I situationer där motparten i säkerhetsskyddsavtalet har sitt säte i ett annat land förefaller det lämpligt att tillsynsmyndigheten i första hand inriktar tillsynsåtgärderna mot verksamhetsutövaren, t.ex. genom att undersöka vilka ansträngningar som verksamhetsutövaren gjort för att kontrollera att avtalet efterlevs.
Tillgång till information
För att en tillsynsmyndighet ska kunna kontrollera att verksamhetsutövare uppfyller de krav som följer av säkerhetsskyddslagen och anknytande föreskrifter, behöver den kunna inhämta information från tillsynsobjekten. Det kan t.ex. röra sig om uppgifter eller handlingar som visar att en verksamhetsutövare har genomfört en säkerhetsskyddsanalys, vad den därvid kommit fram till och vilka säkerhetsskyddsåtgärder som den därefter vidtagit. Det bör därför införas en skyldighet för den som står under tillsyn att på begäran från tillsynsmyndigheten lämna den information som behövs för tillsynen.
Uppgiftsskyldigheten bör gälla alla som står under tillsyn. Detta innefattar, utöver verksamhetsutövare, även sådana aktörer som har ingått säkerhetsskyddsavtal med verksamhetsutövare. I linje med det som anförs om tillsyn över sådana utomstående aktörer i avsnitt 8.1, bedömer regeringen det som motiverat att tillsynsmyndigheten ska kunna inhämta information från en sådan aktör för att kontrollera att verksamhetsutövaren uppfyller kraven på säkerhetsskydd, trots att den utomstående aktören inte själv har några övriga skyldigheter enligt säkerhetsskyddslagen.
Tillträdesrätt
Med hänsyn till behovet av en effektiv tillsyn anser regeringen att tillsynsmyndigheten i den utsträckning det behövs för tillsynen bör ha rätt att få tillträde till områden, lokaler och andra utrymmen som används i verksamhet som omfattas av tillsyn.
Rätten till tillträde bör omfatta utrymmen som disponeras av sådana aktörer som omfattas av tillsyn, vilket enligt regeringens förslag kan vara både verksamhetsutövare och motparter i säkerhetsskyddsavtal. Av integritetsskäl bör tillträdesrätten inte gälla bostäder.
Enligt 2 kap. 6 § regeringsformen är var och en skyddad mot husrannsakan och liknande intrång. Någon närmare definition av begreppet husrannsakan ges inte i regeringsformen, men enligt lagmotiven används uttrycket för att beteckna varje av myndighet företagen undersökning av hus, rum eller slutet förvaringsställe oavsett syftet med undersökningen (jfr prop. 1973:90 s. 246 och 1975/76:209 s. 147). Skyddet mot husrannsakan kan enligt 2 kap. 20 och 21 §§ regeringsformen begränsas genom lag, men en sådan begränsning får endast göras för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle och får aldrig gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett den. Ett liknande skydd som det som föreskrivs i 2 kap. 6 § regeringsformen följer av artikel 8 i Europakonventionen. Enligt artikeln har var och en rätt till skydd för sitt privat- och familjeliv, sitt hem och sin korrespondens. Inskränkningar i skyddet kan godtas, under förutsättning att de är lagliga och nödvändiga i ett demokratiskt samhälle för att tillgodose något av de i artikeln uppräknade intressena, däribland den nationella säkerheten. Den nu föreslagna rätten till tillträde gäller för en avgränsad krets, nämligen aktörer som bedriver säkerhetskänslig verksamhet och dessas motparter i säkerhetsskyddsavtal. Förslaget bedöms vara nödvändigt för att tillsynsmyndigheterna ska kunna bedriva ett effektivt arbete med att kontrollera att säkerhetsskyddslagen följs och att därigenom motverka skador på Sveriges säkerhet. Den föreslagna tillträdesrätten bedöms således utgöra en godtagbar inskränkning av enskildas fri- och rättigheter. Det ankommer dock alltid på de rättstillämpande myndigheterna att göra en bedömning av om de vidtagna undersökningsåtgärderna är proportionerliga i det enskilda fallet (jfr även 5 § tredje stycket förvaltningslagen [2017:900]). Det som anförts innebär att kraven i regeringsformen och Europakonventionen är uppfyllda.
Förelägganden och handräckning
I avsnitten ovan föreslår regeringen att tillsynsmyndigheten ska ha rätt att få viss information från tillsynsobjekten och tillträdesrätt till områden, lokaler och andra utrymmen som används i verksamhet som omfattas av tillsyn. Tillsynsmyndigheten bör i linje med de förslagen även kunna meddela de förelägganden som behövs för att förmå tillsynsobjekt som inte samarbetar att tillhandahålla den information och ge det tillträde som behövs för tillsynen.
Ett beslut om föreläggande bör, för att bli tillräckligt verkningsfullt, kunna förenas med vite. Allmänna bestämmelser om viten finns i lagen (1985:206) om viten, kallad viteslagen. Det finns inte anledning att införa bestämmelser som avviker från dem. Bestämmelserna i viteslagen är tillämpliga på såväl offentliga som enskilda aktörer. Regeringen instämmer i utredningens bedömning att det är godtagbart med vite i förhållande till statliga myndigheter och kommuner på området för säkerhetsskydd (se även avsnitt 7.4 ovan).
Om ett tillsynsobjekt ändå vägrar att ge tillsynsmyndigheten information eller tillträde till en lokal kan tvångsåtgärder behöva användas. Det ligger inte inom tillsynsmyndighetens befogenheter att vidta sådana åtgärder. Det finns inte anledning att anta att det kommer finnas risk för hot eller handgripligheter i samband med tillsynen enligt säkerhetsskyddslagen. De eventuella hinder som kan uppstå får i stället antas vara av fysiskt art. För att tillsynsmyndigheten i en sådan situation ska kunna genomföra sin tillsyn bör myndigheten kunna begära handräckning av Kronofogdemyndigheten. Vid sådan handräckning gäller bestämmelserna i utsökningsbalken om verkställighet av förpliktelser som inte avser betalningsskyldighet, avhysning eller avlägsnande (jfr prop. 2018/19:38 s. 37 f.).
Bestämmelserna ska tas in i säkerhetsskyddslagen
Bestämmelserna om uppgiftsskyldighet och tillsynsmyndighetens övriga befogenheter enligt ovan avser delvis förhållandet mellan enskilda och det allmänna och gäller delvis även skyldigheter för enskilda gentemot det allmänna. De ska därför tas in i säkerhetsskyddslagen.
Som framgår av avsnitt 3 och 7.3 har riksdagen tillkännagett för regeringen att den ställer sig bakom det som utskottet anför om att tillsynsmyndigheternas ansvar och befogenheter ska regleras i säkerhetsskyddslagen (bet. 2017/18:JuU21 punkt 3, rskr. 2017/18:289). Genom de nu redovisade förslagen om tillsynsbefogenheter och de i avsnitt 7.3 och 7.4 behandlade förslagen om samråd m.m. vid utkontrakteringar och liknande förfaranden, anser regeringen att tillkännagivandet är tillgodosett och slutbehandlat.
9 Ingripanden och sanktioner
I dag finns endast begränsade befogenheter att ingripa mot den som inte sköter sitt säkerhetsskydd.
Enligt 2 kap. 9 och 11-13 §§ säkerhetsskyddslagen (2018:585) kan samrådsmyndigheten besluta om förelägganden och förbud i samband med överlåtelse av säkerhetskänslig verksamhet och viss egendom. Dessutom får samrådsmyndigheten, när den beslutat förbud mot att genomföra en viss överlåtelse, besluta vitessanktionerade förelägganden för att förhindra skada för Sveriges säkerhet. Enligt förslaget i avsnitt 13 ska det vara tillsynsmyndigheten i stället för samrådsmyndigheten som har dessa befogenheter. I avsnitt 7 föreslår regeringen dessutom att tillsynsmyndigheten i stort ska ha motsvarande befogenheter i samband med vissa förfaranden som kräver säkerhetsskyddsavtal. Säkerhetsskyddslagstiftningen i övrigt innehåller dock inte några befogenheter för tillsynsmyndigheten att ingripa mot den som åsidosatt sitt säkerhetsskydd. Säkerhetsskyddslagstiftningen bygger i stället till allra största del på att verksamhetsutövare samarbetar med tillsynsmyndigheten och följer de råd och rekommendationer som tillsynsmyndigheten ger.
Avsaknaden av ingripandebefogenheter gör att det finns en risk att verksamhetsutövare är mindre benägna att efterleva säkerhetsskyddslagstiftningens krav, särskilt eftersom säkerhetsskyddsåtgärder kan vara kostsamma. Det har också framkommit att det finns fall där påpekade brister inte har rättats till (se bl.a. SOU 2015:25 s. 476-478). Detta är inte en acceptabel ordning när det gäller åtgärder som ska motverka risker för Sveriges säkerhet. Regeringen anser därför att det bör införas ytterligare administrativa sanktioner och andra ingripandemöjligheter för att säkerställa säkerhetsskyddslagstiftningens efterlevnad.
Vidare finns det redan i dag straffbestämmelser som träffar vissa överträdelser av säkerhetsskyddslagen. Det bör därför även övervägas om det straffbara området för överträdelser av säkerhetsskyddslagstiftningen bör utvidgas på något sätt.
9.1 Överträdelser av säkerhetsskyddslagstiftningen bör inte vara straffsanktionerade utöver vad som redan gäller
Regeringens bedömning: Det bör inte införas nya straffbestämmelser för överträdelse av säkerhetsskyddslagstiftningen. Inte heller bör befintliga straffbestämmelser utvidgas för att i större utsträckning omfatta sådana överträdelser.
Utredningens bedömning överensstämmer med regeringens.
Remissinstanserna: Svea hovrätt, Svenskt Näringsliv och Uppsala universitet (juridiska fakulteten) instämmer i bedömningen. Försvarsmakten anser att grovt oaktsam hantering av säkerhetsskyddsklassificerade uppgifter bör bli straffbart om det innebär fara för att uppgifterna kommer främmande makt till del, även om det inte är möjligt att avgöra om uppgifterna faktiskt har avslöjats eller uppenbarats för någon obehörig person.
Skälen för regeringens bedömning: Den som röjer säkerhetsskyddsklassificerade uppgifter för någon obehörig på ett sätt som kan medföra men för Sveriges säkerhet kan, under vissa förutsättningar, ha gjort sig skyldig till obehörig befattning med hemlig uppgift, grov obehörig befattning med hemlig uppgift eller vårdslöshet med hemlig uppgift enligt 19 kap. 7, 8 eller 9 § brottsbalken (BrB). Vidtas gärningen för att gå främmande makt tillhanda kan det i stället vara fråga om spioneri eller grovt spioneri enligt 19 kap. 5 eller 6 § BrB. Åsidosättanden av åligganden enligt säkerhetsskyddslagen kan även utgöra tjänstefel enligt 20 kap. 1 § BrB, om det sker vid myndighetsutövning, t.ex. i samband med en säkerhetsprövning av personal. Dessutom kan någon som olovligen röjer en hemlig (säkerhetsskyddsklassificerad) uppgift i vissa fall göra sig skyldig till brott mot tystnadsplikt enligt 20 kap. 3 § BrB. Detta gäller även om uppgiften hanterats av en enskild verksamhetsutövare (5 kap. 2 § första stycket säkerhetsskyddslagen). Genom nämnda straffbestämmelser kan alltså vissa överträdelser av säkerhetsskyddslagstiftningen redan i dag utgöra brott.
Det finns inget absolut hinder mot att - parallellt med ytterligare administrativa sanktioner - utvidga befintliga straffbestämmelser eller införa nya straffbestämmelser för att förmå verksamhetsutövare att följa säkerhetsskyddslagstiftningen. Däremot bör kriminalisering som metod för att försöka hindra överträdelser av olika normer i samhället användas med försiktighet. En anledning till det är att alltför omfattande kriminalisering riskerar att undergräva straffsystemets brottsavhållande verkan, särskilt om rättsväsendet inte kan beivra alla brott på ett effektivt sätt. Vidare framstår det i nuläget inte heller som nödvändigt med nya eller utvidgade straffbestämmelser för att förmå verksamhetsutövare att i större utsträckning uppfylla kraven på säkerhetsskydd. Den effekten kan i stället uppnås genom administrativa sanktioner. Regeringen anser därför - liksom utredningen - att några nya straffbestämmelser inte bör införas. Till skillnad mot vad Försvarsmakten förespråkar bör inte heller befintliga straffbestämmelser utvidgas i nuläget.
9.2 Vilka ytterligare administrativa sanktioner och andra möjligheter till ingripande bör införas?
Frågan är vilka ytterligare administrativa sanktioner och andra ingripande-möjligheter som ska införas för att säkerställa säkerhetsskyddslagstiftningens efterlevnad. Exempel på ingripande är återkallelse av tillstånd, förbud mot fortsatt verksamhet, åtgärdsföreläggande som kan förenas med vite och administrativa sanktionsavgifter.
Säkerhetsskyddslagen innehåller inga regler om krav på tillstånd för att verksamhetsutövare ska få bedriva säkerhetskänslig verksamhet. Regler om återkallelse av tillstånd är därför inte aktuellt som ingripande för överträdelse av säkerhetsskyddslagstiftningen. Inte heller förbud mot att bedriva en viss verksamhet är en framkomlig väg, bl.a. eftersom det i många fall är viktigt att en säkerhetskänslig verksamhet fortsätter att bedrivas och att det i vissa fall även finns en skyldighet att bedriva sådan verksamhet. Mot denna bakgrund anser regeringen att de ingripanden som bör övervägas är åtgärdsförelägganden och sanktionsavgifter.
9.2.1 Tillsynsmyndigheten ska kunna besluta om vitessanktionerade åtgärdsförelägganden
Regeringens förslag: Tillsynsmyndigheten ska få förelägga verksamhetsutövare att vidta åtgärder för att fullgöra sina skyldigheter enligt säkerhetsskyddslagen och föreskrifter som har meddelats i anslutning till den lagen. Ett sådant föreläggande ska få förenas med vite.
Utredningens förslag överensstämmer i huvudsak med regeringens. Utredningen föreslår dock att tillsynsmyndigheten även ska få besluta åtgärdsförelägganden mot dem som har ingått säkerhetsskyddsavtal med en verksamhetsutövare.
Remissinstanserna: Majoriteten av remissinstanserna har inget att erinra mot förslaget eller yttrar sig inte särskilt i denna del. Försvarsmakten och Transportstyrelsen tillstyrker förslaget. Specialfastigheter AB anser inte att tillsynsmyndigheten bör få besluta åtgärdsförelägganden mot dem som har ingått säkerhetsskyddsavtal med en verksamhetsutövare.
Skälen för regeringens förslag: Åtgärdsföreläggande som kan förenas med vite är ett handlingsdirigerande påtryckningsmedel som syftar till att tvinga fram ett önskat agerande eller att få ett oönskat agerande att upphöra. Föreläggandets utformning skapar möjligheter för tillsynsorganet att anpassa ingripandet efter vad som är behövligt i varje enskilt fall. Vidare kan vitets storlek anpassas efter vad som utgör ett tillräckligt påtryckningsmedel mot aktören i fråga. Regeringen har i skrivelsen En tydlig, rättssäker och effektiv tillsyn anfört att en tillsynsmyndighet som utgångspunkt bör ha en möjlighet att besluta om vitessanktionerade åtgärdsförelägganden (skr. 2009/10:79 s. 44). Åtgärdsföreläggande finns också i de flesta tillsynssystem.
Enligt regeringen är åtgärdsföreläggande ett flexibelt och effektivt ingripande som passar väl för överträdelser av säkerhetsskyddslagstiftningen. Tillsynsmyndigheterna bör därför - liksom i de flesta andra tillsynssystem - ha befogenhet att besluta åtgärdsförelägganden som kan förenas med vite. I avsnitt 7.4 har regeringen gjort bedömningen att tillsynsmyndigheten bör kunna besluta vitesförelägganden även mot statliga myndigheter trots att utgångspunkten i svensk rätt är att vitesförelägganden inte bör riktas mot staten. Där framhålls även att det endast undantagsvis torde komma i fråga att tillsynsmyndigheten behöver förena ett föreläggande mot en statlig myndighet med vite. Dessa överväganden gör sig i allt väsentligt gällande även i den här aktuella situationen och regeringen anser därför att också åtgärdsförelägganden mot statliga myndigheter bör kunna förenas med vite.
Utredningen föreslår att åtgärdsförelägganden - förutom mot verksamhetsutövare - även ska få riktas mot dem som har ingått säkerhetsskyddsavtal med en verksamhetsutövare för att fullgöra skyldigheter enligt säkerhetsskyddslagen. Som skäl anger utredningen att det är nödvändigt för att åtgärdsförelägganden ska få avsedd effekt. Aktörer som en verksamhetsutövare ingått säkerhetsskyddsavtal med har dock inga skyldigheter enligt säkerhetsskyddslagen, såvida de inte bedriver säkerhetskänslig verksamhet och följaktligen är verksamhetsutövare. I linje med vad Specialfastigheter AB anför är det därför som utgångspunkt inte proportionerligt att åtgärdsförelägganden ska kunna riktas mot dem för att verksamhetsutövare ska uppfylla sina skyldigheter. Regeringen ser inte heller något större behov av sådana förelägganden. Det bör därför inte införas en möjlighet för tillsynsmyndigheten att förelägga aktörer som en verksamhetsutövare har ingått säkerhetsskyddsavtal med för att fullgöra skyldigheter enligt säkerhetsskyddslagen. Däremot har regeringen i avsnitt 8.3 funnit att tillsynsmyndigheten bör kunna förelägga en sådan aktör att tillhandahålla information och ge tillträde till vissa utrymmen i syfte att undersöka om den verksamhetsutövare som aktören har ingått säkerhetsskyddsavtal med uppfyller sina skyldigheter.
Utöver verksamhetsutövare har även de som avser att överlåta aktier eller andelar i säkerhetskänslig verksamhet skyldigheter enligt säkerhetsskyddslagen. Enligt förslaget i avsnitt 13 ska de samråda med tillsynsmyndigheten inför en sådan överlåtelse. Tillsynsmyndigheten kan besluta förelägganden inom ramen för samrådet. Något behov för tillsynsmyndigheten att kunna besluta ytterligare förelägganden mot aktie- och andelsägare ser regeringen inte.
Mot denna bakgrund bör tillsynsmyndigheten få förelägga verksamhetsutövare att vidta åtgärder för att fullgöra sina skyldigheter enligt säkerhetsskyddslagen och föreskrifter som har meddelats i anslutning till den. Ett sådant föreläggande ska få förenas med vite.
Av 35 § förvaltningslagen (2017:900) följer att tillsynsmyndigheten i vissa fall, såsom när ett väsentligt allmänt intresse kräver det, får bestämma att ett beslut om föreläggande ska gälla omedelbart.
9.2.2 Tillsynsmyndigheten ska kunna besluta om sanktionsavgift
Regeringens förslag: Tillsynsmyndigheten ska kunna besluta om sanktionsavgift för överträdelser.
Utredningens förslag överensstämmer med regeringens.
Remissinstanserna: Flera remissinstanser, såsom Affärsverket svenska kraftnät, Kammarrätten i Stockholm, Migrationsverket, Myndigheten för samhällsskydd och beredskap, Riksgäldskontoret, Skövde kommun och Stockholms tingsrätt, tillstyrker förslaget. Ett antal remissinstanser, bl.a. Försvarets materielverk (FMV), Gotlands kommun, Gävle kommun, Region Norrbotten, Sveriges kommuner och regioner (SKR) och Västra Götalandsregionen, ifrågasätter om sanktionsavgifter kommer att leda till ett förbättrat säkerhetsskydd och vissa av dem menar att lagstiftningen i stället bör fokusera på tidiga åtgärder. FMV efterlyser också en djupare analys av förslaget när det gäller utländska leverantörer, som är utom räckhåll för tillsynsmyndigheternas jurisdiktion. Svenska bankföreningen anser inte banker ska kunna påföras sanktionsavgift eftersom bankerna redan omfattas av andra regelverk som ger Finansinspektionen befogenhet att besluta fler och kraftigare sanktioner. IKEM Innovations- och kemiindustrierna och SKR anser inte att det är tillräckligt tydligt vilka som omfattas av säkerhetsskyddslagen för att sanktionsavgift ska anses vara en lämplig sanktion för överträdelser av regleringen. Försvarsmakten framhåller att det bör övervägas om sanktionsavgifter ska införas i ett senare skede än övriga förslag. Skövde kommun, Socialstyrelsen och Svenskt Näringsliv framför att ett rättssäkrare alternativ vore att tillsynsmyndigheten får möjlighet att väcka talan i förvaltningsdomstol om utdömande av sanktionsavgift.
Skälen för regeringens förslag
Sanktionsavgift införs som ingripande vid överträdelser
Sanktionsavgift är en snabb och effektiv ekonomisk sanktion som vanligen riktar sig mot en konstaterad överträdelse av en författningsbestämmelse. Sanktionsavgift är till skillnad från vitessanktionerade åtgärdsföreläggande i huvudsak en tillbakaverkande sanktion som är handlingsdirigerande genom att verka avskräckande. Om sanktionsavgiften riskerar att innebära en kostnad eller förlust som är lika stor som eller större än den besparing som görs genom att regelverket inte följs, skapar avgiften incitament att undvika överträdelser. När sanktionsavgift tas ut av en myndighet har den ekonomiska aspekten dock inte lika stor betydelse. Sanktionsavgifter finns inom en rad rättsområden och har olika tillämpningsområde, syfte och utformning. I vissa fall kan avgift tas ut vid sidan av eller i stället för straff och i andra fall är sanktionsavgift ett komplement till andra ingripanden. Det finns också regelverk där sanktionsavgift är den enda sanktionen för en överträdelse.
För att införa sanktionsavgifter som ett komplement till åtgärdsförelägganden talar bl.a. att det skulle ge en möjlighet att i större utsträckning anpassa ingripanden till varje enskilt fall. Som exempel kan det vid upprepade, uppsåtliga eller av andra skäl särskilt allvarliga överträdelser vara lämpligare att ingripa med sanktionsavgift än med åtgärdsföreläggande.
Regeringen anser också, till skillnad från FMV, Gotlands kommun, Gävle kommun, Region Norrbotten, SKR och Västra Götalandsregionen, att sanktionsavgifter bör bidra till ett bättre säkerhetsskydd. Som remissinstanserna framför är tidiga åtgärder för att motverka överträdelser också mycket viktiga. Även risken för sanktionsavgifter bör dock enligt regeringen öka incitamenten för verksamhetsutövare att satsa på förebyggande åtgärder och att avsätta tillräckliga resurser för att säkerställa att de uppfyller kraven på säkerhetsskydd. Ett system med endast åtgärdsförelägganden skapar inte samma incitament att agera proaktivt.
Enligt regeringen kan det dessutom ha betydelse för andra länders förtroende för Sverige att det finns en tydlig och effektiv sanktion för den som exempelvis har ett otillräckligt skydd för säkerhetsskyddsklassificerade uppgifter. Internationella samarbeten vilar nämligen ofta på överenskommelser om säkerhetsskydd där Sverige åtar sig att skydda andra länders säkerhetskänsliga information på motsvarande sätt som sin egen.
Som FMV påpekar omfattas leverantörer, inhemska som utländska, av säkerhetsskyddslagen endast om de bedriver egen säkerhetskänslig verksamhet i Sverige. Sanktionsavgift skulle därför, som FMV anför, bl.a. inte kunna tas ut av ett utländskt bolag som levererar varor till landet. Att sanktionsavgift inte skulle kunna tas ut av sådana aktörer är dock inte skäl för att underlåta att införa sanktionsavgifter helt och hållet.
Regeringen anser inte heller - till skillnad från Svenska bankföreningen - att den omständigheten att banker redan omfattas av andra regelverk som ger Finansinspektionen möjlighet att besluta sanktionsavgifter till stora belopp talar emot att införa sanktionsavgifter för banker som överträder säkerhetsskyddslagstiftningen. Regelverken har i huvudsak olika syften.
Något som kan tala emot att införa sanktionsavgifter är, i linje med vad IKEM Innovations- och kemiindustrierna och SKR framför, att det i undantagsfall kan vara svårt att avgöra om man bedriver säkerhetskänslig verksamhet och följaktligen omfattas av säkerhetsskyddslagstiftningens krav. Regeringen anser dock inte att det utgör hinder mot att införa en möjlighet att besluta sanktionsavgift, så länge det i enlighet med förslagen i avsnitt 9.3 finns utrymme att avstå från att ta ut sanktionsavgift i sådana fall.
Vidare bör beaktas att ett sanktionssystem med både vitessanktionerade åtgärdsförelägganden och sanktionsavgifter lämnar ett visst utrymme för tillsynsmyndigheten att välja mellan att genomdriva en åtgärd med vite eller att påföra sanktionsavgift, vilket kan innebära att systemet inte blir så förutsägbart som kan önskas. Regeringen anser dock att angivna fördelar med det utrymmet, som att det finns möjlighet att använda en ändamålsenlig och effektiv sanktion i varje enskilt fall, överväger detta. Vidare föreslår regeringen i avsnitt 9.3.4 vilka faktorer som särskilt ska beaktas vid bedömningen av om en sanktionsavgift ska beslutas, vilket ökar förutsebarheten.
Mot denna bakgrund anser regeringen att sanktionsavgift bör införas som ett komplement till möjligheten att meddela vitessanktionerade åtgärdsförelägganden. Till skillnad från Försvarsmakten anser regeringen inte att det finns anledning att vänta med att införa sanktionsavgifter för att se effekten av andra förslag, såsom att tillsynsmyndigheterna ska få besluta åtgärdsförelägganden. Det är snarare angeläget att i samband med övriga skärpningar av tillsynssystemet också införa sanktionsavgifter.
Tillsynsmyndigheten bör besluta om sanktionsavgift
Beslut om sanktionsavgift fattas som huvudregel av en tillsynsmyndighet eller av en domstol efter ansökan från tillsynsmyndigheten. Generellt sett anses en tillsynsmyndighet bättre lämpad att besluta om sanktionsavgift när reglerna är relativt enkla att tillämpa, beslutsfattandet är förhållandevis schabloniserat och sanktionsbestämmelserna bygger på strikt ansvar. En domstol brukar anses bättre lämpad att besluta om sanktionsavgift om det är aktuellt att pröva subjektiva eller andra svårbedömda rekvisit.
I enlighet med vad Skövde kommun, Socialstyrelsen och Svenskt Näringsliv framför kan de bedömningar och avvägningar som måste göras vid beslut om sanktionsavgift vara komplicerade, vilket talar för att det bör vara en domstol som beslutar om sanktionsavgift i första instans.
Det är dock tillsynsmyndigheterna som genom sin sakkunskap har eller kan skaffa sig bäst förutsättningar att bedöma om en överträdelse har skett. Tillsynsmyndigheterna har även, genom sitt tillsynsansvar, en god inblick i verksamhetsutövares verksamheter och är väl förtrogna med säkerhetsskyddslagstiftningen. Erfarenheten visar också att det är ovanligt att sanktionsavgiftsbeslut som meddelas av en tillsynsmyndighet överklagas och att de beslut som överklagas sällan ändras (se SOU 2014:83 s. 105). Beslut om sanktionsavgift kommer vidare enligt regeringens förslag i avsnitt 10 kunna överklagas till domstol, vilket tillgodoser rättssäkerhetsaspekterna för den som åläggs sanktionsavgift och gör att det kommer bildas domstolspraxis till vägledning för tillsynsmyndigheternas beslut. Om tillsynsmyndigheten fattar beslut om sanktionsavgift kan det dessutom antas att handläggningen som regel blir snabbare än om domstol ska besluta efter ansökan av tillsynsmyndigheten.
Enligt regeringen överväger fördelarna med att tillsynsmyndigheterna beslutar om sanktionsavgift de eventuella nackdelar som en sådan ordning skulle kunna innebära. Följaktligen anser regeringen, liksom utredningen men till skillnad från Skövde kommun, Socialstyrelsen och Svenskt Näringsliv, att det bör vara tillsynsmyndigheten som beslutar om sanktionsavgift.
9.3 Sanktionsavgifter
9.3.1 Överträdelser som ska kunna leda till sanktionsavgift
Regeringens förslag: Sanktionsavgift ska kunna tas ut av en verksamhetsutövare som har åsidosatt någon av de centrala skyldigheterna enligt säkerhetsskyddslagstiftningen.
En sanktionsavgift ska även få tas ut av en verksamhetsutövare som har inlett ett förfarande eller genomfört en överlåtelse i strid med ett förbud, eller som har lämnat oriktiga uppgifter i samband med samråd eller tillsyn.
En sanktionsavgift ska dessutom kunna tas ut av en aktie- eller andelsägare som inte har uppfyllt sin samrådsskyldighet inför överlåtelse av aktier eller andelar i säkerhetskänslig verksamhet, har genomfört en sådan överlåtelse i strid med ett förbud, eller har lämnat oriktiga uppgifter i samband med samrådet.
Utredningens förslag överensstämmer i huvudsak med regeringens. Utredningen föreslår dock att sanktionsavgift ska kunna tas ut vid fler överträdelser. Vidare föreslår utredningen att det ska krävas att ett säkerhetsskyddsavtal är "bristfälligt i väsentlig mån" för att sanktionsavgift ska kunna tas ut för åsidosättande av kravet om vad ett säkerhetsskyddsavtal ska innehålla.
Remissinstanserna: Försvarsmakten, Kammarrätten i Stockholm, Stockholms tingsrätt och Svea hovrätt ifrågasätter behovet av sanktionsavgift vid underlåtelse att anmäla att den säkerhetskänsliga verksamheten har upphört. Svenskt Näringsliv anser att en förutsättning för sanktionsavgift mot ett företag bör vara att företaget har informerats av tillsynsmyndigheten om att det omfattas av säkerhetsskyddslagen, bl.a. eftersom kraven på säkerhetsskydd ligger i statens snarare än företagens intresse. Vissa remissinstanser, såsom Lidingö kommun, Luleå kommun och Myndigheten för samhällsskydd och beredskap (MSB), har synpunkter på hur ofta det bör krävas att en säkerhetsskyddsanalys uppdateras. Flera remissinstanser, bl.a. Försvarsmakten, Svea hovrätt, Post- och telestyrelsen (PTS), Trafikverket och IKEM Innovations- och kemiindustrierna, ifrågasätter om vissa av de krav vars åsidosättande föreslås kunna leda till sanktionsavgift är tillräckligt tydliga, såsom kraven på säkerhetsskyddsåtgärder, säkerhetsskyddsklassificering och säkerhetsskyddsavtal. PTS anser även att det är oklart vad som avses med att lämna oriktiga uppgifter i samband med tillsyn eller samråd. Svea hovrätt anser att det är angeläget att en verksamhetsutövare inte påförs sanktionsavgifter innan tillräckliga preciseringar av aktuellt krav finns på plats, t.ex. genom ett åtgärdsföreläggande, eventuellt i förening med vite. Försäkringskassan efterlyser tydlig vägledning om hur säkerhetsskyddsklassificering ska genomföras. FMV, Försvarets radioanstalt (FRA), Försvarsmakten, Inspektionen för strategiska produkter och Svenskt Näringsliv ifrågasätter om det är lämpligt att tillsynsmyndigheten ska kunna ta ut sanktionsavgifter av andra statliga myndigheter.
Skälen för regeringens förslag
Överträdelser av bestämmelser med krav som är centrala för säkerhetsskyddet
Regeringen anser - liksom utredningen - att sanktionsavgift i första hand bör komma i fråga vid åsidosättande av de skyldigheter som är allra viktigast för säkerhetsskyddet. Det innebär att sanktionsavgifter bör reserveras för överträdelser av bestämmelser med krav som har avgörande betydelse för att upprätthålla ett väl anpassat säkerhetsskydd och där ett åsidosättande ytterst kan leda till allvarliga konsekvenser för Sveriges säkerhet. Kraven måste dock även vara tillräckligt tydliga så att det är förutsebart för verksamhetsutövare i vilka fall en sanktionsavgift får tas ut, eftersom sanktionsavgifter har en straffliknande karaktär och kommer kunna uppgå till betydande belopp.
I anslutning till de centrala skyldigheterna i säkerhetsskyddslagen har det meddelats omfattande föreskrifter som preciserar och utvecklar skyldigheterna. Föreskrifterna är i vissa fall meddelade med direkt eller indirekt stöd av säkerhetsskyddslagen och i andra fall med stöd av rätten att meddela verkställighetsföreskrifter. Vidare kommer nya föreskrifter meddelas med anledning av de skyldigheter som regeringen föreslår i denna proposition. I de fall regeringen föreslår att åsidosättande av en skyldighet ska kunna leda till sanktionsavgift bör både överträdelse av lagbestämmelsen i fråga och överträdelse av föreskrifter som har meddelats i anslutning till bestämmelsen kunna leda till sanktionsavgift. Detta bör framgå tydligt av lagtexten.
Kravet på att anmäla säkerhetskänslig verksamhet till tillsynsmyndigheten
Förslaget i avsnitt 8.2 om att en verksamhetsutövare ska anmäla till tillsynsmyndigheten att den bedriver säkerhetskänslig verksamhet har flera funktioner. Bland annat främjar anmälningsplikten att de som bedriver verksamhet noga analyserar om deras verksamhet i någon mån är att anse som säkerhetskänslig och följaktligen omfattas av säkerhetsskyddslagstiftningen. Anmälningsplikten motverkar på så sätt att säkerhetskänsliga verksamheter står utan säkerhetsskydd och är därför mycket viktig för säkerhetsskyddet. Underlåtenhet att anmäla en säkerhetskänslig verksamhet bör därför kunna leda till sanktionsavgift.
Den skyldighet att göra en anmälan när den säkerhetskänsliga verksamheten har upphört som regeringen föreslår i avsnitt 8.2 är däremot inte avgörande för säkerhetsskyddet, utan syftar främst till att ge tillsynsmyndigheten en bättre överblick över sina tillsynsobjekt. Regeringen anser därför - i likhet med Försvarsmakten, Kammarrätten i Stockholm, Stockholms tingsrätt och Svea hovrätt men i motsats till utredningen - inte att det är befogat med sanktionsavgift när en verksamhetsutövare har försummat att göra en sådan anmälan.
