Post 1486 av 7191 träffar
Ett modernt och stärkt skydd för Sveriges säkerhet - ny säkerhetsskyddslag Prop. 2017/18:89
Ansvarig myndighet: -
Dokument: Prop. 89
Regeringens proposition
2017/18:89
Ett modernt och stärkt skydd för Sveriges säkerhet - ny säkerhetsskyddslag
Prop.
2017/18:89
Regeringen överlämnar denna proposition till riksdagen.
Stockholm den 15 februari 2018
Stefan Löfven
Morgan Johansson (Justitiedepartementet)
Propositionens huvudsakliga innehåll
Säkerhetsskydd innebär förebyggande åtgärder för att skydda Sveriges säkerhet mot spioneri, sabotage, terroristbrott och andra brott. Kraven på säkerhetsskyddet har förändrats genom utvecklingen i omvärlden och på informationsteknikområdet, ökningen av säkerhetskänslig verksamhet som bedrivs i enskild regi och en ökad internationell samverkan.
För att stärka säkerhetsskyddet föreslår regeringen en ny säkerhetsskyddslag. Den nya lagen innehåller krav på åtgärder som syftar till att skydda uppgifter som är av betydelse för Sveriges säkerhet eller som ska skyddas enligt ett internationellt åtagande om säkerhetsskydd. Även skyddet av annan säkerhetskänslig verksamhet, t.ex. samhällsviktiga informationssystem, förbättras. Det förtydligas att lagen gäller i både allmän och enskild verksamhet.
Den nya lagen tydliggör skyldigheterna för den som bedriver säkerhetskänslig verksamhet och vikten av att verksamhetsutövarna genomför säkerhetsskyddsanalyser för sina verksamheter.
Till följd av den nya lagen föreslås även ett antal ändringar i andra lagar. Lagen och följdändringarna i övriga lagar föreslås träda i kraft den 1 april 2019.
Innehållsförteckning
1 Förslag till riksdagsbeslut 5
2 Lagtext 6
2.1 Förslag till säkerhetsskyddslag 6
2.2 Förslag till lag om ändring i polislagen (1984:387) 15
2.3 Förslag till lag om ändring i elberedskapslagen (1997:288) 16
2.4 Förslag till lag om ändring i lagen (1998:938) om behandling av personuppgifter om totalförsvarspliktiga 17
2.5 Förslag till lag om ändring i lagen (2006:128) om säkerhetsskydd i riksdagen och dess myndigheter 19
2.6 Förslag till lag om ändring i lagen (2007:258) om behandling av personuppgifter i Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst 21
2.7 Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400) 23
2.8 Förslag till lag om ändring i polisdatalagen (2010:361) 25
2.9 Förslag till lag om ändring av lagen (2010:1767) om geografisk miljöinformation 26
2.10 Förslag till lag om ändring i lagen (2011:1029) om upphandling på försvars- och säkerhets-området 27
2.11 Förslag till lag om ändring i lagen (2014:514) om ansvar för vissa säkerhetsfrågor vid statsministerns tjänstebostäder 30
3 Ärendet och dess beredning 32
4 Behovet av ett reformerat säkerhetsskydd 33
4.1 Nuvarande säkerhetsskyddslag 33
4.2 Ändrade förutsättningar för säkerhetsskyddet 33
4.3 En ny lag föreslås 35
5 Tillämpningsområdet för en ny säkerhetsskyddslag 36
5.1 Vad ska lagen skydda? 36
5.2 Vad avses med säkerhetsskydd? 49
6 Verksamhetsutövarens skyldigheter 54
7 Indelning av uppgifter i säkerhetsskyddsklasser 58
8 Ett system av samverkande säkerhetsskyddsåtgärder 67
8.1 Informationssäkerhet 67
8.2 Fysisk säkerhet 71
8.3 Personalsäkerhet 74
8.3.1 Nuvarande system för personalkontroll ska behållas 75
8.3.2 Säkerhetsprövning av anställda, uppdragstagare och andra som ska delta i säkerhetskänslig verksamhet 78
8.3.3 Placering i säkerhetsklass 82
8.3.4 Krav på svenskt medborgarskap för vissa anställningar i säkerhetsklass 1 och 2 86
8.3.5 Beslut om placering i säkerhetsklass 91
8.3.6 Registerkontroll, särskild personutredning och krav på samtycke 92
8.3.7 Prövningen av frågan om att lämna ut uppgifter som kommit fram vid en registerkontroll 94
8.3.8 Ansvaret för säkerhetsprövningen 98
8.3.9 Handlingar ska återställas till Säkerhetspolisen 100
8.3.10 Skydd för uppgifter om enskildas personliga förhållanden vid säkerhetsprövningen 101
9 Säkerhetsskyddsavtal 103
9.1 Kravet på att ingå säkerhetsskyddsavtal utvidgas 103
9.2 Förändringar i lagen om upphandling på försvars- och säkerhetsområdet 110
10 Internationell samverkan 112
10.1 Det behövs ingen lagreglering om nationell säkerhetsmyndighet 112
10.2 Säkerhetsintyg 115
11 Tystnadsplikt vid deltagande i säkerhetskänslig verksamhet 119
12 Säkerhetsskyddet i riksdagen och Regeringskansliet 121
13 Tillsyn och föreskrifter 123
14 Ikraftträdande- och övergångsbestämmelser 127
15 Konsekvenser 129
16 Författningskommentar 132
16.1 Förslaget till säkerhetsskyddslag 132
16.2 Förslag till lag om ändring i elberedskapslagen (1997:288) 157
16.3 Förslaget till lag om ändring i lagen (2006:128) om säkerhetsskydd i riksdagen och dess myndigheter 157
16.4 Förslaget till lag om ändring i offentlighets- och sekretesslagen (2009:400) 158
16.5 Förslag till lag om ändring i lagen (2011:1029) om upphandling på försvars- och säkerhetsområdet 160
16.6 Förslag till lag om ändring i lagen (2014:514) om ansvar för vissa säkerhetsfrågor vid statsministerns tjänstebostäder 162
Bilaga 1 Sammanfattning av betänkandet En ny säkerhetsskyddslag (SOU 2015:25) 163
Bilaga 2 Betänkandets lagförslag 175
Bilaga 3 Förteckning över remissinstanserna 198
Bilaga 4 Lagrådsremissens lagförslag 200
Bilaga 5 Lagrådets yttrande 226
Utdrag ur protokoll vid regeringssammanträde den 15 februari 2018 228
1
Förslag till riksdagsbeslut
Regeringen föreslår att riksdagen antar regeringens förslag till
1. säkerhetsskyddslag,
2. lag om ändring i polislagen (1984:387),
3. lag om ändring i elberedskapslagen (1997:288),
4. lag om ändring i lagen (1998:938) om behandling av personuppgifter om totalförsvarspliktiga,
5. lag om ändring i lagen (2006:128) om säkerhetsskydd i riksdagen och dess myndigheter,
6. lag om ändring i lagen (2007:258) om behandling av personuppgifter i Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst,
7. lag om ändring i offentlighets- och sekretesslagen (2009:400),
8. lag om ändring i polisdatalagen (2010:361),
9. lag om ändring i lagen (2010:1767) om geografisk miljöinformation,
10. lag om ändring i lagen (2011:1029) om upphandling på försvars- och säkerhetsområdet,
11. lag om ändring i lagen (2014:514) om ansvar för vissa säkerhetsfrågor vid statsministerns tjänstebostäder.
2 Lagtext
Regeringen har följande förslag till lagtext.
2.1 Förslag till säkerhetsskyddslag
1 kap. Lagens tillämpningsområde
Lagen gäller för utövare av säkerhetskänslig verksamhet
1 § Denna lag gäller för den som till någon del bedriver verksamhet som är av betydelse för Sveriges säkerhet eller som omfattas av ett för Sverige förpliktande internationellt åtagande om säkerhetsskydd (säkerhetskänslig verksamhet).
I lagen finns också bestämmelser om internationell samverkan i övrigt på säkerhetsskyddsområdet.
Vad som avses med säkerhetsskydd
2 § Med säkerhetsskydd avses skydd av säkerhetskänslig verksamhet mot spioneri, sabotage, terroristbrott och andra brott som kan hota verksamheten samt skydd i andra fall av säkerhetsskyddsklassificerade uppgifter.
Med säkerhetsskyddsklassificerade uppgifter avses uppgifter som rör säkerhetskänslig verksamhet och som därför omfattas av sekretess enligt offentlighets- och sekretesslagen (2009:400) eller som skulle ha omfattats av sekretess enligt den lagen, om den hade varit tillämplig.
Undantag från bestämmelserna om säkerhetsskydd
3 § För riksdagen och dess myndigheter gäller endast bestämmelserna om säkerhetsskyddsklasser i 2 kap. 5 §, säkerhetsprövning i 3 kap. och säkerhetsintyg i 4 kap. I övrigt gäller lagen (2006:128) om säkerhetsskydd för riksdagen och dess myndigheter.
Regeringen får i fråga om Regeringskansliet, utlandsmyndigheterna och kommittéväsendet meddela föreskrifter om undantag från andra bestämmelser i lagen än de som anges i första stycket.
Särskilda bestämmelser om statsministerns tjänstebostäder och skyddsobjekt
4 § I lagen (2014:514) om ansvar för vissa säkerhetsfrågor vid stats-ministerns tjänstebostäder finns bestämmelser om ansvar för fysisk säkerhet och om samrådsskyldighet inför att säkerhetsskyddsavtal ska träffas och inför beslut om placering i säkerhetsklass.
5 § I skyddslagen (2010:305) finns bestämmelser om förbud mot tillträde till vissa byggnader, andra anläggningar, områden och andra objekt.
2 kap. Grundläggande bestämmelser om säkerhetsskydd
Skyldigheter för den som bedriver säkerhetskänslig verksamhet
1 § Den som bedriver säkerhetskänslig verksamhet ska utreda behovet av säkerhetsskydd (säkerhetsskyddsanalys). Säkerhetsskyddsanalysen ska dokumenteras.
Med utgångspunkt i analysen ska verksamhetsutövaren planera och vidta de säkerhetsskyddsåtgärder som behövs med hänsyn till verksamhetens art och omfattning, förekomst av säkerhetsskyddsklassificerade uppgifter och övriga omständigheter.
Verksamhetsutövaren ska även kontrollera säkerhetsskyddet i den egna verksamheten, anmäla och rapportera sådant som är av vikt för säkerhetsskyddet och i övrigt vidta de åtgärder som krävs enligt denna lag.
Så långt det är möjligt ska säkerhetsskyddsåtgärderna utformas så att de inte medför någon skada eller annan olägenhet för andra allmänna eller enskilda intressen.
Säkerhetsskyddsåtgärder
2 § Informationssäkerhet ska
1. förebygga att säkerhetsskyddsklassificerade uppgifter obehörigen röjs, ändras, görs otillgängliga eller förstörs, och
2. förebygga skadlig inverkan i övrigt på uppgifter och informationssystem som gäller säkerhetskänslig verksamhet.
3 § Fysisk säkerhet ska
1. förebygga att obehöriga får tillträde till områden, byggnader och andra anläggningar eller objekt där de kan få tillgång till säkerhetsskyddsklassificerade uppgifter eller där säkerhetskänslig verksamhet i övrigt bedrivs, och
2. förebygga skadlig inverkan på sådana områden, byggnader, anläggningar eller objekt som avses i 1.
4 § Personalsäkerhet ska
1. förebygga att personer som inte är pålitliga från säkerhetssynpunkt deltar i en verksamhet där de kan få tillgång till säkerhetsskyddsklassificerade uppgifter eller i en verksamhet som av någon annan anledning är säkerhetskänslig, och
2. säkerställa att de som deltar i säkerhetskänslig verksamhet har tillräcklig kunskap om säkerhetsskydd.
Säkerhetsskyddsklassificering
5 § Säkerhetsskyddsklassificerade uppgifter ska delas in i säkerhetsskyddsklasser utifrån den skada som ett röjande av uppgiften kan medföra för Sveriges säkerhet. Indelningen i säkerhetsskyddsklasser ska göras enligt följande:
1. kvalificerat hemlig vid en synnerligen allvarlig skada,
2. hemlig vid en allvarlig skada,
3. konfidentiell vid en inte obetydlig skada, eller
4. begränsat hemlig vid endast ringa skada.
Säkerhetsskyddsklassificerade uppgifter som omfattas av ett internationellt åtagande om säkerhetsskydd ska på motsvarande sätt delas in i säkerhetsskyddsklass, om de inte redan har klassificerats av en annan stat eller en mellanfolklig organisation. Indelningen i säkerhetsskyddsklass ska i sådant fall göras utifrån den skada som ett röjande av uppgiften kan medföra för Sveriges förhållande till annan stat eller mellanfolklig organisation.
Säkerhetsskyddsavtal
6 § Statliga myndigheter, kommuner och landsting som avser att genomföra en upphandling och ingå ett avtal om varor, tjänster eller byggentreprenader ska se till att det i ett säkerhetsskyddsavtal anges hur kraven på säkerhetsskydd enligt 1 § ska tillgodoses av leverantören om
1. det i upphandlingen förekommer säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller
2. upphandlingen i övrigt avser eller ger leverantören tillgång till säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet.
Verksamhetsutövaren ska kontrollera att leverantören följer säkerhetsskyddsavtalet.
Det som anges i första och andra styckena gäller även för enskilda verksamhetsutövare som ingår avtal om varor, tjänster och byggentreprenader med utomstående leverantörer.
Bemyndigande
7 § Regeringen eller den myndighet som regeringen bestämmer får meddela ytterligare föreskrifter om säkerhetsskyddsanalys samt anmälnings- och rapporteringsskyldighet enligt 1 §, säkerhetsskydds-åtgärder enligt 2-4 §§, säkerhetsskyddsklassificering enligt 5 § och säkerhetsskyddsavtal enligt 6 §.
3 kap. Säkerhetsprövning
Vem som ska säkerhetsprövas
1 § Den som genom en anställning eller på något annat sätt ska delta i säkerhetskänslig verksamhet ska säkerhetsprövas. Säkerhetsprövning ska dock inte göras när det gäller
1. uppdrag som statsråd, ledamot av Europaparlamentet, riksdagen eller kommun- och landstingsfullmäktige, eller
2. annat uppdrag som offentlig försvarare eller ombud inför domstol än sådant som avser offentligt ombud enligt 27 kap. 27 § rättegångsbalken eller integritetsskyddsombud enligt 6 § lagen (2009:966) om Försvars-underrättelsedomstol.
Säkerhetsprövningens syfte och innehåll
2 § Säkerhetsprövningen syftar till att klarlägga om en person kan antas vara lojal mot de intressen som skyddas i denna lag och i övrigt pålitlig från säkerhetssynpunkt. Vid säkerhetsprövningen ska sådana omständig-heter beaktas som kan antas innebära sårbarheter i säkerhetshänseende.
3 § Säkerhetsprövningen ska göras innan deltagandet i den säkerhetskänsliga verksamheten påbörjas och ska innefatta en grundutredning samt registerkontroll och särskild personutredning i den omfattning som anges i 13, 14 och 17 §§. Om det finns särskilda skäl får säkerhetsprövningen göras mindre omfattande.