Till skillnad från Svenskt Näringsliv anser regeringen inte att en förutsättning för sanktionsavgift, vare sig när det gäller åsidosättande av anmälningsplikten eller andra krav, bör vara att verksamhetsutövaren har informerats av tillsynsmyndigheten om att den omfattas av säkerhetsskyddslagen. Som regeringen anför i avsnitt 8.2 ska det även fortsättningsvis vara den enskilde verksamhetsutövarens ansvar att se till att verksamheten bedrivs enligt säkerhetsskyddslagstiftningen. Det är en annan sak att respektive tillsynsmyndighet kan underlätta arbetet med sådana frågeställningar genom föreskrifter och vägledning.
Kravet på att utse en säkerhetsskyddschef
Skyldigheten att utse en säkerhetsskyddschef med det ansvar och den organisatoriska placering som föreslås i avsnitt 5 är grundläggande för att säkerhetsskyddet ska få den centrala roll i verksamheten som är nödvändig. Åsidosättande av detta krav bör därför kunna leda till sanktionsavgift.
Kravet på att göra och uppdatera en säkerhetsskyddsanalys
En annan central skyldighet är kravet i 2 kap. 1 § första stycket säkerhetsskyddslagen på att utreda behovet av säkerhetsskydd genom en säkerhetsskyddsanalys. Analysen ska enligt 2 kap. 1 § säkerhetsskyddsförordningen (2018:658) hållas uppdaterad.
Säkerhetsskyddsanalysen ligger till grund för verksamhetsutövarens säkerhetsskyddsåtgärder och för den särskilda säkerhetsskyddsbedömning som ska göras inför vissa förfaranden som innebär att andra aktörer kan få tillgång till den säkerhetskänsliga verksamheten. Säkerhetsskyddsanalysens centrala betydelse för att verksamhetsutövare ska ha ett väl anpassat säkerhetsskydd gör att underlåtenhet att göra och uppdatera en sådan bör kunna leda till sanktionsavgift.
Lidingö kommun, Luleå kommun och MSB har synpunkter om hur kravet i 2 kap. 1 § säkerhetsskyddsförordningen på att uppdatera säkerhetsskyddsanalysen bör specificeras för att kunna ligga till grund för sanktionsavgift. Sedan remissvaren skrevs har detta krav dock specificerats på ett tillfredställande sätt genom 2 kap. 10 § Säkerhetspolisens föreskrifter om säkerhetsskydd (PMFS 2019:2) och 2 kap. 2 § Försvarsmaktens föreskrifter om säkerhetsskydd (FFS 2019:2), som båda stadgar att analysen ska uppdateras vid behov och minst en gång vartannat år.
Kravet på att planera och vidta säkerhetsskyddsåtgärder
Det kanske mest centrala kravet är det i 2 kap. 1 § andra stycket säkerhetsskyddslagen om att verksamhetsutövare, med utgångspunkt i säkerhetsskyddsanalysen, ska planera och vidta de säkerhetsskyddsåtgärder som behövs med hänsyn till verksamhetens art och omfattning, förekomst av säkerhetsskyddsklassificerade uppgifter och övriga omständigheter. De tre olika huvudområden inom vilka säkerhetsskyddsåtgärder ska vidtas framgår av 2 kap. 2-4 §§ säkerhetsskyddslagen och omfattar informationssäkerhet, fysisk säkerhet och personalsäkerhet.
Bristande säkerhetsskyddsåtgärder kan leda till mycket allvarliga konsekvenser för Sveriges säkerhet. Det finns därför starka skäl för att tillsynsmyndigheten ska kunna besluta sanktionsavgift mot den verksamhetsutövare som underlåter att planera eller vidta de säkerhetsskyddsåtgärder som behövs.
Flera remissinstanser, bl.a. Försvarsmakten, PTS och Svea hovrätt, ifrågasätter om kravet på att vidta säkerhetsskyddsåtgärder är tillräckligt tydligt. Kravet specificeras i 3 kap. säkerhetsskyddslagen och 3-5 kap. säkerhetsskyddsförordningen. Sedan utredningens betänkande remitterades har skyldigheten dessutom preciserats ytterligare genom 3-6 kap. och 3-7 kap. i Säkerhetspolisens respektive Försvarsmaktens föreskrifter om säkerhetsskydd. Regeringen anser därför att kravet på säkerhetsskyddsåtgärder är tillräckligt tydligt för att sanktionsavgift ska kunna åläggas den som underlåtit att vidta de säkerhetsskyddsåtgärder som behövs. Om en tillsynsmyndighet i ett enskilt fall finner att det inte varit tillräckligt tydligt vad en verksamhetsutövare borde ha vidtagit för säkerhetsskyddsåtgärder bör den dock, som Svea hovrätt anför, snarare välja att ingripa med åtgärdsföreläggande, eventuellt i förening med vite.
Kravet på att säkerhetsskyddsklassificera uppgifter
Enligt 2 kap. 5 § säkerhetsskyddslagen ska säkerhetsskyddsklassificerade uppgifter delas in i en av fyra säkerhetsskyddsklasser utifrån den skada som ett röjande av uppgiften kan medföra för Sveriges säkerhet. Av 7 kap. 4 och 5 §§ säkerhetsskyddsförordningen följer att Säkerhetspolisen och Försvarsmakten får meddela föreskrifter om hur säkerhetsskyddsklassificering av uppgifter ska gå till. Säkerhetspolisen och Försvarsmakten har gett ut vägledningar.
Den säkerhetsskyddsklassificering som uppgifter har avgör vilka säkerhetsskyddsåtgärder som ska vidtas för uppgifterna. Underlåtenhet att säkerhetsskyddsklassificera eller en bristfällig klassificering kan vidare innebära att personer som ska anställas eller på annat sätt delta i den säkerhetskänsliga verksamheten inte säkerhetsprövas i den omfattning som krävs enligt 3 kap. säkerhetsskyddslagen. Säkerhetsprövningens omfattning styrs nämligen av vilken säkerhetsklass som är tillämplig för anställningen eller deltagandet, vilket i sin tur styrs av vilken tillgång till säkerhetsskyddsklassificerade uppgifter den som innehar befattningen har och vilken möjlighet personen har att orsaka skada för Sveriges säkerhet. Klassificeringen har dessutom betydelse för om ett säkerhetsskyddsavtal ska ingås och hur det ska utformas. En utebliven eller bristfällig klassificering kan alltså göra att säkerhetsskyddsåtgärder inte vidtas eller att de inte blir välanpassade, vilket kan få stora konsekvenser för Sveriges säkerhet.
Det är inte svårt för tillsynsmyndigheten att kontrollera om säkerhetsskyddsklassificering har skett. Däremot kan det, som Trafikverket anför, ibland vara svårt att bedöma vilken skada för Sveriges säkerhet som ett röjande av en uppgift skulle kunna medföra och följaktligen vilken klass uppgiften ska placeras i. Den bedömningen bör dock verksamhetsutövare, med sin verksamhetskunskap, och tillsynsmyndigheten, med sin verksamhets- och sektorkunskap, i normalfallet ha goda förutsättningar att göra. I likhet med vad Försäkringskassan anför kan det dock finnas behov av tydligare vägledningar i frågan.
Regeringen anser därför, till skillnad från Trafikverket, att åsidosättande av skyldigheten att säkerhetsskyddsklassificera uppgifter bör kunna leda till sanktionsavgift. Tillsynsmyndigheten bör dock inte ingripa med sanktionsavgift när det i ett enskilt fall varit svårt för en verksamhetsutövare att avgöra hur klassificeringen ska göras.
Kravet på att kontrollera det egna säkerhetsskyddet
Enligt 2 kap. 1 § tredje stycket säkerhetsskyddslagen ska en verksamhetsutövare kontrollera säkerhetsskyddet i den egna verksamheten. Skyldigheten specificeras i Säkerhetspolisens och Försvarsmaktens föreskrifter om säkerhetsskydd. Att verksamhetsutövare regelbundet kontrollerar att de säkerhetsskyddsåtgärder som vidtagits fungerar på det sätt som är avsett och att skyddet i övrigt är lämpligt utformat är naturligtvis viktigt för ett väl anpassat säkerhetsskydd. Underlåtenhet att kontrollera säkerhetsskyddet i den egna verksamheten bör därför kunna leda till sanktionsavgift.
Kravet på att anmäla och rapportera sådant som är av vikt för säkerhetsskyddet
Enligt 2 kap. 1 § tredje stycket säkerhetsskyddslagen ska en verksamhetsutövare anmäla och rapportera sådant som är av vikt för säkerhetsskyddet. Kravet innebär att verksamhetsutövaren ska fullgöra sådan anmälnings- och rapporteringsskyldighet som framgår av föreskrifter (prop. 2017/18:89 s. 137).
Det finns ett flertal anmälnings- och rapporteringsskyldigheter i säkerhetsskyddsförordningen och myndighetsföreskrifter. Bland annat ska en verksamhetsutövare enligt 2 kap. 10 § säkerhetsskyddsförordningen anmäla till Säkerhetspolisen eller Försvarsmakten om en säkerhetsskyddsklassificerad uppgift kan ha röjts, om det inträffat en viss typ av it-incident som har betydelse för säkerhetskänslig verksamhet eller om verksamhetsutövaren har fått kännedom eller misstanke om någon annan för denne allvarlig säkerhetshotande verksamhet. Vidare ska en verksamhetsutövare enligt 2 kap. 5 § säkerhetsskyddsförordningen göra en anmälan till tillsynsmyndigheten när den avser att ingå ett säkerhetsskyddsavtal och enligt 7 § samma kapitel anmäla till Säkerhetspolisen när ett sådant avtal har upphört. Dessutom ska en verksamhetsutövare enligt 5 kap. 22 § säkerhetsskyddsförordningen göra en anmälan till Säkerhetspolisen när en registerkontroll ska avslutas eller anpassas till en lägre säkerhetsklass. Vissa av anmälnings- och rapporteringsskyldigheterna, såsom skyldigheten att anmäla att en säkerhetsskyddsklassificerad uppgift kan ha röjts och att det inträffat en it-incident, kan ha stor betydelse för säkerhetsskyddet. Regeringen anser dock i nuläget - till skillnad från utredningen - inte att underlåtelse att göra sådana anmälningar och rapporteringar bör kunna leda till sanktionsavgift. Det kan dock finnas anledning att återkomma i denna fråga.
Kravet på säkerhetsskyddsavtal
Enligt regeringens förslag i avsnitt 6.1 ska en verksamhetsutövare ingå säkerhetsskyddsavtal inför vissa förfaranden, såsom upphandlingar, utkontrakteringar och samarbeten, som innebär att en annan aktör kan få tillgång till den säkerhetskänsliga verksamheten. Genom ett säkerhetsskyddsavtal kan säkerhetsskyddet upprätthållas under förfarandet. Kriterierna för när ett säkerhetsskyddsavtal ska ingås är enligt regeringen tillräckligt preciserade för att ett åsidosättande av skyldigheten ska kunna leda till sanktionsavgift. Med hänsyn till vikten av att säkerhetsskyddet upprätthålls under angivna förfaranden bör också en sådan överträdelse kunna leda till sanktionsavgift.
Ett säkerhetsskyddsavtal ska enligt förslaget i avsnitt 6.4 bl.a. innehålla de krav på motparten som behövs för att kraven på säkerhetsskydd ska kunna bli tillgodosedda. Det huvudsakliga syftet med ett säkerhetsskyddsavtal är att reglera de säkerhetsskyddsåtgärder, inom områdena informationssäkerhet, fysisk säkerhet och personalsäkerhet, som motparten behöver vidta under ett visst förfarande. Att säkerhetsskyddsavtal har ett genomtänkt innehåll är minst lika viktigt som att avtalet ingås. Även den verksamhetsutövare som ingår ett bristfälligt avtal bör därför kunna åläggas sanktionsavgift. Kraven på vad ett säkerhetsskyddsavtal ska innehålla behöver dock, i linje med vad PTS anför, preciseras i förordning eller myndighetsföreskrifter.
Utredningen föreslår att sanktionsavgift endast ska få beslutas i de fall där ett säkerhetsskyddsavtal är bristfälligt i väsentlig mån, för att sanktionsavgift inte ska kunna bli aktuellt i de fall när det finns utrymme för olika rimliga bedömningar av hur ett säkerhetsskyddsavtal bör utformas. Regeringen anser dock inte att en sådan begränsning behövs eftersom sådana fall kommer sållas bort genom de faktorer som regeringen i avsnitt 9.3.4 föreslår ska påverka tillsynsmyndighetens bedömning av om sanktionsavgift över huvud taget ska tas ut.
Vidare ska en verksamhetsutövare kontrollera att motparten följer säkerhetsskyddsavtalet. Skyldigheten preciseras i Säkerhetspolisens och Försvarsmaktens föreskrifter om säkerhetsskydd. Bristande eller utebliven kontroll av att motparten följer säkerhetsskyddsavtalet kan i värsta fall få mycket allvarliga konsekvenser för Sveriges säkerhet, eftersom det utan en sådan kontroll är svårt att få reda på och göra något åt att skyldigheterna enligt avtalet inte följs. Vidare kan bristande uppföljning göra att verksamhetsutövaren inte uppmärksammar att säkerhetsskyddsavtalet behöver revideras för att vara ändamålsenligt. Tillsynsmyndigheten bör därför kunna ta ut sanktionsavgift av den verksamhetsutövare som åsidosätter sin skyldighet att kontrollera att motparten följer säkerhetsskyddsavtalet.
Kravet på att samråda och agerande i strid med förbud
Enligt regeringens förslag i avsnitt 7.3 och 13 ska en verksamhetsutövare samråda med tillsynsmyndigheten innan den inleder vissa förfaranden som kräver säkerhetsskyddsavtal och innan den överlåter säkerhetskänslig verksamhet eller viss egendom. Tillsynsmyndigheten kan besluta att verksamhetsutövaren inte får genomföra det planerade förfarandet eller överlåtelsen. Även aktie- och andelsägare har en samrådsskyldighet i samband med överlåtelse av aktier eller andelar i säkerhetskänslig verksamhet och kan meddelas förbud. Åtgärderna har en mycket stor betydelse för att förebygga skador för Sveriges säkerhet. Det bör därför finnas en möjlighet att ta ut sanktionsavgift av den verksamhetsutövare eller aktie- eller andelsägare som har åsidosatt sin samrådsskyldighet. Detsamma gäller för den som har inlett ett förfarande eller genomfört en överlåtelse i strid med ett förbud.
Att lämna oriktiga uppgifter i samband med tillsyn och samråd
I avsnitt 8.3 föreslår regeringen att den som står under tillsyn på begäran ska tillhandahålla tillsynsmyndigheten den information som behövs för tillsynen och att tillsynsmyndigheten ska få förelägga verksamhetsutövaren att vid vite tillhandahålla sådan information. För en effektiv tillsyn som bidrar till ett bättre säkerhetsskydd är det av stor vikt att den verksamhetsutövare som är föremål för tillsyn lämnar korrekta uppgifter till tillsynsmyndigheten. På samma sätt är det viktigt att de uppgifter som verksamhetsutövare och aktie- och andelsägare lämnar i samband med samråd är riktiga. I syfte att motverka att oriktiga uppgifter lämnas vid tillsyn och samråd bör det vara möjligt att besluta om sanktionsavgift mot verksamhetsutövare och aktie- och andelsägare när så ändå har skett. Regeringen delar inte PTS:s uppfattning om att det är otydligt vad som avses med att lämna oriktiga uppgifter. En annan sak är i vilken mån oriktiga uppgifter har lämnats uppsåtligen eller i vilken mån det varit oaktsamt, vilket enligt förslaget i avsnitt 9.3.4 ska beaktas vid bedömningen av om sanktionsavgift ska tas ut.
Sanktionsavgift ska kunna tas ut av statliga myndigheter
Som flera remissinstanser anför, bl.a. FMV, FRA, Försvarsmakten, Inspektionen för strategiska produkter och Svenskt Näringsliv, kan det ifrågasättas om det är lämpligt att tillsynsmyndigheten ska kunna ta ut sanktionsavgifter av andra statliga myndigheter, eftersom det innebär att staten betalar en avgift till staten.
Sanktionsavgift har dock bedömts vara en lämplig sanktion mot statliga myndigheter för överträdelser av vissa regelverk, såsom miljösanktionsavgift för överträdelser av miljöbalken och upphandlingsskadeavgift för överträdelser av bestämmelser i lagen (2016:1145) om offentlig upphandling. Regeringen har också bedömt att sanktionsavgift är en lämplig sanktion mot myndigheter vid överträdelser av regler om personuppgiftsbehandling i brottsdatalagen (2018:1177) och vid åsidosättande av krav på säkerhetsåtgärder och incidentrapportering i lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster.
På liknande sätt som nämnda regelverk gäller säkerhetsskyddslagstiftningen statliga myndigheter på i stort samma sätt som andra aktörer som träffas av regleringen. Intresset av säkerhetsskydd väger också lika tungt oavsett om den säkerhetskänsliga verksamheten bedrivs av en myndighet eller exempelvis en privat aktör. Flertalet av de mest centrala verksamhetsutövarna och de som bedriver särskilt säkerhetskänslig verksamhet är dessutom myndigheter. Enligt regeringen finns det därför inte anledning att särbehandla statliga myndigheter i detta avseende, även om sanktionsavgift inte kommer vara kännbart ekonomiskt för dem på samma sätt som för andra verksamhetsutövare. Sanktionsavgift bör alltså kunna tas ut av statliga myndigheter.
9.3.2 Sanktionsavgift ska inte alltid tas ut
Regeringens förslag: Regleringen av sanktionsavgift ska bygga på strikt ansvar. Det ska inte vara obligatoriskt att ta ut sanktionsavgift för överträdelser som kan leda till sanktionsavgift.
Utredningens förslag överensstämmer delvis med regeringens. Utredningen föreslår dock att det ska vara obligatoriskt att ta ut sanktionsavgift vid överträdelser som kan leda till sanktionsavgift.
Remissinstanserna: Majoriteten av remissinstanserna har inget att invända mot förslaget eller yttrar sig inte särskilt i denna del. Flera remissinstanser, såsom Sveriges advokatsamfund, Telia Company AB, Totalförsvarets forskningsinstitut (FOI), Försvarsmakten och Fortum AB, ifrågasätter eller motsätter sig dock obligatoriska sanktionsavgifter under strikt ansvar med hänsyn till att säkerhetsskyddslagstiftningen delvis är komplex och innefattar krav på svåra bedömningar. Försvarsmakten ifrågasätter också om obligatoriska sanktionsavgifter leder till ett bättre säkerhetsskydd. Vidare anser Försvarsmakten och FOI att det finns en motsättning i att tillsynsmyndigheten enligt utredningens förslag får meddela åtgärdsföreläggande om en verksamhetsutövare inte efterlever något av säkerhetsskyddslagstiftningens krav, och samtidigt kan vara tvungen att ta ut sanktionsavgift för samma brist.
Skälen för regeringens förslag
Sanktionsavgiftssystemet ska bygga på strikt ansvar
Huvudregeln är att sanktionsavgift ska bygga på strikt ansvar, dvs. att avgiften ska tas ut oberoende av om överträdelsen har varit uppsåtlig eller berott på oaktsamhet. Det är framför allt den omständigheten att det inte behöver bevisas att överträdelsen varit avsiktligt eller hur oaktsam den varit som gör att sanktionsavgifter anses vara så effektiva. Det kan också antas att de överträdelser som ska kunna leda till sanktionsavgift i normalfallet beror på uppsåt eller oaktsamhet. Regeringen anser därför inte att det finns anledning att frångå huvudregeln om strikt ansvar. Det ska alltså som utgångspunkt räcka med att en bestämmelse faktiskt har överträtts för att ta ut sanktionsavgift. Däremot ska den omständigheten att en överträdelse varit uppsåtlig eller berott på oaktsamhet enligt regeringens förslag i avsnitt 9.3.4 kunna påverka bedömningen av om sanktionsavgift ska tas ut i det enskilda fallet och avgiftens storlek.
Det behöver inte i lagtext upplysas om att avgiftsskyldigheten bygger på strikt ansvar. I motsats till vad som gäller för straffbestämmelser finns det nämligen inte något formellt krav på uppsåt eller oaktsamhet för att besluta om sanktionsavgift.
Det ska inte vara obligatoriskt att ta ut sanktionsavgift
Strikt ansvar innebär inte att sanktionsavgift också ska tas ut vid varje överträdelse. Bestämmelser om sanktionsavgift är dock oftast obligatoriska, dvs. formulerade så att sanktionsavgift "ska" tas ut, även om det också finns regleringar där tillsynsmyndigheten får större utrymme att bedöma vilken typ av ingripande som är lämpligt i det enskilda fallet.
Enligt lagen om informationssäkerhets för samhällsviktiga och digitala tjänster, kallad NIS-lagen, "ska" sanktionsavgifter tas ut vid överträdelser, om det inte finns förutsättningar att efterge avgiften. Skälet för det är enligt förarbetena att tillsynsmyndighetens möjligheter till mer skönsmässiga bedömningar som utgångspunkt bör vara begränsade med hänsyn till behovet av likabehandling, objektivitet och proportionalitet. Vidare ansågs behovet av att säkerställa likabehandling vara särskilt starkt när det gäller sanktionsavgifter enligt NIS-lagen eftersom utgångspunkten var att flera tillsynsmyndigheter skulle tillämpa bestämmelserna (prop. 2017/18:205 s. 69 och 70).
Enligt brottsdatalagen "får" sanktionsavgift tas ut vid vissa överträdelser. Det är alltså upp till tillsynsmyndigheten att bedöma om en överträdelse av en bestämmelse i brottsdatalagen är så allvarlig att sanktionsavgift bör beslutas. Skälet för det är enligt förarbetena att reglerna om personuppgiftsbehandling är mycket komplexa och att det därför skulle ställa alltför höga krav på de personuppgiftsansvariga och lägga en orimlig börda på tillsynsmyndigheten om varje överträdelse skulle leda till sanktionsavgift (prop. 2017/18:232 s. 324 f.).
Det som främst talar för att det bör vara obligatoriskt att ta ut sanktionsavgift vid överträdelser av säkerhetsskyddslagstiftningen är behovet av likabehandling. Liksom när det gäller NIS-lagen ska flera tillsynsmyndigheter tillämpa sanktionsbestämmelserna. Obligatoriska sanktionsavgifter skulle minska utrymmet för skönsmässiga bedömningar och följaktligen för att överträdelser behandlas olika av tillsynsmyndigheterna.
Det som talar mot att det bör vara obligatoriskt att ta ut sanktionsavgift är främst, som bl.a. Sveriges advokatsamfund, Telia Company AB, FOI, Försvarsmakten och Fortum AB påpekar, att säkerhetsskyddslagstiftningen innehåller krav på bedömningar som i vissa fall är komplexa. Exempelvis innefattar kraven på säkerhetsskyddsåtgärder en bedömning av vilka skyddsvärden som finns i verksamheten, alltså vad som ska skyddas, och vad den säkerhetskänsliga verksamheten ska skyddas mot. Ibland kan det vara svårbedömt, även om det finns stöd i Säkerhetspolisens och Försvarsmaktens föreskrifter och vägledningar samt i de hotbilder som myndigheterna tillhandahåller. I undantagsfall kan det också vara svårt att bedöma om en aktör bedriver säkerhetskänslig verksamhet, dvs. om aktören är en verksamhetsutövare som omfattas av säkerhetsskyddslagens krav. Det vore därför orimligt om alla överträdelser skulle leda till att sanktionsavgift tas ut.
Vidare är det, som Försvarsmakten framhåller, osäkert om en reglering med obligatoriska sanktionsavgifter leder till ett bättre säkerhetsskydd än en reglering som ger tillsynsmyndigheten större utrymme att bedöma vilket ingripande som är lämpligt i det enskilda fallet. Både för att bedöma om en aktör anses bedriva säkerhetskänslig verksamhet och vilka säkerhetsskyddsåtgärder som i så fall behöver vidtas, kan det i vissa fall krävas att aktören tar kontakt med tillsynsmyndigheten och informerar om sin verksamhet. En reglering med obligatoriska sanktionsavgifter främjar inte det utbytet. Dessutom skulle ett krav på att ta ut sanktionsavgift vid varje överträdelse, som Försvarsmakten och FOI påpekar, innebära att tillsynsmyndigheten ska besluta om sanktionsavgift för en överträdelse oavsett om verksamhetsutövaren i fråga dessförinnan har följt ett åtgärdsföreläggande avseende samma överträdelse. Incitamenten att följa förelägganden borde alltså bli svagare än om det finns utrymme för att i vissa fall endast ingripa med ett föreläggande. I många mindre allvarliga fall kan det också antas vara lämpligare att föra en dialog med verksamhetsutövaren eller att ingripa med ett åtgärdsföreläggande än att besluta sanktionsavgift.
Mot denna bakgrund anser regeringen - till skillnad från utredningen - att övervägande skäl talar för att det inte bör vara obligatoriskt att ta ut sanktionsavgift för en överträdelse som kan leda till sanktionsavgift. Det bör i stället ligga hos tillsynsmyndigheten att bedöma om en överträdelse ska leda till sanktionsavgift i det enskilda fallet. I avsnitt 9.3.4 föreslår regeringen vilka omständigheter som tillsynsmyndigheten särskilt ska beakta vid bedömningen av om en sanktionsavgift ska tas ut.
9.3.3 Sanktionsavgiftens storlek
Regeringens förslag: Sanktionsavgiften ska bestämmas till lägst 25 000 kronor och högst 50 miljoner kronor.
Sanktionsavgiften för en statlig myndighet, kommun eller region ska dock inte bestämmas till ett högre belopp än 10 miljoner kronor.
Utredningens förslag överensstämmer inte med regeringens. Utredningen föreslår att en sanktionsavgift - för alla typer av verksamhetsutövare - ska bestämmas till lägst 5 000 kronor och högst 10 miljoner kronor.
Remissinstanserna: MSB tillstyrker förslaget. Finansinspektionen anser att regeringen bör överväga att koppla sanktionsavgiften till omsättning. Transportstyrelsen framhåller att utredningen bör kompletteras med en analys av vilka beloppsgränser som är relevanta för att uppnå avsedd effekt. Flera remissinstanser, såsom Affärsverket svenska kraftnät, PTS, Finansinspektionen och Specialfastigheter AB, anser att den högsta möjliga sanktionsavgiften bör vara högre än 10 miljoner kronor, bl.a. eftersom de anser att det beloppet inte kommer vara tillräckligt avskräckande för vissa aktörer och att säkerhetsskyddslagstiftningens skyddsintresse motiverar ett högre belopp. Skövde kommun framhåller att minimibeloppet bör vara högre än 5 000 kr, eftersom det beloppet enligt kommunen varken kan antas ha någon avskräckande effekt eller står i paritet med de överträdelser som ska kunna leda till sanktionsavgift.
Skälen för regeringens förslag
I sanktionsavgiftsregleringar anges ibland fasta belopp som sanktionsavgift ska tas ut med för olika typer av överträdelser. I andra fall är de utformade på så sätt att sanktionsavgiften ska fastställas till ett belopp inom ett bestämt beloppsintervall eller till en viss procent av årsomsättningen i näringsverksamhet.
Regeringen anser, till skillnad från Finansinspektionen, inte att det är lämpligt att koppla sanktionsavgiftens storlek till omsättning när det gäller överträdelser av säkerhetsskyddslagstiftningen, bl.a. eftersom många verksamhetsutövare är statliga myndigheter och kommuner. Det är inte heller lämpligt att i förväg fastställa belopp för sanktionsavgifterna, eftersom ett flertal faktorer som inte går att standardisera måste beaktas för att avgöra hur stor sanktionsavgiften ska vara. Ett system med bestämda beloppsintervall är därför att föredra. Vid bestämmandet av vilket beloppsintervall som bör gälla för överträdelser av säkerhetsskyddslagstiftningen finns det skäl att titta på vad som gäller enligt andra regelverk.
Beloppsintervall inom andra regelverk
Sanktionsavgifter har införts inom en rad områden, såsom miljö-, arbetsmiljö-, upphandlings- och finansområdet. Vidare kan sanktionsavgift beslutas mot den som åsidosatt vissa krav i NIS-lagen och personuppgiftsregleringen.
På miljö- och arbetsmiljöområdet är det lägsta belopp som kan beslutas i sanktionsavgift för en överträdelse 1 000 kronor och det högsta 1 miljon kronor. För upphandlingsskadeavgift enligt lagen om offentlig upphandling är det lägsta beloppet 10 000 kronor och det högsta 10 miljoner kronor. Avgiften får dock aldrig överstiga en viss andel av upphandlingens värde.
Enligt NIS-lagen, som innehåller krav på säkerhetsåtgärder och incidentrapportering för leverantörer av samhällsviktiga och digitala tjänster, är det lägsta belopp som kan beslutas 5 000 kronor och det högsta 10 miljoner kronor. Som skäl för det beloppsintervallet anförs i förarbetena att maximibeloppet måste vara tillräckligt avskräckande för alla typer av aktörer som omfattas av regleringen (prop. 2017/18:205 s. 71).
För överträdelser av personuppgiftsregleringen gäller delvis olika beloppsintervall. Enligt EU:s dataskyddsförordning, som utgör grunden för generell personuppgiftsbehandling inom EU, kan sanktionsavgifter tas ut med 10 miljoner euro för mindre allvarliga överträdelser och 20 miljoner euro för allvarligare överträdelser, alternativt en viss procentsats av den totala globala årsomsättningen. Något minibelopp anges inte. Enligt lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, kallad dataskyddslagen, kan sanktionsavgift även tas ut av statliga och kommunala myndigheter för överträdelse av EU:s dataskyddsförordning. En sanktionsavgift kan enligt dataskyddslagen bestämmas till högst 5 miljoner kronor för mindre allvarliga överträdelser och till högst 10 miljoner kronor för allvarligare överträdelser. Motsvarande beloppsintervall gäller enligt brottsdatalagen, som reglerar personuppgiftsbehandling av vissa myndigheter i vissa syften, såsom att förebygga, förhindra eller upptäcka brottslig verksamhet och att utreda eller lagföra brott. Att maximibeloppet bestämdes till ett lägre belopp i dataskyddslagen och brottsdatalagen än i EU:s dataskyddsförordning motiverades i förarbetena till båda lagarna bl.a. med att det framför allt var myndigheter som skulle omfattas av regleringarna (prop. 2017/18: 105 s. 141 och prop. 2017/18: 232 s. 326).
Några av de högsta sanktionsavgifterna kan beslutas på det finansiella området. Som exempel kan nämnas lagen (2004:297) om bank- och finansieringsrörelse. Enligt den lagen ska sanktionsavgiften för ett kreditinstitut fastställas till högst det högsta av tio procent av kreditinstitutets omsättning eller, i förekommande fall, motsvarande omsättning på koncernnivå närmast föregående räkenskapsår, två gånger den vinst som institutet gjort till följd av regelöverträdelsen, eller ett belopp motsvarande fem miljoner euro. Sanktionsavgiften får dock inte bestämmas till ett lägre belopp än 5 000 kronor. I förarbetena till lagen anförs att sanktionsavgifterna måste kunna uppnå en nivå som är stor nog att balansera eventuella fördelar som en överträdelse genererat och vara stor nog att avskräcka även större institut från att begå överträdelser (prop. 2013/14:228 s. 235).
Beloppsintervallet för sanktionsavgift ska vara stort och variera mellan olika typer av aktörer
Säkerhetsskyddslagen omfattar olika typer av aktörer, såsom statliga myndigheter, kommuner, regioner och företag. Aktörerna skiljer sig dessutom åt i storlek och ekonomiska förutsättningar. Vad som är en avskräckande avgift för en verksamhetsutövare kan därför vara i det närmaste obetydlig för en annan. De överträdelser som kan leda till sanktionsavgift är också av varierande karaktär och inrymmer allt ifrån mindre allvarliga överträdelser till mycket allvarliga sådana som kan leda till stora skador för Sveriges säkerhet. För att tillsynsmyndigheten ska kunna bestämma sanktionsavgifter som är effektiva, proportionella och avskräckande i alla enskilda fall bör därför beloppsintervallet inom vilket avgift kan bestämmas vara mycket stort. Till skillnad från Transportstyrelsen anser regeringen dock inte att det behövs ytterligare utredning för att avgöra vilka beloppsgränser som ger avsedd effekt.
När det gäller vilket belopp som sanktionsavgift högst ska kunna bestämmas till anser regeringen, liksom bl.a. Affärsverket svenska kraftnät, PTS, Finansinspektionen och Specialfastigheter AB men till skillnad från utredningen, inte att 10 miljoner kronor är tillräckligt högt. Som exempel kan 10 miljoner kronor vara ett alldeles för lågt belopp när det gäller överträdelse av förbud mot överlåtelse av säkerhetskänslig verksamhet. Vidare kan det beloppet vara en affärsmässigt acceptabel kostnad för vissa stora aktörer jämfört med de investeringar som kan krävas för att skapa ett väl avvägt säkerhetsskydd. För att beloppsintervallet ska inrymma avskräckande och proportionerliga sanktionsavgifter för de allvarligaste överträdelserna av de största aktörerna anser regeringen att det, med undantag för statliga myndigheter, kommuner och regioner, är motiverat med ett maximibelopp om 50 miljoner kronor.
När det gäller sanktionsavgifter för statliga myndigheter, kommuner och regioner anser regeringen - i linje med vad som gäller enligt personuppgiftsregleringen - inte att det är motiverat med ett lika högt maximibelopp som för andra. Enligt regeringen krävs normalt sett inte lika höga belopp för statliga myndigheter, kommuner och regioner som exempelvis för stora företag för att påverka agerandet i önskvärd riktning. Till det kommer att ett felaktigt handlande av en myndighet sällan föranleds av en önskan att maximera sin vinst eller att göra en större besparing (jfr prop. 2017/18: 232 s. 326). Mot denna bakgrund anser regeringen att en avgift om 10 miljoner kronor är en effektiv, proportionell och avskräckande sanktion också för allvarliga överträdelser av en statlig myndighet, kommun eller region. Sanktionsavgiften för en sådan aktör bör därför som högst kunna bestämmas till det beloppet.