Säkerhetsprövningen ska följas upp under den tid som deltagandet i den säkerhetskänsliga verksamheten pågår.
Ansvar för säkerhetsprövningen
4 § Säkerhetsprövningen ska utgå från uppgifter som kommit fram när grundutredningen gjordes och den kännedom som i övrigt finns om den som ska prövas, uppgifter som har lämnats ut efter registerkontroll och särskild personutredning, arten av den verksamhet som prövningen gäller samt omständigheterna i övrigt.
Bedömningen görs av den som beslutar om anställning eller annat deltagande i den säkerhetskänsliga verksamheten. Om en myndighet har det bestämmande inflytandet över den prövades lämplighet att delta i säkerhetskänslig verksamhet hos en enskild verksamhetsutövare, är det i stället myndigheten som gör den slutliga bedömningen.
Om det finns anledning till det, ska en tidigare gjord bedömning av en persons lämplighet att delta i den säkerhetskänsliga verksamheten omprövas.
Placering i säkerhetsklass
5 § En anställning eller något annat deltagande i säkerhetskänslig verksamhet ska placeras i säkerhetsklass i den utsträckning som följer av 6-10 §§.
6 § En anställning eller något annat deltagande i säkerhetskänslig verksamhet ska placeras i säkerhetsklass 1, om den anställde eller den som på annat sätt deltar i verksamheten
1. i en omfattning som inte är ringa får del av uppgifter i säkerhetsskyddsklassen kvalificerat hemlig, eller
2. till följd av sitt deltagande i verksamheten har möjlighet att orsaka synnerligen allvarlig skada för Sveriges säkerhet.
7 § En anställning eller något annat deltagande i säkerhetskänslig verksamhet ska placeras i säkerhetsklass 2, om den anställde eller den som på annat sätt deltar i verksamheten
1. i en omfattning som inte är ringa får del av uppgifter i säkerhetsskyddsklassen hemlig,
2. i ringa omfattning får del av uppgifter i säkerhetsskyddsklassen kvalificerat hemlig, eller
3. till följd av sitt deltagande i verksamheten har möjlighet att orsaka allvarlig skada för Sveriges säkerhet.
8 § En anställning eller något annat deltagande i säkerhetskänslig verksamhet ska placeras i säkerhetsklass 3, om den anställde eller den som på annat sätt deltar i verksamheten
1. får del av uppgifter i säkerhetsskyddsklassen konfidentiell,
2. i ringa omfattning får del av uppgifter i säkerhetsskyddsklassen hemlig, eller
3. till följd av sitt deltagande i verksamheten har möjlighet att orsaka en inte obetydlig skada för Sveriges säkerhet.
9 § En anställning eller något annat deltagande i säkerhetskänslig verksamhet ska också i andra fall än sådana som följer av 6-8 §§ placeras i en säkerhetsklass som motsvarar de krav på säkerhetsprövning som följer av ett internationellt åtagande om säkerhetsskydd.
10 § En anställning eller något annat deltagande får placeras i säkerhetsklass endast om behovet av säkerhetsskydd inte kan tillgodoses på något annat sätt.
11 § En anställning i staten, en kommun eller ett landsting som är placerad i säkerhetsklass 1 eller 2 får endast innehas av den som är svensk medborgare.
Om det finns särskilda skäl får regeringen i enskilda fall medge undantag från kravet på svenskt medborgarskap.
Beslut om placering i säkerhetsklass
12 § Riksdagen och dess myndigheter beslutar om placering i säkerhetsklass när det gäller riksdagens förvaltningsområde.
I övrigt beslutar regeringen om placering i säkerhetsklass. Regeringen får meddela föreskrifter om att myndigheter och andra får besluta om placering i säkerhetsklass. Sådan beslutanderätt får överlåtas till enskilda endast om det finns särskilda skäl.
Registerkontroll
13 § Med registerkontroll avses i denna lag att uppgifter hämtas från register som omfattas av lagen (1998:620) om belastningsregister eller lagen (1998:621) om misstankeregister. Med registerkontroll avses också att uppgifter som behandlas med stöd av polisdatalagen (2010:361) hämtas.
14 § Registerkontroll ska göras om anställningen eller deltagandet i verksamheten har placerats i säkerhetsklass. Uppgifter ska löpande hämtas under den tid deltagandet i den säkerhetskänsliga verksamheten pågår.
För säkerhetsklass 1 eller 2 får uppgifter om den kontrollerade som finns i belastningsregistret eller misstankeregistret eller som behandlas med stöd av polisdatalagen (2010:361) hämtas. Motsvarande uppgifter får även hämtas om den kontrollerades make eller sambo.
För säkerhetsklass 3 får sådana uppgifter om den kontrollerade som finns i belastningsregistret eller misstankeregistret eller som behandlas hos Säkerhetspolisen med stöd av polisdatalagen hämtas.
Om det finns synnerliga skäl får även andra uppgifter än sådana som anges i andra och tredje styckena hämtas.
15 § Om det finns särskilda skäl, får registerkontroll av någon som ska delta i säkerhetskänslig verksamhet göras utan föregående placering i säkerhetsklass. Vid en sådan kontroll får de uppgifter om den kontrollerade som anges i 14 § tredje stycket hämtas.
Regeringen får meddela föreskrifter om sådan registerkontroll som avses i första stycket. Föreskrifterna får dock inte gälla för riksdagen och dess myndigheter.
16 § Bestämmelser om registerkontroll finns också i 4 kap. om internationell säkerhetsskyddssamverkan och säkerhetsintyg.
Särskild personutredning
17 § En särskild personutredning ska göras vid en registerkontroll som avser sådan anställning eller annat deltagande i verksamhet som har placerats i säkerhetsklass 1 eller 2. Utredningen ska omfatta en undersökning av den kontrollerades ekonomiska förhållanden. I övrigt ska utredningen ha den omfattning som behövs.
Krav på samtycke
18 § Registerkontroll och särskild personutredning får göras endast om den som säkerhetsprövningen gäller har lämnat sitt samtycke. Samtycket ska anses gälla också kontroller och utredningar under den tid som deltagandet i den säkerhetskänsliga verksamheten pågår.
Utlämnande av uppgifter för säkerhetsprövning
19 § En uppgift som har kommit fram vid en registerkontroll eller särskild personutredning får lämnas ut för säkerhetsprövning endast om uppgiften i det enskilda fallet kan antas ha betydelse för prövningen enligt 3 kap. 2 §. För att en uppgift som gäller den kontrollerades make eller sambo ska lämnas ut krävs därutöver att utlämnandet är absolut nödvändigt.
Säkerhets- och integritetsskyddsnämnden beslutar om huruvida uppgifter som kommit fram vid en registerkontroll och särskild personutredning ska lämnas ut för säkerhetsprövning.
20 § Innan en uppgift lämnas ut för säkerhetsprövning ska den som uppgiften gäller ges tillfälle att yttra sig över uppgiften. Detta gäller dock inte om uppgiften omfattas av sekretess i förhållande till den enskilde enligt någon annan bestämmelse i offentlighets- och sekretesslagen (2009:400) än 35 kap. 3 §.
Även om uppgiften omfattas av sådan sekretess ska den som uppgiften gäller ges tillfälle att yttra sig innan uppgiften lämnas ut, om hans eller hennes intresse av att få yttra sig skäligen bör ha företräde framför det intresse som sekretessen ska skydda.
21 § Sedan ett beslut har fattats med anledning av en säkerhetsprövning ska de handlingar som överlämnats snarast återställas till den överlämnande myndigheten, om inte den har beslutat något annat.
4 kap. Internationell säkerhetsskyddssamverkan och säkerhetsintyg
Säkerhetsintyg
1 § Ett säkerhetsintyg får utfärdas för personer som har hemvist i Sverige och leverantörer med säte i Sverige när en annan stat eller en mellanfolklig organisation har ansökt om ett sådant intyg, om
1. behov av ett sådant intyg finns vid internationell samverkan om säkerhetskänslig verksamhet enligt denna lag, eller
2. intyget, utöver vad som följer av 1, kan underlätta för en person eller för en leverantör att delta i en verksamhet som en annan stat eller en mellanfolklig organisation bedömer vara i behov av säkerhetsskydd.
Ett intyg enligt första stycket får utfärdas endast om deltagandet avser verksamhet i eller för en stat eller en mellanfolklig organisation som omfattas av ett internationellt åtagande om säkerhetsskydd. Om det finns särskilda skäl får regeringen besluta att ett intyg får utfärdas trots att det inte finns något internationellt åtagande om säkerhetsskydd.
2 § Om det behövs för att ett säkerhetsintyg ska kunna utfärdas får det göras en säkerhetsprövning som innefattar registerkontroll enligt 3 kap. 13 §. Vid en sådan registerkontroll får också en särskild personutredning enligt 3 kap. 17 § göras.
3 § För ärenden om säkerhetsintyg gäller bestämmelserna om säkerhetsprövning i 3 kap. 2 §, 4 § första stycket, 13 §, 14 § andra-fjärde styckena och 17-21 §§.
Registerkontroll på ansökan av en annan stat eller en mellanfolklig organisation
4 § Registerkontroll enligt 3 kap. 13 § får göras när en annan stat eller en mellanfolklig organisation har ansökt om ett sådant underlag, om
1. den person som ansökan gäller har eller har haft hemvist i Sverige, och
2. personen genom anställning eller på annat sätt ska delta i en verksamhet där det för deltagandet ställs krav som motsvarar bestämmelserna i denna lag om registerkontroll vid säkerhetsprövning.
Vid registerkontroll enligt första stycket får också en särskild personutredning enligt 3 kap. 17 § göras.
5 § Vid ärenden enligt 4 § gäller bestämmelserna om registerkontroll, särskild personutredning och samtycke i 3 kap. 13 §, 14 § andra-fjärde styckena och 17-21 §§.
Vem som beslutar om registerkontroll och utfärdar intyg
6 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om vilken myndighet som beslutar om registerkontroll enligt 2 och 4 §§, utfärdar intyg enligt 1 § och lämnar underlag enligt 4 §.
5 kap. Övriga bestämmelser
Tystnadsplikt
1 § Den som med stöd av denna lag har fått del av uppgifter som förekommer i angelägenhet som avser säkerhetsprövning får inte obehörigen röja eller utnyttja dessa uppgifter.
I det allmännas verksamhet tillämpas i stället bestämmelserna i offentlighets- och sekretesslagen (2009:400).
2 § Den som på grund av anställning eller på annat sätt deltar eller har deltagit i säkerhetskänslig verksamhet får inte obehörigen röja eller utnyttja säkerhetsskyddsklassificerade uppgifter.
I det allmännas verksamhet tillämpas i stället bestämmelserna i offentlighets- och sekretesslagen (2009:400).
Sekretessbrytande bestämmelse
3 § Sekretess hindrar inte att den myndighet som avses i 4 kap. 6 § i ett ärende om underlag för säkerhetsprövning enligt 4 kap. 4 § lämnar ut en uppgift som har kommit fram vid registerkontroll eller särskild personutredning till en utländsk myndighet eller en mellanfolklig organisation, om det står klart att ett sådant utlämnande är förenligt med svenska intressen.
Tillsyn
4 § Den myndighet som regeringen bestämmer ska utöva tillsyn över säkerhetsskyddet hos myndigheter och andra som lagen gäller för.
Den myndighet som regeringen bestämmer får utöva tillsyn hos leverantörer som har träffat säkerhetsskyddsavtal.
Föreskrifter om verkställighet
5 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om verkställighet av denna lag.
1. Denna lag träder i kraft den 1 april 2019.
2. Genom lagen upphävs säkerhetsskyddslagen (1996:627).
3. Den upphävda lagen gäller dock fortfarande för beslut om placering i säkerhetsklass som har meddelats före ikraftträdandet, dock längst till dess att ett motsvarande beslut om placering i säkerhetsklass meddelas enligt denna lag. Ett sådant beslut ska meddelas senast vid utgången av 2024.
4. Beslut om registerkontroll enligt 14 § i den upphävda lagen ska i den utsträckning som regeringen föreskriver motsvara ett beslut om placering i säkerhetsklass 3 enligt denna lag, dock längst till dess att ett nytt beslut om säkerhetsklass meddelas enligt denna lag. Ett sådant beslut ska meddelas senast vid utgången av 2024.
.
2.2 Förslag till lag om ändring i polislagen (1984:387)
Härigenom föreskrivs att 3 § polislagen (1984:387) ska ha följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
3 §
Till Säkerhetspolisens uppgifter hör att
1. förebygga, förhindra och upptäcka brottslig verksamhet som innefattar brott mot rikets säkerhet eller terrorbrott,
2. utreda och beivra sådana brott som anges i 1 eller som följer av 5,
3. fullgöra uppgifter i samband med personskydd av den centrala statsledningen och andra som regeringen eller Säkerhetspolisen bestämmer,
4. fullgöra uppgifter enligt säkerhetsskyddslagen (1996:627),
4. fullgöra uppgifter enligt säkerhetsskyddslagen (2018:000),
5. leda annan polisverksamhet om regeringen föreskriver det och i övrigt bedriva sådan verksamhet som framgår av lag eller förordning eller som regeringen uppdragit åt Säkerhetspolisen att i särskilda hänseenden ansvara för.
När Säkerhetspolisen leder polisverksamhet enligt första stycket ska det som i lag eller annan författning föreskrivs om Polismyndigheten i tillämpliga delar gälla Säkerhetspolisen.
Denna lag träder i kraft den 1 april 2019.
2.3 Förslag till lag om ändring i elberedskapslagen (1997:288)
Härigenom föreskrivs att 2 § elberedskapslagen (1997:288) ska ha följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
2 §
Beredskapslagring av bränsle som används för elproduktion omfattas av lagen endast i fråga om rätt till ersättning enligt 10 §. Särskilda bestämmelser om beredskapslagring finns i lagen (2012:806) om beredskapslagring av olja.
I skyddslagen (2010:305) och i säkerhetsskyddslagen (1996:627) finns bestämmelser om tillträdesbegränsning.
I skyddslagen (2010:305) och i säkerhetsskyddslagen (2018:000) finns bestämmelser om tillträdesbegränsning respektive fysisk säkerhet.
Denna lag träder i kraft den 1 april 2019.