Beträffande det lägsta belopp som ska kunna bestämmas i sanktionsavgift anser regeringen, liksom Skövde kommun men till skillnad från utredningen, att 5 000 kronor är för lågt. Som Skövde kommun anför står det beloppet inte i paritet med de överträdelser som kan motivera att sanktionsavgift beslutas. Enligt regeringen bör minimibeloppet i stället vara 25 000 kr.
9.3.4 När och till vilket belopp ska sanktionsavgift beslutas i det enskilda fallet?
Regeringens förslag: Vid bedömningen av om en sanktionsavgift ska tas ut och när storleken på avgiften ska bestämmas ska särskild hänsyn tas till den skada eller sårbarhet för Sveriges säkerhet som uppstått till följd av överträdelsen, om överträdelsen varit uppsåtlig eller berott på oaktsamhet, vad verksamhetsutövaren eller aktie- eller andelsägaren har gjort för att överträdelsen ska upphöra och för att begränsa dess verkningar och om verksamhetsutövaren eller aktie- eller andelsägaren tidigare har begått en överträdelse. När sanktionsavgiftens storlek bestäms ska särskild hänsyn även tas till den vinst som den avgiftsskyldige har gjort till följd av överträdelsen.
Sanktionsavgiften ska få sättas ned, helt eller delvis, om överträdelsen är ringa eller ursäktlig eller om det annars med hänsyn till omständigheterna skulle vara oskäligt att ta ut avgiften.
Utredningens förslag överensstämmer delvis med regeringens. Utredningen föreslår dock inte några bestämmelser om vilka omständigheter som tillsynsmyndigheten ska ta särskild hänsyn till vid bedömningen av om sanktionsavgift ska tas ut. Vidare föreslår utredningen inte att tillsynsmyndigheten, när storleken på avgiften ska bestämmas, ska ta särskild hänsyn till om överträdelsen varit uppsåtlig eller berott på oaktsamhet och vad den avgiftsskyldige har gjort för att överträdelsen ska upphöra och begränsa dess verkningar. Utredningen föreslår inte heller att den vinst som den avgiftsskyldige gjort till följd av överträdelsen särskilt ska beaktas vid den bedömningen, utan endast de kostnader som undvikits.
Remissinstanserna: Lidingö kommun anser att sanktionsavgiftens storlek endast bör bestämmas med beaktande av den skada eller sårbarhet för Sveriges säkerhet som överträdelsen inneburit. Uppsala universitet (juridiska fakulteten) menar att ett skäl för jämkning kan vara att verksamhetsutövaren har gjort en rimlig missbedömning om hur den bör verkställa ett råd från tillsynsmyndigheten. Transportstyrelsen anser att Säkerhetspolisen och Försvarsmakten bör få i uppdrag att ta fram handböcker eller liknande vägledande dokument för bestämmande av sanktionsavgift. Enligt FRA bör tillsynsmyndigheten beakta om verksamhetsutövaren arbetat aktivt med att komma tillrätta med överträdelserna. Skövde kommun anser att köpeskillingens storlek är relevant att beakta när sanktionsavgiftens storlek bestäms för överträdelse av förbud mot att sälja säkerhetskänslig verksamhet. Svenskt Näringsliv framhåller att den avgiftsskyldiges storlek och likviditet bör påverka sanktionsavgiftens storlek. Lidingö kommun efterfrågar förtydligande av vilka typer av överträdelser som kan generera vilken sanktionsavgift. FMV anser att en sanktionsavgift bör kunna efterges för det fall en sådan riskerar att medföra skada i form av exponering av den säkerhetskänsliga verksamheten.
Skälen för regeringens förslag
Omständigheter som ska påverka om och med hur stort belopp sanktionsavgift ska tas ut
Eftersom regeringen, till skillnad från utredningen, föreslår att sanktionsavgift inte alltid ska tas ut vid en överträdelse, bör det regleras vilka omständigheter som ska påverka bedömningen av om någon sanktionsavgift ska tas ut. Vidare finns det behov av reglering om vad som kan påverka avgiftens storlek.
När tillsynsmyndigheten ska bedöma om en sanktionsavgift ska tas ut och när den ska bestämma storleken på avgiften bör hänsyn tas till alla relevanta omständigheter. Det är dock inte möjligt att i säkerhetsskyddslagen ange samtliga relevanta omständigheter som kan behöva beaktas i enskilda fall. Däremot bör det anges vilka omständigheter som är särskilt viktiga att beakta.
Både vid bedömningen av om en avgift överhuvudtaget ska tas ut och vid bestämmandet av avgiftens storlek bör för det första särskild hänsyn tas till den skada eller sårbarhet för Sveriges säkerhet som uppstått till följd av överträdelsen. Det innebär att ju större skadan eller sårbarheten som uppstått är, desto mindre blir utrymmet att avstå från att ta ut avgift eller att bestämma avgiften till ett lågt belopp. I motsats till Lidingö kommun anser regeringen att det även finns andra omständigheter som är särskilt viktiga att beakta.
För det andra anser regeringen - till skillnad från utredningen - att särskild hänsyn bör tas till om överträdelsen varit avsiktlig eller berott på oaktsamhet. Anledningen till det är främst att regelverket i vissa avseenden är komplext. En avsiktlig överträdelse visar dessutom tydligt på nonchalans mot regleringen och de intressen som den avser skydda. Utrymmet att underlåta att ta ut avgift eller att bestämma avgiften till ett lågt belopp vid uppsåtliga överträdelser bör därför vara mycket litet. Tvärtom talar avsiktliga överträdelser starkt för att sanktionsavgift ska tas ut och att den ska bestämmas till ett högt belopp. I många fall kan dock överträdelser tänkas vara resultatet av mer eller mindre oaktsamma förfaranden, t.ex. missförstånd om hur regleringen ska tillämpas. Även graden av oaktsamhet bör därför vägas in. I linje med vad Uppsala universitet (juridiska fakulteten) anför innebär det bl.a. att sanktionsavgift som utgångspunkt inte bör tas ut för en överträdelse som skett till följd av ursäktliga felbedömningar. Bedömningen av om en verksamhetsutövare begått en överträdelse avsiktligen eller i vilken mån den varit oaktsam bör inte bara inbegripa handlande av personer i ledande ställning hos verksamhetsutövaren som lett till överträdelsen, utan även av andra som kan konstateras handla på verksamhetsutövarens vägnar, såsom en arbetstagare eller uppdragstagare.
För det tredje anser regeringen - i likhet med FRA men till skillnad mot utredningen - att särskild hänsyn bör tas till vad verksamhetsutövaren eller aktie- eller andelsägaren har gjort för att överträdelsen ska upphöra och begränsa dess verkningar. Enligt regeringen framstår en överträdelse inte som lika klandervärd om en aktör snabbt har gjort rättelse sedan överträdelsen uppdagats, vidtagit åtgärder för att begränsa överträdelsens skadeverkningar eller aktivt har samarbetat med tillsynsmyndigheten i dessa syften. Däremot framstår en överträdelse som mer klandervärd om aktören i fråga har vidtagit sådana åtgärder först efter påtryckningar från tillsynsmyndigheten eller har vägrat samarbeta med tillsynsmyndigheten.
För det fjärde bör särskilt beaktas om verksamhetsutövaren eller aktie- eller andelsägaren tidigare har gjort sig skyldig till en överträdelse, eftersom det är särskilt graverande om aktören trots påpekanden vid upprepade tillfällen har handlat i strid med regleringen.
När det gäller bestämmandet av sanktionsavgiftens storlek föreslår utredningen att särskild hänsyn dessutom ska tas till de kostnader som den avgiftsskyldige undvikit till följd av överträdelsen. Till skillnad mot Lidingö kommun anser regeringen att det är en viktig faktor. Det kan dock bli orimligt att endast beakta de kostnader som den avgiftsskyldige undvikit om denne i samband med överträdelsen även har gått miste om intäkter som svarar mot kostnaderna. Som Skövde kommun påpekar kan det dessutom vara så att den avgiftsskyldige har erhållit intäkter till följd av överträdelsen, vilket i så fall också är relevant att beakta. Regeringen anser därför att särskild hänsyn i stället bör tas till den ekonomiska fördel som överträdelsen inneburit för den avgiftsskyldige. Liksom i lagen (2007:528) om värdepappersmarknaden och lagen om bank- och finansieringsrörelse kan detta uttryckas så att särskild hänsyn ska tas till den "vinst" som den avgiftsskyldige gjort till följd av överträdelsen. Det uttrycket omfattar såväl intäkter minskat med kostnader som förluster som undvikits. Att en sådan faktor särskilt ska beaktas främjar att sanktionsavgiften blir proportionerlig för varje verksamhetsutövare. Vidare bör det motverka att verksamhetsutövare räknar in sanktionsavgiften som en godtagbar kostnad jämfört med att genomföra en viss åtgärd.
Som exempel på andra omständigheter som kan vara relevanta att beakta både vid bedömningen av om någon sanktionsavgift ska tas ut och när storleken på avgiften ska bestämmas, men som enligt regeringen inte behöver anges särskilt i säkerhetsskyddslagen, kan nämnas hur länge som överträdelsen pågått. Om aktören i fråga tidigare gjort sig skyldig till överträdelse av säkerhetsskyddslagstiftningen kan det vara aktuellt att beakta om överträdelserna är likartade och den tid som har gått mellan de olika överträdelserna. Det kan också vara relevant att beakta bestämmelsens betydelse för tillsynsområdet. Vid bedömningen av sanktionsavgiftens storlek kan dessutom - i linje med vad Svensk Näringsliv anför - den avgiftsskyldiges finansiella ställning ha betydelse. Om en tillsynsmyndighet ska ta ut sanktionsavgift för flera överträdelser som en verksamhetsutövare har gjort sig skyldig till, måste vidare beaktas att sanktionsavgiften ska vara en rimlig reaktion på de överträdelser som är uppe till bedömning. Sanktionsavgiften bör i sådana fall därför bestämmas med utgångspunkt i de samlade överträdelsernas allvar.
Lidingö kommun efterfrågar förtydliganden om hur stora belopp i sanktionsavgift som olika överträdelser kan leda till. Som framgår ovan är det många faktorer som kan påverka sanktionsavgiftens storlek. Överträdelser av samma bestämmelse kan därför leda till helt olika belopp i sanktionsavgift. Vilket belopp som en överträdelse motiverar i det enskilda fallet kommer därför få avgöras av tillsynsmyndigheten eller, efter överklagande, domstol. Det kan dock sägas att belopp i den övre halvan av föreslagna beloppsintervall endast bör komma i fråga för mycket allvarliga överträdelser. I linje med vad Transportstyrelsen anför kan det finnas anledning för Säkerhetspolisen och Försvarsmakten att ta fram handböcker eller liknande vägledande dokument för bestämmande av sanktionsavgift.
Jämkning och eftergift
Att avgiftsskyldigheten bygger på strikt ansvar gör att det behöver finnas utrymme för att jämka eller helt sätta ned sanktionsavgiften. Det bör därför införas en bestämmelse som ger tillsynsmyndigheten utrymme att jämka eller helt efterge avgiften om överträdelsen är ringa eller ursäktlig eller om det annars med hänsyn till omständigheterna skulle vara oskäligt att ta ut avgiften. En situation som kan innebära att det framstår som oskäligt att besluta om sanktionsavgift är om en verksamhetsutövare drabbats av sanktionsavgift enligt något annat regelverk för i princip samma brist. Bestämmelser om säkerhetsåtgärder och sanktionsavgifter för den som bryter mot dessa bestämmelser finns t.ex. i lagen med kompletterande bestämmelser till EU:s dataskyddsförordning, i NIS-lagen samt i speciallagstiftning inom de olika sektorerna. Vidare kan en överträdelse som berott på omständigheter utanför den avgiftsskyldiges kontroll i undantagsfall anses ursäktlig och det därför finnas grund för jämkning. Till skillnad från FMV anser regeringen dock inte att den omständigheten att det finns en risk att den säkerhetskänsliga verksamheten blottläggs vid överklagande till domstol bör kunna innebära att det vore oskäligt att ta ut sanktionsavgift. Sådana eventuella risker får i stället hanteras vid domstolens handläggning av ärendet.
Möjligheten att sätta ned eller efterge avgiften bör tillämpas restriktivt och endast när det skulle te sig oskäligt att ta ut avgiften.
9.3.5 Förfarandet vid beslut om sanktionsavgift
Regeringens förslag: En sanktionsavgift ska endast få beslutas om den som anspråket riktas mot har getts tillfälle att yttra sig inom två år från överträdelsen. Ett beslut om sanktionsavgift ska delges.
Sanktionsavgiften ska betalas till tillsynsmyndigheten inom 30 dagar från det att beslutet om att ta ut avgiften har fått laga kraft eller inom den längre tid som anges i beslutet. Om sanktionsavgiften inte betalas inom denna tid, ska tillsynsmyndigheten lämna den obetalda avgiften för indrivning. Vid indrivning ska verkställighet få ske enligt utsökningsbalken. En beslutad sanktionsavgift ska falla bort till den del beslutet om avgiften inte har verkställts inom fem år från det att beslutet fick laga kraft. Sanktionsavgifter ska tillfalla staten.
Utredningens förslag överensstämmer med regeringens.
Remissinstanserna: Stockholms tingsrätt tillstyrker förslagen. Svenskt Näringsliv anser att betalningsplikt inom 30 dagar kan vara problematiskt i vissa fall.
Skälen för regeringens förslag: Ett beslut om administrativa sanktionsavgifter är en särskilt ingripande åtgärd. Sådana beslut bör därför delges den betalningsskyldige enligt delgivningslagen (2010:1932).
På grund av sanktionsavgiftens ingripande natur bör det finnas en bortre tidsgräns för när en sanktionsavgift får beslutas. Regeringen anser att en sanktionsavgift endast bör få beslutas om den som anspråket riktas mot har getts tillfälle att yttra sig inom två år från överträdelsen. Det innebär att om kommunikation enligt 25 § förvaltningslagen med den som avgiften ska tas ut av inte har skett inom två år från överträdelsen, får en sanktionsavgift inte tas ut. Bevisbördan för att kommunikation har skett ligger på tillsynsmyndigheten.
Vidare bör det finnas en tidsgräns för när sanktionsavgiften senast ska betalas. Svensk Näringsliv anser att utredningens förslag - 30 dagar från det att beslutet fått laga kraft eller den längre tid som anges i beslutet - är problematisk, speciellt för mindre företag som kanske saknar likviditet. För att regleringen om sanktionsavgifter ska bli tillräckligt handlingsdirigerande och effektiv anser regeringen dock att betalning bör ske inom den tid som utredningen föreslår. Om avgiften inte betalas inom denna tid bör tillsynsmyndigheten vara skyldig att lämna den obetalda avgiften för indrivning. Bestämmelser om indrivning finns i lagen (1993:891) om indrivning av statliga fordringar m.m.
Vidare bör den avgift som tillsynsmyndigheten beslutat kunna drivas in utan att det krävs något domstolsavgörande. Av 3 kap. 1 § första stycket 6 utsökningsbalken följer att en förvaltningsmyndighets beslut får verkställas om det finns en särskild föreskrift om detta. Det bör alltså införas en bestämmelse i säkerhetsskyddslagen om att en sanktionsavgift som inte betalats inom angiven tid får verkställas enligt utsökningsbalken.
I allmänhet gäller för den här typen av avgifter att de preskriberas i den utsträckning verkställighet inte har skett inom fem år. Regeringen bedömer att det saknas anledning att införa någon annan preskriptionstid än den som i allmänhet används. En beslutad sanktionsavgift bör därför falla bort om avgiften inte har verkställts inom fem år från det att beslutet fått laga kraft.
Sanktionsavgifter bör som brukligt tillfalla staten.
9.3.6 Hinder mot sanktionsavgift
Regeringens förslag: Tillsynsmyndigheten ska inte få besluta om sanktionsavgift om överträdelsen omfattas av ett föreläggande om vite och överträdelsen ligger till grund för en ansökan om utdömande av vitet.
Utredningens förslag överensstämmer med regeringens.
Remissinstanserna tillstyrker eller har inga invändningar mot förslaget.
Skälen för regeringens förslag: Av Europakonventionen och Europeiska unionens stadga om de grundläggande rättigheterna framgår det att ingen får bli lagförd eller straffad två gånger för samma brott (gärning), det s.k. dubbelbestraffningsförbudet. Som regeringen har konstaterat i flera lagstiftningsärenden får begreppet straff i den mening som avses i Europakonventionen anses omfatta vite (se prop. 2007/08:107 s. 24 och prop. 2012/13:143 s. 69). Om ett vite har dömts ut bör det därför inte vara möjligt att besluta om en sanktion - administrativ eller straffrättslig - för samma sak. Den avgörande tidpunkten för när sådant hinder uppkommer bör anses vara när det inleds en domstolsprocess angående frågan om utdömande av vite (jfr prop. 2016/17:22 s. 228). Ett föreläggande om vite bör därför inte hindra ett senare ingripande med sanktionsavgift så länge som tillsynsmyndigheten inte har ansökt om utdömande av vitet. När tillsynsmyndigheten har ansökt om utdömande av vitet bör tillsynsmyndigheten dock vara förhindrad att besluta om sanktionsavgift för en överträdelse som omfattas av vitesföreläggandet. En bestämmelse om detta bör tas in i säkerhetsskyddslagen.
10 Överklagande
Regeringens förslag: Tillsynsmyndighetens beslut om föreläggande under samråd eller vid tillsyn samt om sanktionsavgift ska få överklagas till Förvaltningsrätten i Stockholm. När ett sådant beslut överklagas ska tillsynsmyndigheten vara motpart i domstolen. Det ska krävas prövningstillstånd vid överklagande till kammarrätten.
Tillsynsmyndighetens beslut om förbud ska få överklagas till regeringen. Detsamma ska gälla beslut om förelägganden som avser en genomförd och ogiltig överlåtelse eller ett pågående förfarande som är olämpligt från säkerhetsskyddssynpunkt.
Andra beslut enligt säkerhetsskyddslagen ska inte få överklagas.
Utredningens förslag överensstämmer med regeringens.
Remissinstanserna: Majoriteten av remissinstanserna har inte några invändningar mot förslaget. Inspektionen för strategiska produkter (ISP) anser att överklagande bör ske till regeringen när en statlig förvaltningsmyndighet som lyder under regeringen överklagar ett beslut om sanktionsavgift. Försvarets radioanstalt (FRA) instämmer i utredningens bedömning om att beslut om förbud bör prövas av regeringen, men konstaterar att även sanktionsbeslut och åtgärdsförelägganden kan innehålla aspekter av utrikes-, försvars- och säkerhetspolitisk natur. FRA och Försvarsunderrättelsedomstolen anser att Försvarsunderrättelsedomstolen skulle kunna handlägga överklaganden om åtgärdsförelägganden. Försvarsmakten anser att mål om överklagande av myndigheternas beslut ska avgöras av sådana avdelningar vid Förvaltningsrätten i Stockholm som från säkerhetsskyddssynpunkt har behörighet att hantera sådana måltyper. Förvaltningsrätten i Stockholm konstaterar att Säkerhetspolisen utövar tillsyn över domstolar och därigenom har befogenhet att rikta samma typ av beslut mot förvaltningsrätten som domstolen har till uppgift att överpröva och anser att lämpligheten av den ordningen kan ifrågasättas. Kammarrätten i Stockholm anser att ordningen med beslut som får överklagas till domstol respektive till regeringen bör utredas vidare, bl.a. när det gäller risken för parallella processer om samma sak.
Skälen för regeringens förslag
Beslut om sanktionsavgift, förelägganden och förbud ska kunna överklagas
Artikel 6 i Europakonventionen ställer krav på att enskilda ska ha rätt till en rättvis domstolsprövning vid prövning av hans eller hennes civila rättigheter och skyldigheter. Beslut om sanktionsavgift, förelägganden och förbud för en verksamhetsutövare att genomföra en överlåtelse eller ett annat förfarande påverkar i allmänhet dennes civila rättigheter och skyldigheter. Det innebär att det bör finnas en möjlighet att överklaga sådana beslut till domstol. Även myndigheter och andra offentliga aktörer som tillsynsmyndighetens beslut gått emot bör ha rätt att överklaga.
Sanktionsavgifter och förelägganden ska få överklagas till Förvaltningsrätten i Stockholm
Eftersom beslut om sanktionsavgift och förelägganden vid samråd och tillsyn är förvaltningsbeslut är det en naturlig utgångspunkt att besluten överklagas till allmän förvaltningsdomstol. Dessutom bör sådana beslut normalt sett inte aktualisera den sorts utrikes-, försvars- och säkerhetspolitiska överväganden som bör hanteras av regeringen. Det kan dock vara fråga om mycket känsliga uppgifter ur ett säkerhetsperspektiv. Försvarsunderrättelsedomstolen och FRA anser att Försvarsunderrättelsedomstolen skulle kunna handlägga överklaganden om åtgärdsförelägganden. Försvarsunderrättelsedomstolen har särskild kunskap och erfarenhet i fråga om underrättelseverksamhet, sekretess och säkerhetsskydd. Detta skulle dock kräva att en helt ny reglering utformas särskilt för denna typ av process, vilket inte är möjligt inom ramen för detta lagstiftningsärende. Enligt regeringens mening bör besluten överklagas till allmän förvaltningsdomstol. På så sätt kan prövningen ansluta till en befintlig processordning. Som ISP påtalar kan det förekomma att en statlig förvaltningsmyndighet överklagar en tillsynsmyndighets beslut. Detta är enligt regeringen inte något hinder mot att besluten överklagas till förvaltningsdomstol. Motsvarande regelverk finns t.ex. i lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster. Sådana överklaganden kan dessutom antas bli mycket sällsynta.
Som utredningen påtalar är målen enligt de föreslagna bestämmelserna av ett så särpräglat slag att det kan bli svårt att skapa och upprätthålla tillräcklig kompetens hos alla förvaltningsrätter. Detta gäller särskilt eftersom antalet mål kan förväntas bli få. Dessutom bör den typen av känsliga uppgifter som kan förekomma i ärendena hållas inom en så begränsad krets som möjligt. Det finns därför enligt utredningens uppfattning skäl att koncentrera mål enligt de föreslagna bestämmelserna till en domstol. Utredningen föreslår att överklagande ska få ske till Förvaltningsrätten i Stockholm. Denna domstol kan därmed upparbeta den särskilda kompetens på området som krävs, organisera arbetet med dessa mål på ett lämpligt sätt och vidta de säkerhetsskyddsåtgärder som kan behövas. Detsamma gäller i fråga om Kammarrätten i Stockholm, som i förekommande fall överprövar förvaltningsrättens avgöranden. Försvarsmakten framför att målen bör avgöras av sådana avdelningar vid Förvaltningsrätten i Stockholm som ur säkerhetsskyddssynpunkt kan hantera sådana mål på ett korrekt sätt. Regeringen instämmer i utredningens bedömning och konstaterar att den organisatoriska frågan avgörs av domstolen.
Om en enskild överklagar en myndighets beslut följer det av 7 a § förvaltningsprocesslagen (1971:291) att myndigheten är den enskildes motpart i domstol. Detsamma bör gälla om beslut överklagas av en myndighet. Det bör därför anges i bestämmelsen att tillsynsmyndigheten är motpart i domstolen när ett beslut överklagas. Vidare bör det anges att prövningstillstånd krävs vid överklagande till kammarrätten.
Förvaltningsrätten i Stockholm påtalar att Säkerhetspolisen har befogenhet att rikta samma typ av beslut mot förvaltningsrätten som domstolen har till uppgift att överpröva, vilket skulle kunna bli problematiskt. Enligt regeringens uppfattning är det dock närmast uteslutet att denna problematik i praktiken kommer att uppkomma för en enskild förvaltningsdomstol. Det bör till exempel inte kunna bli aktuellt med en situation där en enskild förvaltningsdomstol inleder ett förfarande för sådana typer av överlåtelser eller upplåtelser av säkerhetskänslig verksamhet och viss egendom som omfattas av de föreslagna bestämmelserna.
Beslut om förbud och vissa beslut om förelägganden ska få överklagas till regeringen
När det gäller överklagande av tillsynsmyndighetens beslut om förbud mot överlåtelser och andra förfaranden gör sig vissa andra argument gällande än när det rör sig om ett överklagande av ett föreläggande under samrådet. Liksom i ärenden enligt lagen (1991:572) om särskild utlänningskontroll kan det antas att ärenden om förbud kan kräva känsliga utrikespolitiska bedömningar och innehålla känslig information, som till exempel utländsk underrättelseinformation (jfr prop. 2009/10:31 s. 237 f.). Sådana ärenden kan antas ha stor betydelse för Sveriges säkerhet. Dessutom kan en prövning av ett beslut om ett förbud ofta aktualisera den sorts utrikes-, försvars- och säkerhetspolitiska överväganden som bör hanteras av regeringen. Mot bakgrund av regeringens övergripande ansvar för Sveriges säkerhet talar därför starka skäl för att sådana beslut ska överklagas till regeringen. Till saken hör också att det sannolikt kommer att vara relativt få ärenden där det blir aktuellt med ett beslut om förbud mot en överlåtelse eller ett annat förfarande. Som utredningen framför bör samrådet i de allra flesta fall vara tillräckligt för att verksamhetsutövare självmant ska avstå från förfaranden som tillsynsmyndigheten anser vara olämpliga från säkerhetsskyddssynpunkt.
Kammarrätten i Stockholm anser att ordningen med två instanser för överklagande bör utredas vidare, bl.a. när det gäller risken för parallella processer om samma sak. Regeringen instämmer i det problematiska om en sådan situation skulle uppstå men bedömer samtidigt att frågan om ett föreläggande under samråd ofta bör ha förfallit när ett slutligt beslut om att ett visst förfarande inte får genomföras väl har fattats. Om parallella processer skulle uppkomma kan detta vidare hanteras genom sedvanliga handläggningsåtgärder, exempelvis genom ett beslut om vilandeförklaring. Det skulle inte heller vara en lämplig ordning att låta alla beslut enligt de föreslagna bestämmelserna överklagas till antingen regeringen eller en allmän förvaltningsdomstol.
Regeringen anser sammantaget att beslut om förbud bör få överklagas till regeringen. Det gäller oavsett om förbudet beslutas avseende ett planerat förfarande eller efter att en överlåtelse redan har genomförts. Även förelägganden som avser en genomförd och ogiltig överlåtelse eller ett pågående förfarande som är olämpligt från säkerhetsskyddssynpunkt bör överklagas till regeringen. Regeringens beslut kan bli föremål för rättsprövning enligt lagen (2006:304) om rättsprövning av vissa regeringsbeslut, om beslutet innefattar en prövning av enskildas civila rättigheter och skyldigheter enligt artikel 6 i Europakonventionen. Därigenom kan de krav på domstolsprövning som följer av artikel 6 i konventionen tillgodoses.
Övriga beslut enligt säkerhetsskyddslagen ska inte få överklagas
Enligt regeringen bör andra beslut som fattas med stöd av säkerhetsskyddslagen (2018:585) inte få överklagas. Det gäller till exempel beslut om säkerhetsprövning, om att placera en anställning i säkerhetsklass och Säkerhets- och integritetsskyddsnämndens beslut om huruvida uppgifter som kommit fram vid en registerkontroll och särskild personutredning ska lämnas ut för säkerhetsprövning. Detta överensstämmer med vad som sedan länge gäller på säkerhetsskyddsområdet (prop. 1995/96:129 s. 64 f.). I sammanhanget bör det dock noteras att de sedvanliga möjligheterna enligt annan lagstiftning att få ett beslut om uppsägning eller omplacering prövat av domstol kan gälla även om beslutet baseras på information som framkommit vid en säkerhetsprövning (jfr. AD 39/2019).
11 Offentlighet och sekretess
Regeringens bedömning: Förslagen medför inga behov av ändringar i offentlighets- och sekretesslagen.
Det behövs inte några inskränkningar av reglerna i förvaltningslagen och förvaltningsprocesslagen om partsinsyn och kommunikation.
Utredningens förslag överensstämmer med regeringens.
Remissinstanserna: Majoriteten av remissinstanserna gör samma bedömning som utredningen eller har inte något att invända mot bedömningen. Ett fåtal remissinstanser har synpunkter som avser frågor om sekretess i förhållande till förslagen om tillsyn. Totalförsvarets forskningsinstitut (FOI) framhåller att det inom försvars- och säkerhetsskyddsområdet finns särskilt skyddsvärd verksamhet med höga sekretesskrav och att en reglering om undersökningsbefogenheter för tillsynsmyndigheten måste utformas så att dessa verksamheter inte lider skada. FOI menar därför att undersökningsbefogenheterna måste begränsas och inte vara lika långtgående som utredningen föreslår. Inspektionen för strategiska produkter (ISP) anser att det kan finnas behov av en särskild sekretessreglering på förordningsnivå till skydd för enskilda intressen när det gäller tillsyn av enskilda verksamhetsutövare. Finansinspektionen framhåller att tillsynsmyndigheternas möjlighet att lämna sekretessbelagda uppgifter till samordningsmyndigheten, t.ex. rörande ett enskilt tillsynsobjekt, bör belysas ytterligare.
Skälen för regeringens bedömning
Sekretesskyddet hos tillsynsmyndigheten
I ärenden om samråd kan det förekomma uppgifter som är mycket känsliga och som omfattas av sekretess hos verksamhetsutövaren. Samma sak gäller, som FOI påpekar, hos tillsynsobjekten i tillsynsärenden. Aktuella sekretessgrunder kan antas vara primärt utrikessekretess, sekretess i det internationella samarbetet och försvarssekretess enligt 15 kap. 1, 1 a och 2 §§ offentlighets- och sekretesslagen (2009:400), OSL. I vissa fall kan även underrättelsesekretess enligt 18 kap. 2 § OSL aktualiseras. Sekretess enligt de nu nämnda paragraferna gäller oavsett hos vilken myndighet uppgifterna finns. Om tillsynsmyndigheten genom samrådet respektive tillsynen får tillgång till uppgifter som är sekretessbelagda enligt dessa bestämmelser, kommer uppgifterna därför att ha samma sekretesskydd hos tillsynsmyndigheten som de haft hos verksamhetsutövaren respektive tillsynsobjektet. Vidare kan, när det gäller tillsyn, eventuell sekretess enligt andra bestämmelser överföras från tillsynsobjektet till tillsynsmyndigheten enligt 11 kap. 1 § OSL. Regeringen anser därför, till skillnad från FOI, inte att förekomsten av sådana känsliga uppgifter som myndigheten pekar på ger anledning ett begränsa tillsynsbefogenheterna. Det finns enligt regeringens bedömning inte heller skäl att utöka det befintliga sekretesskyddet för allmänna intressen genom ändringar i OSL. När det gäller sekretess med hänsyn till enskildas intressen för uppgifter som lämnas till tillsynsmyndigheterna inom ramen för samråd och tillsyn, skulle ett kompletterande skydd, som ISP anför, kunna åstadkommas genom ändringar i offentlighets- och sekretessförordningen (2009:641).
Utlämnande av uppgifter i samband med samråd och tillsyn
En annan fråga är i vilken mån en verksamhetsutövare eller ett tillsynsobjekt som omfattas av OSL över huvud taget kan överlämna uppgifter som omfattas av sekretess till tillsynsmyndigheten i ett ärende om samråd eller tillsyn. Sekretess gäller nämligen även mellan myndigheter, vilket innebär att uppgifter som omfattas av sekretess hos en verksamhetsutövare eller ett tillsynsobjekt inte kan överlämnas till tillsynsmyndigheten med mindre än att det tillåts med stöd av en sekretessbrytande bestämmelse. När det gäller tillsynsärenden kan uppgifter som begärs från tillsynsmyndigheten och som omfattas av sekretess hos tillsynsobjektet lämnas över med stöd av 10 kap. 17 § OSL, som bl.a. föreskriver att sekretess inte hindrar att en uppgift lämnas till en myndighet om uppgiften behövs där för tillsyn över den myndighet där uppgiften förekommer. I ärenden om samråd finns ingen lika uppenbart tillämplig sekretessbrytande bestämmelse. Av 10 kap. 2 § OSL följer dock att sekretess inte hindrar att en uppgift lämnas till en enskild eller till en annan myndighet, om det är nödvändigt för att den utlämnande myndigheten ska kunna fullgöra sin verksamhet. Eftersom myndigheten i de aktuella fallen har en skyldighet att samråda med tillsynsmyndigheten bör ett överlämnande av sekretessbelagda uppgifter inom ramen för samrådet regelmässigt kunna ske med stöd av 10 kap. 2 § OSL. Ett överlämnande bör i många fall också kunna ske enligt 10 kap. 27 § OSL, den s.k. generalklausulen, som medger utlämnande om det är uppenbart att intresset av att uppgiften lämnas har företräde framför det intresse som uppgiften ska skydda. Det finns därmed stöd för de verksamhetsutövare respektive tillsynsobjekt som omfattas av OSL att lämna över de sekretessbelagda uppgifter som krävs för samrådet respektive tillsynen till tillsynsmyndigheten.
När det gäller frågan i vilken utsträckning tillsynsmyndigheten kan lämna sekretessbelagda uppgifter till samordningsmyndigheten, som Finansinspektionen tar upp, kan konstateras att regeringen inte lämnar några förslag om samordning i denna proposition. Med utgångspunkt i de förslag som utredningen har lämnat rörande samordningsmyndigheternas roll (se avsnitt 8.1) bedömer regeringen dock att sådant överlämnande bör kunna ske med stöd av 10 kap. 27 § OSL. Regeringen får vid behov återkomma till frågan.