2.4 Förslag till lag om ändring i lagen (1998:938) om behandling av personuppgifter om totalförsvarspliktiga
Härigenom föreskrivs att 9 § lagen (1998:938) om behandling av personuppgifter om totalförsvarspliktiga ska ha följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
9 §
I automatiserat register över totalförsvarspliktiga får endast följande personuppgifter föras in:
1. personnummer eller samordningsnummer, namn, adress, telefonnummer och folkbokföringsort,
2. hinder för genomförande av utredning som avses i 3 § första stycket, för utbildning eller för krigsplacering eller annat ianspråktagande av den registrerade för totalförsvarets räkning,
3. boende- och familjeförhållanden samt försörjning, om uppgiften behövs för att Totalförsvarets rekryteringsmyndighet ska kunna fullgöra sina åligganden i fråga om förmåner till totalförsvarspliktiga,
4. utbildning, anställning, kunskaper, färdigheter, anlag och intressen som har betydelse för bedömningen av den registrerades användbarhet inom totalförsvaret,
5. fysisk och psykisk hälsa och förmåga jämte de uppgifter som ligger till grund för bedömningen härav,
6. om den registrerade är svensk medborgare eller inte,
7. utgången i mål om ansvar för brott mot totalförsvarsplikten,
8. att den registrerade har dömts till påföljd för brott som framgår av uppgift ur belastningsregistret som Totalförsvarets rekryterings-myndighet fått del av,
9. att den registrerade genomgått säkerhetsprövning enligt säkerhetsskyddslagen (1996:627), vilken säkerhetsklass prövningen avsett och resultatet av denna,
9. att den registrerade genomgått säkerhetsprövning enligt säkerhetsskyddslagen (2018:000), vilken säkerhetsklass prövningen avsett och resultatet av denna,
10. vad som bestämts vid inskrivningen enligt lagen (1994:1809) om totalförsvarsplikt eller lagen (1994:1810) om möjlighet för kvinnor att fullgöra värnplikt eller civilplikt med längre grundutbildning,
11. krigsplacering, annat ianspråktagande av den registrerade för totalförsvaret eller särskild uppgift som han eller hon ska utföra vid höjd beredskap,
12. tjänstgöring inom totalförsvaret samt betyg, vitsord, förordnanden och utmärkelser som är att hänföra till denna, samt
13. personliga förhållanden i övrigt som åberopas av den registrerade, om de rör hans eller hennes tjänstgöring inom totalförsvaret.
Andra känsliga personuppgifter än sådana uppgifter som rör hälsa eller religiös övertygelse får inte föras in i ett automatiserat register över totalförsvarspliktiga. Uppgifter om religiös övertygelse får endast registreras om den registrerade har lämnat sitt uttryckliga samtycke till att uppgifterna behandlas i registret och de rör hans eller hennes tjänstgöring inom totalförsvaret.
Denna lag träder i kraft den 1 april 2019.
2.5 Förslag till lag om ändring i lagen (2006:128) om säkerhetsskydd i riksdagen och dess myndigheter
Härigenom föreskrivs att 7, 8 och 10 §§ lagen (2006:128) om säkerhetsskydd i riksdagen och dess myndigheter ska ha följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
7 §
För riksdagen och de myndig-heter som avses i 1 § finns bestämmelser om säkerhetsprövning i säkerhetsskyddslagen (1996:627).
För riksdagen och de myndig-heter som avses i 1 § finns bestämmelser om säkerhetsskyddsklass, säkerhetsprövning och säkerhetsintyg i säkerhetsskyddslagen (2018:000).
8 §
När en myndighet som lagen gäller för avser att begära in anbud eller träffa avtal om upphandling där det förekommer uppgifter som med hänsyn till rikets säkerhet omfattas av sekretess, skall myndigheten träffa ett skriftligt avtal (säkerhetsskyddsavtal) med anbudsgivaren eller leverantören om det säkerhetsskydd som behövs i det särskilda fallet.
Om säkerhetsskyddslagen (1996:627) gäller för anbuds-givaren eller leverantören på grund av 1 § 2 eller 3 i den lagen, kan anbudsgivarens eller leverantörens skyldigheter enligt lagen inte göras mindre långtgående genom villkoren i säkerhetsskyddsavtalet.
När en myndighet som lagen gäller för avser att begära in anbud eller träffa avtal om upphandling där det förekommer uppgifter som med hänsyn till rikets säkerhet omfattas av sekretess, ska myndigheten träffa ett skriftligt avtal (säkerhets-skyddsavtal) med anbudsgivaren eller leverantören om det säkerhetsskydd som behövs i det särskilda fallet.
Om säkerhetsskyddslagen (2018:000) gäller för anbudsgivaren eller leverantören på grund av 1 kap. 1 § i den lagen, kan anbudsgivarens eller leverantörens skyldigheter enligt lagen inte göras mindre långtgående genom villkoren i säkerhetsskyddsavtalet.
10 §
Av 7 § lagen (2011:745) med instruktion för Riksdagsförvaltningen framgår att Riksdagsförvaltningen får meddela föreskrifter inom sitt verksamhetsområde.
Övriga myndigheter som avses i 1 § får meddela de närmare föreskrifter inom sitt verksamhetsområde som behövs för tillämpning av
1. denna lag och
2. säkerhetsskyddslagens (1996:627) bestämmelser om säkerhetsprövning.
2. säkerhetsskyddslagens (2018:000) bestämmelser om säkerhetsskyddsklass, säkerhets-prövning och säkerhetsintyg.
Denna lag träder i kraft den 1 april 2019.
2.6 Förslag till lag om ändring i lagen (2007:258) om behandling av personuppgifter i Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst
Härigenom föreskrivs att 1 kap. 10 § lagen (2007:258) om behandling av personuppgifter i Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst ska ha följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
1 kap.
10 §
Uppgifter om en person får behandlas för de ändamål som anges i 9 § endast om
1. uppgifterna ger grundad anledning att anta att personen har utövat eller kan komma att utöva verksamhet som innefattar brott som kan hota rikets säkerhet eller terroristbrott enligt 2 § lagen (2003:148) om straff för terroristbrott eller motsvarande brottslighet enligt tidigare lagstiftning,
2. uppgifterna ger grundad anledning att anta att personen har utövat eller kan komma att utöva underrättelseverksamhet riktad mot Försvarsmakten och dess säkerhetsintressen,
3. uppgifterna ger grundad anledning att anta att personen utövar annan säkerhetshotande verksamhet än som avses i 1 och som innefattar brott eller åsidosättande av åligganden i anställning hos Försvarsmakten, och det finns särskilda skäl till att uppgiften skall behandlas,
3. uppgifterna ger grundad anledning att anta att personen utövar annan säkerhetshotande verksamhet än som avses i 1 och som innefattar brott eller åsidosättande av åligganden i anställning hos Försvarsmakten, och det finns särskilda skäl till att uppgifterna ska behandlas,
4. personen har lämnat uppgifter om säkerhetshotande verksamhet och personuppgifterna är nödvändiga för att bedöma personens trovärdighet, eller
5. uppgifterna avser information som har framkommit i samband med att en person har genomgått registerkontroll eller särskild personutredning enligt säkerhetsskyddslagen (1996:627).
Uppgifter om en person skall förses med upplysning om på vilken av de i första stycket angivna grunderna uppgiften behandlas. Om behandlingen av en personuppgift föranleds av något annat än antagande om att personen har utövat eller kommer att utöva brottslig verksamhet skall det särskilt anges att personen inte är misstänkt för brottslig verksamhet, om det inte på annat sätt klart framgår att sådan misstanke inte finns. Uppgifter om en person som inte heller kan antas ha utövat eller komma att utöva annan säkerhetshotande verksamhet skall förses med en särskild upplysning om detta, om det inte på annat sätt klart framgår att sådant antagande inte finns.
Uppgifter om en person som avses i första stycket 1-3 skall förses med en upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak.
5. uppgifterna avser information som har framkommit i samband med att en person har genomgått registerkontroll eller särskild personutredning enligt säkerhetsskyddslagen (2018:000).
Uppgifter om en person ska förses med upplysning om på vilken av de i första stycket angivna grunderna uppgiften behandlas. Om behandlingen av en personuppgift föranleds av något annat än antagande om att personen har utövat eller kommer att utöva brottslig verksamhet ska det särskilt anges att personen inte är misstänkt för brottslig verk-samhet, om det inte på annat sätt klart framgår att sådan misstanke inte finns. Uppgifter om en person som inte heller kan antas ha utövat eller komma att utöva annan säkerhetshotande verksamhet ska förses med en särskild upplysning om detta, om det inte på annat sätt klart framgår att sådant antagande inte finns.
Uppgifter om en person som avses i första stycket 1-3 ska förses med en upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak.
1. Denna lag träder i kraft den 1 april 2019.
2. Äldre föreskrifter gäller fortfarande i fråga om registerkontroll eller särskild personutredning som har genomförts enligt säkerhetsskyddslagen (1996:627) före ikraftträdandet.
2.7 Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400)
Härigenom föreskrivs att 35 kap. 1, 3 och 10 §§ offentlighets- och sekretesslagen (2009:400) ska ha följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
35 kap.
1 §
Sekretess gäller för uppgift om en enskilds personliga och ekonomiska förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till honom eller henne lider skada eller men och uppgiften förekommer i
1. utredning enligt bestämmelserna om förundersökning i brottmål,
2. angelägenhet som avser användning av tvångsmedel i brottmål eller i annan verksamhet för att förebygga brott
3. angelägenhet som avser registerkontroll och särskild personutredning enligt säkerhetsskyddslagen (1996:627),
3. angelägenhet som avser säkerhetsprövning enligt säker-hetsskyddslagen (2018:000),
4. annan verksamhet som syftar till att förebygga, uppdaga, utreda eller beivra brott och som bedrivs av en åklagarmyndighet, Polismyndigheten, Säkerhetspolisen, Skatteverket, Tullverket eller Kustbevakningen,
5. register som förs av Polismyndigheten enligt 4 kap. polisdatalagen (2010:361) eller som annars behandlas med stöd av de bestämmelserna eller uppgifter som behandlas av Säkerhetspolisen med stöd av 6 kap. samma lag,
6. register som förs enligt lagen (1998:621) om misstankeregister,
7. register som förs av Skatteverket enligt skattebrottsdatalagen (2017:452) eller som annars behandlas där med stöd av samma lag,
8. särskilt ärenderegister över brottmål som förs av åklagarmyndighet, om uppgiften inte hänför sig till registrering som avses i 5 kap. 1 §,
9. register som förs av Tullverket enligt tullbrottsdatalagen (2017:447) eller som annars behandlas där med stöd av samma lag, eller
10. register som förs enligt lagen (2010:362) om polisens allmänna spaningsregister.
Sekretessen enligt första stycket 2 gäller hos domstol i dess rättskipande eller rättsvårdande verksamhet endast om det kan antas att den enskilde eller någon närstående till honom eller henne lider skada eller men om uppgiften röjs. Vid förhandling om användning av tvångsmedel gäller sekretess för uppgift om vem som är misstänkt endast om det kan antas att fara uppkommer för att den misstänkte eller någon närstående till honom eller henne utsätts för våld eller lider annat allvarligt men om uppgiften röjs.
Första stycket gäller inte om annat följer av 2, 6 eller 7 §.
För uppgift i en allmän handling gäller sekretessen i högst sjuttio år.
3 §
Sekretess gäller i verksamhet som avser förande av eller uttag ur register enligt lagen (1998:620) om belastningsregister för uppgift i registret. I fråga om utlämnande av sådan uppgift gäller vad som är föreskrivet i den lagen och i säkerhetsskyddslagen (1996:627) samt i förordningar som har meddelats med stöd av dessa lagar.
Sekretess gäller i verksamhet som avser förande av eller uttag ur register enligt lagen (1998:620) om belastningsregister för uppgift i registret. I fråga om utlämnande av sådan uppgift gäller vad som är föreskrivet i den lagen och i säkerhetsskyddslagen (2018:000) samt i förordningar som har meddelats med stöd av dessa lagar.
För uppgift i en allmän handling gäller sekretessen i högst sjuttio år.
Bestämmelserna i 10 och 12 kap. gäller inte i fråga om sekretessen enligt denna paragraf.
10 §
Sekretessen enligt 1 § hindrar inte att en uppgift lämnas ut
1. till en enskild enligt vad som föreskrivs i lagen (1964:167) med särskilda bestämmelser om unga lagöverträdare,
2. till en enskild enligt vad som föreskrivs i säkerhetsskyddslagen (1996:627) samt i förordning som har meddelats med stöd i den lagen,
2. till en enskild enligt vad som föreskrivs i säkerhetsskyddslagen (2018:000) samt i förordning som har meddelats med stöd i den lagen,
3. enligt vad som föreskrivs i
- lagen (1998:621) om misstankeregister,
- polisdatalagen (2010:361),
- skattebrottsdatalagen (2017:452),
- tullbrottsdatalagen (2017:447),
- kustbevakningsdatalagen (2012:145),
- åklagardatalagen (2015:433),
- förordningar som har stöd i dessa lagar, eller
4. till en enskild enligt vad som föreskrivs i 27 kap. 8 § rättegångs-balken.
1. Denna lag träder i kraft den 1 april 2019.
2. Äldre föreskrifter gäller fortfarande i fråga om registerkontroll eller särskild personutredning som har genomförts enligt säkerhetsskyddslagen (1996:627) före ikraftträdandet.
2.8 Förslag till lag om ändring i polisdatalagen (2010:361)
Härigenom föreskrivs att 6 kap. 1 § polisdatalagen (2010:361) ska ha följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
6 kap.
1 §
Personuppgifter får behandlas i Säkerhetspolisens brottsbekämpande verksamhet om det behövs för att
1. förebygga, förhindra eller upptäcka brottslig verksamhet som innefattar
a) brott mot rikets säkerhet,
b) terrorbrott, eller
c) tryckfrihetsbrott eller yttrandefrihetsbrott med rasistiska eller främlingsfientliga motiv
2. utreda eller beivra sådana brott som avses i 1, eller, efter särskilt beslut, annat brott,
3. fullgöra uppgifter i samband med personskydd av den centrala statsledningen och andra som regeringen eller Säkerhetspolisen bestämmer,
4. fullgöra uppgifter enligt säkerhetsskyddslagen (1996:627),
4. fullgöra uppgifter enligt säkerhetsskyddslagen (2018:000),
5. fullgöra förpliktelser som följer av internationella åtaganden,
6. lämna tekniskt biträde till Polismyndigheten, Ekobrottsmyndigheten, Åklagarmyndigheten eller Tullverket, eller
7. fullgöra annan verksamhet som anges i lag eller förordning eller särskilt beslut av regeringen.
Denna lag träder i kraft den 1 april 2019.
2.9 Förslag till lag om ändring av lagen (2010:1767) om geografisk miljöinformation
Härigenom föreskrivs att 15 § lagen (2010:1767) om geografisk miljöinformation ska ha följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
15 §
Bestämmelser om
1. behandling av personuppgifter finns i personuppgiftslagen (1998:204),
2. behandling av personuppgifter i fastighetsregistret finns i lagen (2000:224) om fastighetsregister,
3. krav på tillstånd för spridning av en sammanställning av geografisk information finns i lagen (2016:319) om skydd för geografisk information,
4. säkerhetsskydd finns i säkerhetsskyddslagen (1996:627), och
4. säkerhetsskydd finns i säkerhetsskyddslagen (2018:000), och
5. upphovsrätt finns i lagen (1960:729) om upphovsrätt till litterära och konstnärliga verk.
I fråga om behandling av personuppgifter enligt denna lag gäller inte 2 § personuppgiftslagen (1998:204).
Denna lag träder i kraft den 1 april 2019.
2.10 Förslag till lag om ändring i lagen (2011:1029) om upphandling på försvars- och säkerhets-området
Härigenom föreskrivs att 1 kap. 9 och 10 §§, 2 kap. 22 § och 11 kap. 2 § lagen (2011:1029) om upphandling på försvars- och säkerhetsområdet ska ha följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
1 kap.
9 §
I fråga om upphandling som avser sådan tillverkning av eller handel med vapen, ammunition och krigsmateriel som omfattas av artikel 346.1 b i EUF-fördraget och där 7 eller 8 § eller 10 § första stycket 2-4 eller 10 inte är tillämpliga får regeringen i enskilda fall besluta om de undantag från bestämmelserna i denna lag som är nödvändiga med hänsyn till rikets väsentliga säkerhets-intressen.
I fråga om upphandling som avser sådan tillverkning av eller handel med vapen, ammunition och krigsmateriel som omfattas av artikel 346.1 b i EUF-fördraget och där 7 eller 8 § eller 10 § första stycket 2-4 eller 10 inte är til-lämpliga får regeringen i enskilda fall besluta om de undantag från bestämmelserna i denna lag som är nödvändiga med hänsyn till Sveriges väsentliga säkerhetsintressen.
Försvarets materielverk får besluta om sådana undantag som avses i första stycket om upphandlingen
1. avser tillägg till en upphandling där regeringen tidigare beslutat om undantag med stöd av första stycket,
2. avser varor, tjänster eller byggentreprenader inom ramen för en av Sverige träffad internationell överenskommelse om mellanstatlig samverkan i fråga om försörjning av varor, tjänster eller byggentreprenader, eller
3. har ett värde som understiger 25 000 000 kronor.
Försvarsmakten och Försvarets radioanstalt får besluta om sådana undantag som avses i första stycket om upphandlingens värde understiger 5 000 000 kronor.
10 §
Denna lag gäller inte för kontrakt
1. för vilka tillämpningen av denna lag skulle kräva att en upphandlande myndighet eller enhet tillhandahåller information vars avslöjande strider mot rikets väsentliga säkerhetsintressen,
Denna lag gäller inte för kontrakt
1. för vilka tillämpningen av denna lag skulle kräva att en upphandlande myndighet eller enhet tillhandahåller information vars avslöjande strider mot Sveriges väsentliga säkerhetsintressen,
2. som avser underrättelseverksamhet,
3. som tilldelas inom ramen för ett samarbetsprogram som gäller forskning och utveckling mellan minst två stater inom EES avseende utvecklandet av en ny produkt och, i förekommande fall, de senare skedena av hela eller delar av produktens livslängd,
4. som, av operativa skäl, måste tilldelas en leverantör i ett område utanför EES territorium där operationen genomförs,
5. som avser förvärv av fastighet, arrenderätt, hyresrätt, bostadsrätt, tomträtt, servitutsrätt eller någon annan rättighet till fastighet,
6. som en regering tilldelas av en annan regering och som avser
a) tillhandahållande av militär utrustning eller utrustning av känslig karaktär,
b) byggentreprenader och tjänster med direkt anknytning till sådan utrustning som avses i a, eller
c) byggentreprenader och tjänster särskilt avsedda för militära syften eller av känslig karaktär,
7. som avser skiljemanna- eller förlikningsuppdrag,
8. som avser finansiella tjänster, utom försäkringstjänster,
9. som avser anställningar, eller
10. som avser forsknings- och utvecklingstjänster, med undantag för sådana vilkas resultat endast tillkommer en upphandlande myndighet eller enhet i den egna verksamheten och betalas av myndigheten eller enheten.
Första stycket 4 avser även civila inköp.
Med fastighet enligt första stycket 5 avses det som enligt jordabalken utgör eller tillhör en fastighet. Befintlig byggnad som tillhör någon annan än ägaren till jorden ska också anses utgöra en fastighet. Detsamma gäller sådana tillbehör till byggnaden som avses i 2 kap. 2 och 3 §§ jordabalken, om de tillhör byggnadens ägare.
2 kap.
22 §
Med säkerhetsskydds-klassificerade uppgifter avses information och material oavsett form, karaktär eller överföringsteknik som omfattas av krav på en viss säkerhetsnivå eller en viss skyddsnivå och som med hänsyn till rikets säkerhet enligt lagar och andra författningar måste skyddas mot intrång, förstörelse, avlägsnande, spridning, förlust eller åtkomst av någon obehörig person, eller någon annan typ av risk.
Med säkerhetsskydds-klassificerade uppgifter avses i denna lag information och material oavsett form, karaktär eller överföringsteknik som om-fattas av krav på en viss säkerhetsnivå eller en viss skyddsnivå och som med hänsyn till Sveriges säkerhet enligt lagar och andra författningar måste skyddas mot intrång, förstörelse, avlägsnande, spridning, förlust eller åtkomst av någon obehörig person, eller någon annan typ av risk.
För skydd av säkerhetsskyddsklassificerade uppgifter som avses i säkerhetsskyddslagen (2018:000) finns bestämmelser i den lagen.
11 kap.
2 §
En leverantör får uteslutas från att delta i en upphandling, om leverantören
1. är i konkurs eller likvidation, är under tvångsförvaltning eller är föremål för ackord eller tills vidare har inställt sina betalningar eller är underkastad näringsförbud,
2. är föremål för ansökan om konkurs, tvångslikvidation, tvångsförvaltning, ackord eller annat liknande förfarande,
3. genom lagakraftvunnen dom är dömd för brott avseende yrkesutövningen, såsom till följd av en överträdelse av befintlig lagstiftning om export av försvars- och säkerhetsutrustning,
4. har gjort sig skyldig till allvarligt fel i yrkesutövningen, såsom genom att inte ha iakttagit sina skyldigheter i fråga om informationssäkerhet eller försörjningstrygghet vid ett tidigare kontrakt, och den upphandlande myndigheten eller enheten kan visa detta,
5. har, på grundval av någon form av bevis som även kan bestå av skyddade uppgiftskällor, kunnat konstaterats inte vara så tillförlitlig som krävs för att inte riskera rikets säkerhet,
5. har, på grundval av någon form av bevis som även kan bestå av skyddade uppgiftskällor, har kunnat konstaterats inte vara så tillförlitlig som krävs för att inte riskera Sveriges säkerhet,
6. inte har fullgjort sina åligganden avseende socialförsäkringsavgifter eller skatt i det egna landet eller i det land där upphandlingen sker, eller
7. i något väsentligt hänseende har låtit bli att lämna begärda upplysningar eller lämnat felaktiga upplysningar som begärts med stöd av bestämmelserna i 11 eller 12 kap.
Är leverantören en juridisk person, får leverantören uteslutas om en företrädare för den juridiska personen har dömts för brott som avses i första stycket 3 eller gjort sig skyldig till sådant fel som avses i första stycket 4.
Myndigheten eller enheten får, utom i de fall som avses i 4 §, begära att en leverantör visar att det inte finns någon grund för att utesluta leverantören med stöd av första stycket 1, 2, 3 eller 6.
Denna lag träder i kraft den 1 april 2019.
2.11 Förslag till lag om ändring i lagen (2014:514) om ansvar för vissa säkerhetsfrågor vid statsministerns tjänstebostäder
Härigenom föreskrivs att 1, 2, 4 och 5 §§ lagen (2014:514) om ansvar för vissa säkerhetsfrågor vid statsministerns tjänstebostäder ska ha följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
1 §
Denna lag innehåller särskilda bestämmelser som rör verksamheten vid och skyddet för egendom som används som tjänstebostad för statsministern. Bestämmelserna utgör kompletteringar till och undantag från säkerhetsskyddslagen (1996:627) och skyddslagen (2010:305).
Denna lag innehåller särskilda bestämmelser som rör verksamheten vid och skyddet för egendom som används som tjänstebostad för statsministern. Bestämmelserna utgör kompletteringar till och undantag från skyddslagen (2010:305) och säkerhetsskyddslagen (2018:000).
2 §
Säkerhetspolisen har det ansvar för tillträdesbegränsning som anges i 7 § 2 säkerhetsskyddslagen (1996:627) vid egendom som används som tjänstebostad för statsministern.
Inför att tillträdesbegränsande åtgärder vidtas ska Säkerhetspolisen samråda med den eller de myndigheter som förvaltar egen-domen och som berörs av åtgärden. När det gäller tillträdes-begränsande åtgärder som är av större betydelse ska Säkerhetspolisen även samråda med Regeringskansliet.
Säkerhetspolisen har ansvaret för fysisk säkerhet enligt 2 kap. 3 § säkerhetsskyddslagen (2018:000) vid egendom som används som tjänstebostad för statsministern.
Inför att åtgärder som rör fysisk säkerhet vidtas ska Säkerhetspolisen samråda med den eller de myndigheter som förvaltar egendomen och som berörs av åtgärden. När det gäller åtgärder som rör fysisk säkerhet som är av större betydelse ska Säkerhetspolisen även samråda med Regeringskansliet.
4 §
Inför att säkerhetsskyddsavtal ska träffas enligt 8 § säkerhetsskyddslagen (1996:627) med anledning av upphandling till egendom som används som tjänstebostad för statsministern ska den upphandlande myndigheten samråda med Säkerhetspolisen.
Inför att säkerhetsskyddsavtal ska träffas enligt 2 kap. 6 § säkerhetsskyddslagen (2018:000) med anledning av upphandling till egendom som används som tjänstebostad för statsministern ska den upphandlande myndigheten samråda med Säkerhetspolisen.
5 §
Inför beslut om placering i säkerhetsklass enligt 17 § säkerhetsskyddslagen (1996:627) av anställningar eller annat deltagande i verksamheten vid egendom som används som tjänstebostad för statsministern ska den som bedriver verksamheten samråda med Säkerhetspolisen.
Inför beslut om placering i säkerhetsklass enligt 3 kap. 5 § säkerhetsskyddslagen (2018:000) av anställningar eller annat deltagande i verksamheten vid egendom som används som tjänstebostad för statsministern ska den som bedriver verksamheten samråda med Säkerhetspolisen.
Denna lag träder i kraft den 1 april 2019.
3 Ärendet och dess beredning
Regeringen beslutade den 8 december 2011 att ge en särskild utredare i uppdrag att göra en översyn av säkerhetsskyddslagstiftningen. Utred-ningen, som tog namnet Utredningen om säkerhetsskyddslagen, presen-terade i mars 2015 betänkandet En ny säkerhetsskyddslag (SOU 2015:25). En sammanfattning av betänkandet finns i bilaga 1. Utredningens lagförslag finns i bilaga 2. Utredningens betänkande har remissbehandlats. En förteckning över remissinstanserna finns i bilaga 3. En samman-ställning av remissvaren finns tillgänglig i Justitiedepartementet (Ju2015/02740/L4).
När det gäller utkontraktering av säkerhetskänslig verksamhet har händelser i närtid och påpekanden från Säkerhetspolisen visat på att ytterligare åtgärder än de som föreslagits i betänkandet En ny säkerhets-skyddslag kan behöva vidtas. I betänkandet föreslås inte heller att sanktioner ska kunna beslutas om en verksamhetsutövare bryter mot den föreslagna säkerhetsskyddslagen. Detta har kritiserats av flera remiss-instanser. Regeringen beslutade därför den 23 mars 2017 att tillsätta en utredning med uppdrag att kartlägga och föreslå åtgärder som motverkar att uppgifter som gäller Sveriges säkerhet eller säkerhetskänslig verksam-het utsätts för risker i samband med utkontraktering, upplåtelse och överlåtelse av sådan verksamhet, och föreslå olika förebyggande åtgärder, t.ex. tillståndsprövning. I utredningens uppdrag ingår även att föreslå ett system med sanktioner i säkerhetsskyddslagstiftningen och att föreslå hur en ändamålsenlig tillsyn enligt lagen ska vara utformad (dir. 2017:32). Utredningen om vissa säkerhetsskyddsfrågor (Ju 2017:08) ska redovisa sitt uppdrag senast den 31 oktober 2018. Frågan om tillsyn behandlas därför endast delvis i propositionen.
I avvaktan på utredningens förslag har regeringen nyligen beslutat att skärpa kraven på statliga myndigheter när de utkontrakterar säkerhets-känslig verksamhet. Enligt en ändring i säkerhetsskyddsförordningen (1996:633) som träder i kraft den 1 april 2018 ska statliga myndigheter, innan en utkontraktering inleds, samråda med någon av tillsyns-myndigheterna Säkerhetspolisen eller Försvarsmakten. Säkerhetspolisen eller Försvarsmakten ska också ha möjlighet att besluta att sådana förfaranden inte får genomföras.
Lagrådet
Regeringen beslutade den 16 november 2017 att inhämta Lagrådets yttrande över de lagförslag som finns i bilaga 4. Lagrådets yttrande finns i bilaga 5. Lagrådets synpunkter behandlas i avsnitt 6 och 8.3.7 samt i författningskommentaren. Regeringen följer Lagrådets förslag. I proposi-tionens lagförslag görs vissa språkliga och redaktionella ändringar i förhållande till lagrådsremissens lagförslag. Vidare har bestämmelsen i 4 kap. 6 § ändrats så att det tydligare framgår att regeringen kan meddela föreskrifter i förordning när det gäller bl.a. vilken myndighet som ska besluta om registerkontroll och utfärda intyg. Det föreslås också ett senare ikraftträdande av de föreslagna lagarna.
4 Behovet av ett reformerat säkerhetsskydd
4.1 Nuvarande säkerhetsskyddslag
Den nuvarande säkerhetsskyddslagen (1996:627) trädde i kraft den 1 juli 1996. I lagen finns bestämmelser om säkerhetsskydd. Med säkerhetsskydd avses skydd mot spioneri, sabotage och andra brott som kan hota rikets säkerhet, skydd i andra fall av uppgifter som omfattas av sekretess enligt offentlighets- och sekretesslagen (2009:400), förkortad OSL, och som rör rikets säkerhet samt skydd mot terroristbrott, även om brotten inte hotar rikets säkerhet. Säkerhetsskydd ska i den omfattning som det behövs finnas vid verksamhet hos staten, kommunerna och landstingen, hos juridiska personer som staten, kommunerna eller landstingen utövar ett rättsligt bestämmande inflytande över och hos enskilda om en sådan verksamhet är av betydelse för rikets säkerhet eller särskilt behöver skyddas mot terrorism.
Säkerhetsskyddet ska förebygga att uppgifter som omfattas av sekretess och som rör rikets säkerhet obehörigen röjs, ändras eller förstörs (informationssäkerhet), att obehöriga får tillträde till platser där de kan få tillgång till sådana uppgifter eller där verksamhet som har betydelse för rikets säkerhet bedrivs (tillträdesbegränsning) samt att personer som inte är pålitliga från säkerhetssynpunkt deltar i verksamhet som har betydelse för rikets säkerhet (säkerhetsprövning). Säkerhetsskyddet ska även i övrigt förebygga terrorism. Lagen innehåller också bestämmelser om skyldighet att teckna säkerhetsskyddsavtal i vissa fall samt om utbildning, kontroll och tillsyn. Närmare bestämmelser om säkerhetsskydd finns i den till lagen hörande säkerhetsskyddsförordningen (1996:633).
För riksdagen och dess myndigheter finns kompletterande bestämmelser om säkerhetsskydd i lagen (2006:128) om säkerhetsskydd i riksdagen och dess myndigheter.