Partsinsyn och kommunikation
Vid tillsynsmyndighetens handläggning enligt den föreslagna regleringen om samråd gäller förvaltningslagen (2017:900). När ett beslut om föreläggande i ett samrådsärende överklagas till förvaltningsdomstol gäller förvaltningsprocesslagen (1971:291). De nu nämnda lagarna innehåller vissa bestämmelser om partsinsyn och kommunikation. I 10 § förvaltningslagen föreskrivs att den som är part i ett ärende har rätt att ta del av allt material som har tillförts ärendet. Av 25 § samma lag följer att en myndighet innan den fattar beslut i ett ärende, om det inte är uppenbart obehövligt, ska underrätta den som är part om allt material av betydelse för beslutet och ge parten tillfälle att inom en bestämd tid yttra sig över materialet. Av 18 § förvaltningsprocesslagen framgår att en part, innan ett mål avgörs, som huvudregel ska ha fått kännedom om det som tillförts målet genom annan än honom eller henne själv och fått tillfälle att yttra sig över det. Även enligt 10 § första stycket och 12 § förvaltningsprocesslagen gäller en viss underrättelseskyldighet gentemot part.
De nu nämnda bestämmelserna gäller, enligt 10 § och 25 § tredje stycket förvaltningslagen respektive 19 § förvaltningsprocesslagen, med de begränsningar som följer av 10 kap. 3 § OSL. Av 10 kap. 3 § första stycket OSL framgår att sekretess inte hindrar att en enskild, som är part i ett mål eller ärende hos domstol eller annan myndighet och som på grund av sin partsställning har rätt till insyn i handläggningen, tar del av en handling eller annat material i målet eller ärendet. En sådan handling eller ett sådant material får dock inte lämnas ut till parten i den utsträckning det av hänsyn till allmänt eller enskilt intresse är av synnerlig vikt att sekretessbelagd uppgift i materialet inte röjs. I sådana fall ska parten på annat sätt få upplysning om vad materialet innehåller i den utsträckning det behövs för att parten ska kunna ta till vara sin rätt och det kan ske utan allvarlig skada för det intresse som sekretessen ska skydda. Upplysningsskyldigheten kan fullgöras både skriftligen och muntligen, t.ex. genom en muntlig redogörelse för innehållet i vissa handlingar (prop. 1971:30 s. 431 och 443).
Som framgår ovan kan det i ett samrådsärende förekomma sekretessbelagda uppgifter av mycket känslig natur. Ett röjande av sådana uppgifter, även till någon som är part i ärendet, skulle i vissa fall kunna skada Sveriges säkerhet. Sveriges säkerhet är ett synnerligen starkt allmänt intresse. När det finns anledning att ingripa med stöd av de föreslagna bestämmelserna torde därför en tillämpning av 10 kap. 3 § OSL regelmässigt resultera i bedömningen att det är av synnerlig vikt att inte röja uppgifter av sådan karaktär att det skulle innebära skada för Sveriges säkerhet att lämna ut dem. En annan bedömning kan göras när det gäller mindre känsliga uppgifter av mer teknisk karaktär, som t.ex. vilken typ av säkerhetsskyddsåtgärd som är nödvändig för att uppnå ett väl anpassat säkerhetsskydd i det planerade förfarandet. Regeringen anser mot denna bakgrund att bestämmelserna i förvaltningslagen och förvaltningsprocesslagen tillsammans med kravet på synnerlig vikt i 10 kap. 3 § OSL på ett rimligt sätt balanserar intresset av partsinsyn och kommunikation mot intresset av att skydda känsliga uppgifter i de aktuella ärendena. Mot denna bakgrund bedöms det inte behövas några inskränkningar av reglerna om partsinsyn och kommunikation.
12 Den slutliga bedömningen av säkerhetsprövningen på området luftfartsskydd
Regeringens förslag: Transportstyrelsen ska göra den slutliga bedömningen av säkerhetsprövningen när det gäller personer som ska genomgå säkerhetsprövning till följd av ett internationellt säkerhetsskyddsåtagande på området luftfartsskydd.
Transportstyrelsens förslag överensstämmer med regeringens.
Remissinstanserna: Majoriteten av remissinstanserna tillstyrker eller har inte något att invända mot förslaget. Västerås kommun instämmer i att det finns ett behov av att förtydliga regleringen men föreslår att ansvaret för säkerhetsprövningen inom området luftfartsskydd i stället ska vara delat mellan Transportstyrelsen och verksamhetsutövaren i syfte att inte det kommunala perspektivet ska gå förlorat vid säkerhetsprövningen. Lycksele kommun framhåller att kommuner i regel har större möjlighet att hålla fysiska möten med personer som ska genomgå säkerhetsprövning och att kommuner och regioner i och med det flyttade ansvaret kan komma att förlora kompetens och resurser som har byggts upp för att kunna hantera dessa ärenden. Sveriges Kommuner och Regioner (SKR) och Kristianstads kommun menar att gränsdragningen mellan Transportstyrelsens olika roller inom säkerhetsskyddet bör förtydligas. Region Örebro län anser att de arbetsrättsliga och bolagsrättsliga konsekvenserna måste utredas närmare innan slutlig ställning kan tas till förslaget. Flera remissinstanser, bl.a. SKR, lyfter behovet av kompletterande anvisningar i olika avseenden, bl.a. när det gäller vilket underlag verksamhetsutövaren ska tillhandahålla Transportstyrelsen och hur uppgifterna ska förmedlas.
Skälen för regeringens förslag
I vilken mån en anställning eller något annat deltagande i säkerhetskänslig verksamhet ska placeras i säkerhetsklass regleras i 3 kap. 6-10 §§ säkerhetsskyddslagen (2018:585). Av 3 kap. 9 § säkerhetsskyddslagen följer att en anställning eller något annat deltagande i säkerhetskänslig verksamhet också i andra fall än de som följer av 6-8 §§ ska placeras i en säkerhetsklass som motsvarar de krav på säkerhetsprövning som följer av ett internationellt åtagande om säkerhetsskydd. Sådana krav på säkerhetsprövning finns inom det EU-rättsliga regelverket för luftfartsskydd, närmare bestämt i Europaparlamentets och rådets förordning (EG) nr 300/2008 av den 11 mars 2008 om gemensamma skyddsregler för den civila luftfarten och om upphävande av förordning (EG) nr 2320/2002, samt i Kommissionens genomförandeförordning (EU) 2015/1998 av den 5 november 2015 om detaljerade bestämmelser för genomförande av de gemensamma grundläggande standarderna avseende luftfartsskydd. Transportstyrelsen är enligt förordningen (1994:1808) om behöriga myndigheter på den civila luftfartens område ansvarig för att utföra de uppgifter som åligger Sverige i detta avseende.
Som huvudregel ska den som beslutar om anställning eller annat deltagande i den säkerhetskänsliga verksamheten enligt 3 kap. 4 § andra stycket säkerhetsskyddslagen också göra bedömningen av säkerhetsprövningen. Om en myndighet har det bestämmande inflytandet över den prövades lämplighet att delta i säkerhetskänslig verksamhet hos en enskild verksamhetsutövare, är det dock i stället myndigheten som gör den slutliga bedömningen. Detta undantag infördes bl.a. med hänvisning till den ordning som gäller inom luftfartsskyddet, där Transportstyrelsen har att dels besluta om registerkontroll som en följd av att internationella konventioner anger villkor för tillträde till olika slag av behörighetsområden på flygplatser, dels lämna sitt godkännande av säkerhetsprövningen (prop. 2017/18:89 s. 99 f.). På detta område går säkerhetsprövningen därför till på så vis att verksamhetsutövaren ansvarar för att en grundutredning genomförs och utifrån den gör en första bedömning. Om den prövade bedöms vara pålitlig, begärs sedan att Transportstyrelsen ansöker om att en registerkontroll ska genomföras. Efter genomförd registerkontroll beslutar Transportstyrelsen om den som kontrollen avser ska få delta i verksamheten. På grundval av myndighetens beslut kan sedan ett behörighetsbevis i enlighet med internationella regelverk utfärdas.
Transportstyrelsens ansvar för den slutliga bedömningen av säkerhetsprövningen bör gälla alla flygplatser
Att Transportstyrelsen enligt 3 kap. 4 § säkerhetsskyddslagen endast ska göra den slutliga bedömningen av den prövades lämplighet när det gäller enskilda verksamhetsutövare som myndigheten har ett bestämmande inflytande över, får till följd att Transportstyrelsen inte har ett sådant ansvar när det gäller flygplatser som ägs eller drivs av en kommun eller region. Transportstyrelsens ansvar för Sveriges EU-rättsliga skyldigheter i fråga om säkerhetsprövning av personal gäller dock även dessa flygplatser. Transportstyrelsen bör därför även enligt säkerhetsskyddslagen ha ansvar för att göra den slutliga bedömningen av säkerhetsprövningen i dessa fall. Transportstyrelsen bör alltså göra den slutliga bedömningen av säkerhetsprövningen i alla fall som personer ska genomgå säkerhetsprövning till följd av ett internationellt säkerhetsskyddsåtagande på området luftfartsskydd.
Till skillnad från Västerås kommun anser regeringen inte att det finns skäl att nu ändra systematiken som gäller för säkerhetsprövning på luftfartsskyddsområdet. Verksamhetsutövarens bör även fortsättningsvis ha ansvaret för att göra en grundutredning enligt 3 kap. 4 § säkerhetsskyddslagen och utifrån den göra en första bedömning av säkerhetsprövningen. Som Lycksele kommun påpekar är det verksamhetsutövarna (kommunerna) som i regel har bäst möjlighet att hålla fysiska möten och vidta andra åtgärder inom ramen för säkerhetsprövningen. Genom att bibehålla den systematik som gäller på området blir det även i fortsättningen en fråga för de kommunala verksamhetsutövarna att genomföra dessa moment. Enligt regeringen saknas det också skäl att ytterligare förtydliga gränsdragningen mellan Transportstyrelsens olika roller inom säkerhetsskyddet, som SKR och Kristianstads kommun framför.
Eftersom förslaget endast gäller säkerhetsprövning till följd av ett internationellt säkerhetsskyddsåtagande på området luftfartsskydd, påverkar det inte möjligheten att även fortsättningsvis placera en anställning eller något annat deltagande i säkerhetskänslig verksamhet i säkerhetsklass på annan grund. Förslaget påverkar inte heller Transportstyrelsens möjligheter att enligt regelverket för luftfartsskydd ta ut avgifter från de kommuner och regioner som berörs. Vidare anser inte regeringen att förslaget påverkar de arbetsrättsliga eller bolagsrättsliga ansvarsförhållandena för flygplatserna i fråga. Något skäl att utreda de arbetsrättsliga och bolagsrättsliga konsekvenserna av förslaget, vilket Region Örebro län framför, finns därför inte.
Flera remissinstanser, bl.a. SKR, lyfter behovet av kompletterande anvisningar i olika avseenden. Det blir dock en fråga för Transportstyrelsen att bedöma behovet av sådana föreskrifter.
13 Säkerhetsskyddslagens struktur och följdändringar
Regeringens förslag: Det ska införas nya kapitel i säkerhetsskyddslagen och vissa befintliga bestämmelser ska flyttas, delas upp eller tas bort. Till följd av omstruktureringen ska följdändringar göras i säkerhetsskyddslagen, lagen om ansvar för vissa säkerhetsfrågor vid statsministerns tjänstebostäder och lagen om säkerhetsskydd i riksdagen och dess myndigheter.
Vidare ska samråd inför överlåtelse av säkerhetskänslig verksamhet eller viss egendom ske med tillsynsmyndigheten i stället för med samrådsmyndigheten. Tillsynsmyndigheten ska få inleda samråd samt besluta om förelägganden och förbud i samband med sådana överlåtelser.
Dessutom ska det tydliggöras att med "verksamhetsutövare" i säkerhetsskyddslagen avses den som till någon del bedriver säkerhetskänslig verksamhet.
Utredningens förslag överensstämmer i huvudsak med regeringens. Utredningen föreslår också nya kapitel men kapitlen har en något annorlunda struktur. Vidare föreslår utredningen inte att befintliga bestämmelser ska flyttas på ett sådant sätt att det behövs följdändringar. Dessutom föreslår utredningen inte att det ska tydliggöras vad som avses med "verksamhetsutövare" i säkerhetsskyddslagen.
Remissinstanserna: De flesta remissinstanserna yttrar sig inte över förslaget. Några remissinstanser, som Transportstyrelsen och Energimyndigheten, har synpunkter på vilka myndigheter som samråd bör ske med. Kammarrätten i Stockholm anser att begreppet verksamhetsutövare bör definieras i säkerhetsskyddslagen.
Skälen för regeringens förslag
Säkerhetsskyddslagen struktur ändras
För att säkerhetsskyddslagen (2018:585) ska vara överskådlig även med de bestämmelser som föreslås i denna proposition, bör det införas tre nya kapitel i vilka vissa befintliga och föreslagna bestämmelser tas in. Vidare bör två befintliga kapitel flyttas och betecknas om. Dessutom bör vissa bestämmelser flyttas, delas upp eller tas bort.
På grund av att vissa bestämmelser i säkerhetsskyddslagen flyttas behöver följdändringar göras i säkerhetsskyddslagen, lagen (2014:514) om ansvar för vissa säkerhetsfrågor vid statsministerns tjänstebostäder och lagen (2019:109) om säkerhetsskydd i riksdagen och dess myndigheter.
Samråd inför överlåtelser ska ske med tillsynsmyndigheten i stället för med samrådsmyndigheten
Enligt 2 kap. 7-9 §§ säkerhetsskyddslagen är en verksamhetsutövare som avser att överlåta säkerhetskänslig verksamhet eller viss egendom skyldig att i vissa fall samråda med en samrådsmyndighet. I avsnitt 7.3 gör regeringen bedömningen att en verksamhetsutövare inför vissa utkontrakteringar, upplåtelser och andra förfaranden som kräver säkerhetsskyddsavtal ska samråda med sin tillsynsmyndighet. Regeringen anser att samråd bör ske med samma myndighet oavsett om det är fråga om överlåtelse, utkontraktering eller något annat liknande förfarande. Samrådsansvaret och samrådsmyndighetens befogenheter vid överlåtelse av säkerhetskänslig verksamhet och viss egendom bör därmed flyttas över till tillsynsmyndigheten.
Uttrycket verksamhetsutövare
Kraven i säkerhetsskyddslagstiftningen avser i huvudsak "den som till någon del bedriver säkerhetskänslig verksamhet". Det innefattar enligt 1 kap. 1 § första stycket säkerhetsskyddslagen både den som till någon del bedriver verksamhet som är av betydelse för Sveriges säkerhet och den som till någon del bedriver verksamhet som omfattas av ett för Sverige förpliktande internationellt åtagande om säkerhetsskydd. Av formuleringen "den" som bedriver säkerhetskänslig verksamhet framgår att alla verksamheter, oavsett verksamhetsform, kan omfattas. Den som bedriver säkerhetskänslig verksamhet kan följaktligen vara en myndighet, en kommun, en region eller en enskild oberoende av verksamhetsform (prop. 2017/18:89 s. 47 och 133).
I flera bestämmelser i säkerhetsskyddslagen och säkerhetsskyddsförordningen (2018:658) används begreppet "verksamhetsutövare" synonymt med "den som till någon del bedriver säkerhetskänslig verksamhet". Begreppet verksamhetsutövare används också ofta i den betydelsen i föreskrifter och andra sammanhang.
Regeringen anser - i linje med vad Kammarrätten i Stockholm anför - att det i säkerhetsskyddslagen bör anges vad som avses med verksamhetsutövare, bl.a. för att göra lagen tydligare. Kammarrätten föreslår att det införs en definitionslista i början av lagen där det bl.a. anges vad som avses med uttrycket verksamhetsutövare. Regeringen anser dock i nuläget att det är lämpligare att i 2 kap. 1 § första stycket säkerhetsskyddslagen förtydliga att med verksamhetsutövare avses den som till någon del bedriver säkerhetskänslig verksamhet, i enlighet med 1 kap. 1 § första stycket säkerhetsskyddslagen.
14 Ikraftträdande- och övergångsbestämmelser
Regeringens förslag: De föreslagna lagändringarna ska träda i kraft den 1 december 2021. Äldre föreskrifter ska fortfarande gälla för ärenden om samråd som har inletts före ikraftträdandet. För säkerhetsskyddsavtal som har ingåtts före ikraftträdandet ska äldre föreskrifter om säkerhetsskyddsavtal gälla. Sanktionsavgift ska endast få beslutas för överträdelser som har skett efter ikraftträdandet.
Utredningens förslag överensstämmer delvis med regeringens. Utredningen föreslår dock att lagändringarna ska träda i kraft den 1 januari 2021. Vidare föreslår utredningen inte någon övergångsbestämmelse om vad som ska gälla för säkerhetsskyddsavtal som har ingåtts före ikraftträdandet.
Remissinstanserna: Flera remissinstanser pekar på att det är viktigt att berörda parter får rimligt med tid att förbereda sig inför de nya krav som föreslås.
Skälen för regeringens förslag: De föreslagna lagändringarna är mycket angelägna. Förslagen bör därför, även med beaktande av att ett snabbt ikraftträdande ger berörda aktörer en relativt kort tid att förbereda sig, träda i kraft så snart som möjligt. Med hänsyn till den tid som de olika leden i lagstiftningsprocessen kan förväntas ta, anser regeringen att ett ikraftträdande är möjligt tidigast den 1 december 2021. Regeringen har gett Försvarsmakten och Säkerhetspolisen i uppdrag att vidta de förberedande åtgärder som krävs inför etableringen av ett nytt tillsynssystem inom säkerhetsskyddsområdet samt att inrätta samarbetsforum för att underlätta samordning och åstadkomma en effektiv och likvärdig tillsyn (Ju/2021/01245).
När det gäller behovet av övergångsbestämmelser kan inledningsvis konstateras att de föreslagna bestämmelserna om samråd med tillsynsmyndigheten vid överlåtelser och vissa andra förfaranden delvis överlappar den befintliga regleringen i 2 kap. 9 § säkerhetsskyddslagen (2018:558) och 2 kap. 6 § säkerhetsskyddsförordningen (2018:658), som bl.a. innebär krav på samråd med Försvarsmakten eller Säkerhetspolisen vid överlåtelser och vissa typer av statliga upphandlingar. Regeringen anser i likhet med utredningen att det är lämpligt att samråd som har inletts före ikraftträdandet av den nu föreslagna regleringen får slutföras i enlighet med den ordning som då gällde. Äldre föreskrifter bör alltså fortsätta gälla för ärenden om samråd som har inletts före ikraftträdandet. Detta behöver komma till uttryck i en övergångsbestämmelse till den föreslagna lagen om ändring i säkerhetsskyddslagen.
Avseende de föreslagna bestämmelserna om säkerhetsskyddsavtal ska huvudprincipen om att civilrättslig lagstiftning inte ska ges retroaktiv verkan beaktas. Enligt regeringen bör bestämmelserna därför inte tillämpas på sådana säkerhetsskyddsavtal som har ingåtts före ikraftträdandet. För sådana avtal bör i stället den hittills gällande 2 kap. 6 § säkerhetsskyddslagen och föreskrifter som har meddelats i anslutning till den paragrafen gälla. Till skillnad från utredningen anser regeringen att det bör komma till uttryck i en övergångsbestämmelse. Vidare bör samarbeten och samverkan som har inletts före ikraftträdandet och som inte omfattas av det nuvarande kravet på säkerhetsskyddsavtal inte heller omfattas av det föreslagna utvidgade kravet på att ingå säkerhetsskyddsavtal. Det bör alltså inte finnas en skyldighet att ingå säkerhetsskyddsavtal i efterhand i sådana situationer. Någon övergångsbestämmelse för att bestämmelserna ska tillämpas på det sättet behövs dock inte.
Det behövs inte heller någon övergångsbestämmelse till de föreslagna bestämmelserna om att tillsynsmyndigheterna ska få besluta vitessanktionerade förelägganden i samband med tillsyn, eftersom ett vitesföreläggande är en framåtsyftande åtgärd som inte kan tillämpas för överträdelser som skett före ikraftträdandet. I de fall hittills gällande bestämmelser om säkerhetsskyddsavtal i 2 kap. 6 § säkerhetsskyddslagen gäller ska tillsynen - när det gäller säkerhetsskyddsavtal - avse efterlevnaden av de hittills gällande bestämmelserna och inte den nu föreslagna regleringen om säkerhetsskyddsavtal.
Vidare bedöms det inte behövas någon övergångsbestämmelse till de föreslagna bestämmelserna i 4 kap. 12 § säkerhetsskyddslagen om att tillsynsmyndigheten ska kunna ingripa i pågående förfaranden som omfattas av krav på säkerhetsskyddsavtal. Av den föreslagna paragrafens ordalydelse följer att den endast kan tillämpas på förfaranden som inleds efter ikraftträdandet. Regeringen anser till skillnad från utredningen att detta är en rimlig ordning, dvs. att ett sådant ingripande inte ska få ske i förfaranden som inletts före ikraftträdandet utan bara i sådana som inletts därefter.
När det gäller förslaget om att tillsynsmyndigheten ska få besluta sanktionsavgift måste förbudet mot retroaktiv straff- och skattelagstiftning i 2 kap. 10 § regeringsformen beaktas. Förbudet mot retroaktiv skattelagstiftning anses vara analogt tillämpligt på straffliknande administrativa påföljder (prop. 1975/76:209 s. 125). En sanktionsavgift med stöd av de föreslagna bestämmelserna bör därför få beslutas endast för överträdelser som har skett efter ikraftträdandet, vilket bör anges i en övergångsbestämmelse.
15 Konsekvenser
Regeringens bedömning: Skyddet för Sveriges säkerhet stärks genom förslagen.
För de verksamhetsutövare som kommer att träffas av förslagen kan de innebära ökade kostnader och administrativa bördor. Eventuella kostnader för statliga myndigheter ryms inom respektive myndighets befintliga anslagsram.
Förslagen innebär även vissa ökade förvaltningskostnader för de myndigheter som kommer att vara tillsynsmyndigheter. Med anledning av dessa kostnader har berörda myndigheters anslag utökats.
Förslagen medför dessutom att de allmänna förvaltningsdomstolarna får något fler arbetsuppgifter. Kostnaderna för domstolarna ryms inom befintlig anslagsram.
Utredningens bedömning överensstämmer med regeringens.
Remissinstanserna: Flera remissinstanser, såsom Sveriges kommuner och regioner (SKR), E-hälsomyndigheten, Vattenfall AB, Swedavia AB, Göteborgs kommun, Skövde kommun, Energiföretagen Sverige, Säkerhets- och försvarsföretagen och Totalförsvarets forskningsinstitut (FOI), anser att förslagen om utvidgat krav på att ingå säkerhetsskyddsavtal och om krav på särskild säkerhetsskyddsbedömning, lämplighetsprövning och samråd inför vissa förfaranden innebär att kostnaderna för verksamhetsutövare kan bli betydande. Svenskt Näringsliv anser att det bör utgå någon form av kostnadstäckning till företag via offentliga medel om kostnadsökningarna blir mer än marginella. Regelrådet, Näringslivets regelnämnd och Svenskt Näringsliv anser att utredningens redovisning av förslagens konsekvenser för företag som bedriver säkerhetskänslig verksamhet i viss mån är bristfällig. Förvaltningsrätten i Stockholm och Kammarrätten i Stockholm ifrågasätter bedömningen angående kostnadsökningen för domstolarna. Region Kronoberg och Lidingö kommun pekar på att förslagen påverkar den kommunala självstyrelsen. Flera remissinstanser tar upp att förslagen medför ett ökat behov av kompetensförsörjning när det gäller säkerhetsskydd och annan relevant expertis. Säkerhets- och integritetsskyddsnämnden anser att förslaget om utvidgat krav på säkerhetsskyddsavtal kan innebära fler registerkontroller och att konsekvenserna för nämnden därför behöver analyseras ytterligare.
Skälen för regeringens bedömning
Stärkt skydd för Sveriges säkerhet
Säkerhetsskydd handlar om skyddet för Sveriges mest skyddsvärda verksamheter. Konsekvenserna av att skyddet fallerar kan därför bli mycket allvarliga. Den föreslagna regleringen syftar bl.a. till att säkerhetsskyddsfrågor ska få en central roll hos verksamhetsutövare, att förhindra utkontrakteringar, samarbeten och andra liknande förfaranden som är olämpliga ur säkerhetsskyddssynpunkt och att öka efterlevnaden av säkerhetsskyddslagstiftningen. Förslagen innebär på detta sätt en förstärkning av skyddet för Sveriges säkerhet.
Ekonomiska konsekvenser för verksamhetsutövare
Förslagen innebär till viss del att verksamhetsutövare påförs ytterligare krav.
Förslagen om säkerhetsskyddschefens roll innebär att det införs krav på att säkerhetsskyddschefen - utöver ansvar för att verksamheten bedrivs i enlighet med säkerhetsskyddsregleringen - även ska ha ansvar för ledning och samordning av säkerhetsskyddsarbetet samt att det införs ett generellt krav på säkerhetsskyddschefens organisatoriska ställning. Enligt regeringen bör förslagen i denna del inte medföra annat än begränsade kostnader för verksamhetsutövare.
Förslaget om ett utvidgat krav på säkerhetsskyddsavtal innebär i stort att ett sådant avtal ska ingås inför fler förfaranden än anskaffningar, såsom samarbeten och samverkan, om förfarandet innebär att en annan aktör kan få tillgång till den säkerhetskänsliga verksamheten. Verksamhetsutövare ska redan i dag ha god kännedom om sina skyddsvärden och - oavsett krav på säkerhetsskyddsavtal - se till att säkerhetsskyddet tillgodoses under förfaranden där en annan aktör kan få tillgång till den säkerhetskänsliga verksamheten. Förslaget kan ändå innebära ökade kostnader, främst genom det merarbete som kan uppstå när ett säkerhetsskyddsavtal tas fram och förhandlas men även genom att samarbeten kan fördröjas.
Vad gäller förslaget om att verksamhetsutövare ska göra en särskild säkerhetsskyddsbedömning och lämplighetsprövning inför vissa förfaranden som kräver säkerhetsskyddsavtal, bör de bedömningarna utgå från den säkerhetsskyddsanalys som alla verksamhetsutövare redan i dag har en skyldighet att göra enligt 2 kap. 1 § säkerhetsskyddslagen (2018:585). Kravet på att göra en särskild säkerhetsskyddsbedömning och lämplighetsprövning innebär att riskerna för de skyddsvärden som har identifierats i säkerhetsskyddsanalysen konkretiseras i förhållande till en viss situation. De nya kraven medför därför inte något betydande merarbete eller annan kostnad. Om lämplighetsprövningen mynnar ut i bedömningen att förfarandet inte är olämpligt från säkerhetsskyddssynpunkt, ska verksamhetsutövaren enligt regeringens förslag även samråda med tillsynsmyndigheten. Samrådet bör bygga på det underlag som verksamhetsutövaren redan tagit fram inom ramen för den särskilda säkerhetsskyddsbedömningen. Regeringen anser därför att den faktiska arbetsinsatsen för att inleda och genomföra samrådet är begränsad. Däremot kan samrådsprocessen göra att det tar längre tid att inleda ett förfarande än vad som annars hade varit fallet, vilket kan påverka verksamheten negativt. Hur lång tid samrådet kommer att ta och vad det kommer att mynna ut i har dock verksamhetsutövaren ofta en möjlighet att själv påverka.
Det som kan ha störst ekonomisk påverkan är förslagen om att tillsynsmyndigheten under vissa omständigheter ska få besluta om förbud mot att inleda ett planerat förfarande och om förelägganden under ett pågående förfarande för att förhindra skada för Sveriges säkerhet. För den verksamhetsutövare som meddelas förbud kan det innebära t.ex. att verksamhetsutövaren måste köpa en tjänst av en annan motpart som kräver högre ersättning eller att verksamhetsutövaren måste utföra tjänsten i egen regi. Möjligheten att besluta om förbud är dock ett sistahandsalternativ när övriga möjligheter är uttömda eller bedöms som utsiktslösa. Även föreläggande under pågående förfarande bedöms bli mycket sällsynt. Förslagen kan initialt även ha den indirekta effekten att motparter tar höjd för risken att förfarandet inte kan genomföras som planerat när priset beräknas eller avstår från att ingå ett avtal eller inleda ett samarbete med en verksamhetsutövare. Denna eventuella konsekvens borde dock plana ut i takt med att kunskapen om regleringen ökar.
Mot denna bakgrund bedömer regeringen - i likhet med utredningen men till skillnad från SKR, E-hälsomyndigheten, Vattenfall AB, Swedavia AB, Göteborgs kommun, Skövde kommun, Energiföretagen Sverige, Säkerhets- och försvarsföretagen och FOI - att förslagen i de flesta fall endast kommer medföra begränsade administrativa och andra kostnader för offentliga och enskilda verksamhetsutövare. Kostnadsökningen för statliga myndigheter som är verksamhetsutövare bör enligt regeringen rymmas inom respektive myndighets befintliga anslagsram. Svenskt Näringsliv framför att det bör utgå någon form av kostnadstäckning via offentliga medel om kostnaderna för ett företag blir mer betydande. Rätten till ersättning och förslagens förhållande till egendomsskyddet och näringsfriheten utvecklas i avsnitt 7.6 och behandlas därför inte närmare här.
Regeringen har en viss förståelse för Regelrådets, Näringslivets regelnämnds och Svenskt Näringslivs synpunkter på så sätt att utredningens redovisning av förslagens konsekvenser för företag som är verksamhetsutövare i viss mån inte är så utförlig som kan önskas. Regeringen anser emellertid att konsekvenserna för företag - genom betänkandet och denna proposition - har belysts tillräckligt för att kunna ligga till grund för regeringens förslag. I denna bedömning ligger också att det är ett begränsat antal företag som berörs av förslagen och att de ekonomiska konsekvenserna kommer att variera. Vissa kostnader kommer dessutom kunna kompenseras genom prissättning och annan kostnadsreglering utifrån de eventuella risker och arbetsinsatser som förslagen innebär.
Ekonomiska konsekvenser för tillsynsmyndigheterna
I syfte att höja ambitionsnivån för tillsynen kommer tillsynsstrukturen inom säkerhetsskyddet delvis att förändras, med följd att vissa myndigheter utses till nya tillsynsmyndigheter och att vissa befintliga tillsynsmyndigheter får fler tillsynsobjekt. Vidare föreslår regeringen att tillsynsmyndigheterna ska få vissa nya uppgifter som att ansvara för samråd. Dessutom föreslår regeringen att tillsynsmyndigheterna ska få nya befogenheter, t.ex. möjlighet att besluta om förbud mot överlåtelse av säkerhetskänslig verksamhet, förelägga tillsynsobjekt att tillhandahålla den information som behövs för tillsynen samt besluta om åtgärdsförelägganden och sanktionsavgift mot den som inte efterlever säkerhetsskyddslagstiftningens krav. Kostnaderna för de myndigheter som kommer att bli tillsynsmyndigheter och de myndigheter som även fortsatt ska vara tillsynsmyndigheter kommer alltså att öka. Genom budgetpropositionen för 2021 utökades därför berörda myndigheters anslag med 100 miljoner kronor från och med 2021 och med ytterligare 10 miljoner kronor från och med 2022. Regeringen har dessutom i propositionen Totalförsvaret 2021-2025 (prop. 2020/21:30) aviserat en inriktning att anslagen kommer utökas med ytterligare 10 miljoner kronor från och med 2024.
Ekonomiska konsekvenser för domstolarna
Tillsynsmyndighetens beslut om föreläggande under samråd och vid tillsyn och om att ta ut sanktionsavgift ska enligt regeringens förslag få överklagas till Förvaltningsrätten i Stockholm. För prövning i Kammarrätten i Stockholm kommer det enligt förslaget krävas prövningstillstånd. Regeringen bedömer att ökningen av antalet mål kommer att bli begränsad. Även med beaktande av att målen - som Kammarrätten i Stockholm påpekar - kan vara komplexa anser regeringen därför att kostnaderna för den ökade måltillströmningen kommer vara begränsade. Som Förvaltningsrätten i Stockholm påpekar kan även domstolarnas säkerhetsskydd behöva anpassas med anledning av de säkerhetsskyddsklassificerade uppgifter som kan förekomma i målen. Regeringen anser dock i nuläget att både kostnaderna för den något ökade måltillströmningen och eventuella anpassningar av säkerhetsskyddet bör rymmas inom befintliga anslagsramar.
Konsekvenser för verksamhetsutövarens motpart
Inte bara verksamhetsutövare träffas av det utvidgade kravet på säkerhetsskyddsavtal, utan även verksamhetsutövares motparter. Vidare innebär förslaget om att tillsynsmyndigheten ska få vissa undersökningsbefogenheter att de som en verksamhetsutövare har ingått säkerhetsskyddsavtal med kan behöva ge tillsynsmyndigheten tillträde till sina lokaler och ge ut sådan information som behövs för tillsynen. Enligt regeringen bör kostnaderna för att ta fram och förhandla säkerhetsskyddsavtal och för att bistå tillsynsmyndigheten som regel vara begränsade.
Även förslagen om att tillsynsmyndigheten ska kunna besluta om förbud mot att inleda ett förfarande och föreläggande under pågående förfarande kan innebära att verksamhetsutövares motparter påverkas ekonomiskt, eftersom de i sällsynta fall kan medföra att ett planerat förfarande inte kan inledas eller att ett pågående förfarande måste inskränkas eller avbrytas. Risken för att drabbas av sådana förbud och förelägganden kan dock antas plana ut i takt med att kunskapen om den föreslagna regleringen ökar.