4.2 Ändrade förutsättningar för säkerhetsskyddet
Säkerhetsskyddslagen har varit i kraft i mer än tjugo år. Förutsättningarna för säkerhetsskyddet har under denna tid förändrats på många sätt. Berörda myndigheter, som Säkerhetspolisen och Försvarsmakten, har påpekat relativt omfattande behov av förändring av nuvarande regelverk.
Nuvarande säkerhetsskyddslag är i första hand inriktad på att skydda rikets säkerhet. Uttrycket rikets säkerhet har i hög grad kommit att förknippas med framför allt militära förhållanden. I förarbetena till 1996 års säkerhetsskyddslag konstaterades att hoten mot Sverige förändrats efter det kalla krigets slut. Trots det gjordes bedömningen att det nya säkerhetspolitiska läget inte hade inneburit några radikala förändringar av förutsättningarna för en ny säkerhetsskyddsreglering (SOU 1994:149 s. 14 f.). Hoten mot rikets säkerhet har ytterligare förändrats sedan säkerhetsskyddslagen trädde i kraft. Främmande staters underrättelse-verksamhet har de senaste decennierna breddats mot forskning och utveckling inom civila områden samt mot politiska frågor och information som rör samhällsviktiga system. It-angrepp i olika former betraktas som ett av de allvarligaste hoten. Samtidigt kvarstår underrättelsehoten mot militär verksamhet och mot information av betydelse för försvaret av Sverige. I propositionen Försvarspolitisk inriktning - Sveriges försvar 2016-2020 (prop. 2014/15:109), bedömer regeringen att ett enskilt militärt väpnat angrepp direkt mot Sverige är osannolikt, men att kriser eller incidenter som även inbegriper militära maktmedel kan uppstå och att militära angreppshot aldrig kan uteslutas. Det konstateras att den säkerhetspolitiska situationen i Europa har försämrats. Av regeringens nationella säkerhetsstrategi från januari 2017 framgår att hävdandet av vårt lands suveränitet och territoriella integritet är en nödvändig förutsättning för att Sverige ska kunna uppnå målen med vår säkerhet. Enligt strategin behöver stor vikt läggas på vår förmåga att avhålla den som vill angripa eller utöva påtryckningar på Sverige, enskilt eller tillsammans med andra.
Dagens säkerhetspolitiska hot, eller hot som är av sådan karaktär att de kan få säkerhetspolitiska konsekvenser, är ofta gränsöverskridande, icke-militära och utgår inte sällan från icke-statliga aktörer. Exempel på sådana hot är internationell terrorism och andra typer av grov gränsöverskridande brottslighet, informations- och cybersäkerhetshot, spridning av massför-störelsevapen samt framställning och transport av vapen, komponenter och teknologi.
Samhällsutvecklingen innebär nya krav på och förutsättningar för säkerhetsskyddet. Sedan säkerhetsskyddslagen trädde i kraft har digitaliseringen och användningen av informationsteknik genomgått en betydande förändring. Internet har radikalt förändrat förutsättningarna för informationssäkerhetsarbetet. Informationstekniken genomsyrar i dag i stort sett alla aspekter av samhällsviktiga verksamheter. En rad verksamheter, både hos det allmänna och inom näringslivet, är helt beroende av digitala system för bl.a. styrning, reglering och övervakning. Stora informationsmängder, såväl öppna som hemliga, hanteras i dag i informationssystem. En storskalig it-incident bedöms i dag kunna få allvarliga konsekvenser för samhällsviktig verksamhet och kritisk infrastruktur. På grund av samhällets ökade it-beroende är risken stor för att samhällsviktiga system t.ex. finansiella system, ledningscentraler för trafiksystem, administrativa och medicinska system inom sjukvården, digitala kontrollsystem för el och vatten samt elektroniska kommunikationer skulle drabbas med allvarliga konsekvenser som följd.
Avreglering och konkurrensutsättning av samhällsviktig verksamhet har inneburit att det område som ligger utanför det direkta tillämpnings-området för nuvarande säkerhetsskyddslag har kommit att öka allt mer. I dag finns en stor del av de verksamheter som är viktiga för det svenska samhällets funktionalitet inte under direkt statligt inflytande. Sådana verksamheter bedrivs och förvaltas i stället i stor utsträckning av enskilda aktörer. Även utländskt ägande eller inflytande är numera en realitet inom samhällsviktiga verksamheter. Att utkontraktera verksamhet ger upphov till särskilda utmaningar avseende säkerhetsskyddet, vilket inte minst händelserna vid Transportstyrelsen som uppmärksammades i media sommaren 2017 påvisat.
Globaliseringen och det ökade internationella samarbetet har medfört att gränserna för vad som är att hänföra till rikets inre respektive rikets yttre säkerhet har ändrats, liksom att uttrycket rikets säkerhet har utvidgats. Sverige deltar i stor omfattning i internationella samarbeten för fred och säkerhet där känsliga uppgifter utbyts med andra länder och mellanfolkliga organisationer. Den ökade samverkan med andra länder har inneburit ett växande behov av att anpassa säkerhetsskyddet till åtaganden som följer av folkrättsliga förpliktelser.
4.3 En ny lag föreslås
Regeringens förslag Nuvarande säkerhetsskyddslag ska ersättas med en ny lag. Även den nya lagen ska benämnas säkerhetsskyddslag.
Utredningens förslag: Överensstämmer med regeringens förslag.
Remissinstanserna: Majoriteten av remissinstanserna tillstyrker eller har inte något att invända mot utredningens förslag.
Skälen för regeringens förslag: Regeringen delar utredningens uppfattning att stora delar av nuvarande lagstiftning fungerar bra och bör behållas. Det innebär att den nya regleringen, liksom den nuvarande, ska säkerställa ett tillräckligt skydd för det som är mest skyddsvärt för nationen, vara verksamhetsorienterad, ge ett förebyggande skydd mot i huvudsak antagonistiska hot, omfatta samverkande säkerhetsskyddsåtgärder för information, personer och verksamhet samt utgå från nuvarande ansvarsfördelning när det gäller verkställighetsföreskrifter och tillsyn.
Behovet av säkerhetsskydd och andra former av skydd har utsträckts till att gälla för fler verksamheter än tidigare. Denna utveckling kan komma att fortsätta. Det är därför angeläget att lagstiftningen är utformad så att den kan omfatta nya verksamheter och skydda mot hot av olika karaktär. Lagstiftningen bör stå sig över tiden. Aktuella hot eller vilka verksamheter som i dag är av nationell betydelse bör inte ges någon avgörande inverkan på hur lagstiftningen utformas. Lagstiftningen bör i stället utformas med hänsyn tagen till en mer flexibel och relativt tidsobestämd hotbild och, liksom nu, ge ett skydd för de för landet allra viktigaste samhällsfunktionerna.
Säkerhetsskyddslagstiftningen är inte den enda reglering som ger ett skydd för samhällsviktig verksamhet. På området finns även olika kris- och beredskapsförfattningar samt skyddslagstiftning för kärnteknisk verksamhet, luftfart, sjöfart, hamnar, transport av farligt gods och landskapsinformation. Skyddslagen (2010:305) ansluter nära till säkerhetsskyddslagen genom hänvisningen till säkerhetsskyddsåtgärden tillträdesbegränsning. De nämnda författningarna bör ses som ett sam-verkande regelverk som alla syftar till att skydda samhällsviktig verksamhet och där olika författningar är tillämpliga i olika situationer.
Säkerhetsskyddslagen bör även fortsättningsvis gälla i såväl allmän som enskild verksamhet. Den grundläggande principen bör alltjämt vara att skyddet för det skyddsvärda bör vara detsamma oavsett i vilken verksamhet det förekommer. Lagen behöver förtydligas i detta avseende så att den principen får bättre genomslag. Även indelningen av säkerhetsskyddsåtgärderna i tre huvudområden - informationssäkerhet, tillträdesbegränsning och säkerhetsprövning - fungerar väl och bör bestå. I avsnitt 8 föreslås att tillträdesbegränsning respektive säkerhetsprövning i stället ska benämnas fysisk säkerhet och personalsäkerhet.
För att anpassa säkerhetsskyddslagen till de nya krav som ställs behöver lagen moderniseras och förtydligas. Både Sveriges internationella åtaganden på säkerhetsskyddsområdet och informationssäkerhets-perspektiven tillgänglighet och riktighet måste beaktas och komma till tydligare uttryck. Lagen bör även uppfylla krav på sådana säkerhetsskyddsåtgärder som följer av åtaganden inom t.ex. luft- och sjöfartsskydd. Det bör ges ett bättre stöd för internationell samverkan på säkerhetsskyddsområdet, vilket bl.a. innefattar bestämmelser om säkerhetsintyg för personer och leverantörer som ska verka i andra länder. I dag erbjuder säkerhetsskyddslagen främst ett skydd för hemliga uppgifter, dvs. uppgifter som omfattas av sekretess till skydd för rikets säkerhet. Skyddet för hemliga uppgifter bör inkludera uppgifter som förekommer i enskilt bedrivna verksamheter eller som omfattas av ett folkrättsligt åtagande om säkerhetsskydd. En ny lag behöver också omfatta samtliga verksamheter som uppfyller kriteriet att vara av betydelse för Sveriges säkerhet och möjliggöra krav på säkerhetsskydd för t.ex. flygplatser och andra byggnader eller anläggningar som enligt skyddslagen är skyddsobjekt.
Sammantaget bedömer regeringen att det behövs ett regelverk som ger goda förutsättningar för ett väl anpassat och effektivt säkerhetsskydd samtidigt som det erbjuder en flexibilitet över tid, kan möta skiftande förhållanden och även utgöra ett stöd för internationell samverkan på säkerhetsskyddsområdet. Behoven av förändring är så stora att den nuvarande säkerhetsskyddslagen bör upphävas och ersättas av en ny tydligare lag med bl.a. kapitelindelning. Även den nya lagen föreslås heta säkerhetsskyddslag.
5 Tillämpningsområdet för en ny säkerhetsskyddslag
5.1 Vad ska lagen skydda?
Regeringens förslag och bedömning: Den nya säkerhetsskyddslagen ska gälla i alla verksamheter som till någon del är av betydelse för Sveriges säkerhet eller som omfattas av ett internationellt avtal om säkerhetsskydd som Sverige åtagit sig att följa. Sådan verksamhet benämns säkerhetskänslig verksamhet i lagen. Hänvisningen i den nu gällande säkerhetsskyddslagen till vissa verksamhetsformer ska inte tas med i den nya lagen.
Det särskilda tillägget om skydd mot terrorism som finns i den gällande säkerhetsskyddslagen tas bort.
Utredningens förslag: Överensstämmer i huvudsak med regeringens förslag och bedömning. Enligt utredningens förslag ska det inte göras någon uppdelning mellan företagsformer över vilka det allmänna har ett rättsligt bestämmande inflytande och andra företagsformer. Utredningen förordar dock att det även fortsättningsvis ska anges att lagen gäller för viss verksamhet hos staten, kommuner, landsting och enskilda.
Remissinstanserna: Flertalet remissinstanser tillstyrker eller har inga invändningar mot förslaget.
Majoriteten av remissinstanserna instämmer i den avgränsning som föreslås till verksamhet av betydelse för Sveriges säkerhet. Ett stort antal remissinstanser, bl.a. Centrala studiestödsnämnden, Kammarrätten i Stockholm, Kriminalvården, Myndigheten för samhällsskydd och beredskap (MSB), Pensionsmyndigheten, Finansinspektionen, Strålsäker-hetsmyndigheten, Affärsverket Svenska kraftnät, Ekobrotts-myndigheten, Sveriges Kommuner och Landsting (SKL) samt ett antal kommuner och landsting efterfrågar dock ett förtydligande av vad som omfattas av uttrycket Sveriges säkerhet och hur uttrycket säkerhetskänslig verksamhet förhåller sig till uttrycket samhällsviktig verksamhet. Flertalet remissinstanser bedömer att avsaknaden av en närmare definition av uttrycket Sveriges säkerhet kan innebära en risk för inkonsekvent tolkning och tillämpning. Kammarrätten i Stockholm efterfrågar ytterligare överväganden kring en komplettering av lagtexten med uttrycket "övriga vitala nationella säkerhetsintressen", för att undvika att uttrycket tolkas alltför snävt. Ekobrottsmyndigheten och Skatteverket föreslår att uttrycket säkerhetskänslig verksamhet ersätts med säkerhetsskyddskänslig verksamhet vilket är ett mer unikt uttryck.
Åtskilliga remissinstanser påpekar att det kan bli svårt för en verksamhetsutövare att bedöma om en verksamhet helt eller till viss del omfattas av lagen. MSB framför att fler verksamhetsutövare på det civila området än i dag kommer att behöva göra en kvalificerad säkerhets-skyddsanalys för att på eget ansvar definiera sitt behov av säkerhetsskydd. Myndigheten anför vidare att arbetet med säkerhetsskydd i praktiken behöver föregås av ett aktivt ställningstagande från verksamhetsutövaren om att man troligen eller sannolikt bedriver säkerhetskänslig verksamhet. Att avgöra huruvida en viss verksamhet är av betydelse för Sveriges säkerhet kan vara ett problem inom den utvidgade krets av verksamhetsutövare som utredningen förutser kan komma att omfattas av kravet på säkerhetsskydd. Även Sveriges advokatsamfund påpekar att det kan krävas ingående analyser bara för att klarlägga olika berörda myndigheters ansvar för de säkerhetskänsliga verksamheter som i allt snabbare takt växer fram och att kostnadsdrivande åtgärder sannolikt kommer att visa sig nödvändiga. Vattenfall AB anser att det tydligare bör markeras att lagen syftar till att säkerställa säkerhetsskyddet för de delar av verksamheten som bedrivs hos bl.a. enskilda och som har betydelse för Sveriges säkerhet och därmed inte nödvändigtvis för hela verksamheten. Finansinspektionen framför att de säkerhetsskyddsstödjande myndig-heterna (benämning i utredningen avseende Affärsverket Svenska kraftnät, Transportstyrelsen, Post- och telestyrelsen och länsstyrelserna) behöver få ett tydligt ansvar och mandat att utifrån sina analyser kunna peka ut vilka verksamheter som ska omfattas av lagstiftningen (se vidare avsnitt 13).
När det gäller förslaget om att utmönstra tillägget om terrorism är bl.a. Säkerhetspolisen positiv. Myndigheten bedömer att uttrycket Sveriges säkerhet är tillräckligt för att täcka in även sådana särskilt skyddsvärda verksamheter som bestämmelserna om säkerhetsskydd mot terrorism tar sikte på. Sveriges kommuner och landsting, Stockholms läns landsting, Jönköpings läns landsting, Kalmar läns landsting, Norrbottens läns landsting och Gotlands kommun anser att man i stället bör överväga om det är lämpligt att inte överföra nuvarande säkerhetsskyddslags skydd mot terrorism till den nya lagen. De anser att förändringen kan begränsa möjligheten för kommuner och landsting att tillämpa säkerhetsskyddslagen på verksamheter som kan vara hotade av terrorism, utan att de nödvändigtvis har koppling till Sveriges säkerhet.
Skälen för regeringens förslag och bedömning
Ett fortsatt skydd för de mest skyddsvärda verksamheterna
Säkerhetsskydd har traditionellt uttryckts som olika åtgärder för att skydda totalförsvaret eller rikets säkerhet i övrigt. Även om uttrycket rikets säkerhet inte har definierats i lag har regeringen i flera sammanhang gett ledning för dess uttolkning.
I förarbetena till nuvarande säkerhetsskyddslag förklarade regeringen att uttrycket omfattar såväl den yttre säkerheten till skydd för Sveriges försvarsförmåga, politiska oberoende och territoriella suveränitet som den inre säkerheten till skydd för Sveriges demokratiska statsskick. I det sammanhanget anförde regeringen att skyddet för den yttre säkerheten i första hand tar sikte på totalförsvaret, dvs. den verksamhet som behövs för att förbereda Sverige för krig, men att ett hot mot rikets yttre säkerhet även kan förekomma utan att det hotar totalförsvaret. Också rikets inre säkerhet kan vara hotad utan att totalförsvaret berörs. Angrepp på det demokratiska statsskicket kan förekomma från grupperingar utan förbindelse med främmande makt. Det kan också vara fråga om försök att ta över den politiska makten genom våld eller att använda våld, hot eller tvång mot statsledningen i syfte att påverka politikens utformning. Försök att systematiskt hindra medborgarna från att utnyttja sina demokratiska fri- och rättigheter räknas också till hoten mot rikets inre säkerhet
(prop. 1995/96:129 s. 22 f.).
Regeringen uttalade sig på nytt om uttryckets innebörd i samband med propositionen Förstärkt skydd mot främmande makts underrättelseverksamhet (prop. 2013/14:51 s. 20). Regeringen uttalade då att uttrycket kan sammanfattas som skyddet för Sveriges oberoende - i betydelsen självständighet och suveränitet - och bestånd. Det innefattar en rätt till okränkta landsgränser, ett bevarande av det svenska självstyret och det demokratiska statsskicket samt av nationens grundläggande funktionalitet. Rikets säkerhet tar således inte enbart sikte på skyddet av det fysiska territoriet. Det avser också hävdandet av Sveriges suveränitet, vilket innebär att Sverige ska kunna bruka sin exklusiva frihet under det folkrättsliga regelverket, för att på det egna territoriet självständigt utöva statens funktioner, såväl vad avser statens inre som yttre förbindelser.
Frågan är nu hur tillämpningsområdet för säkerhetsskyddet bör avgränsas i en ny lag. Enligt regeringens uppfattning, vilken överensstämmer med utredningens och delas av flertalet remissinstanser, bör även fortsättningsvis gälla att endast sådana verksamheter som har ett kvalificerat skyddsbehov ska omfattas av säkerhetsskyddslagen. Det finns flera skäl som talar för ett sådant förhållningssätt. Ett skäl är att säkerhetsskyddslagen kan innebära att en verksamhetsutövare måste vidta relativt långtgående åtgärder för att skydda hemliga uppgifter eller annan säkerhetskänslig verksamhet. Säkerhetsskyddsåtgärderna kan vara kostsamma och medföra en extra administrativ påfrestning inom en organisation. Ett annat skäl är det som utredningen pekat på om att säkerhetsskyddsåtgärderna kan innebära intrång i enskildas integritet. Personal som ska ha tillgång till säkerhetsskyddsklassificerad information behöver t.ex. genomgå säkerhetsprövning och tillträde till vissa områden och byggnader kan vara begränsat till endast en del av de anställda. Det är därför lämpligt att lagstiftningen även fortsättningsvis ska omfatta endast de verksamheter som av särskilda skäl har behov av säkerhetsskyddande åtgärder. Behovet av skydd för verksamheter som inte anses ha ett så kvalificerat skyddsbehov men som ändå kan anses samhällsviktiga får i första hand tillgodoses genom annan kris- och skyddslagstiftning, t.ex. sådan vars primära syfte är att upprätthålla kontinuitet i samhällsviktig verksamhet. Skyddsbehovet kan också behöva tillgodoses genom annan lagstiftning, t.ex. i fråga om byggnormer och regler för konstruktion av föremål och byggnader.
Denna dag beslutades lagrådsremissen Informationssäkerhet för samhällsviktiga och digitala tjänster som bygger på förslagen i betänkandet med samma namn (SOU 2017:36). Lagrådsremissens förslag genomför det s.k. NIS-direktivet som fastställer åtgärder för att uppnå en hög gemensam nivå på säkerhet i nätverk och informationssystem inom unionen, i syfte att förbättra den inre marknadens funktion. Direktivet innebär att leverantörer av samhällsviktiga tjänster inom sektorerna energi, transporter, bankverksamhet, finansmarknadsinfrastruktur, hälso- och sjukvård, leverans och distribution av dricksvatten och digital infrastruktur samt leverantörer av digitala tjänster blir skyldiga att vidta säkerhetsåtgärder, förebygga och hantera incidenter i sina nätverk och informationssystem och rapportera incidenter som påverkar kontinuiteten i tjänsterna. Den kommande lagstiftningen som genomför NIS-direktivet i Sverige är ett exempel på sådan lagstiftning som tillgodoser skyddsbehovet för verksamhet som är samhällsviktig men som inte är så skyddsvärd att den berör Sveriges säkerhet.
Gränsdragningen mellan verksamheter som bör falla under säkerhetsskyddslagens tillämpningsområde och sådan verksamhet som av andra skäl är samhällsviktig är svårdefinierad. Uttrycket samhällsviktig verksamhet förekommer i ett flertal författningar. Statliga myndigheter är t.ex. enligt 8 § förordningen (2015:1052) om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap skyldiga att analysera sårbarheter, hot och risker inom myndighetens ansvarsområde och i samband med den analysen särskilt beakta att de mest nödvändiga funktionerna kan upprätthållas i samhällsviktig verksamhet. I propositionen Stärkt krisberedskap - för säkerhets skull (2007/08:92 s. 33) definieras samhällsviktig verksamhet som en verksamhet som uppfyller båda eller det ena av följande villkor.
* Ett bortfall av eller en svår störning i verksamheten kan ensamt eller tillsammans med motsvarande händelser i andra verksamheter på kort tid leda till att en allvarlig kris inträffar i samhället.
* Verksamheten är nödvändig eller mycket väsentlig för att en redan inträffad kris i samhället ska kunna hanteras så att skadeverkningarna blir så små som möjligt.
Med den definitionen omfattas ett mycket stort antal verksamheter. Verksamheter som bör omfattas av en ny säkerhetsskyddslag omfattas i regel av dessa kriterier, men karaktäriseras därutöver av att de har betydelse för Sveriges säkerhet ur ett nationellt perspektiv. Skälet för detta är att säkerhetsskyddslagen i första hand bör syfta till att skydda särskilt känsliga verksamheter mot antagonistiska angrepp, t.ex. spioneri, sabotage och terroristbrott. Detta brukar ibland åskådliggöras genom en pyramid över verksamheter i samhället där säkerhetsskyddslagens tillämpningsområde anges i pyramidens topp.
Denna skiss fyller en pedagogisk funktion för att förklara tillämpningsområdet men ger inte entydig ledning till vilka verksamheter som är de mest skyddsvärda i samhället. Det kan finnas verksamheter som generellt befinner sig långt från pyramidens topp men innehåller någon tillgång eller funktion som är i behov av säkerhetsskyddsåtgärder. Inom många verksamheter kan det därför, som Vattenfall AB har påpekat, vara så att endast en viss del, tillgång eller funktion omfattas av säkerhetsskyddslagens bestämmelser.
Hur kan det skyddsvärda området avgränsas?
Uttrycket rikets säkerhet har under de senaste åren utmönstrats ur flera författningar till förmån för uttrycket Sveriges säkerhet. Utredningen har föreslagit att den förändringen även ska göras i den nya säkerhetsskyddslagen. Flertalet remissinstanser, däribland Säkerhetspolisen, Försvarets materielverk, Riksarkivet, Länsstyrelsen i Västra Götalands län och Skåne läns Landsting, har tillstyrkt förslaget. Regeringen delar uppfattningen att rikets säkerhet också i fortsättningen ska avgränsa tillämpningsområdet för säkerhetsskyddslagen. När det gäller hur skyddsområdet ska uttryckas i framtiden instämmer regeringen i utredningens förslag att uttrycket, på motsvarande sätt som skett i annan lagstiftning, ska justeras språkligt till Sveriges säkerhet. Ett annat alternativ hade kunnat vara att använda nationell säkerhet som beskrivande rekvisit för avgränsning av lagens tillämpningsområde. Det uttrycket används i bl.a. 2 § radioutrustningslagen (2016:392), 2 § lagen (2015:1073) om särskilda åtgärder vid allvarlig fara för den allmänna ordningen eller inre säkerheten i landet och 4 § lagen (2013:329) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen. Gemensamt för dessa författningar är att de ofta bygger på olika EU-rättsakter där "national security" anges som ett undantag från EU-rättsaktens omfattning. Många gånger har uttrycket översatts till nationell säkerhet i samband med genomförandet av den aktuella EU-rättsakten. Uttrycket har dock ingen tydlig definition.
I samband med skärpningarna i den straffrättsliga reglering som rör skydd mot främmande makts underrättelseverksamhet anförde regeringen att det trots den etablerade definitionen av uttrycket rikets säkerhet ändå finns viss osäkerhet om uttryckets innebörd. Regeringen förklarade vidare att det åtminstone delvis hänger samman med att de förhållanden som är av betydelse för rikets säkerhet kan förändras över tiden, bl.a. i takt med samhällsutvecklingen. Dagens hotbild är mer komplex och föränderlig, vilket i sin tur har fört med sig att uppgifter hänförliga till förhållanden inom andra samhällssektorer än det militära försvaret kan vara av betydelse för rikets säkerhet. Vidare anfördes att den ökade internationaliseringen, och framför allt ett ökat internationellt samarbete inom det försvars- och säkerhetspolitiska området, har inneburit att Sverige är mer beroende av sina relationer till andra länder för att i vissa lägen upprätthålla skyddet för rikets säkerhet (prop. 2013/14:51 s. 20).
Regeringens bedömning är att de slutsatser som i samband med översynen av den straffrättsliga regleringen drogs om uttrycket Sveriges säkerhet fortfarande är giltiga. Uttrycket omfattar sådana övergripande nationella intressen och samhällsvärden som också en reformerad säkerhetsskyddslag bör skydda. Som utredningen konstaterat måste innebörden av uttrycket Sveriges säkerhet bedömas i ljuset av samhällsutvecklingen, vilket medför ett fokus på skydd av grundläggande samhällsfunktioner. En utvidgning mot den civila sektorn är också ett framträdande drag i säkerhetsskyddslagen. Samtidigt talar de senaste årens omvärldsutveckling och återupptagandet av planeringen för totalförsvaret för att det militära och civila försvaret alltjämt bör ses som en central del av lagstiftningens skyddsområde. Det är naturligt att behovet av säkerhetsskydd kan pendla över tid mellan olika skyddsintressen. Externa hot, t.ex. risk för sabotage, terroristbrott eller infiltration av främmande makt i samhällsviktig verksamhet, kan under viss tid vara faktorer som säkerhetsskyddet i högre grad behöver inriktas mot än t.ex. nationellt baserade säkerhetshot mot politiker, myndighetsföreträdare och andra representanter för det allmänna. Under andra perioder kan förhållandet vara det motsatta.
Behöver uttrycket Sveriges säkerhet definieras?
När det gäller lagstiftningens tillämpningsområde kan det övervägas om det i en ny säkerhetsskyddslag borde konkretiseras vad uttrycket Sveriges säkerhet kan avse. Utredningen har stannat för en beskrivning av tillämpningsområdet som endast utgår från Sveriges säkerhet, utan någon ytterligare exemplifiering av nationella säkerhetsintressen. Ett stort antal remissinstanser har invänt att uttrycket är svårtolkat och efterfrågat en närmare vägledning för vad som avses med uttrycket. Kriminalvården, MSB och Finansinspektionen har framfört att avsaknaden av en närmare definition av uttrycket Sveriges säkerhet kan innebära en risk för en inkonsekvent tolkning och tillämpning av lagen. Stockholms läns landsting har efterfrågat kriterier för vad som ska anses vara av betydelse för Sveriges säkerhet och Pensionsmyndigheten har framfört att det bör gå att ge mer detaljerad vägledning med exempel på vad som bör ingå och inte ingå i Sveriges säkerhet. Även från kommunalt håll har svårigheten i att avgöra vad i en verksamhet som faller inom ramen för Sveriges säkerhet uttryckts. Malmö kommun har t.ex. i sitt remissvar pekat på att utredningens förslag kommer att innebära ett stort behov av råd och stöd från Säkerhetspolisen och de säkerhetsskyddsstödjande myndigheterna (Affärsverket Svenska kraftnät, Transportstyrelsen, Post- och telestyrelsen och länsstyrelserna, se vidare avsnitt 13).
Frågan om vad som kan anses utgöra verksamhet av betydelse för Sveriges säkerhet är grundläggande för att lagstiftningen ska kunna tillämpas och att rätt skyddsnivå ska kunna uppnås i de allra mest skyddsvärda verksamheterna. Det är därför viktigt att den nya lagen ger bästa möjliga stöd för tillämparna att göra riktiga bedömningar. Regeringen anser dock, i likhet med utredningen, att det är svårt att konkretisera avgränsningen ytterligare. Att ange alla skyddsvärda verksamheter i författning är inte lämpligt eftersom det skulle riskera att ge främmande makt eller andra antagonistiska aktörer information om vilka de mest skyddsvärda verksamheterna i samhället är. Att formulera om uttrycket framstår också som problematiskt. Som utredningen anför riskerar den lösningen snarare att ge upphov till ytterligare gränsdragningsproblem. Erfarenheter från andra länder har inte visat att en sådan lösning skulle utesluta eventuell tolkningsproblematik.
Att, som Kammarrätten i Stockholm föreslår, lägga till uttrycket "övriga vitala nationella säkerhetsintressen" skulle medföra att ytterligare uttryck måste tolkas och förstås av lagens tillämpare vilket enligt regeringens mening riskerar att öka tillämpningssvårigheterna. I vissa svenska författningar och andra sammanhang används uttrycket Sveriges väsentliga säkerhetsintressen. Medan rikets säkerhet traditionellt använts för att ange svensk nationell säkerhet används väsentliga säkerhetsintressen inom EU-rätten för att avgränsa dess tillämpningsområde i förhållande till medlemsstaterna. Så har uttrycket också använts i svensk lagstiftning, t.ex. på upphandlingsområdet för att tydliggöra när bestämmelserna inte ska tillämpas.
Användningen av olika uttryck och avgränsningar med liknande syften i svensk rätt riskerar att göra området än mer svårtillämpat och otydligt. Sveriges säkerhet är ett etablerat uttryck som förekommer i annan lagstiftning och regeringen anser därför, trots vad många remissinstanser har anfört, att det är detta uttryck som bör användas för att avgränsa tillämpningsområdet i den nya lagen, utan att uttrycket behöver definieras närmare.