Konsekvenser för den kommunala självstyrelsen
Kommuner och regioner kan bedriva verksamhet av betydelse för Sveriges säkerhet. Säkerhetskänslig verksamhet i sådan verksamhet som kommuner och regioner bedriver, till exempel räddningstjänst, energi- eller dricksvattenförsörjning och sjukvård, kan påverkas av förslagen. Om en tillsynsmyndighet beslutar om förbud mot att inleda ett förfarande eller föreläggande under ett pågående förfarande innebär det att kommunen eller regionen ifråga inte fritt kan förfoga över sin egendom. Vidare kan förslaget om utvidgat krav på säkerhetsskyddsavtal innebära att kommuner och regioner inte kan samarbeta och samverka med andra aktörer på det sätt som kommunerna och regionerna finner lämpligast. I enlighet med vad bland andra Region Kronoberg och Lidingö kommun påpekar påverkar alltså förslagen den kommunala självstyrelsen. Den föreslagna regleringen går dock inte utöver vad som är nödvändigt för att skydda de mest skyddsvärda verksamheterna i samhället. Dessutom ska såväl förbud som förelägganden under pågående förfaranden användas restriktivt och som en sista utväg när andra åtgärder inte är tillräckliga. Förslagen berör därför den kommunala självstyrelsen på det minst ingripande sätt som är möjligt.
Kompetensförsörjning
Det finns i dag ett stort behov av kompetensförsörjning inom säkerhetsskyddsområdet. Många tillsynsmyndigheter och andra aktörer har påpekat att det redan i dag är svårt att rekrytera personal med rätt kompetens. Bland annat finns det brist på personer med kunskap om it-säkerhet, informationssäkerhet och allmän kunskap om säkerhetsskydd. Vidare kommer förslagen i denna proposition, som flera remissinstanser påpekar, innebära att behovet av kompetensförsörjning ökar. Om kompetensförsörjningen inte hanteras finns det en risk att förslagen inte får det genomslag som behövs för att höja ambitionsnivån inom säkerhetsskyddet. Utredningen har som ett första steg föreslagit att Försvarsmakten och Säkerhetspolisen får i uppdrag att utreda hur kompetensförsörjningen kan tryggas. Regeringen har denna dag gett myndigheterna ett sådant uppdrag (Ju2021/02005).
Övriga konsekvenser
När det gäller förslaget om att Transportstyrelsen ska ansvara för den slutliga bedömningen av säkerhetsprövningar som sker till följd av ett internationellt säkerhetsskyddsåtagande på området luftfartsskydd, innebär det endast att det ansvar som myndigheten redan har enligt förordningen (1994:1808) om behöriga myndigheter på den civila luftfartens område kan realiseras. Förslaget bedöms därmed inte innebära några merkostnader för Transportstyrelsen.
Som Säkerhets- och integritetsskyddsnämnden anför kommer förslaget om utvidgat krav på säkerhetsskyddsavtal även innebära att det kommer göras fler registerkontroller och särskilda personutredningar. Det innebär i sin tur bl.a. att Säkerhets- och integritetsskyddsnämnden, som har till uppgift att besluta om uppgifter som kommit fram vid registerkontroll och särskild personutredning ska lämnas ut för säkerhetsprövning, får en något utökad arbetsbörda. Enligt regeringen kan dessa kostnader dock hanteras inom myndighetens befintliga anslagsram.
16 Författningskommentar
16.1 Förslaget till lag om ändring i säkerhetsskyddslagen (2018:585)
1 kap.
3 §
Paragrafen anger i vilken utsträckning lagen gäller för riksdagen och dess myndigheter och i vilken utsträckning regeringen får besluta om undantag för Regeringskansliet, utlandsmyndigheterna och kommittéväsendet. Övervägandena finns i avsnitt 13.
Ändringen i första stycket är en följd av att 4 kap. betecknas om till 5 kap. och innebär inte någon ändring i sak.
2 kap.
1 §
Paragrafen reglerar de grundläggande skyldigheterna för den som till någon del bedriver säkerhetskänslig verksamhet. Övervägandena finns i avsnitt 13.
Ändringen i första stycket innebär att det förtydligas att med "verksamhetsutövare" i lagen avses den som till någon del bedriver säkerhetskänslig verksamhet. Detta innebär inte någon ändring i sak. Vad som utgör säkerhetskänslig verksamhet framgår av 1 kap. 1 § första stycket.
6 §
Paragrafen, som är ny, innehåller bestämmelser om anmälningsskyldighet för verksamhetsutövare. Övervägandena finns i avsnitt 8.2.
Enligt första stycket ska en verksamhetsutövare anmäla att den bedriver säkerhetskänslig verksamhet. Anmälan ska ske utan dröjsmål efter det att den säkerhetskänsliga verksamheten påbörjas. För den som redan bedriver säkerhetskänslig verksamhet vid tidpunkten för ikraftträdandet av paragrafen innebär kravet att anmälan ska ske utan dröjsmål efter ikraftträdandet.
Enligt andra stycket ska en verksamhetsutövare anmäla till tillsynsmyndigheten när den säkerhetskänsliga verksamheten har upphört. Även denna anmälan ska göras utan dröjsmål.
7 §
Paragrafen, som är ny, innehåller bestämmelser om krav på verksamhetsutövare att ha en säkerhetsskyddschef, vilka uppgifter säkerhetsskyddschefen ska ha och säkerhetsskyddschefens placering i organisationen. Bestämmelserna motsvarar delvis hittills gällande 2 kap. 2 § säkerhetsskyddsförordningen (2018:658). Övervägandena finns i avsnitt 5.
Enligt första stycket ska en verksamhetsutövare som huvudregel ha en säkerhetsskyddschef. Kravet gäller inte om det är uppenbart obehövligt med en säkerhetsskyddschef, vilket exempelvis kan vara fallet om den säkerhetskänsliga verksamheten är av en mycket begränsad omfattning.
Enligt andra stycket ska säkerhetsskyddschefen ha till uppgift att leda och samordna säkerhetsskyddsarbetet. Det innebär att säkerhetsskyddschefen ska vara aktiv och operativ och inte enbart passivt kontrollera säkerhetsskyddet i efterhand. Vidare anges att säkerhetsskyddschefen ska kontrollera att verksamheten bedrivs enligt lagen och de föreskrifter som har meddelats i anslutning till den. Med uttrycket "föreskrifter som har meddelats i anslutning till lagen" avses såväl föreskrifter som har meddelats med direkt eller indirekt stöd av lagen som föreskrifter som har meddelats med stöd av restkompetensen eller rätten att meddela verkställighetsföreskrifter. Dessutom framgår att säkerhetsskyddschefens ansvar inte kan delegeras. Detta innebär inte något hinder mot att arbetsuppgifter delegeras till andra medarbetare, men en sådan delegering påverkar inte säkerhetsskyddschefens ansvar.
I tredje stycket föreskrivs att säkerhetsskyddschefen ska vara direkt underställd chefen för verksamhetsutövarens verksamhet om en sådan chef finns och annars verksamhetsutövarens ledning. För en statlig myndighet innebär kravet att säkerhetsskyddschefen ska vara direkt underställd myndighetschefen om en sådan finns och annars exempelvis den nämnd som leder myndigheten. För en kommun eller en region innebär det att säkerhetsskyddschefen ska vara direkt underställd kommun- respektive regiondirektören. När det gäller ett aktiebolag innebär kravet normalt att säkerhetsskyddschefen ska vara direkt underställd den verkställande direktören om en sådan finns. Bestämmelsen innebär inte bara ett formellt krav på att säkerhetsskyddschefen ska ha en viss plats i organisationen, utan också att säkerhetsskyddschefen i praktiken ska ges en reell möjlighet att ge stöd åt och påverka ledningen i frågor som involverar säkerhetsskyddsaspekter.
8 §
Paragrafen innehåller bemyndiganden för regeringen eller den myndighet som regeringen bestämmer. Paragrafen motsvarar hittills gällande 15 § med den ändringen att bemyndigandet om säkerhetsskyddsavtal flyttas till 4 kap. 6 §. Övriga ändringar är endast redaktionella. Övervägandena finns i avsnitt 13.
3 kap.
4 §
Paragrafen reglerar bl.a. vem som ansvarar för bedömningen av en säkerhetsprövning. Övervägandena finns i avsnitt 12.
Ändringen i andra stycket innebär att det som anges där om ansvar för bedömningen av säkerhetsprövningen inte gäller om något annat följer av 4 b §.
4 b §
Paragrafen, som är ny, reglerar Transportstyrelsens ansvar för den slutliga bedömningen av säkerhetsprövningen när det gäller den som ska genomgå säkerhetsprövning till följd av ett internationellt säkerhetsskyddsåtagande på området luftfartsskydd. Övervägandena finns i avsnitt 12.
Sådana internationella säkerhetsskyddsåtaganden som avses finns inom det EU-rättsliga regelverket för luftfartsskydd. I dessa fall genomförs säkerhetsprövningen på så sätt att den som beslutar om anställningen ansvarar för grundutredningen och utifrån den gör en första bedömning. Om den prövade bedöms vara pålitlig från säkerhetsskyddssynpunkt ska verksamhetsutövaren begära att Transportstyrelsen ansöker om registerkontroll. Efter att registerkontrollen är genomförd bestämmer Transportstyrelsen slutligt om den som kontrollen avser ska få delta i verksamheten.
16 §
Paragrafen innehåller en upplysning om att det även finns bestämmelser om registerkontroll i ett annat kapitel i lagen. Övervägandena finns i avsnitt 13.
Ändringen är en följd av att 4 kap. betecknas om till 5 kap. och innebär inte någon ändring i sak.
4 kap.
1 §
Paragrafen, som är ny, innehåller bestämmelser om när en verksamhetsutövare är skyldig att ingå säkerhetsskyddsavtal. Den har utformats i enlighet med Lagrådets förslag. Övervägandena finns i avsnitt 6.1.
Första stycket motsvarar delvis hittills gällande 2 kap. 6 § första och tredje styckena (prop. 2017/18:89 s. 140 f.). I förhållande till 2 kap. 6 § utvidgas kravet på säkerhetsskyddsavtal till att inte bara gälla upphandlingssituationer, utan alla slags avtal, samarbeten och samverkan, med de undantag som framgår av 2 § och av föreskrifter i förordning och regeringsbeslut enligt 6 §. Tvångsförfaranden såsom tvångsupplåtselser, beslag och husrannsakan är inte samarbeten eller samverkan och omfattas således inte av kravet. Detsamma gäller för t.ex. tillsynsåtgärder, tillståndsförfaranden och när enskilda verksamhetsutövare har en författningsreglerad uppgiftsskyldighet gentemot myndigheter såsom enligt 6 kap. 19 a § lagen (2003:389) om elektronisk kommunikation.
För att kravet på säkerhetsskyddsavtal ska aktualiseras krävs, förutom att det ska vara fråga om något av de angivna förfarandena, även att det handlar om ett förfarande som involverar en annan aktör än verksamhetsutövaren. En annan juridisk person, statlig myndighet, kommun eller region än verksamhetsutövaren är en annan aktör. Däremot är det inte fråga om en annan aktör när verksamhetsutövaren anställer eller anlitar en person för att delta i den egna verksamheten. Den som anställs eller anlitas omfattas då av verksamheten och är därmed inte att betrakta som en annan aktör.
I förhållande till hittills gällande 2 kap. 6 § utvidgas kravet på säkerhetsskyddsavtal dessutom till att gälla oavsett vilken roll som verksamhetsutövaren har gentemot den andra aktören. Det spelar alltså exempelvis ingen roll om verksamhetsutövaren är beställare eller leverantör i ett avtalsförhållande. Skyldigheten att ingå säkerhetsskyddsavtal gäller liksom tidigare endast om förfarandet kan innebära att den andra aktören kan få tillgång till säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller annan säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet.
I andra stycket förtydligas att en verksamhetsutövare även är skyldig att ingå säkerhetsskyddsavtal med en underleverantör som anlitas för att fullgöra den andra aktörens förpliktelse mot verksamhetsutövaren. Kravet gäller dock endast under förutsättning att underleverantören genom sitt uppdrag kan få tillgång till säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller annan säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet.
Kravet på säkerhetsskyddsavtal enligt paragrafen innebär inte att ett visst förfarande är lämpligt att genomföra ur säkerhetsskyddssynpunkt om ett säkerhetsskyddsavtal ingås. Enligt 8 § krävs en särskild säkerhetsskyddsbedömning och en lämplighetsprövning innan ett förfarande som kräver säkerhetsskyddsavtal inleds.
I tredje stycket förtydligas vad som redan gäller enligt hittills gällande 2 kap 6 §, nämligen att ett säkerhetsskyddsavtal ska ingås innan motparten i säkerhetsskyddsavtalet kan få tillgång till den säkerhetskänsliga verksamheten. Det innebär t.ex. att ett säkerhetsskyddsavtal ska ingås innan ett upphandlingsförfarande eller en avtalsförhandling inleds, om motparten kan få tillgång till den säkerhetskänsliga verksamheten under upphandlingsförfarandet eller avtalsförhandlingen.
2 §
Paragrafen, som är ny, innehåller bestämmelser som begränsar statliga myndigheters skyldighet att ingå säkerhetsskyddsavtal. Övervägandena finns i avsnitt 6.2.
Av paragrafen framgår att en statlig myndighet endast har en skyldighet att ingå säkerhetsskyddsavtal med en annan statlig myndighet när det gäller ett förfarande om anskaffning av en vara, tjänst eller byggentreprenad. Även när det gäller sådana förfaranden krävs att motparten kan få tillgång till den säkerhetskänsliga verksamheten på det sätt som beskrivs i 1 § första stycket för att det ska finnas en skyldighet att ingå säkerhetsskyddsavtal. Ledning vid tolkning av begreppet anskaffning kan hämtas i upphandlingslagstiftningen. Bestämmelsen innebär motsatsvis att det inte finns en skyldighet för en statlig myndighet att ingå säkerhetsskyddsavtal inför ett samarbete eller en samverkan med en annan statlig myndighet.
3 §
Paragrafen, som är ny, reglerar vad ett säkerhetsskyddsavtal ska innehålla. Övervägandena finns i avsnitt 6.4.
Av paragrafens första stycke framgår att ett säkerhetsskyddsavtal ska innehålla de krav på motparten som behövs för att kraven på säkerhetsskydd ska kunna tillgodoses under förfarandet. Denna bestämmelse motsvarar i huvudsak en bestämmelse i hittills gällande 2 kap. 6 § första stycket. Kravet anpassas till att gälla alla aktörer - inte endast leverantörer - som en verksamhetsutövare kan ha ingått säkerhetsskyddsavtal med enligt 1 §. Vidare förtydligas att verksamhetsutövare inte bara har en skyldighet att reglera vilka motpartens åtaganden är, utan även att tillse att de krav som ställs på motparten gör att kraven på säkerhetsskydd kan tillgodoses under förfarandet.
Enligt andra stycket ska verksamhetsutövaren även se till att det i säkerhetsskyddsavtalet anges hur verksamhetsutövaren ska få kontrollera att motparten följer säkerhetsskyddsavtalet och att verksamhetsutövaren har rätt att revidera säkerhetsskyddsavtalet om det krävs på grund av ändrade förhållanden. Vilka befogenheter som verksamhetsutövaren behöver tillförsäkra sig i avtalet för att kunna genomföra en fullgod kontroll beror bl.a. på karaktären av det avtal, samarbete eller den samverkansform det är fråga om. Det kan i vissa fall vara tillräckligt att reglera hur verksamhetsutövaren ska kunna kontrollera att motparten har genomfört en fullgod säkerhetsprövning av den personal som ska delta i den säkerhetskänsliga verksamheten. I andra fall kan det vara nödvändigt att reglera att verksamhetsutövaren ska ges tillträde till motpartens lokaler eller åtkomst till motpartens informationssystem i syfte att kontrollera att krav om fysisk säkerhet eller informationssäkerhet är uppfyllda på ett tillfredställande sätt.
4 §
Paragrafen, som är ny, innehåller bestämmelser om säkerhetsprövning enligt ett säkerhetsskyddsavtal. Övervägandena finns i avsnitt 6.3.
Enligt paragrafen tillämpas 3 kap. och föreskrifter som har meddelats i anslutning till bestämmelserna i det kapitlet vid säkerhetsprövning enligt ett säkerhetsskyddsavtal. Det innebär bl.a. att avtalet kan utgöra grund för krav på säkerhetsprövning av motpartens personal i enlighet med de bestämmelserna. Vidare innebär det att avtalet kan utgöra grund för beslut om att placera en anställning eller annat deltagande hos motparten i säkerhetsklass och följaktligen även för registerkontroll och särskild personutredning. Bestämmelsen gäller inte överenskommelser om säkerhetsskydd som har ingåtts utan att det finns krav på säkerhetsskyddsavtal enligt 1 §.
5 §
Paragrafen, som är ny, innehåller bestämmelser om kontroll och revidering av ett säkerhetsskyddsavtal. Övervägandena finns i avsnitt 6.4.
Av första stycket framgår att en verksamhetsutövare som har ingått ett säkerhetsskyddsavtal ska kontrollera att motparten följer avtalet och revidera avtalet om det krävs på grund av ändrade förhållanden. Kravet på att kontrollera att säkerhetsskyddsavtalet följs motsvarar i allt väsentligt hittills gällande 2 kap. 6 § andra stycket. Kravet anpassas till att gälla alla aktörer - inte endast leverantörer - som en verksamhetsutövare kan ha ingått säkerhetsskyddsavtal med enligt 1 §. Kravet på verksamhetsutövaren att se till att säkerhetsskyddsavtalet revideras om det krävs på grund av ändrade förhållanden är nytt. Som exempel kan ett säkerhetsskyddsavtal som har ingåtts i samband med inledandet av ett upphandlingsförfarande behöva revideras när ett affärsavtal ingås för att också vara ändamålsenligt under avtalstiden. Ett annat exempel kan vara att hotbilden har förändrats på ett sådant sätt att det behöver ställas andra krav på informationssäkerhet och fysisk säkerhet. Ett ytterligare exempel är att uppgifter med en högre säkerhetsskyddsklass har tillkommit i verksamheten eller att det med tiden har ackumulerats en sådan mängd säkerhetsskyddsklassificerade uppgifter hos motparten att det måste ställas högre krav på säkerhetsskydd. Det kan också förekomma att förhållandena ändrats på så sätt att det finns anledning att sänka kraven på säkerhetsskydd. De ändrade förhållandena måste ha bäring på de krav som ställs i säkerhetsskyddslagstiftningen för att regeln om revidering ska gälla.
Enligt andra stycket har verksamhetsutövaren en skyldighet att agera om motparten inte följer säkerhetsskyddsavtalet. Verksamhetsutövaren ska i sådant fall vidta de åtgärder som behövs för att tillgodose kraven på säkerhetsskydd. I vissa fall kan det räcka med att verksamhetsutövaren påpekar bristerna och begär att motparten åtgärdar dessa. I andra fall kan det krävas att verksamhetsutövaren avbryter det förfarande som ger motparten tillgång till den säkerhetskänsliga verksamheten.
6 §
Paragrafen, som är ny, innehåller bemyndiganden. Övervägandena finns i avsnitt 6.2 och 13.
Enligt första stycket får regeringen eller den myndighet som regeringen bestämmer meddela ytterligare föreskrifter om säkerhetsskyddsavtal enligt 1 och 3-5 §§. Bestämmelsen motsvarar i huvudsak en bestämmelse i hittills gällande 2 kap. 15 §.
Andra stycket, som inte har någon tidigare motsvarighet, innehåller ett bemyndigande för regeringen att meddela föreskrifter om undantag från skyldigheten att ingå säkerhetsskyddsavtal enligt 1 §. Om det finns särskilda skäl får regeringen även besluta om sådana undantag i enskilda fall.
7 §
Paragrafen, som är ny, innehåller bestämmelser om särskild säkerhetsskyddsbedömning, lämplighetsprövning och samråd inför förfaranden som kräver säkerhetsskyddsavtal. Övervägandena finns i avsnitt 7.2 och 7.3.
Enligt första stycket ska en verksamhetsutövare som avser att genomföra ett förfarande som innebär krav på säkerhetsskyddsavtal göra en särskild säkerhetsskyddsbedömning och en lämplighetsprövning enligt 8 § samt samråda enligt 9 §. Hänvisningen till 1 § första stycket innebär att skyldigheterna inte gäller inför ett sådant anlitande av en underleverantör som innebär krav på säkerhetsskyddsavtal enligt 1 § andra stycket.
Andra stycket innehåller ett bemyndigande för regeringen att meddela föreskrifter om undantag från skyldigheterna i första stycket och, om det finns särskilda skäl, besluta om sådana undantag i enskilda fall.
Av tredje stycket följer att skyldigheterna enligt första stycket inte gäller för överlåtelser av säkerhetskänslig verksamhet och viss egendom som omfattas av motsvarande skyldigheter enligt 13-20 §§.
8 §
Paragrafen, som är ny, innehåller bestämmelser om särskild säkerhetsskyddsbedömning och lämplighetsprövning. Paragrafen motsvarar delvis hittills gällande 2 kap. 6 § säkerhetsskyddsförordningen. Övervägandena finns i avsnitt 7.2.
Av första stycket framgår att en verksamhetsutövare ska göra en särskild säkerhetsskyddsbedömning innan den inleder ett sådant förfarande som avses i 1 § första stycket. Det innebär att verksamhetsutövaren ska identifiera vilka säkerhetsskyddsklassificerade uppgifter eller vilken säkerhetskänslig verksamhet i övrigt som den andra aktören kan få tillgång till och som kräver säkerhetsskydd. Den särskilda säkerhetsskyddsbedömningen ska utgöra ett underlag för den lämplighetsprövning som ska göras och som regleras i andra stycket.
Enligt andra stycket ska verksamhetsutövaren, med utgångspunkt i den särskilda säkerhetsskyddsbedömningen och övriga omständigheter, pröva om det planerade förfarandet är lämpligt från säkerhetsskyddssynpunkt. Verksamhetsutövaren ska därvid bl.a. beakta behovet av säkerhetsskydd och om det är möjligt att genom ett säkerhetsskyddsavtal uppnå ett tillräckligt säkerhetsskydd. Det kan finnas förfaranden som inte är lämpliga oavsett vilka säkerhetsskyddsåtgärder som vidtas, t.ex. på grund av att de involverar uppgifter som är så känsliga att de aldrig bör anförtros utomstående. Ett förfarande kan också vara olämpligt för att motparten finns i ett land där det saknas möjligheter till en ändamålsenlig säkerhetsprövning av motpartens personal och av personalen hos eventuella underleverantörer. Vidare kan svårigheter att bedöma om motparten har illojala syften med förfarandet, t.ex. mot bakgrund av ägarförhållandena hos motparten, medföra att förfarandet är olämpligt.
Lämplighetsprövningen ska baseras på säkerhetsskyddsanalysen och den särskilda säkerhetsskyddsbedömningen samt sådan information om exempelvis hotbilder och beroenden mellan verksamheter som verksamhetsutövaren skaffat sig eller fått från tillsynsmyndigheten.
Både den särskilda säkerhetsskyddsbedömningen och lämplighetsprövningen ska avse samtliga moment i det planerade förfarandet. Om det t.ex. är fråga om offentlig upphandling kan säkerhetsskyddsklassificerade uppgifter exponeras under såväl upphandlingsprocessen som efter det att affärsavtalet ingåtts. Verksamhetsutövaren behöver då alltså inkludera båda dessa moment i den särskilda säkerhetsskyddsbedömningen och lämplighetsprövningen.
Av tredje stycket framgår att den särskilda säkerhetsskyddsbedömningen och lämplighetsprövningen ska dokumenteras.
I fjärde stycket klargörs att verksamhetsutövaren inte får inleda det planerade förfarandet om lämplighetsprövningen enligt andra stycket leder till bedömningen att det är olämpligt från säkerhetsskyddssynpunkt.
9 §
Paragrafen, som är ny, innehåller bestämmelser om samråd. Paragrafen motsvarar delvis hittills gällande 2 kap. 6 § säkerhetsskyddsförordningen. Övervägandena finns i avsnitt 7.3.
Enligt första stycket ska verksamhetsutövaren, om lämplighetsprövningen enligt 8 § leder till bedömningen att det planerade förfarandet inte är olämpligt från säkerhetsskyddssynpunkt, i vissa fall samråda med tillsynsmyndigheten.
Av punkt 1 framgår att en skyldighet att samråda inträder om förfarandet innebär att den andra aktören kan få tillgång till säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen hemlig eller högre. Med "den andra aktören" avses detsamma som "annan aktör" i 1 § (se författningskommentaren till den paragrafen).
Av punkt 2 framgår att samrådsskyldighet också inträder om förfarandet kan ge den andra aktören tillgång till annan säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet som de säkerhetsskyddsklassificerade uppgifter som avses i första punkten. Det innebär att tillgången till verksamheten måste kunna medföra allvarlig skada för Sveriges säkerhet för att andra punkten ska vara tillämplig. Bestämmelsen omfattar bl.a. en situation då den andra aktören kan få tillgång till ett informationssystem och åtkomst till systemet kan medföra allvarlig skada för Sveriges säkerhet, t.ex. genom att systemet görs otillgängligt eller skadas. Den kan även omfatta situationer då en annan aktör ska utföra arbete vid en säkerhetskänslig verksamhet eller hyra en lokal i ett område där det bedrivs säkerhetskänslig verksamhet och då kan få tillgång till en säkerhetskänslig anläggning, byggnad eller utrustning.
Verksamhetsutövaren ska ta initiativ till samråd efter det att den särskilda säkerhetsskyddsbedömningen och lämplighetsprövningen har genomförts men innan det planerade förfarandet inleds. Det är dock viktigt, särskilt i fråga om offentliga upphandlingar, att verksamhetsutövaren inte endast fokuserar på det enskilda moment som kräver samråd utan att den ser det planerade förfarandet i dess helhet. Även om leverantören skulle få tillgång till säkerhetsskyddsklassificerade uppgifter först efter att den offentliga upphandlingen har genomförts, finns det i regel anledning att inleda samrådet innan upphandlingen har påbörjats. Detta eftersom verksamhetsutövaren kan drabbas av stora negativa konsekvenser om det under samrådet visar sig att t.ex. ytterligare säkerhetsskyddsåtgärder är nödvändiga som gör att verksamhetsutövaren måste ställa nya krav på leverantören och frångå det tidigare förfrågningsunderlaget.
En naturlig utgångspunkt är att verksamhetsutövaren inleder samrådet genom att ge in dokumentationen av den särskilda säkerhetsskyddsbedömningen och lämplighetsprövningen samt eventuellt utkast till säkerhetsskyddsavtal till tillsynsmyndigheten. Vilket ytterligare underlag som kan vara nödvändigt att ge in kan variera från fall till fall. När det är fråga om offentlig upphandling bör även upphandlingsdokument med bilagor ges in. Om det inte är fråga om en upphandling bör en beskrivning av det planerade förfarandet ges in, liksom eventuell dokumentation avseende förfarandet. I många fall kan verksamhetsutövaren även behöva ge tillsynsmyndigheten tillgång till relevanta delar av sin säkerhetsskyddsanalys.
Samrådet kan bl.a. omfatta frågan om förfarandet bör begränsas på något sätt för att inte vara olämpligt. Tillsynsmyndighetens prövning bör också innefatta en bedömning av vad ett förfarande kan innebära på längre sikt. Ett exempel på en fråga som kan behöva analyseras är hur omvärldsförändringar kan påverka lämpligheten i att en extern aktör har tillgång till säkerhetskänslig verksamhet. Hur omfattande samrådet behöver vara får avgöras med hänsyn till omständigheterna i det enskilda fallet.
Enligt andra stycket får tillsynsmyndigheten förelägga verksamhetsutövaren att vidta åtgärder för att fullgöra sina skyldigheter enligt lagen och föreskrifter som har meddelats i anslutning till den. Ett föreläggande kan innehålla anvisningar om vad verksamhetsutövaren behöver förbättra i fråga om säkerhetsskyddsåtgärder. Föreläggandet kan också innebära att verksamhetsutövaren vid en senare tidpunkt under samrådet ska återrapportera till tillsynsmyndigheten hur olika åtgärder har utförts.
Om tillsynsmyndigheten bedömer att syftet med samrådet har uppfyllts och att verksamhetsutövaren kan gå vidare med det planerade förfarandet bör myndigheten fatta beslut om att avsluta samrådet utan vidare åtgärd. I vilka fall tillsynsmyndigheten får besluta om förbud mot att inleda det planerade förfarandet regleras i 11§.
Utgångspunkten är att samrådet ska ha avslutats innan det planerade förfarandet inleds. Det innebär bl.a. att en offentlig upphandling som utgångspunkt får påbörjas först när samrådet har genomförts och under förutsättning att tillsynsmyndigheten inte har fattat beslut om förbud enligt 11 §. Om tillsynsmyndigheten bedömer det som nödvändigt bör den dock kunna ge klartecken till att en upphandlingsprocess påbörjas och att samrådet ska pågå fortlöpande under upphandlingsprocessen.
10 §
Paragrafen, som är ny, innehåller bestämmelser om när tillsynsmyndigheten får inleda ett samråd. Övervägandena finns i avsnitt 7.3.
Enligt paragrafen får tillsynsmyndigheten inleda ett samråd om verksamhetsutövaren underlåter att göra det trots att samrådsskyldighet föreligger. Utgångspunkten är att verksamhetsutövaren ska ta initiativ till samrådet när det föreligger en samrådsskyldighet enligt 9 §. Det kan dock inträffa att tillsynsmyndigheten får kännedom om att någon avser att genomföra ett samrådspliktigt förfarande och att något samråd inte har inletts av verksamhetsutövaren. I en sådan situation kan tillsynsmyndigheten med stöd av bestämmelsen själv inleda ett samråd. Det som föreskrivs i 9 § andra stycket om förelägganden och 11 § om förbud gäller även i fråga om ett sådant samråd.
11 §
Paragrafen, som är ny, innehåller bestämmelser om när tillsynsmyndigheten får besluta att ett förfarande inte får genomföras (förbud). Övervägandena finns i avsnitt 7.3.
Av paragrafen framgår att tillsynsmyndigheten får besluta att det planerade förfarandet inte får genomföras om ett föreläggande inte följs eller om förfarandet är olämpligt från säkerhetsskyddssynpunkt även om ytterligare åtgärder vidtas.
Av 5 § förvaltningslagen (2017:900) följer att beslut om förbud får fattas bara om det är proportionerligt. En proportionalitetsbedömning ska göras i varje enskilt fall. Bedömningen ska bl.a. avse om det önskade resultatet kan uppnås på något annat och mindre ingripande sätt och om det avsedda resultatet står i rimligt förhållande till de olägenheter som kan antas uppstå för den som åtgärden riktas mot. Det kan exempelvis bli fråga om en avvägning mellan den potentiella skadan för Sveriges säkerhet och de ekonomiska skadorna för verksamhetsutövaren och den andra aktören. Av kravet på proportionalitet följer att möjligheten att förbjuda verksamhetsutövaren att genomföra ett visst förfarande är en sista utväg och ska användas restriktivt.
Så långt det är möjligt bör tillsynsmyndigheten sträva efter att eventuella problem ska hanteras genom samrådet och förelägganden. Det kan dock finnas fall där en verksamhetsutövare, trots förelägganden, inte vidtar de åtgärder som behövs för att förfarandet ska vara lämpligt från säkerhetsskyddssynpunkt. Det kan också finnas förfaranden som är olämpliga oavsett vilka säkerhetsskyddsåtgärder som vidtas. Ett exempel kan vara att det inte är möjligt att genomföra säkerhetsprövning av personalen hos den tänkta motparten. Ett annat kan vara att det i verksamheten förekommer säkerhetsskyddsklassificerade uppgifter som är så känsliga att det inte under några förhållanden är lämpligt att de förvaras utanför verksamhetsutövarens lokaler. Det kan vidare vara så att den tänkta motparten inte uppfyller de krav på tillförlitlighet som måste ställas när det är fråga om säkerhetskänslig verksamhet, exempelvis på grund av dennes ägarförhållanden.
12 §
Paragrafen, som är ny, innehåller bestämmelser om förelägganden som kan riktas mot en verksamhetsutövare eller dennes motpart under ett pågående förfarande som kräver säkerhetsskyddsavtal. Övervägandena finns i avsnitt 7.4.
Enligt paragrafen får tillsynsmyndigheten utfärda förelägganden mot en verksamhetsutövare och den andra aktören i ett pågående förfarande som omfattas av ett krav på säkerhetsskyddsavtal om förfarandet är olämpligt från säkerhetsskyddssynpunkt. Det kan t.ex. handla om en pågående utkontraktering eller ett annat pågående samarbete där ändrade förhållanden medfört att förfarandet helt eller delvis blivit olämpligt från säkerhetsskyddssynpunkt. Föreläggandet ska gå ut på att verksamhetsutövaren eller motparten åläggs att vidta de åtgärder som är nödvändiga för att förhindra skada för Sveriges säkerhet. Bestämmelsen innehåller inte några särskilda begränsningar om vad ett föreläggande ska avse, utan endast att syftet ska vara att förhindra skada för Sveriges säkerhet. Det kan alltså handla om allt från krav på mindre ingripande åtgärder, såsom t.ex. att verksamhetsutövaren ska återta kontrollen av vissa uppgifter, till krav på att avsluta ett visst samarbete helt eller delvis.
Det ställs inget uttryckligt krav i fråga om hur allvarlig den potentiella skadan för Sveriges säkerhet ska vara för att tillsynsmyndigheten ska få besluta förelägganden enligt paragrafen. Möjligheten att meddela förelägganden och valet av förelagd åtgärd begränsas dock av kravet på proportionalitet, som bl.a. kommer till uttryck i 5 § förvaltningslagen (se kommentaren till 11 § om innebörden av kravet). Den potentiella skadan för Sveriges säkerhet är ett viktigt kriterium vid proportionalitetsbedömningen. Ju mer ingripande åtgärd det handlar om, desto högre krav måste ställas i fråga om skadans allvar. En annan viktig faktor att beakta är om ingripandet faktiskt kommer att kunna leda till att skador förhindras.
Förelägganden enligt paragrafen får förenas med vite. I ett sådant fall är lagen (1985:206) om viten tillämplig.
13 §
Paragrafen, som är ny, innehåller bestämmelser om särskild säkerhetsskyddsbedömning, lämplighetsprövning och samråd inför vissa överlåtelser. Den motsvarar hittills gällande 2 kap. 7 § (prop. 2020/21:13 s. 39 f.). Övervägandena finns i avsnitt 13.