Även lokala eller regionala verksamheter kan ha betydelse för Sveriges säkerhet
Uttrycket Sveriges säkerhet kan leda tanken till att en förutsättning för att lagstiftningen ska vara tillämplig är att verksamheten har nationell betydelse. Att säkerhetsskyddslagens tillämpningsområde uteslutande ska bedömas utifrån ett nationellt perspektiv kan dock medföra problem. Östhammars kommun har i sitt remissvar lyft frågeställningen om t.ex. kommuners vattentorn kan anses vara av betydelse för Sveriges säkerhet. Frågeställningen visar tydligt på den svårighet som är förknippad med att bedöma om en viss verksamhet är skyddsvärd eller inte. En tolkning av uttrycket Sveriges säkerhet utifrån dess ordalydelse skulle kunna leda till att vattentorn och andra kommunala anläggningar anses falla utanför tillämpningsområdet eftersom det är svårt att förutse om otjänligt vatten i en eller ett par kommuner har någon inverkan på nationens säkerhet. Regeringen vill därför understryka att uttrycket inte ska tolkas så kategoriskt. Skyddsvärda verksamheter kan trots kravet på nationell betydelse finnas på regional eller till och med på lokal nivå. Som Sveriges Kommuner och Landsting (SKL) har anfört kan en lokal eller regional störning av dricksvattenförsörjningen påverka ett stort antal människor i en region, vilket i förlängningen kan få nationella följdverkningar. Det kan också tänkas att ett angrepp som riktas mot en verksamhet på en förhållandevis liten geografisk yta påverkar människor som har funktioner i andra verksamheter med direkt betydelse för Sveriges säkerhet. Även flera koordinerade, eller av varandra oberoende, angrepp som resulterar i störningar av samhällsviktiga funktioner på lokal eller regional nivå kan påverka Sveriges säkerhet, t.ex. genom att det bland befolkningen generellt sprids oro och misstro mot myndigheternas förmåga att hantera situationen. Dessa exempel på frågeställningar som en verksamhetsutövare måste ta ställning till visar att bedömningen av säkerhetsskyddslagens tillämpningsområde inte enbart kan ha sin grund i geografiska områden eller antalet medborgare som potentiellt kan drabbas av ett angrepp. Även potentiella följdverkningar av en händelse måste vägas in i bedömningen.
Hur avgörs om en verksamhet har betydelse för Sveriges säkerhet?
Grundläggande för såväl den nu gällande som den nya lagstiftningen är att ansvaret för identifiering och bedömning av behovet av säkerhetsskydd är knutet till verksamhetsutövaren. Att, som Finansinspektionen föreslagit, ge tillsynsmyndigheter ansvar och mandat att utifrån sin analys peka ut vilka verksamheter som omfattas av lagstiftningen är inte lämpligt. På samma sätt som gäller inom t.ex. kris- och beredskapslagstiftningen måste det vara den enskilde verksamhetsutövarens ansvar att hålla sig informerad och bedriva sin verksamhet enligt lagar och regler även på detta område. En annan sak är att Säkerhetspolisen, Försvarsmakten och de övriga tillsynsmyndigheterna genom föreskrifter, rekommendationer och rådgivning kan bidra till att underlätta arbetet med sådana frågeställningar för berörda verksamhetsutövare.
Som MSB har framfört behöver arbetet med säkerhetsskydd i princip föregås av ett aktivt ställningstagande från verksamhetsutövaren till frågan om man till någon del bedriver säkerhetskänslig verksamhet. Om verksamhetsutövaren landar i att så är fallet ska verksamhetsutövaren utreda behovet av säkerhetsskydd i en säkerhetsskyddsanalys (se mer om säkerhetsskyddsanalys i avsnitt 6). En verksamhetsutövares egen säkerhetsskyddsanalys fyller en mycket viktig funktion för att uppnå en väl avvägd nivå för säkerhetsskyddet.
Som många remissinstanser har påpekat kan det vara svårt att avgöra om en verksamhet, helt eller till viss del, har betydelse för Sveriges säkerhet. Med anledning av remissinstansernas kritik anser regeringen att det finns skäl att konkretisera olika faktorer som är av betydelse vid verksamhetsutövarens bedömning.
Utgångspunkten för bedömningen bör även fortsättningsvis vara uppdelningen i Sveriges yttre och inre säkerhet. En verksamhetsutövare måste därför inledningsvis fråga sig om verksamheten till någon del ryms inom dessa områden. Sveriges yttre säkerhet kan delas in i territoriell suveränitet och politisk självständighet. En viktig beståndsdel är den nationella försvarsförmågan av Sveriges territorium där Försvarsmakten har huvudansvaret. I den uppgiften ligger att kunna försvara Sverige och främja svensk säkerhet, upptäcka och avvisa kränkningar av det svenska territoriet samt värna om Sveriges suveräna rättigheter och nationella intressen inom Försvarsmaktens verksamhet i sin helhet. Utöver Försvarsmakten finns andra verksamheter, t.ex. inom försvarsindustrin, som är viktiga för det militära försvarets förmåga att utföra sitt uppdrag. Det rör sig exempelvis om verksamheter som bedriver forskning, utveckling och produktion av försvarsmateriel. Sveriges oberoende och handlingsfrihet, politisk självständighet, handlar om att upprätthålla förmågan att förebygga och avvärja brott enligt framför allt spionerilagstiftningen i 19 kap. brottsbalken. Säkerhetspolisen har huvudansvaret för denna uppgift.
Sveriges inre säkerhet rör påverkan på förmågan att upprätthålla och säkerställa Sveriges statsidé avseende funktion, handlingsfrihet och oberoende. Säkerhetsskyddet för Sveriges inre säkerhet handlar till stor del om att skydda särskilt kritiska anläggningar, funktioner och informationssystem för Sveriges demokratiska statsskick, rättsväsende eller brottsbekämpande förmåga.
Även så kallad samhällsviktig verksamhet kan bedömas röra Sveriges säkerhet. Verksamheter som både nationellt och internationellt definieras som samhällsviktiga finns ofta inom sektorerna energiförsörjning, livsmedelsförsörjning, elektroniska kommunikationer, vattenförsörjning, transporter och finansiella tjänster. Avgörande för om sådan verksamhet kan anses röra Sveriges säkerhet bör vara om en antagonistisk handling (exempelvis spioneri, sabotage eller terroristbrott) skulle kunna medföra skadekonsekvenser på nationell nivå. Sådana skadekonsekvenser kan t.ex. vara störningar i eller bortfall av leveranser, tjänster och funktioner som är nödvändiga för samhällets funktionalitet ur ett nationellt perspektiv. Exempelvis har elförsörjning en särställning genom sin direkta och indirekta påverkan på samhällets funktion och ett avbrott skulle även få allvarliga skadekonsekvenser i andra sektorer, såsom elektroniska kommunikationer och centrala betalningssystem. Vissa s.k. skade-genererande verksamheter kan också innebära direkta eller uppenbart indirekta konsekvenser för Sveriges säkerhet. Exempel på sådana skadegenererande verksamheter kan vara kärnteknisk verksamhet, dammar och vissa mikrobiologiska labb. Denna konsekvens kan uttryckas i att många människor förväntas dö eller skadas om en sådan anläggning utsätts för antagonistiska handlingar, vilket kan få allvarlig påverkan på annan samhällsviktig verksamhet ur nationellt perspektiv. Det kan även vara relevant att bedöma vissa verksamheter ur flera perspektiv, t.ex. kan en kraftverksdamm ha en kritisk funktion i elförsörjningssystemet samtidigt som dess skadegenererande effekter på annan samhällsviktig verksamhet kan vara allvarliga om den havererar som ett resultat av antagonistisk handling. Även verksamheter där en antagonistisk handling kan medföra direkt eller uppenbar påverkan på Sveriges ekonomi och betalningsförmåga på sådant sätt att Sverige inte fortsatt kan upprätthålla en nationell suveränitet kan anses gälla Sveriges säkerhet.
Ett annat skäl till att en verksamhet kan anses vara av betydelse för Sveriges säkerhet är om det där hanteras säkerhetsskyddsklassificerade uppgifter (se mer om säkerhetsskyddsklassificerade uppgifter i avsnitt 5.2). Så kan också vara fallet om verksamheten hanterar stora mängder information som inte är säkerhetsskyddsklassificerad, men som av andra skäl kan betraktas som säkerhetskänslig. Det kan vara fråga om uppgifter som samlats från olika allmänt tillgängliga källor men där den samlade uppgiftsmängden är nödvändig för andra aktörer i en klart säkerhetskänslig verksamhet. Sammanställningar av uppgifter från olika källor kan också göra att den sammanställda informationen kan anses utgöra säkerhetsskyddsklassificerade uppgifter även om informationen härrör från öppna källor. En större mängd av personuppgifter kan också utgöra en sådan ansamling av information som sett i dess sammanhang kan medföra att säkerhetsskyddslagens krav på informationssäkerhet ska tillämpas. Gemensamt för dessa exempel är att de innebär att den verksamhet där uppgifterna hanteras ska bedömas vara av betydelse för Sveriges säkerhet. Oftast torde det krävas en viss kritisk massa av uppgifter för att ansamlingen ska anses som säkerhetskänslig. Hur stor mängd uppgifter som ska anses utgöra sådan skyddsvärd verksamhet måste avgöras från fall till fall mot bakgrund av bl.a. vilken typ av uppgifter och verksamhet det är fråga om och vilken konsekvens det skulle kunna innebära om ansamlingen gjordes tillgänglig för utomstående.
Ett annat exempel på verksamhet som kan anses ha betydelse för Sveriges säkerhet är om en leverantör svarar för driftstjänster åt ett flertal myndigheter och leverantörens samlade uppdrag kan ha betydelse för Sveriges säkerhet. Även om de enskilda uppdragen inte anses som säkerhetskänsliga kan leverantörens samlade engagemang innebära risker för de myndigheter som den utför tjänster åt vid ett antagonistiskt angrepp, vilket i slutändan skulle leda till effekter för samhället i stort.
Det bör införas ett tydligare skydd för de utländska intressen som Sverige åtagit sig att skydda
En ny lag behöver också hantera hur det ökade internationella samarbetet som Sverige deltar i påverkar säkerhetsskyddet. Sambandet mellan skyddet av Sveriges säkerhet och skyddet av säkerhetsintressen hänförliga till andra stater och mellanfolkliga organisationer har som utredningen påpekat förstärkts sedan nuvarande lag infördes. Tydliga exempel på detta är medlemskapet i EU och Sveriges fördjupade samverkan med olika organisationer, bl.a. Nato. Utvecklingen innebär att det blir allt svårare att dra en gräns för vad som utgör svenska säkerhetsintressen. Det påverkar också synen på vad som är av betydelse för Sveriges säkerhet.
Sverige har ingått bilaterala säkerhetsskyddsavtal med ett trettiotal stater och multilaterala säkerhetsskyddsavtal med flera länder och mellan-folkliga organisationer, bl.a. Nato och det Europeiska rymdorganet (ESA). Även vid ingående av andra bilaterala eller multilaterala avtal kan ingångna säkerhetsskyddsavtal ha betydelse. Ett exempel på det är samför-ståndsavtalet med Nato om värdlandsstöd. Enligt det avtalet gäller att säkerhetsskyddsklassificerade uppgifter ska hanteras i enlighet med det säkerhetsskyddsavtal som Sverige och Nato tidigare har ingått. Dessa avtal innebär skyldigheter i fråga om säkerhetsskyddsåtgärder och medför också behov av en tydlig reglering av möjligheten att kunna utfärda säkerhets-intyg för personer och leverantörer som ska delta i verksamhet som omfattas av avtalen. Liknande skyldigheter finns också i för Sverige bindande EU-rättsakter och andra internationella regelverk inom bl.a. områdena hamnskydd och luftfartsskydd. I dessa sammanhang är enbart en hänvisning till Sveriges säkerhet oftast inte tillräcklig.
Regeringen delar utredningens uppfattning, vilken ingen remissinstans heller har invänt mot, att den nya lagen behöver innebära ett tydligare stöd för skyddsåtgärder avseende uppgifter som omfattas av internationella säkerhetsskyddsåtaganden. För att detta ska få ett tydligt genomslag i lagstiftningen bör det direkt i lagtext anges att säkerhetsskydd ska avse även verksamhet som omfattas av ett internationellt säkerhetsskydds-åtagande. Härigenom ges ett tydligare stöd för säkerhetsskydd avseende uppgifter som Sverige i förhållande till annan stat eller mellanfolklig organisation genom någon form av säkerhetsskyddsavtal har åtagit sig att skydda.
Journalistförbundet har anfört att säkerhetsskyddsavtal innebär en reglering av i vilken utsträckning uppgifterna från ett annat land får lämnas ut och särskilt påpekat att regleringar i form av s.k. originator control är oförenliga med svensk rätt. Förbundet har framfört att det i samband med riksdagens behandling av en av regeringen föreslagen lagändring i 15 kap. 1 a § OSL betonades att det var väsentligt att ändringen i OSL inte skulle leda till att intresset av att inte störa de internationella förpliktelserna i alltför stor utsträckning tar över intresset av att värna offentlig-hetsprincipen. Enligt Journalistförbundet gäller detta även för sådana säkerhetsskyddsavtal som nämns i utredningen. Med anledning av Journalistförbundets synpunkt är det viktigt att understryka att svenska myndigheter ska sträva efter att vidhålla den öppenhet som den svenska offentlighetsprincipen påkallar. Det internationella samarbetet medför dock att information i vissa fall måste hållas hemlig. I dessa fall finns utrymme att tillämpa 15 kap. 1 a § OSL som avser uppgifter som en myndighet har fått från ett utländskt organ på grund av en bindande EU-rättsakt eller ett av EU ingånget eller av riksdagen godkänt avtal med en annan stat eller med en mellanfolklig organisation. I dessa fall gäller sekretess om det kan antas att Sveriges möjlighet att delta i det internationella samarbete som avses i rättsakten eller avtalet försämras om uppgiften röjs. Sekretess gäller också enligt bestämmelsen för uppgift som en myndighet har inhämtat i syfte att överlämna den till ett utländskt organ i enlighet med en sådan rättsakt eller ett sådant avtal som avses i första stycket.
Säkerhetskänslig verksamhet - en samlande benämning för lagens tillämpningsområde
Lagen ska alltså gälla för verksamhet som är av betydelse för Sveriges säkerhet eller som omfattas av internationella säkerhetsskyddsåtaganden. I likhet med utredningen anser regeringen att de skyddsintressen som lagen tar sikte på bör anges i ett gemensamt uttryck. I dag används i säkerhetsskyddsförordningen uttrycket säkerhetskänslig verksamhet. Det definieras i 4 § 3 säkerhetsskyddsförordningen som verksamhet av betydelse för rikets säkerhet men används mycket sparsamt i förordningen. Som utredningen konstaterat bör dock uttrycket kunna ges en vidare innebörd och innefatta lagens skyddsintressen i dess helhet. Med säkerhetskänslig verksamhet bör således avses verksamhet som är av betydelse för Sveriges säkerhet eller som omfattas av ett för Sverige förpliktande internationellt åtagande om säkerhetsskydd. Ekobrottsmyndighetens och Skatteverkets förslag om att byta ut uttrycket säkerhetskänslig verksamhet mot säkerhetsskyddskänslig verksamhet skulle medföra att benämningen tydligare knöts till säkerhetsskyddslagen vilket möjligen skulle kunna förenkla tillämpningen. Regeringen anser dock att uttrycket säkerhetskänslig verksamhet är väl inarbetat i säkerhetsskyddssammanhang och därför bör behållas i den nya lagstiftningen. Den verksamhet som lagstiftningen ska skydda bör alltså benämnas säkerhetskänslig verksamhet.