14 §
Paragrafen, som är ny, innehåller bestämmelser om särskild säkerhetsskyddsbedömning och lämplighetsprövning. Den motsvarar hittills gällande 2 kap. 8 § (prop. 2020/21:13 s. 41). Övervägandena finns i avsnitt 13.
15 §
Paragrafen, som är ny, innehåller bestämmelser om samråd. Den motsvarar hittills gällande 2 kap. 9 § (prop. 2020/21:13 s. 41 f.) med den ändringen att samråd ska ske med tillsynsmyndigheten, i stället för samrådsmyndigheten, och att tillsynsmyndigheten får besluta om åtgärdsförelägganden. Övervägandena finns i avsnitt 13.
16 §
Paragrafen, som är ny, innehåller bestämmelser om när tillsynsmyndigheten får inleda ett samråd. Den motsvarar hittills gällande 2 kap. 10 § (prop. 2020/21:13 s. 42) med den ändringen att det är tillsynsmyndigheten, i stället för samrådsmyndigheten, som får inleda ett samråd. Övervägandena finns i avsnitt 13.
17 §
Paragrafen, som är ny, innehåller bestämmelser om när tillsynsmyndigheten får besluta att en överlåtelse inte får genomföras (förbud). Den motsvarar hittills gällande 2 kap. 11 § (prop. 2020/21:13 s. 42 f.) med den ändringen att det är tillsynsmyndigheten, i stället för samrådsmyndigheten, som får fatta beslut om förbud. Övervägandena finns i avsnitt 13.
18 §
Paragrafen, som är ny, innehåller bestämmelser om ogiltighet och förbud i efterhand. Den motsvarar hittills gällande 2 kap. 12 § (prop. 2020/21:13 s. 43 f.) med den ändringen att det är tillsynsmyndigheten, i stället för samrådsmyndigheten, som får fatta beslut om förbud i efterhand. Övervägandena finns i avsnitt 13.
19 §
Paragrafen, som är ny, innehåller bestämmelser om förelägganden i samband med en ogiltig överlåtelse. Den motsvarar hittills gällande 2 kap. 13 § (prop. 2020/21:13 s. 44) med den ändringen att det är tillsynsmyndigheten, i stället för samrådsmyndigheten, som får besluta om förlägganden. Övervägandena finns i avsnitt 13.
20 §
Paragrafen, som är ny, innehåller bestämmelser om upplysningsskyldighet i samband med överlåtelse. Den motsvarar hittills gällande 2 kap. 14 § (prop. 2020/21:13 s. 44). Övervägandena finns i avsnitt 13.
6 kap.
1 §
Paragrafen, som är ny, innehåller bl.a. bestämmelser om vad tillsynsmyndighetens uppgift är och vilka aktörer som kan bli föremål för tillsyn. Den motsvarar delvis hittills gällande 5 kap. 4 § (prop. 2017/18:89 s. 156). Övervägandena finns i avsnitt 8.1.
Av första stycket framgår att regeringen bestämmer vilken eller vilka myndigheter som ska vara tillsynsmyndighet.
I andra stycket förtydligas att tillsynsmyndighetens uppgift är att utöva tillsyn över att verksamhetsutövare följer lagen och de föreskrifter som har meddelats i anslutning till den. Det anges vidare att tillsynsmyndigheten får utöva tillsyn hos den som har ingått säkerhetsskyddsavtal med en verksamhetsutövare. Bestämmelsen motsvarar hittills gällande 5 kap. 4 § andra stycket men anpassas till att omfatta alla de aktörer - inte enbart leverantörer - som verksamhetsutövare enligt 4 kap. 1 § kan ingå säkerhetsskyddsavtal med. I förhållande till den hittills gällande regleringen innehåller bestämmelsen också ett förtydligande av vad syftet med tillsynen hos dessa aktörer ska vara, nämligen att kontrollera att verksamhetsutövare uppfyller sina skyldigheter enligt säkerhetsskyddslagstiftningen.
2 §
Paragrafen, som är ny, reglerar tillsynsobjekts skyldighet att tillhandahålla tillsynsmyndigheten information. Övervägandena finns i avsnitt 8.3.
Informationsskyldigheten gäller för den som står under tillsyn. Som framgår av 1 § kan både verksamhetsutövare och den som har ingått säkerhetsskyddsavtal med en verksamhetsutövare vara föremål för tillsyn.
Skyldigheten gäller sådan information som behövs för tillsynen. Det kan t.ex. vara fråga om säkerhetsskyddsanalyser, särskilda säkerhetsskyddsbedömningar och lämplighetsprövningar, ingångna säkerhetsskyddsavtal och åtgärdsplaner. Det kan också handla om information som behövs för en bedömning av säkerheten i nätverk och informationssystem, inbegripet dokumenterade riktlinjer och rutiner, som används i den säkerhetskänsliga verksamheten.
3 §
Paragrafen, som är ny, reglerar tillsynsmyndighetens rätt att få tillträde till områden, lokaler och andra utrymmen. Övervägandena finns i avsnitt 8.3.
För att tillsynsmyndigheten ska ha rätt till tillträde krävs det att utrymmet används i verksamhet som omfattas av tillsyn enligt 1 § och att tillträdet behövs för tillsynen. Tillträdesrätten omfattar inte bostäder. Rätten motsvaras av en skyldighet för den som står under tillsyn att tillhandahålla det begärda tillträdet. Det intrång som tillträdet innebär måste stå i proportion till behovet av tillsynsåtgärden. Tillträdesrätten ger inte tillsynsmyndigheten rätt att bereda sig tillträde med tvång. Om den som står under tillsyn inte samarbetar kan dock tillsynsmyndigheten förelägga denne att ge tillträde vid äventyr av vite och i sista hand begära handräckning av Kronofogdemyndigheten, se 4 och 5 §§.
4 §
Paragrafen, som är ny, reglerar tillsynsmyndighetens möjlighet att besluta förelägganden om information och tillträde. Övervägandena finns i avsnitt 8.3.
Enligt paragrafen får tillsynsmyndigheten förelägga den som står under tillsyn att tillhandahålla information och ge tillträde enligt 2 och 3 §§. Som utgångspunkt ska dock tillsynsmyndigheten i första hand försöka få till stånd frivillig rättelse. Ett beslut om föreläggande får förenas med vite. När vite föreläggs är lagen om viten tillämplig.
5 §
Paragrafen, som är ny, reglerar tillsynsmyndighetens möjlighet att begära handräckning av Kronofogdemyndigheten för att genomföra tillsynsåtgärder. Övervägandena finns i avsnitt 8.3.
Av paragrafen följer att tillsynsmyndigheten får begära handräckning av Kronofogdemyndigheten för att genomföra de åtgärder som avses i 2 och 3 §§. Vid sådan handräckning gäller bestämmelserna i utsökningsbalken om verkställighet av förpliktelser som inte avser betalningsskyldighet, avhysning eller avlägsnande. Det innebär att bestämmelserna i 16 kap. 11-
12 a §§ utsökningsbalken ska tillämpas, men också fler bestämmelser i samma balk, som t.ex. 2 kap. 17 §, där det bl.a. anges vilka befogenheter en förrättningsman har.
6 §
Paragrafen, som är ny, reglerar tillsynsmyndighetens möjlighet att besluta om åtgärdsförelägganden i samband med tillsyn. Övervägandena finns i avsnitt 9.2.1.
Enligt paragrafen får tillsynsmyndigheten besluta de förelägganden mot verksamhetsutövare som behövs för att de ska uppfylla sina skyldigheter enligt lagen och föreskrifter som har meddelats i anslutning till den. Ett föreläggande får förenas med vite. När vite föreläggs är lagen om viten tillämplig.
7 kap.
1 §
Paragrafen, som är ny, reglerar uttömmande vid vilka överträdelser en sanktionsavgift får tas ut av en verksamhetsutövare. Övervägandena finns i avsnitt 9.3.1.
Det är inte obligatoriskt att ta ut sanktionsavgift när en överträdelse har konstaterats, utan det är tillsynsmyndigheten som avgör om en avgift ska tas ut i det enskilda fallet. De omständigheter som särskilt ska beaktas vid den bedömningen anges i 3 §. Även statliga myndigheter, kommuner och regioner kan påföras sanktionsavgift.
Innan tillsynsmyndigheten tar ut en sanktionsavgift ska verksamhetsutövaren ges tillfälle att yttra sig. Detta följer av förvaltningslagen.
2 §
Paragrafen, som är ny, reglerar uttömmande vid vilka överträdelser en sanktionsavgift får tas ut av aktie- eller andelsägare. Övervägandena finns i avsnitt 9.3.1.
Det är inte obligatoriskt att ta ut sanktionsavgift när en överträdelse har konstaterats, utan det är tillsynsmyndigheten som avgör om avgift ska tas ut i det enskilda fallet. De omständigheter som särskilt ska beaktas vid den bedömningen anges i 3 §.
Innan tillsynsmyndigheten tar ut en sanktionsavgift ska aktie- eller andelsägaren ges tillfälle att yttra sig. Detta följer av förvaltningslagen.
3 §
Paragrafen, som är ny, reglerar vilka omständigheter som särskilt ska beaktas vid bedömningen av om någon sanktionsavgift ska tas ut. Övervägandena finns i avsnitt 9.3.4.
Enligt punkt 1 ska tillsynsmyndigheten särskilt beakta vilken skada eller sårbarhet för Sveriges säkerhet som uppstått till följd av överträdelsen. Det innebär att ju större skada eller sårbarhet som uppstått, desto mindre blir utrymmet att avstå från att ta ut avgift. Det kan vara lika allvarligt att det uppkommit en sårbarhet som kan få allvarliga konsekvenser som att det uppkommit en skada.
Enligt punkt 2 ska det särskilt beaktas om överträdelsen varit uppsåtlig eller berott på oaktsamhet. Bedömningen bör inte bara inbegripa handlande av någon i ledande ställning hos verksamhetsutövaren som lett till överträdelsen, utan även av andra som kan konstateras handla på verksamhetsutövarens vägnar, såsom en arbetstagare eller uppdragstagare.
Om en överträdelse varit avsiktlig bör det i princip vara uteslutet att avstå från att ta ut en sanktionsavgift. Tillvägagångssättet och om det varit fråga om systematiskt handlande har också betydelse. Det finns skäl att se särskilt allvarligt på överträdelser som har en tydlig karaktär av nonchalans mot regelverket eller som innebär att förfaranden som tidigare lett till påpekanden från tillsynsmyndigheten upprepas.
Om en överträdelse berott på oaktsamhet är det graden av oaktsamhet som påverkar vilket utrymme som finns att avstå från att ta ut en sanktionsavgift. Ju ringare oaktsamheten är, desto starkare skäl kan det finnas att avstå från att ta ut avgift. Om en verksamhetsutövare har gjort rimliga ansträngningar för att agera korrekt men felbedömt rättsläget är utrymmet att avstå från att ta ut en sanktionsavgift också större. Det kan dock inte uteslutas att en sanktionsavgift i vissa fall bör tas ut även om omständigheterna är förmildrande. Det kan vara fallet t.ex. om överträdelsen fått eller riskerat att få allvarliga konsekvenser för Sveriges säkerhet.
Enligt punkt 3 ska tillsynsmyndigheten ta särskild hänsyn till vad verksamhetsutövaren eller aktie- eller andelsägaren har gjort för att överträdelsen ska upphöra och för att begränsa dess verkningar. Det innebär att den omständigheten att verksamhetsutövaren eller aktie- eller andelsägaren snabbt har gjort rättelse eller vidtagit åtgärder för att begränsa en eventuell skada kan tala för att en sanktionsavgift inte ska tas ut. Detsamma gäller om denne aktivt har samarbetat med tillsynsmyndigheten. I motsatt riktning talar att en aktör har vidtagit åtgärder först efter påtryckningar från tillsynsmyndigheten eller har vägrat samarbeta med tillsynsmyndigheten.
Av punkt 4 framgår att den omständigheten att verksamhetsutövaren eller aktie- eller andelsägaren tidigare har begått en överträdelse kan anses vara försvårande. Det gäller särskilt om överträdelserna är likartade och ligger nära i tiden.
Uppräkningen i paragrafen är inte uttömmande, utan det kan finnas andra relevanta omständigheter som bör beaktas. Utöver de i paragrafen angivna omständigheterna kan hänsyn t.ex. behöva tas till hur länge överträdelsen har pågått. Det kan också vara relevant att beakta den överträdda bestämmelsens betydelse för tillsynsområdet.
4 §
Paragrafen, som är ny, fastställer minimi- och maximibelopp för sanktionsavgift. Övervägandena finns i avsnitt 9.3.3.
Av paragrafen framgår att det lägsta belopp som en sanktionsavgift ska bestämmas till är 25 000 kronor. Om det finns skäl att sätta ned avgiften med stöd av 6 § kan sanktionsavgiften dock bestämmas till ett ännu lägre belopp. Vidare framgår att det högsta belopp som en sanktionsavgift får bestämmas till skiljer sig åt beroende på vilken typ av aktör det är fråga om. Sanktionsavgiften för en statlig myndighet, kommun eller region får bestämmas till högst 10 miljoner kronor och för andra aktörer till högst 50 miljoner kronor.
Hur avgiftens storlek närmare ska bestämmas regleras i 5 §.
5 §
Paragrafen, som är ny, reglerar vilka omständigheter som särskilt ska beaktas när storleken på en sanktionsavgift bestäms. Övervägandena finns i avsnitt 9.3.4.
Av paragrafen framgår inledningsvis att de omständigheter som tillsynsmyndigheten enligt 3 § ska ta särskild hänsyn till vid bedömningen av om en sanktionsavgift över huvud taget ska tas ut, även ska beaktas när storleken på avgiften bestäms. Det innebär bl.a. att om en överträdelse är avsiktlig talar det för en högre avgift än i andra fall. Om överträdelsen har sin grund i oaktsamhet talar det däremot för en lägre sanktionsavgift, såvida inte oaktsamheten är grov. Det innebär också att ju större skada eller sårbarhet för Sveriges säkerhet som överträdelsen inneburit, desto mindre blir utrymmet att bestämma avgiften till ett lågt belopp. Vidare kan den omständigheten att den avgiftsskyldige snabbt har vidtagit rättelse eller samarbetat med tillsynsmyndigheten tala för en lägre avgift. Om den avgiftsskyldige tidigare har begått en överträdelse kan det motivera ett högre belopp, särskilt om överträdelserna är likartade och ligger nära i tiden.
Av paragrafen framgår också att tillsynsmyndigheten, utöver de omständigheter som anges i 3 §, särskilt ska beakta den vinst som den avgiftsskyldige gjort till följd av överträdelsen. Med uttrycket "vinst" avses den ekonomiska fördel som erhållits, dvs. såväl de intäkter minskat med kostnader som överträdelsen inneburit som de förluster som undvikits till följd av överträdelsen.
Utöver de omständigheter som tillsynsmyndigheten ska ta särskild hänsyn till enligt paragrafen kan det finnas andra relevanta förhållanden som bör beaktas. Exempelvis kan det i vissa fall vara relevant att beakta hur länge en överträdelse pågått eller den avgiftsskyldiges finansiella ställning.
Om tillsynsmyndigheten ska ta ut sanktionsavgift för flera överträdelser, bör det totala beloppet i sanktionsavgift bestämmas med utgångspunkt i de samlade överträdelsernas allvar.
6 §
Paragrafen, som är ny, innehåller en bestämmelse om eftergift av sanktionsavgift. Övervägandena finns i avsnitt 9.3.4.
Enligt paragrafen får tillsynsmyndigheten sätta ned sanktionsavgiften, helt eller delvis, om överträdelsen är ringa eller ursäktlig eller om det annars med hänsyn till omständigheterna skulle vara oskäligt att ta ut sanktionsavgift. Det kan exempelvis vara oskäligt att ta ut en avgift om den avgiftsskyldige redan har drabbats av en sanktionsavgift enligt något annat regelverk för i princip samma brist. Det är däremot inte oskäligt att ta ut en sanktionsavgift när överträdelsen berott på att verksamhetsutövaren inte känt till reglerna eller överträdelsen berott på dålig ekonomi, tidsbrist eller bristande rutiner. Att överträdelsen berott på omständigheter utanför den avgiftsskyldiges kontroll kan i undantagsfall göra överträdelsen ursäktlig och därför utgöra grund för eftergift.
7 §
Paragrafen, som är ny, innehåller bestämmelser som syftar till att förhindra att samma överträdelse blir föremål för dubbla prövningar och sanktioner. Övervägandena finns i avsnitt 9.3.5.
Paragrafen innebär att en tillsynsmyndighet är förhindrad att besluta om sanktionsavgift om den har meddelat ett vitesföreläggande för samma överträdelse och en domstolsprocess har inletts om utdömande av vitet.
8 §
Paragrafen, som är ny, reglerar bl.a. den bortre tidsgränsen för när en sanktionsavgift får beslutas. Övervägandena finns i avsnitt 9.3.6.
Första stycket innebär att om kommunikation enligt förvaltningslagen med den som avgiften ska tas ut av inte har skett inom två år från överträdelsen, får en sanktionsavgift inte tas ut. Bevisbördan för att kommunikation har skett ligger på tillsynsmyndigheten.
Av andra stycket framgår att ett beslut om sanktionsavgift ska delges den avgiftsskyldige. Det innebär att myndigheten ska använda sig av de metoder för delgivning som regleras i delgivningslagen (2010:1932) för att säkerställa att den som beslutet gäller får del av underrättelsen.
9 och 10 §§
Paragraferna, som är nya, innehåller bestämmelser om betalning och indrivning av sanktionsavgifter. Övervägandena finns i avsnitt 9.3.6.
8 kap.
3 §
Paragrafen innehåller en sekretessbrytande bestämmelse. Paragrafen motsvarar hittills gällande 5 kap. 3 § (prop. 2017/18:89 s.155 f.). Övervägandena finns i avsnitt 13.
Ändringarna är en följd av att 4 kap. betecknas om till 5 kap. och innebär inte någon ändring i sak.
4 §
Paragrafen, som är ny, innehåller bestämmelser om överklagande och motsvarar delvis hittills gällande 2 kap. 16 § (prop. 2020/21:13 s. 44). Övervägandena finns i avsnitt 10.
Av första stycket framgår att beslut om föreläggande under samråd eller vid tillsyn samt om sanktionsavgift får överklagas till Förvaltningsrätten i Stockholm och att tillsynsmyndigheten är motpart när beslut överklagas. Prövningstillstånd krävs vid överklagande till kammarrätten.
Enligt andra stycket får tillsynsmyndighetens beslut om förbud och förelägganden som avser en ogiltig överlåtelse eller ett pågående förfarande överklagas till regeringen.
Av tredje stycket framgår att andra beslut enligt lagen inte får överklagas.
Ikraftträdande- och övergångsbestämmelser
Övervägandena finns i avsnitt 14.
Punkt 1 föreskriver att lagen träder i kraft den 1 december 2021.
Enligt punkt 2 gäller äldre föreskrifter fortfarande för ärenden om samråd som har inletts före ikraftträdandet. Det innebär att ärenden om samråd i samband med överlåtelser och upphandlingar som har inletts före ikraftträdandet handläggs enligt äldre föreskrifter.
Enligt punkt 3 gäller upphävda 2 kap. 6 § för säkerhetsskyddsavtal som har ingåtts före ikraftträdandet. Det innebär att kraven enligt den paragrafen på ett säkerhetsskyddsavtals innehåll och hur det ska följas upp gäller för sådana avtal som har ingåtts före ikraftträdandet.
Enligt punkt 4 får en sanktionsavgift beslutas endast för överträdelser som har skett efter ikraftträdandet.
16.2 Förslaget till lag om ändring i lagen (2014:514) om ansvar för vissa säkerhetsfrågor vid statsministerns tjänstebostäder
4 §
Paragrafen innehåller bestämmelser om samråd inför upphandling till egendom som används som tjänstebostad för statsministern. Övervägandena finns i avsnitt 13.
Ändringen är en följd av att bestämmelserna om krav på säkerhetsskyddsavtal flyttas från 2 kap. 6 § säkerhetsskyddslagen till 4 kap. 1 § samma lag och innebär inte någon ändring i sak.
16.3 Förslaget till lag om ändring i lagen (2019:109) om säkerhetsskydd i riksdagen och dess myndigheter
11 §
Paragrafen innehåller bestämmelser om befogenhet att utfärda säkerhetsintyg och besluta om registerkontroll för personer som deltar i verksamhet vid riksdagen och myndigheter under riksdagen. Övervägandena finns i avsnitt 13.
Ändringarna är en följd av att 4 kap. säkerhetsskyddslagen betecknas om till 5 kap. och innebär inte någon ändring i sak.
Sammanfattning av betänkandet Kompletteringar till den nya säkerhetsskyddslagen (SOU 2018:82)
Utredningens uppdrag
Enligt kommittédirektiven ska utredningen:
- kartlägga behovet av att förebygga att säkerhetsskyddsklassificerade uppgifter eller i övrigt säkerhetskänslig verksamhet utsätts för risker i samband med utkontraktering, upplåtelse och överlåtelse av sådan verksamhet, och föreslå olika förebyggande åtgärder, t.ex. tillståndsprövning,
- föreslå ett system med sanktioner i säkerhetsskyddslagstiftningen,
- föreslå hur en ändamålsenlig tillsyn enligt säkerhetsskyddslagstiftningen ska vara utformad, och
- analysera och föreslå i vilken utsträckning verksamhetsutövare som bedriver säkerhetskänslig verksamhet ska vara skyldiga att ingå säkerhetsskyddsavtal vid överenskommelser med utomstående som berör den säkerhetskänsliga verksamheten.
Utredningens huvudsakliga förslag framgår nedan.
Skyldigheten att ingå säkerhetsskyddsavtal utvidgas
Enligt 2 kap. 6 § säkerhetsskyddslagen ska statliga myndigheter, kommuner och landsting som avser att genomföra en upphandling och ingå ett avtal om varor, tjänster eller byggentreprenader i vissa fall vara skyldiga att ingå ett säkerhetsskyddsavtal med leverantören. I avtalet ska det anges hur kraven på säkerhetsskydd ska tillgodoses. Skyldigheten att ingå säkerhetsskyddsavtal gäller även för enskilda verksamhetsutövare i motsvarande situationer.
Kravet på säkerhetsskyddsavtal omfattar inte alla relevanta situationer där säkerhetsskyddsklassificerade uppgifter eller i övrigt säkerhetskänslig verksamhet kan exponeras för utomstående. Ett exempel på detta kan vara olika former av samarbeten och samverkan som inte handlar om anskaffning av varor, tjänster eller byggentreprenader. Ett annat exempel kan vara situationer där det är leverantörens och inte beställarens skyddsvärden som behöver skyddas. Det finns också situationer där det är oklart om det gäller krav på säkerhetsskyddsavtal. Avsaknaden av krav på säkerhetsskyddsavtal i dessa fall ökar sannolikheten för att motparten inte vidtar de säkerhetsskyddsåtgärder som behövs, med risk för skada på Sveriges säkerhet.
Skyldigheten att ingå säkerhetsskyddsavtal bör därför utvidgas på så sätt att den också ska gälla för andra förfaranden än upphandlingar och andra anskaffningar. Den utvidgade skyldigheten innebär att den som bedriver säkerhetskänslig verksamhet (verksamhetsutövaren) ska ingå ett säkerhetsskyddsavtal så snart verksamhetsutövaren avser att genomföra en upphandling, ingå ett avtal eller inleda någon annan form av samverkan eller samarbete med en utomstående part, om förfarandet
4. innebär att den utomstående parten kan få tillgång till säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller
5. i övrigt avser eller kan ge den utomstående parten tillgång till säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet.
Det finns däremot inte något påtagligt behov av att statliga myndigheter som samverkar eller samarbetar om något annat än en anskaffning ska vara skyldiga att ingå säkerhetsskyddsavtal och att en sådan skyldighet dessutom skulle ha nackdelar. Skyldigheten att ingå säkerhetsskyddsavtal föreslås därför inte gälla samarbeten och samverkan mellan två eller flera statliga myndigheter som avser något annat än en anskaffning av varor, tjänster och byggentreprenader.
Det bör vidare införas ett bemyndigande som gör att regeringen kan föreskriva om undantag från skyldigheten att ingå säkerhetsskyddsavtal, t.ex. när det gäller anskaffning mellan vissa myndigheter, och besluta om undantag i enskilda fall.
Förebyggande åtgärder i samband med utkontraktering, upplåtelse och vissa andra förfaranden
Utvecklingsbehovet
Utredningens kartläggning visar att det finns flera brister i säkerhetsskyddsarbetet som bl.a. yttrar sig vid utkontraktering av säkerhetskänslig verksamhet men också vid vissa upplåtelser och andra förfaranden där utomstående involveras i den säkerhetskänsliga verksamheten. Vissa av bristerna gäller säkerhetsskyddet generellt, t.ex. att verksamhetsutövaren inte tillämpar säkerhetsskyddsreglerna eller har bristande kunskap om sina skyddsvärden. Andra brister handlar specifikt om olika förfaranden där utomstående involveras i den säkerhetskänsliga verksamheten, däribland utkontraktering och upplåtelse men också andra förfaranden. Bristerna handlar om att man inte alltid prövar om förfarandet är lämpligt eller att det är svårt att pröva lämpligheten, att säkerhetsskyddsavtal kan vara bristfälliga, att man inte följer upp förfarandet medan det pågår och att det saknas tillräckliga möjligheter för samhället att ingripa mot förfaranden som är olämpliga från säkerhetsskyddssynpunkt.
En bred ansats
Med utgångspunkt i kartläggningen av utvecklingsbehovet föreslår utredningen ett antal förebyggande åtgärder som inte enbart är inriktade på utkontraktering och upplåtelse, utan som kan aktualiseras även vid vissa andra förfaranden med utomstående parter. Utredningen delar upp åtgärderna i steg, som den kallar kontrollstationer.
Kontrollstation 1 - Särskild säkerhetsbedömning och egen lämplighetsprövning
Den första kontrollstationen gäller för den som bedriver säkerhetskänslig verksamhet och som avser att genomföra ett förfarande som kräver säkerhetsskyddsavtal. Innan förfarandet inleds ska verksamhetsutövaren genom en särskild säkerhetsbedömning identifiera vilka säkerhetsskyddsklassificerade uppgifter eller vilken säkerhetskänslig verksamhet i övrigt som den utomstående parten kan få tillgång till och som kräver säkerhetsskydd. Med utgångspunkt i den särskilda säkerhetsbedömningen och övriga omständigheter ska verksamhetsutövaren pröva om det planerade förfarandet är lämpligt från säkerhetsskyddssynpunkt (lämplighetsprövning).
Om lämplighetsprövningen leder till bedömningen att det planerade förfarandet är olämpligt från säkerhetsskyddssynpunkt, får det inte inledas. Den särskilda säkerhetsbedömningen och lämplighetsprövningen ska dokumenteras.
Kontrollstation 2 - Samråd, förelägganden och förbud
Den andra kontrollstationen går bl.a. ut på att verksamhetsutövare som planerar att inleda ett förfarande i vissa fall ska samråda med tillsynsmyndigheten. Samrådsskyldigheten gäller om det planerade förfarandet innebär krav på säkerhetsskyddsavtal, och
1. innebär att den utomstående parten kan få tillgång till eller möjlighet att förvara säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen hemlig eller högre utanför verksamhetsutövarens lokaler,
2. utgör en upplåtelse som kan ge den utomstående parten tillgång till säkerhetskänslig verksamhet i övrigt av motsvarande betydelse för Sveriges säkerhet, eller
3. ger den utomstående parten tillgång till informationssystem utanför verksamhetsutövarens lokaler och åtkomst till systemen kan medföra allvarlig skada för Sveriges säkerhet.
I den andra kontrollstationen ingår även en möjlighet för tillsynsmyndigheten att förelägga verksamhetsutövaren att vidta åtgärder enligt säkerhetsskyddslagen och de föreskrifter som har meddelats i anslutning till lagen. Om ett föreläggande inte följs eller om tillsynsmyndigheten bedömer att det planerade förfarandet är olämpligt från säkerhetsskyddssynpunkt även om ytterligare åtgärder vidtas, får tillsynsmyndigheten besluta att verksamhetsutövaren inte får genom det planerade förfarandet. Ett föreläggande eller förbud får bara beslutas om skälen för åtgärden uppväger den skada eller annan olägenhet som åtgärden medför för allmänna eller enskilda intressen.
Ett föreläggande ska få överklagas till Förvaltningsrätten i Stockholm, varvid tillsynsmyndigheten bör vara motpart. Prövningstillstånd ska krävas vid överklagande till kammarrätten. Ett förbud föreslås få överklagas till regeringen. Enskilda kan begära att regeringens beslut prövas enligt lagen (2006:304) om rättsprövning av vissa regeringsbeslut.
Förslagen bygger på att verksamhetsutövaren själv är skyldig att initiera samrådet. Det kan dock förekomma att en verksamhetsutövare försummar att göra det, antingen medvetet eller av förbiseende.
Kontrollstation 3
Den tredje kontrollstationen är en sorts "nödbroms", som innebär en möjlighet för tillsynsmyndigheten att ingripa mot ett pågående förfarande, t.ex. en pågående utkontraktering eller ett annat pågående samarbete. Om ett sådant pågående förfarande som omfattas av ett krav på säkerhetsskyddsavtal är olämpligt från säkerhetsskyddssynpunkt, får tillsynsmyndigheten förelägga verksamhetsutövaren eller den utomstående parten i förfarandet att vidta de åtgärder som är nödvändiga för att förhindra skada för Sveriges säkerhet. Föreläggandet kan bl.a. innebära ett krav på att hela eller delar av förfarandet ska upphöra. Ett föreläggande får bara beslutas om skälen för åtgärden uppväger den skada eller annan olägenhet som åtgärden medför för allmänna eller enskilda intressen.
Föreläggandet får förenas med vite och får överklagas till regeringen.
Förtydligade krav på uppföljning
Det är av stor vikt att verksamhetsutövare följer upp pågående utkontrakteringar och andra pågående samarbeten och förfaranden där det har ingåtts ett säkerhetsskyddsavtal. Verksamhetsutövaren ska därför både ha rätt och en skyldighet att revidera säkerhetsskyddsavtalet om det krävs på grund av ändrade förhållanden.
Förebyggande åtgärder i samband med överlåtelse av säkerhetskänslig verksamhet och egendom med betydelse för Sveriges säkerhet
Utvecklingsbehovet
Överlåtelser av säkerhetskänslig verksamhet och egendom som har betydelse för Sveriges säkerhet kan medföra sårbarheter för Sveriges säkerhet. Till skillnad från andra förfaranden så som utkontraktering och upplåtelse innebär överlåtelser dessutom att den som tidigare bedrivit verksamheten förlorar möjligheten att påverka hur den säkerhetskänsliga verksamheten och de säkerhetsskyddsklassificerade uppgifterna kommer att användas efter överlåtelsen. Det är problematiskt att det inte finns någon uttrycklig skyldighet för verksamhetsutövaren att pröva lämpligheten av en överlåtelse av hela eller delar av verksamheten eller av egendom i verksamheten som har betydelse för Sveriges säkerhet. Det är även problematiskt att det inte finns några möjligheter för samhället att ingripa mot överlåtelser som är olämpliga från säkerhetsskyddssynpunkt.
Kontrollstation 1 och 2 tillämpas även vid vissa överlåtelser
Utredningen föreslår att kontrollstation 1 och 2 ska gälla även när en verksamhetsutövare som omfattas av säkerhetsskyddslagen avser att överlåta
1. hela eller någon del av den säkerhetskänsliga verksamheten, eller
2. någon egendom i den säkerhetskänsliga verksamheten som har betydelse för Sveriges säkerhet eller för ett för Sverige förpliktande internationellt åtagande om säkerhetsskydd.
Om dessa förutsättningar är uppfyllda ska verksamhetsutövaren genomföra en särskild säkerhetsbedömning och lämplighetsprövning och därefter samråda med tillsynsmyndigheten, som får förelägga överlåtaren att vidta åtgärder enligt säkerhetsskyddslagen och de föreskrifter som har meddelats i anslutning till lagen. Om ett föreläggande inte följs eller om tillsynsmyndigheten bedömer att överlåtelsen är olämplig från säkerhetsskyddssynpunkt även om ytterligare åtgärder vidtas, får tillsynsmyndigheten besluta att överlåtelsen inte får genomföras. En skillnad i förhållande till utkontraktering, upplåtelse och vissa andra förfaranden är att samrådet vid överlåtelse även får avslutas med ett föreläggande som innebär att överlåtelsen endast får genomföras på vissa villkor, vid påföljd att överlåtelsen annars är ogiltig.
Kontrollstation 2 ska gälla även den som avser att överlåta aktier eller andelar i säkerhetskänslig verksamhet. Skälet är bl.a. att det annars blir för lätt att kringgå reglerna. Kraven föreslås dock inte gälla i fråga om den som avser att överlåta aktier i publika aktiebolag.
Även dessa förelägganden ska få överklagas till Förvaltningsrätten i Stockholm, varvid tillsynsmyndigheten bör vara motpart. Förbud ska få överklagas till regeringen.
Liksom när det gäller utkontraktering m.m. är den samrådsskyldige som ska inleda samrådet, men det ska vara tillåtet för tillsynsmyndigheten att initiera samrådet om förutsättningarna för samrådsskyldighet är uppfyllda.
Vissa överlåtelser ska anses ogiltiga
Överlåtelse av säkerhetskänslig verksamhet eller egendom ska vara ogiltig om den har genomförts trots att tillsynsmyndigheten förbjudit överlåtelsen. Samma sak föreslås gälla om samrådet har avslutats med ett föreläggande vid påföljd av ogiltighet och överlåtelsen genomförts i strid med de villkor som ställts upp i föreläggandet.
Om en samrådspliktig överlåtelse har genomförts utan samråd och förutsättningarna för ett förbud enligt kontrollstation 2 är uppfyllda, ska tillsynsmyndigheten ska kunna förbjuda överlåtelsen i efterhand. Även i det fallet ska överlåtelsen ska ogiltig.
Om en överlåtelse är ogiltig ska tillsynsmyndigheten ha en möjlighet att meddela de förelägganden mot överlåtaren och förvärvaren som behövs för att förhindra skada för Sveriges säkerhet, och att förena föreläggandet med vite.
Förelägganden och förbud ska få överklagas till regeringen.
En ändrad anmälningsplikt
Anmälningsplikten vid överlåtelser av säkerhetskänslig verksamhet enligt 2 kap. 9 § första stycket säkerhetsskyddsförordningen ersätts av en annan anmälningsplikt. Den nya anmälningsplikten ska gälla för en verksamhetsutövare som får kännedom om att någon annan planerar att överlåta eller har överlåtit säkerhetskänslig verksamhet eller sådan egendom i verksamheten som har betydelse för Sveriges säkerhet eller för ett för Sverige förpliktande åtagande om säkerhetsskydd. Verksamhetsutövaren ska i sådana fall skyndsamt anmäla förhållandet till tillsynsmyndigheten.
Tvångsåtgärder
Tillsynsmyndigheten ska kunna ansöka om att Stockholm tingsrätt ska besluta om sådana tvångsåtgärder som avses i 15 kap. 1-3 §§ rättegångsbalken, dvs. bland annat kvarstad, när det gäller beslut om förelägganden och förbud i samband med utkontraktering, upplåtelse, överlåtelse och vissa andra förfaranden Ansökan ska kunna beviljas om tvångsåtgärden behövs för att ändamålet med förbudet eller föreläggandet inte ska motverkas och det är proportionerligt med en sådan tvångsåtgärd. En tvångsåtgärd ska kunna beslutas även om föreläggandet eller förbudet inte fått laga kraft.
Tillsynsmyndigheten åläggs vidare en skyldighet att genast meddela rätten när syftet med en tvångsåtgärd har uppnåtts, eller det av någon annan anledning inte längre finns skäl för åtgärden. Rätten ska omedelbart upphäva åtgärden om det inte längre finns skäl för den och ska ompröva åtgärden med fyra veckors mellanrum. Åtgärden får inte upphävas utan hörande av tillsynsmyndigheten.
En förbättrad tillsyn med utökade befogenheter
Utvecklingsbehovet
Det är varken definierat eller avgränsat vad tillsynen inom säkerhetsskyddet syftar till och avser. Ingen myndighet har en samlad bild över tillsynen. Det saknas vidare reglering om hur tillsynsmyndigheterna ska utbyta hotinformation med Säkerhetspolisen och Försvarsmakten.
Själva tillsynen har vidare hittills bedrivits i alltför begränsad omfattning. Dessutom saknar tillsynsmyndigheterna de befogenheter som krävs för att de ska kunna genomföra en effektiv tillsyn och åstadkomma rättelse. Tillsynskompetensen behöver öka hos många tillsynsmyndigheter och det behöver skapas en överblick över vilka tillsynsobjekt som finns inom respektive tillsynsområde.
Säkerhetspolisen och Försvarsmakten blir samordningsmyndigheter
Med utgångspunkt i utvecklingsbehovet föreslår utredningen att Säkerhetspolisen och Försvarsmakten ska vara samordningsmyndigheter. I denna roll ligger att de ska ansvara för att följa upp, utvärdera och utveckla tillsynsarbetet, i samråd utveckla och tillhandahålla metodstöd för tillsyn, verka för erfarenhetsutbyte och förmedla relevant hotinformation till tillsynsmyndigheterna.
En utvecklad tillsynsstruktur
Utredningen föreslår också en delvis ny tillsynsstruktur.
Den nya strukturen innebär bl.a. att Säkerhetspolisens och Försvarsmakten i huvudsak ska vara samordningsmyndigheter och endast ha tillsyn över de allra mest skyddsvärda verksamheterna.
Dessutom ska det finnas en tillsynsmyndighet för varje sakområde där det typiskt sett bedrivs säkerhetskänslig verksamhet. Ett antal myndigheter får fortsatt ansvar för att bedriva tillsyn enligt nya säkerhetsskyddslagen, nämligen Försvarsmakten, Säkerhetspolisen, Affärsverket svenska kraftnät, Transportstyrelsen, Post och telestyrelsen samt länsstyrelserna i Stockholms, Skåne, Västra Götalands och Norrbottens län. De övriga länsstyrelserna som är tillsynsmyndigheter i dag ska inte längre ska vara tillsynsmyndigheter. Vidare ska Försvarets materielverk, Finansinspektionen, Statens energimyndighet och Strålsäkerhetsmyndigheten bli nya tillsynsmyndigheter.
Dessutom ska det förtydligas i säkerhetsskyddslagen att tillsynen går ut på kontroll av att säkerhetsskyddslagen och föreskrifter som har meddelats i anslutning till lagen följs.
Säkerhetspolisen och Försvarsmakten kan ta över tillsynsansvaret
I vissa situationer finns det ett behov av att Säkerhetspolisen eller Försvarsmakten utövar tillsyn över ett tillsynsobjekt som ligger under någon annan myndighets ordinarie tillsynsansvar. Ett exempel kan vara när det på grund av förändrade omständigheter är nödvändigt för att snabbt kunna agera och se till att åtgärder vidtas. Ett annat exempel kan vara att det inom ramen för ett samrådsförfarande inför t.ex. en utkontraktering eller överlåtelse av säkerhetskänslig verksamhet uppmärksammas att ärendet inrymmer särskilt känsliga uppgifter som inte bör hanteras av den ordinarie tillsynsmyndigheten. Säkerhetspolisen och Försvarsmakten föreslås därför få möjlighet att ta över tillsynsansvaret över tillsynsobjekt som tillhör en annan tillsynsmyndighets ansvarsområde om det finns särskilda skäl. När det inte längre finns skäl för övertagandet ska tillsynsansvaret enligt förslaget återgå till tillsynsmyndigheten.
Tillsynsmyndigheterna får nya undersökningsbefogenheter
I syfte att förstärka och effektivisera tillsynen ska tillsynsmyndigheterna få nya undersökningsbefogenheter och dessutom en informationsskyldighet för tillsynsobjekten. Tillsynsmyndigheten ges rätt att
- i den omfattning det behövs för tillsynen få tillträde till områden, lokaler och andra utrymmen, dock inte bostäder, som används i verksamhet som omfattas av tillsyn,
- begära handräckning av Kronofogdemyndigheten för att genomföra tillsynsåtgärder, och
- förelägga den som står under tillsyn att tillhandahålla information och att ge tillträde till lokaler och liknande och att förena föreläggandet med vite.
Vidare införs en uttrycklig skyldighet för den som står under tillsyn att på begäran ge tillsynsmyndigheten den information som behövs för tillsynen.
Tillsynsmyndigheten får meddela åtgärdsförelägganden för att åstadkomma rättelse
Tillsynsmyndigheten ska få besluta de förelägganden som behövs för att de som omfattas av tillsyn enligt säkerhetsskyddslagen ska fullgöra skyldigheter enligt lagen eller föreskrifter som har meddelats i anslutning till den (åtgärdsföreläggande) och att sådana förelägganden ska få förenas med vite.
Förelägganden som utfärdas i samband med tillsyn ska kunna överklagas till Förvaltningsrätten i Stockholm, varvid tillsynsmyndigheten bör vara motpart. Prövningstillstånd ska krävas vid överklagande till kammarrätten.
Förbättrad överblick över tillsynsobjekten
Det krävs en samlad bild över den säkerhetskänsliga verksamhet som bedrivs inom respektive ansvarsområde för att tillsynsmyndigheten ska kunna planera och bedriva en effektiv tillsyn. Den som bedriver säkerhetskänslig verksamhet åläggs därför en skyldighet att utan dröjsmål anmäla detta till tillsynsmyndigheten, och att även utan dröjsmål anmäla när den säkerhetskänsliga verksamheten upphör. Tillsynsmyndigheten ska också genom en systematisk och regelbunden kartläggning identifiera de verksamheter inom tillsynsmyndighetens ansvarsområde som omfattas av säkerhetsskyddslagen och hålla en uppdaterad förteckning över dessa.
Ett system med sanktioner
Tillsynsmyndigheten ska kunna ta ut sanktionsavgift vid vissa överträdelser
Utredningen föreslår att tillsynsmyndigheten ska ta ut en sanktionsavgift av verksamhetsutövare som underlåter att uppfylla vissa centrala skyldigheter såsom att anmäla att den säkerhetskänsliga verksamheten bedrivs eller har upphört, vidta säkerhetsskyddsåtgärder, säkerhetsskyddsklassificera uppgifter, kontrollera säkerhetsskyddet i den egna verksamheten eller att fullgöra anmälnings eller rapporteringsplikt, ingå ett säkerhetsskyddsavtal eller som ingår ett säkerhetsskyddsavtal som är bristfälligt i väsentlig mån, eller utse en säkerhetsskyddschef.
Sanktionsavgift ska också tas ut av en verksamhetsutövare som inleder ett förfarande eller genomför en samrådspliktig överlåtelse i strid med ett meddelat förbud eller utan att fullgöra samrådsskyldigheten. Detsamma föreslås gälla en verksamhetsutövare som genomför en överlåtelse i strid med villkor som meddelats i samband med att samrådet avslutades. Även en verksamhetsutövare som lämnar oriktiga uppgifter i samband med tillsyn eller samråd ska kunna åläggas sanktionsavgift. Dessutom ska sanktionsavgift tas ut av en aktie eller andelsägare som genomför en överlåtelse utan att fullgöra sin samrådsskyldighet eller i strid med ett meddelat förbud eller villkor, eller som lämnar oriktiga uppgifter vid samrådet.
Sanktionsavgift ska alltid tas ut
Sanktionsavgifter ska bygga på strikt ansvar och att det ska vara obligatoriskt att ta ut sanktionsavgift när en bestämmelse i säkerhetsskyddslagstiftningen som kan föranleda avgift har överträtts.
Sanktionsavgiftens storlek
Avgiften ska bestämmas till lägst 5 000 kronor och högst 10 miljoner kronor. När sanktionsavgiftens storlek bestäms i det enskilda fallet ska särskild hänsyn ska tas till den skada eller sårbarhet för Sveriges säkerhet som uppstått till följd av överträdelsen, till om den avgiftsskyldige tidigare begått en överträdelse och till de kostnader som den avgiftsskyldige undvikit till följd av överträdelsen. Sanktionsavgiften ska kunna efterges helt eller delvis om överträdelsen är ringa eller ursäktlig eller om det annars med hänsyn till omständigheterna skulle vara oskäligt att ta ut avgiften.
Hinder mot sanktionsavgift
Tillsynsmyndigheten ska dock inte få ingripa med sanktionsavgift om överträdelsen omfattas av ett föreläggande om vite och överträdelsen ligger till grund för en ansökan om utdömande av vitet.
Förfarandet vid beslut om sanktionsavgift
Sanktionsavgift ska inte få beslutas om den som anspråket riktas mot inte har getts tillfälle att yttra sig inom två år efter överträdelsen. Ett beslut om sanktionsavgift ska delges. Sanktionsavgiften ska betalas till tillsynsmyndigheten inom 30 dagar från det att beslutet om att ta ut avgiften har fått laga kraft eller inom den längre tid som anges i beslutet. Om sanktionsavgiften inte betalas inom denna tid, ska tillsynsmyndigheten lämna den obetalda avgiften för indrivning. Vid indrivning ska verkställighet få ske enligt utsökningsbalken. En beslutad sanktionsavgift ska falla bort till den del beslutet om avgiften inte har verkställts inom fem år från det att beslutet fick laga kraft. Sanktionsavgifter ska tillfalla staten. Beslutet ska få överklagas till Förvaltningsrätten i Stockholm, varvid tillsynsmyndigheten är motpart. Prövningstillstånd ska krävas vid överklagande till kammarrätten.
Övriga förslag
Utredningen lämnar även vissa andra förslag, däribland om skärpta krav på uppdatering av säkerhetsskyddsanalys och en förtydligad koppling mellan säkerhetsskyddsavtal och säkerhetsprövning. Mot bakgrund av att säkerhetsskyddsfrågor ofta får en alltför undanskymd roll i verksamheten föreslås också att alla säkerhetskänsliga verksamheter ska ha en säkerhetsskyddschef, om det inte är uppenbart obehövligt. Vidare förtydligas säkerhetsskyddschefens roll genom att det ställs krav på att säkerhetsskyddschefen ska vara direkt underställd den person som är ansvarig för verksamhetsutövarens verksamhet.
Betänkandets lagförslag
Förslag till lag om ändring i säkerhetsskyddslagen (2018:585)
Härigenom föreskrivs beträffande säkerhetsskyddslagen (2018:585)
dels att 2 kap. 6 och 7 §§, 5 kap. 4 § och rubriken närmast 5 kap. 4 § ska ha följande lydelse,
dels att det ska införas tre nya kapitel, 2 a kap., 4 a kap. och 4 b kap. och fem nya paragrafer, 2 kap. 1 a, 6 a-6 c §§ och 5 kap. 6 § av följande lydelse och närmast 5 kap. 6 § en ny rubrik av följande lydelse,
dels att det ska införas nya ikraftträdande- och övergångsbestämmelser av följande lydelse.
Lydelse fr.o.m. den 1 april 2019
Föreslagen lydelse
2 kap.
1 a §
Den som bedriver säkerhetskänslig verksamhet ska utan dröjsmål anmäla detta till den myndighet som enligt 4 a kap. 1 § första stycket utövar tillsyn över verksamheten (tillsynsmyndigheten).
När den säkerhetskänsliga verksamheten upphört ska verksamhetsutövaren utan dröjsmål anmäla detta till tillsynsmyndigheten.
6 §
Statliga myndigheter, kommuner och landsting som avser att genomföra en upphandling och ingå ett avtal om varor, tjänster eller byggentreprenader ska se till att det i ett säkerhetsskyddsavtal anges hur kraven på säkerhetsskydd enligt 1 § ska tillgodoses av leverantören om
1. det i upphandlingen förekommer säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller
2. upphandlingen i övrigt avser eller ger leverantören tillgång till säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet.
Verksamhetsutövaren ska kontrollera att leverantören följer säkerhetsskyddsavtalet.
Det som anges i första och andra styckena gäller även för enskilda verksamhetsutövare som ingår avtal om varor, tjänster och byggentreprenader med utomstående leverantörer.
Den som bedriver säkerhetskänslig verksamhet och som avser att genomföra en upphandling, ingå ett avtal eller inleda någon annan form av samverkan eller samarbete med en utomstående part ska ingå ett säkerhetsskyddsavtal med den utomstående parten om förfarandet
1. innebär att den utomstående parten kan få tillgång till säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller
2. i övrigt avser eller kan ge den utomstående parten tillgång till säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet.
Det som anges i första stycket gäller inte samverkan och samarbeten mellan statliga myndigheter som avser något annat än en anskaffning av en vara, tjänst eller byggentreprenad.
Bestämmelserna om säkerhetsprövning i 3 kap. får tillämpas när ett säkerhetsskyddsavtal har ingåtts.
6 a §
I ett säkerhetsskyddsavtal ska det anges
1. hur kraven på säkerhetsskydd enligt 1 § ska tillgodoses av den utomstående parten, och
2. att verksamhetsutövaren har rätt att revidera säkerhetsskyddsavtalet om det krävs på grund av ändrade förhållanden.
6 b §
Den verksamhetsutövare som avses i 6 § ska kontrollera att den utomstående parten följer säkerhetsskyddsavtalet och se till att säkerhetsskyddsavtalet revideras om det krävs på grund av ändrade förhållanden.
6 c §
Vid en verksamhet som omfattas av lagen ska det finnas en säkerhetsskyddschef, om det inte är uppenbart obehövligt.
Säkerhetsskyddschefen ska leda och samordna säkerhetsskyddsarbetet samt kontrollera att verksamheten bedrivs i enlighet med vad som föreskrivs i denna lag och de föreskrifter som meddelats i anslutning till lagen. Detta ansvar får inte delegeras.
Säkerhetsskyddschefen ska vara direkt underställd den person som är ansvarig för verksamhetsutövarens verksamhet.
7 §
Regeringen eller den myndighet som regeringen bestämmer får meddela ytterligare föreskrifter om säkerhetsskyddsanalys samt anmälnings- och rapporteringsskyldighet enligt 1 §, säkerhetsskyddsåtgärder enligt 2-4 §§, säkerhetsskyddsklassificering enligt 5 § och säkerhetsskyddsavtal enligt 6 §.
Regeringen får meddela föreskrifter om undantag från skyldigheten att ingå säkerhetsskyddsavtal enligt 6 § samt i enskilda fall besluta om undantag från denna skyldighet.
2 a kap. Skyldigheter och befogenheter i samband med vissa förfaranden
Proportionalitet
1 §
Ett föreläggande eller förbud enligt detta kapitel eller en åtgärd enligt 12 § får bara beslutas om skälen för åtgärden uppväger den skada eller annan olägenhet som åtgärden medför för allmänna eller enskilda intressen.
Upphandling och vissa andra förfaranden
2 §
Den som bedriver säkerhetskänslig verksamhet och avser att genomföra ett förfarande som innebär ett krav på säkerhetsskyddsavtal enligt 2 kap. 6 § ska, innan förfarandet inleds,
1. identifiera vilka säkerhetsskyddsklassificerade uppgifter eller vilken säkerhetskänslig verksamhet i övrigt som den utomstående parten kan få tillgång till och som kräver säkerhetsskydd (särskild säkerhetsbedömning), och
2. med utgångspunkt i den särskilda säkerhetsbedömningen och övriga omständigheter pröva om det planerade förfarandet är lämpligt från säkerhetsskyddssynpunkt (lämplighetsprövning).
Om lämplighetsprövningen leder till bedömningen att det planerade förfarandet är olämpligt från säkerhetsskyddssynpunkt, får det inte inledas.
Den särskilda säkerhetsbedömningen och lämplighetsprövningen ska dokumenteras.
3 §
Innan en verksamhetsutövare inleder ett förfarande som innebär krav på säkerhetsskyddsavtal enligt 2 kap. 6 § ska verksamhetsutövaren samråda med den myndighet som enligt 4 a kap. 1 § första stycket utövar tillsyn över verksamhetsutövaren (tillsynsmyndigheten), om det planerade förfarandet
1. innebär att den utomstående parten kan få tillgång till eller möjlighet att förvara säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen hemlig eller högre utanför verksamhetsutövarens lokaler,
2. utgör en upplåtelse som kan ge den utomstående parten tillgång till säkerhetskänslig verksamhet i övrigt av motsvarande betydelse för Sveriges säkerhet, eller
3. ger den utomstående parten tillgång till informationssystem utanför verksamhetsutövarens lokaler och åtkomst till systemen kan medföra allvarlig skada för Sveriges säkerhet.
Tillsynsmyndigheten får förelägga verksamhetsutövaren att vidta åtgärder enligt denna lag och de föreskrifter som har meddelats i anslutning till lagen. Om ett föreläggande inte följs eller om tillsynsmyndigheten bedömer att det planerade förfarandet är olämpligt från säkerhetsskyddssynpunkt även om ytterligare åtgärder vidtas, får tillsynsmyndigheten besluta att verksamhetsutövaren inte får genomföra det planerade förfarandet. Tillsynsmyndigheten får även ansöka om tvångsåtgärder enligt 12 §.
4 §
Om förutsättningarna i 3 § första stycket är uppfyllda får även tillsynsmyndigheten ta initiativ till samråd. Bestämmelserna i andra stycket samma paragraf gäller då.
5 §
Om ett pågående förfarande som omfattas av ett krav på säkerhetsskyddsavtal enligt 2 kap. 6 § är olämpligt från säkerhetsskyddssynpunkt, får tillsynsmyndigheten förelägga verksamhetsutövaren och den utomstående parten i förfarandet att vidta de åtgärder som är nödvändiga för att förhindra skada för Sveriges säkerhet.
Föreläggandet får förenas med vite.
Tillsynsmyndigheten får även ansöka om tvångsåtgärder enligt 12 §.
Överlåtelse av säkerhetskänslig verksamhet och viss egendom
6 §
Det som anges i 2 § om skyldighet göra en särskild säkerhetsbedömning och lämplighetsprövning gäller också den som bedriver säkerhetskänslig verksamhet och som avser att överlåta
1. hela eller någon del av den säkerhetskänsliga verksamheten, eller
2. någon egendom i den säkerhetskänsliga verksamheten som har betydelse för Sveriges säkerhet eller ett för Sverige förpliktande internationellt åtagande om säkerhetsskydd.
Skyldigheterna enligt första stycket ska fullgöras innan ett förfarande för överlåtelse inleds. Om lämplighetsprövningen leder till bedömningen att den planerade överlåtelsen är olämplig från säkerhetsskyddssynpunkt, får den inte inledas.
7 §
Om lämplighetsprövningen enligt 6 § leder till bedömningen att överlåtelsen får ske, ska verksamhetsutövaren samråda med den myndighet som enligt 4 a kap. 1 § första stycket utövar tillsyn över den verksamhet som överlåtelsen gäller.
Tillsynsmyndigheten får före-lägga verksamhetsutövaren att vidta åtgärder enligt denna lag och de föreskrifter som har meddelats i anslutning till lagen. Om ett föreläggande inte följs eller om tillsynsmyndigheten bedömer att överlåtelsen är olämplig från säkerhetsskyddssynpunkt även om ytterligare åtgärder vidtas, får tillsynsmyndigheten besluta att överlåtelsen inte får genomföras. Samrådet får även avslutas med ett föreläggande som innebär att överlåtelsen endast får genomföras på vissa angivna villkor, vid påföljd att överlåtelsen annars är ogiltig. Tillsynsmyndigheten får även ansöka om tvångsåtgärder enligt 12 §.
Det som anges i första och andra styckena om verksamhetsutövaren gäller även den som avser att överlåta aktier eller andelar i säkerhetskänslig verksamhet, dock inte aktier i aktiebolag som är publika enligt aktiebolagslagen (2005:551).
8 §
Om förutsättningarna i 7 § första eller tredje stycket är uppfyllda får även tillsynsmyndigheten ta initiativ till samråd. Bestämmelserna i andra och tredje styckena samma paragraf gäller då.
9 §
En överlåtelse är ogiltig om den har genomförts i strid med ett förbud enligt 7 § eller ett föreläggande enligt samma paragraf som meddelats vid påföljd av ogiltighet.
Om en överlåtelse har gjorts utan att samråd skett enligt 7 eller 8 § och förutsättningarna för ett förbud enligt 7 § är uppfyllda, får tillsynsmyndigheten i efterhand meddela ett sådant förbud. Överlåtelsen är då ogiltig.
10 §
Om en överlåtelse är ogiltig enligt 9 § får tillsynsmyndigheten meddela de förelägganden mot överlåtaren och förvärvaren som behövs för att förhindra skada för Sveriges säkerhet. Ett sådant föreläggande får förenas med vite.
11 §
En verksamhetsutövare som avser att överlåta hela eller delar av den säkerhetskänsliga verksamheten ska upplysa förvärvaren om att denna lag gäller för verksamheten. En sådan upplysning ska innehålla en påminnelse om de skyldigheter som enligt 2 kap. 1 § gäller för den som är ansvarig för en säkerhetskänslig verksamhet.
Tvångsåtgärder
12 §
Om det behövs för att ändamålet med ett förbud eller föreläggande enligt detta kapitel inte ska motverkas får Stockholms tingsrätt besluta om sådana åtgärder som avses i 15 kap. 1-3 §§ rättegångsbalken. Frågan tas upp på yrkande av tillsynsmyndigheten. En åtgärd får beslutas även om föreläggandet eller förbudet inte fått laga kraft.
13 §
Vid behandlingen av en fråga enligt 12 § tillämpar rätten vad som gäller när en fråga om åtgärd enligt 15 kap. 1, 2 eller 3 § rättegångsbalken uppkommer i en rättegång.
Ett yrkande får inte bifallas utan att motparten har fått tillfälle att yttra sig. Om det är fara i dröjsmål får dock rätten omedelbart bevilja åtgärden till dess annat beslutas.
14 §
Tillsynsmyndigheten ska genast meddela rätten när syftet med en tvångsåtgärd enligt 12 § har uppnåtts, eller det av någon annan anledning inte längre finns skäl för åtgärden. Rätten ska omedelbart upphäva en åtgärd som har beviljats enligt 12 § om det inte längre finns skäl för åtgärden.
Rätten ska ompröva åtgärden med fyra veckors mellanrum.
Åtgärden får inte upphävas utan hörande av tillsynsmyndigheten.
Tillsynsmyndighetens handläggning av samrådsärenden
15 §
Vid tillsynsmyndighetens handläggning av ärenden om samråd, föreläggande och förbud enligt detta kapitel gäller inte 12 § förvaltningslagen (2017:900).
Bemyndigande
16 §
Regeringen eller den myndighet som regeringen bestämmer får meddela ytterligare föreskrifter om handläggningen av ärenden om samråd, föreläggande, förbud och tvångsåtgärder enligt 3, 4, 6, 7 och 12 §§.
4 a kap. Tillsyn
Tillsynsmyndighetens uppdrag
1 §
Den myndighet som regeringen bestämmer ska utöva tillsyn över säkerhetsskyddet hos myndigheter och andra som lagen gäller för.
Den myndighet som regeringen bestämmer får utöva tillsyn hos utomstående aktörer som har ingått säkerhetsskyddsavtal och utomstående verksamhetsutövare som aktören har anlitat inom ramen för säkerhetsskyddsavtalet.
Tillsynsmyndigheten ska utöva tillsyn över att denna lag och föreskrifter som har meddelats i anslutning till lagen följs.
Tillsynsmyndighetens undersökningsbefogenheter
2 §
Den som står under tillsyn ska på begäran tillhandahålla tillsynsmyndigheten den information som behövs för tillsynen.
3 §
Tillsynsmyndigheten har i den omfattning det behövs för tillsynen rätt att få tillträde till områden, lokaler och andra utrymmen, dock inte bostäder, som används i verksamhet som omfattas av tillsyn.
4 §
Tillsynsmyndigheten får förelägga den som står under tillsyn att tillhandahålla information och ge tillträde enligt 2 och 3 §§.
Ett sådant föreläggande får förenas med vite.
5 §
Tillsynsmyndigheten får begära handräckning av Kronofogdemyndigheten för att genomföra de åtgärder som avses i 2 och 3 §§. Vid handräckning gäller bestämmelserna i utsökningsbalken om verkställighet av förpliktelser som inte avser betalningsskyldighet, avhysning eller avlägsnande.
4 b kap. Ingripande
och sanktioner
Åtgärdsförelägganden
1 §
Den myndighet som enligt 4 a kap. 1 § första stycket utövar tillsyn över verksamheten (tillsynsmyndigheten) får besluta de förelägganden som behövs för att de som omfattas av tillsyn enligt denna lag ska fullgöra skyldigheter enligt lagen eller föreskrifter som har meddelats i anslutning till den.
Ett föreläggande får förenas med vite.
Sanktionsavgift
2 §
Tillsynsmyndigheten ska ta ut en sanktionsavgift av den verksamhetsutövare som
1. underlåter att göra en anmälan enligt 2 kap. 1 a § eller enligt föreskrifter som har meddelats i anslutning till den paragrafen,
2. underlåter att utföra eller uppdatera en säkerhetsskyddsanalys enligt 2 kap. 1 § eller enligt föreskrifter som har meddelats i anslutning till den paragrafen,
3. underlåter att vidta säkerhetsskyddsåtgärder enligt 2 kap. 2-4 §§ eller enligt föreskrifter som har meddelats i anslutning till de paragraferna,
4. underlåter att säkerhetsskyddsklassificera uppgifter enligt 2 kap. 5 §,
5. underlåter att enligt 2 kap. 1 § eller föreskrifter som har meddelats i anslutning till den paragrafen kontrollera säkerhetsskyddet i den egna verksamheten eller att fullgöra anmälnings- eller rapporteringsplikt,
6. underlåter att ingå ett säkerhetsskyddsavtal enligt 2 kap. 6 § eller som ingår ett säkerhetsskyddsavtal som är bristfälligt i väsentlig mån,
7. inleder ett förfarande som avses i 2 a kap. 3 § eller genomför en överlåtelse som avses i 2 a kap. 7 § utan att fullgöra den samrådsskyldighet som följer av respektive paragraf,
8. inleder ett förfarande i strid med ett förbud som meddelats med stöd av 2 a kap. 3 eller 4 § eller genomför en överlåtelse i strid med ett förbud eller villkor som meddelats med stöd av 2 a kap. 7 eller 8 §,
9. lämnar oriktiga uppgifter i samband med tillsyn eller samråd enligt de bestämmelser som anges i 7, eller
10. underlåter att enligt 2 kap. 6 c § utse en säkerhetsskyddschef.
Sanktionsavgift ska även tas ut av den som avses i 2 a kap. 7 § tredje stycket och som genomför en överlåtelse som avses där utan att fullgöra sin samrådsskyldighet eller i strid med ett förbud eller villkor som meddelats med stöd av andra stycket samma paragraf eller 8 §, eller som lämnar oriktiga uppgifter vid samrådet.
3 §
En sanktionsavgift ska bestämmas till lägst 5 000 kronor och högst 10 000 000 kronor.
4 §
När sanktionsavgiftens storlek bestäms ska särskild hänsyn tas till den skada eller sårbarhet för Sveriges säkerhet som uppstått till följd av överträdelsen, till om den avgiftsskyldige tidigare begått en överträdelse och till de kostnader som den avgiftsskyldige undvikit till följd av överträdelsen.
5 §
En sanktionsavgift får efterges helt eller delvis om överträdelsen är ringa eller ursäktlig eller om det annars med hänsyn till omständigheterna skulle vara oskäligt att ta ut avgiften.
6 §
En sanktionsavgift får inte beslutas om överträdelsen omfattas av ett föreläggande om vite och överträdelsen ligger till grund för en ansökan om utdömande av vitet.
7 §
En sanktionsavgift får endast beslutas om den som avgiften ska tas ut av har fått tillfälle att yttra sig inom två år från det att överträdelsen ägde rum.
Ett beslut om sanktionsavgift ska delges.
8 §
En sanktionsavgift ska betalas till tillsynsmyndigheten inom 30 dagar från det att beslutet om att ta ut avgiften har fått laga kraft eller inom den längre tid som anges i beslutet.
Om sanktionsavgiften inte betalas inom den tid som anges i första stycket, ska myndigheten lämna den obetalda avgiften för indrivning. Bestämmelser om indrivning finns i lagen (1993:891) om indrivning av statliga fordringar m.m. Vid indrivning får verkställighet ske enligt utsökningsbalken.
En sanktionsavgift tillfaller staten.
9 §
En beslutad sanktionsavgift faller bort till den del beslutet om avgiften inte har verkställts inom fem år från det att beslutet fick laga kraft.
5 kap.
Tillsyn
Förordnande om att ett beslut
ska gälla omedelbart
4 §
Den myndighet som regeringen bestämmer ska utöva tillsyn över säkerhetsskyddet hos myndigheter och andra som lagen gäller för.
Den myndighet som regeringen bestämmer får utöva tillsyn hos leverantörer som har träffat säkerhetsskyddsavtal.
Tillsynsmyndigheten får bestämma att ett beslut om föreläggande enligt 2 a kap., 4 a kap. eller 4 b kap. denna lag ska gälla omedelbart.
Överklagande
6 §
Beslut om föreläggande enligt 2 a kap. 3, 4, 7 och 8 §§, 4 a kap. 4 § och 4 b kap. 1 § och sanktionsavgift enligt 4 b kap. 2 § överklagas till Förvaltningsrätten i Stockholm. Prövningstillstånd krävs vid överklagande till kammarrätten.
Beslut om förbud enligt 2 a kap. 3, 4, 7, 8 eller 9 § och föreläggande enligt 2 a kap. 5 och 10 §§ överklagas till regeringen.
När ett beslut som avses i första stycket överklagas är tillsynsmyndigheten motpart.
Andra beslut enligt denna lag får inte överklagas.
1. Denna lag träder i kraft den 1 januari 2021.
2. Ärenden om samråd som har inletts hos Säkerhetspolisen eller Försvarsmakten före ikraftträdandet handläggs enligt äldre föreskrifter.
3. Sanktionsavgift får beslutas endast för överträdelser som har ägt rum eller pågår efter ikraftträdandet.
Förteckning över remissinstanserna
Remissinstanser som har gett in yttrande
Affärsverket svenska kraftnät, Arboga kommun, Centrala studiestödsnämnden, Datainspektionen, Domstolsverket, E-hälsomyndigheten, Energiföretagen Sverige, Eskilstuna kommun, Evry Sverige AB, Finansinspektionen, Folkhälsomyndigheten, Forsmark Kraftgrupp AB, Fortifikationsverket, Fortum AB, Försvarets materielverk, Försvarets radioanstalt, Försvarshögskolan, Försvarsmakten, Försvarsunderrättelsedomstolen, Försäkringskassan, Förvaltningsrätten i Stockholm, Gotlands kommun, Gävle kommun, Göteborgs kommun, Halmstads kommun, Inspektionen för strategiska produkter, Institutet för rymdfysik, IT&Telekomföretagen, Justitiekanslern, Region Jönköpings län, Region Kalmar län, Kammarrätten i Stockholm, Kemikalieinspektionen, Kommerskollegium, Konkurrensverket, Kriminalvården, Kristianstad kommun, Region Kronoberg, Kronofogdemyndigheten, Kungl. Tekniska högskolan, Kustbevakningen, Lantmäteriet, Lidingö kommun, Livsmedelsverket, Luftfartsverket, Luleå kommun, Länsstyrelsen i Norrbottens län, Länsstyrelsen i Skåne län, Länsstyrelsen i Stockholms län, Länsstyrelsen i Västra Götalands län, Malmö kommun, Migrationsverket, Myndigheten för digital förvaltning, Myndigheten för samhällsskydd och beredskap, Region Norrbotten, Näringslivets regelnämnd, Pensionsmyndigheten, Polismyndigheten, Post- och telestyrelsen, Postnord AB, Regelrådet, Riksarkivet, Riksdagens ombudsmän, Riksgäldskontoret, Ringhals AB, Rymdstyrelsen, Sjöfartsverket, Region Skåne, Skövde kommun, Socialstyrelsen, Specialfastigheter Sverige AB, Statens energimyndighet, Statens fastighetsverk, Statens haverikommission, Statens inspektion för försvarsunderrättelseverksamheten, Statens jordbruksverk, Statens servicecenter, Statens veterinärmedicinska anstalt, Statskontoret, Stockholms kommun, Region Stockholm, Stockholms tingsrätt, Stockholms universitet (Juridiska fakulteten), Strålsäkerhetsmyndigheten, Svea hovrätt, Swedavia AB, Svenskt Näringsliv, Sveriges Advokatsamfund, Sveriges Kommuner och Regioner, Sveriges lantbruksuniversitet, Sveriges Riksbank, Säkerhets- och försvarsföretagen, Säkerhets- och integritetsskyddsnämnden, Säkerhetspolisen, Telia Company AB, Totalförsvarets forskningsinstitut, Totalförsvarets rekryteringsmyndighet (numera Totalförsvarets plikt- och prövningsverk), Trafikverket, Transportstyrelsen, Tullverket, Upphandlingsmyndigheten, Uppsala universitet (Juridiska fakulteten), Vattenfall AB, Vetenskapsrådet, Västra Götalands läns region och Åklagarmyndigheten.
Övriga som har yttrat sig
IKEM - Innovations- och kemiindustrierna i Sverige och Svenska Bankföreningen.
Remissinstanser som inte har gett in remissvar
Ekonomistyrningsverket, Företagarna, Karlstads kommun, Norrköpings kommun, Riksrevisionen och Östhammars kommun.
Remissinstanser som uttryckligen har avstått från att yttra sig
ABB AB, Business Sweden, Eon AB, Ericsson AB, Försvarsförbundet, IBM Sverige AB, Karlskrona kommun, Kiruna kommun, Linköpings kommun, Nynäshamn kommun, OKG Aktiebolag, SAAB, Sigtuna kommun, Skatteverket, SME-D, SOS Alarm, Svedala kommun, Svenska rymdaktiebolaget, Sveriges hamnar, Sveriges Offentliga Inköpare, Sveriges Radio AB, Sveriges Television AB, Säkerhetsbranschen, Region Sörmland, Teknikföretagen, Tele 2 Sverige AB, Teracom Group AB, Trelleborgs kommun, Uniper, Vänersborgs kommun, Västerås kommun och Region Östergötland.
Sammanfattning av Transportstyrelsens framställan om ändring i säkerhetsskyddslagen
Transportstyrelsen föreslår att 3 kap. 4 § säkerhetsskyddslagen (2018:585) ändras så att Transportstyrelsen blir ansvarig för att göra den slutliga bedömningen av den prövades lämplighet att delta i säkerhetskänslig verksamhet även hos kommunala och regionala flygplatser inom luftfartsskyddet. I dag har Transportstyrelsen enligt säkerhetsskyddslagen ett sådant ansvar endast när det gäller enskilda verksamhetsutövare. Transportstyrelsen ansvarar dock för att utföra Sveriges åtaganden inom det EU-rättsliga regelverket för luftfartsskydd vilka bl.a. innefattar att säkerhetspröva personal på flygplatser oavsett vilken ägandeform verksamhetsutövaren har. För att kunna fullgöra sina åtaganden föreslår Transportstyrelsen att myndigheten även får ansvaret för att göra den slutliga bedömningen av den prövades lämplighet att delta i säkerhetskänslig verksamhet i dessa fall.
Transportstyrelsens lagförslag
Härigenom föreskrivs i fråga om säkerhetsskyddslagen (2018:585) att 3 kap. 4 § ska ha följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
3 kap.
4 §
Säkerhetsprövningen ska utgå från uppgifter som kommit fram när grundutredningen gjordes och den kännedom som i övrigt finns om den som ska prövas, uppgifter som har lämnats ut efter registerkontroll och särskild personutredning, arten av den verksamhet som prövningen gäller samt omständigheterna i övrigt.
Bedömningen görs av den som beslutar om anställning eller annat deltagande i den säkerhetskänsliga verksamheten. Om en myndighet har det bestämmande inflytandet över den prövades lämplighet att delta i säkerhetskänslig verksamhet hos en enskild verksamhetsutövare, är det i stället myndigheten som gör den slutliga bedömningen.
Bedömningen görs av den som beslutar om anställning eller annat deltagande i den säkerhetskänsliga verksamheten. Om en myndighet har det bestämmande inflytandet över den prövades lämplighet att delta i säkerhetskänslig verksamhet hos en verksamhetsutövare, är det i stället myndigheten som gör den slutliga bedömningen.
Om det finns anledning till det, ska en tidigare gjord bedömning av en persons lämplighet att delta i den säkerhetskänsliga verksamheten omprövas.
Förteckning över remissinstanserna
Efter remiss har yttrande inkommit från Arvidsjaurs kommun, Försvarsmakten, Halmstads kommun, Karlstads kommun, Kramfors kommun, Kristianstads kommun, Linköpings kommun, Luftfartsverket, Lycksele kommun, Norrköpings kommun, Region Kronoberg, Region Örebro län, Skellefteå kommun, Sveriges Kommuner och Regioner, Säkerhetspolisen, Trafikverket, Transportstyrelsen, Trollhättans kommun, Västerås kommun, Växjö kommun och Örnsköldsviks kommun.
Följande remissinstanser har inte svarat eller angett att de avstår från att svara: Borlänge kommun, Gällivare kommun, Jönköpings kommun, Kalmar kommun, Mora kommun, Pajala kommun, Region Dalarna, Sollefteå kommun, Storumans kommun, Sundsvalls kommun, Svenska Regionala Flygplatser, Vilhelmina kommun, Vänersborg kommun och Örebro kommun.
Lagrådsremissens lagförslag
Förslag till lag om ändring i säkerhetsskyddslagen (2018:585)
Härigenom föreskrivs i fråga om säkerhetsskyddslagen (2018:585)
dels att 2 kap. 6-14 och 16 §§ samt 5 kap. 4 och 5 §§ ska upphöra att gälla,
dels att rubrikerna närmast före 2 kap. 6-9, 12-14 och 16 §§ samt 5 kap. 4 och 5 §§ ska utgå,
dels att nuvarande 4 och 5 kap. ska betecknas 5 kap. respektive 8 kap., och att nuvarande 2 kap. 15 § ska betecknas 2 kap. 8 §,
dels att 1 kap. 3 §, 2 kap. 1 §, den nya 2 kap. 8 §, 3 kap. 4 och 16 §§ och den nya 8 kap. 3 § ska ha följande lydelse,
dels att rubriken närmast före 2 kap. 15 § ska sättas före den nya 2 kap. 8 §,
dels att det ska införas tre nya kapitel, 4, 6 och 7 kap., fyra nya paragrafer, 2 kap. 6 och 7 §§, 3 kap. 4 b § och 8 kap. 4 §, och närmast före 2 kap. 6 och 7 §§ och 8 kap. 4 § rubriker av följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
1 kap.
3 §
För riksdagen och dess myndigheter gäller endast bestämmelserna om säkerhetsskyddsklasser i 2 kap. 5 §, säkerhetsprövning i 3 kap. och säkerhetsintyg i 4 kap. I övrigt gäller lagen (2019:109) om säkerhetsskydd i riksdagen och dess myndigheter.
För riksdagen och dess myndigheter gäller endast bestämmelserna om säkerhetsskyddsklasser i 2 kap. 5 §, säkerhetsprövning i 3 kap. och säkerhetsintyg i 5 kap. I övrigt gäller lagen (2019:109) om säkerhetsskydd i riksdagen och dess myndigheter.
Regeringen får i fråga om Regeringskansliet, utlandsmyndigheterna och kommittéväsendet meddela föreskrifter om undantag från andra bestämmelser i lagen än de som anges i första stycket.
2 kap.
1 §
Den som bedriver säkerhetskänslig verksamhet ska utreda behovet av säkerhetsskydd (säkerhetsskyddsanalys). Säkerhetsskyddsanalysen ska dokumenteras.
Den som till någon del bedriver säkerhetskänslig verksamhet (verksamhetsutövare) ska utreda behovet av säkerhetsskydd (säkerhetsskyddsanalys). Säkerhetsskyddsanalysen ska dokumenteras.
Med utgångspunkt i analysen ska verksamhetsutövaren planera och vidta de säkerhetsskyddsåtgärder som behövs med hänsyn till verksamhetens art och omfattning, förekomst av säkerhetsskyddsklassificerade uppgifter och övriga omständigheter.
Verksamhetsutövaren ska även kontrollera säkerhetsskyddet i den egna verksamheten, anmäla och rapportera sådant som är av vikt för säkerhetsskyddet och i övrigt vidta de åtgärder som krävs enligt denna lag.
Så långt det är möjligt ska säkerhetsskyddsåtgärderna utformas så att de inte medför någon skada eller annan olägenhet för andra allmänna eller enskilda intressen.
Anmälningsplikt
6 §
En verksamhetsutövare ska utan dröjsmål anmäla att den bedriver säkerhetskänslig verksamhet till tillsynsmyndigheten.
När den säkerhetskänsliga verksamheten har upphört ska verksamhetsutövaren utan dröjsmål anmäla detta till tillsynsmyndigheten.
Säkerhetsskyddschef
7 §
Vid verksamhet som omfattas av denna lag ska det finnas en säkerhetsskyddschef, om det inte är uppenbart obehövligt.
Säkerhetsskyddschefen ska leda och samordna säkerhetsskyddsarbetet samt kontrollera att verksamheten bedrivs enligt lagen och de föreskrifter som har meddelats i anslutning till lagen. Detta ansvar får inte delegeras.
Säkerhetsskyddschefen ska vara direkt underställd chefen för verksamhetsutövarens verksamhet, om en sådan chef finns, och annars verksamhetsutövarens ledning.
15 §
Regeringen eller den myndighet som regeringen bestämmer får meddela ytterligare föreskrifter om säkerhetsskyddsanalys samt anmälnings- och rapporteringsskyldighet enligt 1 §, säkerhetsskyddsåtgärder enligt 2-4 §§, säkerhetsskyddsklassificering enligt 5 § och säkerhetsskyddsavtal enligt 6 §.
8 §
Regeringen eller den myndighet som regeringen bestämmer får meddela ytterligare föreskrifter om säkerhetsskyddsanalys samt anmälnings- och rapporteringsskyldighet enligt 1 §, säkerhetsskyddsåtgärder enligt 2-4 §§ och säkerhetsskyddsklassificering enligt 5 §.
Lydelse enligt SFS 2021:76
Föreslagen lydelse
3 kap.
4 §
Säkerhetsprövningen ska utgå från uppgifter som kommit fram när grundutredningen gjordes och den kännedom som i övrigt finns om den som ska prövas, uppgifter som har lämnats ut efter registerkontroll och särskild personutredning, arten av den verksamhet som prövningen gäller samt omständigheterna i övrigt.
Bedömningen görs av den som beslutar om anställning eller annat deltagande i den säkerhetskänsliga verksamheten, om inte annat följer av tredje stycket eller 4 a §.
Bedömningen görs av den som beslutar om anställning eller annat deltagande i den säkerhetskänsliga verksamheten, om inte annat följer av tredje stycket, 4 a eller 4 b §.
Om en myndighet har det bestämmande inflytandet över den prövades lämplighet att delta i säkerhetskänslig verksamhet hos en enskild verksamhetsutövare, är det i stället myndigheten som gör den slutliga bedömningen.
Om det finns anledning till det, ska en tidigare gjord bedömning av en persons lämplighet att delta i den säkerhetskänsliga verksamheten omprövas.
Nuvarande lydelse
Föreslagen lydelse
4 b §
Den slutliga bedömningen enligt 4 § görs av Transportstyrelsen när det gäller den som ska genomgå säkerhetsprövning till följd av ett internationellt säkerhetsskyddsåtagande på området luftfartsskydd.
16 §
Bestämmelser om registerkontroll finns också i 4 kap. om internationell säkerhetsskyddssamverkan och säkerhetsintyg.
Bestämmelser om registerkontroll finns också i 5 kap. om internationell säkerhetsskyddssamverkan och säkerhetsintyg.
4 kap. Skyldigheter när en annan aktör kan få tillgång till säkerhetskänslig verksamhet
Säkerhetsskyddsavtal
1 § En verksamhetsutövare som avser att genomföra en upphandling, ingå ett avtal eller inleda en samverkan eller ett samarbete med en annan aktör ska ingå ett säkerhetsskyddsavtal med aktören, om aktören genom förfarandet kan få tillgång till
1. säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller
2. annan säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet.
Verksamhetsutövaren ska även ingå ett säkerhetsskyddsavtal med en underleverantör som den andra aktören avser att anlita för att fullgöra sin förpliktelse, om underleverantören genom sitt uppdrag kan få en sådan tillgång till den säkerhetskänsliga verksamheten som anges i första stycket.
Ett säkerhetsskyddsavtal ska ingås innan motparten kan få tillgång till den säkerhetskänsliga verksamheten.
2 § Mellan statliga myndigheter gäller kravet på säkerhetsskyddsavtal enligt 1 § endast vid anskaffning av en vara, tjänst eller byggentreprenad.
3 § Ett säkerhetsskyddsavtal ska innehålla de krav på motparten som behövs för att kraven på säkerhetsskydd enligt 2 kap. 1 § ska kunna tillgodoses.
Ett säkerhetsskyddsavtal ska även reglera hur verksamhetsutövaren ska få kontrollera att motparten följer säkerhetsskyddsavtalet och att verksamhetsutövaren har rätt att revidera avtalet om det krävs på grund av ändrade förhållanden.
4 § Bestämmelserna i 3 kap. och föreskrifter som har meddelats i anslutning till de bestämmelserna får tillämpas för säkerhetsprövning enligt ett säkerhetsskyddsavtal.
5 § Verksamhetsutövaren ska kontrollera att motparten följer säkerhetsskyddsavtalet och revidera avtalet om det krävs på grund av ändrade förhållanden.
Om motparten inte följer säkerhetsskyddsavtalet, ska verksamhetsutövaren vidta de åtgärder som behövs för att tillgodose kraven på säkerhetsskydd.
6 § Regeringen eller den myndighet som regeringen bestämmer får meddela ytterligare föreskrifter om säkerhetsskyddsavtal enligt 1 och 3-5 §§.
Regeringen får meddela föreskrifter om undantag från skyldigheten att ingå säkerhetsskyddsavtal. Om det finns särskilda skäl får regeringen också besluta om sådana undantag i enskilda fall.
Skyldigheter inför förfaranden som kräver säkerhetsskyddsavtal
7 § En verksamhetsutövare som avser att genomföra ett förfarande som innebär ett krav på säkerhetsskyddsavtal enligt 1 § första stycket ska göra en särskild säkerhetsskyddsbedömning och lämplighetsprövning enligt 8 §. Verksamhetsutövaren ska också samråda enligt 9 §.
Regeringen får meddela föreskrifter om undantag från första stycket. Om det finns särskilda skäl får regeringen också besluta om sådana undantag i enskilda fall.
För överlåtelser av säkerhetskänslig verksamhet och viss egendom gäller i stället 13-20 §§.
8 § Innan ett sådant förfarande som avses i 1 § första stycket inleds ska verksamhetsutövaren genom en särskild säkerhetsskyddsbedömning identifiera vilka säkerhetsskyddsklassificerade uppgifter eller vilken säkerhetskänslig verksamhet i övrigt som den andra aktören kan få tillgång till och som kräver säkerhetsskydd.
Med utgångspunkt i den särskilda säkerhetsskyddsbedömningen och övriga omständigheter ska verksamhetsutövaren pröva om det planerade förfarandet är lämpligt från säkerhetsskyddssynpunkt.
Den särskilda säkerhetsskyddsbedömningen och lämplighetsprövningen ska dokumenteras.
Om lämplighetsprövningen leder till bedömningen att det planerade förfarandet är olämpligt från säkerhetsskyddssynpunkt, får det inte inledas.
9 § Om lämplighetsprövningen enligt 8 § leder till bedömningen att det planerade förfarandet inte är olämpligt från säkerhetsskyddssynpunkt, ska verksamhetsutövaren innan den inleder förfarandet samråda med tillsynsmyndigheten, om det planerade förfarandet innebär att den andra aktören kan få tillgång till
1. säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen hemlig eller högre, eller
2. annan säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet.
Tillsynsmyndigheten får besluta att förelägga verksamhetsutövaren att vidta åtgärder enligt denna lag och föreskrifter som har meddelats i anslutning till lagen.
10 § Om verksamhetsutövaren inte samråder med tillsynsmyndigheten trots att det finns en skyldighet att göra det, får tillsynsmyndigheten inleda samrådet.
11 § Om ett beslut om föreläggande enligt 9 § inte följs eller om det planerade förfarandet är olämpligt från säkerhetsskyddssynpunkt även om ytterligare åtgärder vidtas, får tillsynsmyndigheten besluta att det planerade förfarandet inte får genomföras (förbud).
12 § Om ett pågående förfarande som omfattas av ett krav på säkerhetsskyddsavtal enligt 1 § är olämpligt från säkerhetsskyddssynpunkt, får tillsynsmyndigheten besluta om de förelägganden mot verksamhetsutövaren och den andra aktören i förfarandet som behövs för att förhindra skada för Sveriges säkerhet. Ett sådant beslut om föreläggande får förenas med vite.
Skyldigheter inför överlåtelse av säkerhetskänslig verksamhet och viss egendom
13 § En verksamhetsutövare ska göra en särskild säkerhetsskyddsbedömning och lämplighetsprövning enligt 14 § och samråda enligt 15 §, om verksamhetsutövaren avser att överlåta
1. hela eller någon del av den säkerhetskänsliga verksamheten, eller
2. egendom som har betydelse för Sveriges säkerhet eller ett för Sverige förpliktande internationellt åtagande om säkerhetsskydd.
Första stycket gäller inte för överlåtelser av fast egendom.
Regeringen får meddela föreskrifter om ytterligare undantag från första stycket. Om det finns särskilda skäl får regeringen också besluta om sådana undantag i enskilda fall.
14 § Innan ett förfarande för sådan överlåtelse som avses i 13 § inleds ska verksamhetsutövaren genom en särskild säkerhetsskyddsbedömning identifiera vilka säkerhetsskyddsklassificerade uppgifter eller vilken säkerhetskänslig verksamhet i övrigt som förvärvaren kan få tillgång till och som kräver säkerhetsskydd.
Med utgångspunkt i den särskilda säkerhetsskyddsbedömningen och övriga omständigheter ska verksamhetsutövaren pröva om överlåtelsen är lämplig från säkerhetsskyddssynpunkt.
Den särskilda säkerhetsskyddsbedömningen och lämplighetsprövningen ska dokumenteras.
Om lämplighetsprövningen leder till bedömningen att överlåtelsen är olämplig från säkerhetsskyddssynpunkt, får överlåtelsen inte genomföras.
15 § Om lämplighetsprövningen enligt 14 § leder till bedömningen att överlåtelsen inte är olämplig från säkerhetsskyddssynpunkt, ska verksamhetsutövaren samråda med tillsynsmyndigheten.
Tillsynsmyndigheten får besluta att förelägga verksamhetsutövaren att vidta åtgärder för att fullgöra sina skyldigheter enligt denna lag och föreskrifter som har meddelats i anslutning till lagen.
Skyldigheten att samråda och det som anges i andra stycket om verksamhetsutövaren gäller även den som avser att överlåta aktier eller andelar i säkerhetskänslig verksamhet, dock inte aktier i aktiebolag som är publika enligt aktiebolagslagen (2005:551).
16 § Om överlåtaren inte samråder med tillsynsmyndigheten trots att det finns en skyldighet att göra det, får tillsynsmyndigheten inleda samrådet.
17 § Om ett beslut om föreläggande enligt 15 § inte följs eller om överlåtelsen är olämplig från säkerhetsskyddssynpunkt även om ytterligare åtgärder vidtas, får tillsynsmyndigheten besluta att överlåtelsen inte får genomföras (förbud).
18 § En överlåtelse i strid med ett förbud enligt 17 § är ogiltig.
Om en överlåtelse har genomförts utan samråd enligt 15 eller 16 § och förutsättningarna för ett förbud enligt 17 § är uppfyllda, får tillsynsmyndigheten i efterhand besluta om ett sådant förbud. Överlåtelsen är då ogiltig.
19 § Om en överlåtelse är ogiltig enligt 18 § får tillsynsmyndigheten besluta om de förelägganden mot överlåtaren och förvärvaren som behövs för att förhindra skada för Sveriges säkerhet. Ett sådant beslut om föreläggande får förenas med vite.
20 § En verksamhetsutövare som avser att överlåta hela eller någon del av den säkerhetskänsliga verksamheten ska upplysa förvärvaren om att denna lag gäller för verksamheten. En sådan upplysning ska innehålla information om de skyldigheter som enligt 2 kap. 1 § gäller för en verksamhetsutövare.
6 kap. Tillsyn
Tillsynsmyndighetens uppdrag
1 § Den myndighet som regeringen bestämmer ska vara tillsynsmyndighet.
Tillsynsmyndigheten ska utöva tillsyn över att verksamhetsutövare följer lagen och de föreskrifter som har meddelats i anslutning till lagen. I det syftet får tillsynsmyndigheten även utöva tillsyn hos de aktörer som verksamhetsutövare har ingått säkerhetsskyddsavtal med.
Tillsynsmyndighetens undersökningsbefogenheter
2 § Den som står under tillsyn ska på begäran tillhandahålla tillsynsmyndigheten den information som behövs för tillsynen.
3 § Tillsynsmyndigheten har i den omfattning som det behövs för tillsynen rätt att få tillträde till områden, lokaler och andra utrymmen, dock inte bostäder, som används i verksamhet som omfattas av tillsyn.
4 § Tillsynsmyndigheten får besluta att förelägga den som står under tillsyn att tillhandahålla information och ge tillträde enligt 2 och 3 §§. Ett sådant beslut om föreläggande får förenas med vite.
5 § Tillsynsmyndigheten får begära handräckning av Kronofogdemyndigheten för att genomföra de åtgärder som avses i 2 och 3 §§. Vid handräckning gäller bestämmelserna i utsökningsbalken om verkställighet av förpliktelser som inte avser betalningsskyldighet, avhysning eller avlägsnande.
Åtgärdsförelägganden
6 § Tillsynsmyndigheten får besluta att förelägga en verksamhetsutövare att vidta åtgärder för att fullgöra sina skyldigheter enligt denna lag och föreskrifter som har meddelats i anslutning till lagen. Ett sådant beslut om föreläggande får förenas med vite.
7 kap. Administrativa sanktionsavgifter
Överträdelser som kan leda till sanktionsavgift
1 § Tillsynsmyndigheten får besluta att ta ut en sanktionsavgift av en verksamhetsutövare som
1. har åsidosatt sina skyldigheter enligt någon av
a) 2 kap. 1 § första eller andra stycket, 5 §, 6 § första stycket eller 7 § eller föreskrifter som har meddelats i anslutning till de bestämmelserna,
b) 3 kap. 1-4 eller 6-9 §§ eller 11 § första stycket eller föreskrifter som har meddelats i anslutning till de bestämmelserna,
c) 4 kap. 1 eller 3 §, 9 § första stycket eller 15 § första stycket eller föreskrifter som har meddelats i anslutning till de bestämmelserna,
2. inte har kontrollerat säkerhetsskyddet i den egna verksamheten enligt 2 kap. 1 § tredje stycket eller föreskrifter som har meddelats i anslutning till den bestämmelsen,
3. inte har kontrollerat att motparten följer säkerhetsskyddsavtalet enligt 4 kap. 5 § första stycket eller föreskrifter som har meddelats i anslutning till den bestämmelsen,
4. har inlett ett förfarande i strid med ett förbud som har meddelats med stöd av 4 kap. 11 § eller har genomfört en överlåtelse i strid med ett förbud som har meddelats med stöd av 4 kap. 17 §, eller
5. har lämnat oriktiga uppgifter i samband med samråd enligt 4 kap. 9 eller 15 § eller tillsyn.
2 § Tillsynsmyndigheten får besluta att ta ut en sanktionsavgift av en aktie- eller andelsägare som
1. inte har samrått enligt 4 kap. 15 § eller föreskrifter som har meddelats i anslutning till den bestämmelsen,
2. har genomfört en överlåtelse i strid med ett förbud som har meddelats med stöd av 4 kap. 17 §, eller
3. har lämnat oriktiga uppgifter i samband med samråd enligt 4 kap. 15 §.
Hur sanktionsavgiften ska bestämmas
3 § Vid bedömningen av om en sanktionsavgift ska tas ut ska särskild hänsyn tas till
1. den skada eller sårbarhet för Sveriges säkerhet som uppstått till följd av överträdelsen,
2. om överträdelsen har varit uppsåtlig eller berott på oaktsamhet,
3. vad verksamhetsutövaren eller aktie- eller andelsägaren har gjort för att överträdelsen ska upphöra och för att begränsa dess verkningar, och
4. om verksamhetsutövaren eller aktie- eller andelsägaren tidigare har begått en överträdelse.
4 § En sanktionsavgift ska bestämmas till lägst 25 000 kronor och högst 50 000 000 kronor. Sanktionsavgiften för en statlig myndighet, kommun eller region ska dock bestämmas till högst 10 000 000 kronor.
5 § När sanktionsavgiftens storlek bestäms ska särskild hänsyn tas till de omständigheter som anges i 3 § och till den vinst som den avgiftsskyldige gjort till följd av överträdelsen.
6 § En sanktionsavgift får efterges helt eller delvis om överträdelsen är ringa eller ursäktlig eller om det annars med hänsyn till omständigheterna skulle vara oskäligt att ta ut avgiften.
Beslut om sanktionsavgift
7 § En sanktionsavgift får inte beslutas om överträdelsen omfattas av ett föreläggande om vite och överträdelsen ligger till grund för en ansökan om utdömande av vitet.
8 § En sanktionsavgift får endast beslutas om den som avgiften ska tas ut av har fått tillfälle att yttra sig inom två år från det att överträdelsen ägde rum.
Ett beslut om sanktionsavgift ska delges.
Betalning av sanktionsavgift
9 § En sanktionsavgift ska betalas till tillsynsmyndigheten inom 30 dagar från det att beslutet om att ta ut avgiften har fått laga kraft eller inom den längre tid som anges i beslutet.
Om sanktionsavgiften inte betalas inom den tid som anges i första stycket, ska myndigheten lämna den obetalda avgiften för indrivning. Bestämmelser om indrivning finns i lagen (1993:891) om indrivning av statliga fordringar m.m. Vid indrivning får verkställighet ske enligt utsökningsbalken.
En sanktionsavgift tillfaller staten.
10 § En beslutad sanktionsavgift faller bort till den del beslutet om avgiften inte har verkställts inom fem år från det att beslutet fick laga kraft.
Nuvarande lydelse
Föreslagen lydelse
5 kap.
8 kap.
3 §
Sekretess hindrar inte att den myndighet som avses i 4 kap. 6 § i ett ärende om underlag för säkerhetsprövning enligt 4 kap. 4 § lämnar ut en uppgift som har kommit fram vid registerkontroll eller särskild personutredning till en utländsk myndighet eller en mellanfolklig organisation, om det står klart att ett sådant utlämnande är förenligt med svenska intressen.
Sekretess hindrar inte att den myndighet som avses i 5 kap. 6 § i ett ärende om underlag för säkerhetsprövning enligt 5 kap. 4 § lämnar ut en uppgift som har kommit fram vid registerkontroll eller särskild personutredning till en utländsk myndighet eller en mellanfolklig organisation, om det står klart att ett sådant utlämnande är förenligt med svenska intressen.
Överklagande
4 §
Beslut om föreläggande enligt 4 kap. 9 och 15 §§ och 6 kap. 4 och 6 §§ eller sanktionsavgift enligt 7 kap. 1 och 2 §§ får överklagas till Förvaltningsrätten i Stockholm. När ett sådant beslut överklagas är tillsynsmyndigheten motpart. Prövningstillstånd krävs vid överklagande till kammarrätten.
Beslut om förbud enligt 4 kap. 11, 17 och 18 §§ och föreläggande enligt 4 kap. 12 och 19 §§ får överklagas till regeringen.
Andra beslut enligt denna lag får inte överklagas.
1. Denna lag träder i kraft den 1 december 2021.
2. Äldre föreskrifter gäller fortfarande för ärenden om samråd som har inletts före ikraftträdandet.
3. Den upphävda 2 kap. 6 § gäller för säkerhetsskyddsavtal som har ingåtts före ikraftträdandet.
4. En sanktionsavgift enligt 7 kap. 1 eller 2 § får beslutas endast för överträdelser som skett efter ikraftträdandet.
Förslag till lag om ändring i lagen (2014:514) om ansvar för vissa säkerhetsfrågor vid statsministerns tjänstebostäder
Härigenom föreskrivs att 4 § lagen (2014:514) om ansvar för vissa säkerhetsfrågor vid statsministerns tjänstebostäder ska ha följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
4 §
Inför att säkerhetsskyddsavtal ska träffas enligt 2 kap. 6 § säkerhetsskyddslagen (2018:585) med anledning av upphandling till egendom som används som tjänstebostad för statsministern ska den upphandlande myndigheten samråda med Säkerhetspolisen.
Inför att säkerhetsskyddsavtal ska träffas enligt 4 kap. 1 § första stycket säkerhetsskyddslagen (2018:585) med anledning av upphandling till egendom som används som tjänstebostad för statsministern ska den upphandlande myndigheten samråda med Säkerhetspolisen.
Denna lag träder i kraft den 1 december 2021.
Förslag till lag om ändring i lagen (2019:109) om säkerhetsskydd i riksdagen och dess myndigheter
Härigenom föreskrivs att 11 § lagen (2019:109) om säkerhetsskydd i riksdagen och dess myndigheter ska ha följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
11 §
Riksdagsförvaltningen utfärdar säkerhetsintyg och beslutar om registerkontroll enligt 4 kap. 1 och 2 §§ säkerhetsskyddslagen (2018:585) för personer som deltar i
Riksdagsförvaltningen utfärdar säkerhetsintyg och beslutar om registerkontroll enligt 5 kap. 1 och 2 §§ säkerhetsskyddslagen (2018:585) för personer som deltar i
1. riksdagens eller Riksdagsförvaltningens verksamhet i annan egenskap än riksdagsledamot, och
2. verksamhet som de myndigheter som anges i 1 § 5-12 bedriver.
Riksbanken, Riksdagens ombudsmän och Riksrevisionen utfärdar säkerhetsintyg och beslutar om registerkontroll enligt 4 kap. 1 och 2 §§ säkerhetsskyddslagen för personer som deltar i respektive myndighets verksamhetsområde.
Riksbanken, Riksdagens ombudsmän och Riksrevisionen utfärdar säkerhetsintyg och beslutar om registerkontroll enligt 5 kap. 1 och 2 §§ säkerhetsskyddslagen för personer som deltar i respektive myndighets verksamhetsområde.
Denna lag träder i kraft den 1 december 2021.
Lagrådets yttrande
Utdrag ur protokoll vid sammanträde 2021-03-30
Närvarande: F.d. justitierådet Ella Nyström samt justitieråden Per Classon och Stefan Johansson
Ett starkare skydd för Sveriges säkerhet
Enligt en lagrådsremiss den 18 mars 2021 har regeringen (Justitiedepartementet) beslutat inhämta Lagrådets yttrande över förslag till
1. lag om ändring i säkerhetsskyddslagen (2018:585),
2. lag om ändring i lagen (2014:514) om ansvar för vissa säkerhetsfrågor
vid statsministerns tjänstebostäder,
3. lag om ändring i lagen (2019:109) om säkerhetsskydd i riksdagen och
dess myndigheter.
Förslagen har inför Lagrådet föredragits av kanslirådet Emelie Smiding och rättssakkunnige Robert Tischner.
Förslagen föranleder följande yttrande.
Förslaget till lag om ändring i säkerhetsskyddslagen
4 kap. 1 §
Paragrafen innehåller bestämmelser om när en verksamhetsutövare är skyldig att ingå säkerhetsskyddsavtal. Av andra stycket framgår att verksamhetsutövaren ska ingå säkerhetsskyddsavtal med en underleverantör som den andra aktören avser att anlita för att fullgöra sin förpliktelse, om underleverantören genom sitt uppdrag kan få tillgång till säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller annan säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet.
Som bestämmelsen i andra stycket är formulerad gäller kravet på säkerhetsskyddsavtal endast underleverantörer i första ledet. För det fall underleverantören i sin tur anlitar någon för att fullgöra förpliktelsen så finns det alltså inte något krav på att verksamhetsutövaren ska ingå ett säkerhetsskyddsavtal med den som underleverantören har anlitat. Detta innebär att det finns en risk för att säkerhetskraven kringgås. Lagrådet anser därför att verksamhetsutövaren bör ha en skyldighet att ingå säkerhetsskyddsavtal även med underleverantörer i senare led och föreslår att andra stycket ges följande lydelse.
Verksamhetsutövaren ska även ingå ett säkerhetsskyddsavtal med en underleverantör som anlitas för att fullgöra den andra aktörens förpliktelse, om underleverantören genom sitt uppdrag kan få en sådan tillgång till den säkerhetskänsliga verksamheten som anges i första stycket.
Övriga lagförslag
Lagrådet lämnar förslagen utan erinran.
Justitiedepartementet
Utdrag ur protokoll vid regeringssammanträde den 20 maj 2021
Närvarande: statsminister Löfven, ordförande, och statsråden Bolund, Johansson, Baylan, Hallengren, Hultqvist, Andersson, Damberg, Shekarabi, Ygeman, Ekström, Eneroth, Nilsson, Ernkrans, Lind, Nordmark, Micko, Stenevi, Olsson Fridh
Föredragande: statsrådet Damberg
Regeringen beslutar proposition Ett starkare skydd för Sveriges säkerhet