Lagen ska gälla i alla verksamheter
Den nu gällande säkerhetsskyddslagen gäller enligt 1 § vid verksamhet hos
* staten, kommunerna och landstingen,
* aktiebolag, handelsbolag, föreningar och stiftelser över vilka staten, kommuner eller landsting utövar ett rättsligt bestämmande inflytande, och
* enskilda, om verksamheten är av betydelse för rikets säkerhet eller särskilt behöver skyddas mot terrorism.
Utredningen har föreslagit att regleringen avseende vilka verksamheter som lagen gäller för ska förenklas. Eftersom det enligt utredningens mening inte finns något behov av att göra en uppdelning mellan företagsformer över vilka det allmänna har ett rättsligt bestämmande inflytande och företagsformer där ett sådant inflytande inte finns, föreslås den nya lagen gälla för all verksamhet hos staten, kommuner, landsting och enskilda som är av betydelse för Sveriges säkerhet eller som omfattas av ett internationellt säkerhetsskyddsåtagande (säkerhetskänslig verksamhet). Ingen remissinstans har invänt mot förslaget i denna del.
Säkerhetsskyddslagens huvudsakliga funktion är att säkerställa ett skydd för de verksamheter som är allra mest skyddsvärda för nationen. Den typen av verksamhet kan finnas i såväl offentlig som enskild regi och det saknas skäl att göra skillnader i lagens tillämpningsområde beroende på verksamhetsform. Regeringen delar utredningens bedömning att det tydligt bör framgå av lagen att den gäller för alla typer av verksamheter som bedriver säkerhetskänslig verksamhet. Till skillnad från utredningen anser regeringen att det inte behöver anges i lagtext att regleringen ska gälla för stat, kommuner, landsting och enskilda utan att det i stället bör anges att regleringen gäller för den som till någon del bedriver verksamhet som är av betydelse för Sveriges säkerhet eller som omfattas av ett för Sverige förpliktande internationellt åtagande om säkerhetsskydd. Förslaget innebär i sak detsamma som utredningens förslag.
Verksamheter som särskilt behöver skyddas mot terrorism innefattas i uttrycket Sveriges säkerhet
Enligt 6 § nuvarande säkerhetsskyddslag avses med säkerhetsskydd dels skydd mot vissa brott som kan hota rikets säkerhet, dels skydd i andra fall av uppgifter som omfattas av sekretess enligt OSL och som rör rikets säkerhet. Därutöver avses även skydd mot terroristbrott, även om brotten inte hotar rikets säkerhet. Regleringen bygger på bedömningen att terroristbrott, oavsett om de utgör ett hot mot rikets säkerhet eller inte, innebär ett angrepp på de politiska spelreglerna i samhället och att skydd mot terrorism i vart fall kan anses ligga nära värnet om rikets säkerhet (prop. 1995/96:129 s. 25).
Utredningen har föreslagit att tillägget om terrorism ska tas bort ur lagstiftningen. Som skäl har utredningen angett att tillägget i beskrivningen av den nuvarande lagens tillämpningsområde medför en otydlighet i förhållande till uttrycket Sveriges säkerhet och att det numera inte behövs en åtskillnad mellan verksamheter av betydelse för rikets säkerhet och verksamheter som särskilt behöver skyddas mot terrorism. Uttrycket Sveriges säkerhet bör i princip vara tillräckligt för att täcka in även sådana skyddsvärda verksamheter som bestämmelserna om säkerhetsskydd till skydd mot terrorism tar sikte på. Denna uppfattning delas av bl.a. Säkerhetspolisen. Ett antal remissinstanser har dock framfört synpunkter på utredningens förslag. Sveriges Kommuner och Landsting (SKL) samt Stockholms läns landsting har t.ex. anfört att utredningens förslag kommer att begränsa möjligheterna för kommuner och landsting att tillämpa säkerhetsskyddslagen på vissa verksamheter som kan vara hotade av terrorism. Dessa remissinstanser menar att det i deras verksamheter kan förekomma anläggningar som inte anses vara del i verksamhet som gäller Sveriges säkerhet, men som ändå kan behöva skyddas mot terrorism på grund av att de är samhällsviktiga.
Regeringen delar utredningens uppfattning att det finns goda skäl att ta bort tillägget om terrorism i en ny säkerhetsskyddslag. Skydd mot terrorism hör till frågan mot vad det behövs ett skydd och bör inte ingå i beskrivningen av vad som ska skyddas. Enligt förslaget till ny lag ska säkerhetsskydd, utöver skydd av verksamheter som hanterar säkerhetsskyddsklassificerade uppgifter, även riktas mot verksamheter som av annan anledning behöver säkerhetsskydd, dvs. i övrigt säkerhetskänslig verksamhet. Dessa verksamheter motsvaras delvis av de verksamheter som i dag skyddas inom ramen för skydd mot terrorism, vilket i huvudsak är verksamheter som bedrivs vid skyddsobjekt enligt skyddslagen. Det skyddsvärda området bör dock inte avgränsas genom regleringen om skyddsobjekt utan även omfatta annan säkerhetskänslig verksamhet för vilken skyddslagen inte är tillämplig, t.ex. hantering av informations-system. Syftet med den nya lagstiftningen är inte att snäva in det skyddsvärda området utan att ge det en vidare och tydligare ram än tidigare. Sammanfattningsvis bedömer regeringen att uttrycket Sveriges säkerhet är tillräckligt för att täcka in även sådana särskilt skyddsvärda verksamheter som bestämmelserna om säkerhetsskydd till skydd mot terrorism tar sikte på.
Säkerhetsskyddet bör inte heller i den nya lagen omfatta skydd mot terrorism för sådana verksamheter som inte är säkerhetskänsliga. Samhällets arbete med att förebygga, förhindra och försvåra terrorism som inte riktas mot säkerhetskänslig verksamhet bör i stället genomföras på annat sätt.
5.2 Vad avses med säkerhetsskydd?
Regeringens förslag: Med säkerhetsskydd avses skydd av säkerhetskänslig verksamhet mot spioneri, sabotage, terroristbrott och andra brott som kan hota verksamheten samt skydd i andra fall av säkerhetsskyddsklassificerade uppgifter. Med säkerhetsskydds-klassificerade uppgifter avses uppgifter som rör säkerhetskänslig verksamhet och som av den anledningen omfattas av sekretess enligt offentlighets- och sekretesslagen eller som skulle ha omfattats av sekretess enligt den lagen, om den hade varit tillämplig.
Utredningens förslag: Överensstämmer med regeringens förslag.
Remissinstanserna: Flertalet remissinstanser har inte några invändningar mot förslaget. Statens servicecenter och Riksgäldskontoret anser att det bör förtydligas att det med uttrycket säkerhetsskydd avses skydd mot antagonistiska hot.
Försvarets materielverk anför att definitionen av säkerhetsskydds-klassificerade uppgifter är svår att begripa och sannolikt även att tillämpa i praktiken. Att införa ett slags fiktiv offentlighets- och sekretessprövning i syfte att omfatta även tillgänglighet och riktighet blir svårbegripligt och svårtillämpbart. Bedömningar kommer göras inom vitt skilda organisa-tioner med olika resurser och kunskap, vilket kan få till följd att någon enhetlig och överblickbar praxis inte kommer att råda. Ekobrottsmyndigheten anser att det är absolut avgörande för den nya lagens tillämpning vilka typer av sekretessreglerade uppgifter som ska anses falla in i kategorin säkerhetskyddsklassificerade uppgifter. För att avgöra detta krävs enligt myndighetens mening att vad som är av betydelse för Sveriges säkerhet eller internationella säkerhetsskyddsåtaganden på något sätt ramas in eller definieras. Otydlighet i denna fråga riskerar att kullkasta arbetet med samordning och samsyn inom säkerhetsskyddsområdet samt kan leda till att mycket omfattande mängder information, inom exempelvis rättsväsendet, ges ett säkerhetsskydd i strid med lagstiftarens intentioner. Detta skulle i så fall medföra onödiga kostnader samt omotiverade integritetsingrepp. Förvaltningsrätten i Stockholm konstaterar att uttrycket säkerhetsskyddsklassificerade finns i lagen (2011:1029) om upphandling på försvars- och säkerhetsområdet, förkortad LUFS, och påpekar att flera definitioner av ett uttryck i olika författningar kan ge upphov till tolknings- och tillämpningsproblem.
Skälen för regeringens förslag
Lagstiftningen bör även fortsättningsvis ge ett skydd mot antagonistiska hot
I nuvarande 6 § säkerhetsskyddslagen anges mot vilka företeelser ett skydd behövs. Bestämmelsen anger bl.a. att säkerhetsskyddet ska förebygga spioneri, sabotage och andra brott som kan hota rikets säkerhet samt terroristbrott, även om brotten inte hotar rikets säkerhet.
Säkerhetsskydd innebär, som angetts tidigare, olägenheter bl.a. i form av intrång i enskildas privatliv, ökade kostnader och negativa konse-kvenser för effektivitet och administration. Det finns därför skäl att begränsa lagen till att avse sådana hot som på grund av sin karaktär kan motivera och stå i proportion till sådana negativa effekter. Ingen remissinstans har invänt mot utredningens bedömning att det även av en reformerad säkerhetsskyddslag bör framgå att det som lagen ska skydda mot i första hand är antagonistiska hot som spioneri, sabotage och terroristbrott. Regeringen delar bedömningen och har svårt att, i enlighet med synpunkterna från Statens servicecenter och Riksgäldskontoret, se att detta kan förtydligas ytterligare utöver att det anges i lagtexten. När det gäller terroristbrott har det konstaterats ovan att det saknas skäl att låta detta hot ha en särställning på ett sådant sätt som det har i nuvarande lagstiftning. Terroristbrott bör i stället läggas till i den generella exemplifieringen av brott som lagen ska skydda mot.
Enligt utredningens förslag ska lagen också syfta till att skydda säkerhetskänslig verksamhet mot andra brott som kan ge konsekvenser för Sveriges säkerhet, även om detta inte varit brottets primära syfte. Detta överensstämmer med gällande reglering. Det kan röra sig om t.ex. förmögenhetsbrott, dataintrång, olaga intrång eller skadegörelse. Utred-ningen anger som exempel att en stöld av datorer i ett luftövervakningssystem kan medföra begränsningar i skyddet av Sveriges territorium trots att detta inte var avsikten med stölden. Ingen remissinstans har invänt mot förslaget i denna del. Med hänsyn till det höga skyddsvärdet hos den verksamhet som lagen gäller för delar regeringen utredningens bedömning och anser att säkerhetsskyddsåtgärder även fortsättningsvis bör syfta till att skydda mot alla typer av brott som på något sätt kan hota Sveriges säkerhet.
Skyddet för sekretessbelagda uppgifter som gäller rikets säkerhet behöver utvidgas
I 6 § 2 nuvarande säkerhetsskyddslag anges att med säkerhetsskydd avses även skydd i andra fall av uppgifter som omfattas av sekretess och rör rikets säkerhet. Syftet med bestämmelsen är att ge skydd inte bara mot brott som kan hota rikets säkerhet utan också skydd i andra fall av sekre-tessbelagda uppgifter som rör rikets säkerhet.
Säkerhetsskyddet är i dag i hög grad inriktat mot ett skydd för hemliga uppgifter. Med hemliga uppgifter avses i säkerhetsskyddsförordningen uppgifter som omfattas av sekretess enligt OSL och som rör rikets säkerhet. Säkerhetsskyddsåtgärderna informationssäkerhet, tillträdesbe-gränsning och säkerhetsprövning syftar alla till att förebygga att hemliga uppgifter röjs, ändras eller förstörs. Bestämmelserna om säkerhetsskydd med inriktning mot skydd av hemliga uppgifter kompletteras i dag genom bestämmelser om säkerhetsskydd för verksamheter som särskilt behöver skyddas mot terrorism. Tillämpningsområdet i fråga om sådant säkerhets-skydd avgränsas, i vart fall i fråga om möjligheter till registerkontroll, i hög grad till verksamhet som bedrivs vid skyddsobjekt enligt skyddslagen.
Regeringen delar utredningens uppfattning att nuvarande lagstiftning, med en tydlig koppling till bestämmelser om sekretess, har brister. Hänvisningen till bestämmelser om sekretess som rör rikets säkerhet medför i och för sig att en avsevärd delmängd av vad som är mest skyddsvärt för nationen kan avgränsas förhållandevis enkelt och tydligt, men innebär samtidigt att tillämpningsområdet tenderar att bli för snävt i flera avseenden. Ett problem med nuvarande lagstiftning är den begränsade möjligheten att ställa krav på säkerhetsskydd i enskilda verksamheter. Kopplingen till OSL innebär att säkerhetsskydd främst är en angelägenhet för myndigheter och andra offentliga organ för vilka den lagen gäller. Genom de omfattande avregleringar av offentlig verksamhet som skett i Sverige under de senaste decennierna bedrivs i dag verksamhet som gäller Sveriges säkerhet i relativt stor utsträckning även i enskild regi. Ett annat problem är att lagen inte enbart bör ge skydd för Sveriges säkerhet utan också borde omfatta sådana förpliktelser som följer av Sveriges internationella åtaganden. Regeringen bedömer att en reformerad säker-hetsskyddslag behöver ge ett större utrymme för och vara tydligare när det gäller skydd av uppgifter i all säkerhetskänslig verksamhet.
Regeringen instämmer i utredningens slutsats att hänvisningen till OSL är grundläggande för att identifiera uppgifter som behöver omfattas av krav på säkerhetsskydd. Som utredningen har anfört är det svårt att se några lämpliga alternativ till den identifiering av känsliga uppgifter som behövs. Ett alternativ är det system som enligt utredningen används i Tjeckien. Där sker identifiering och klassificering av känsliga uppgifter på nationell nivå och anges i förordningstext. Det finns som utredningen konstaterar flera argument mot att välja en sådan lösning. Dels riskerar det att få en cementerande verkan på vad som ska anses vara särskilt skyddsvärt, dels är det varken möjligt eller önskvärt att utforma en uttömmande lista över vad som är skyddsvärt för nationen. Ett avgörande skäl för att inte välja en sådan lösning är dock att ett sådant förfarande skulle stå i strid med den grundläggande tanken bakom säkerhetsskyddslagen. Identifiering och klassificering av känsliga uppgifter måste i första hand göras på verksamhetsnivå och också kontinuerligt omprövas och uppdateras. Den säkerhetsskyddsanalys som myndigheter och andra ska utföra är en viktig komponent för att säkerhetsskyddet därigenom ska träffa rätt och få en väl avvägd omfattning.
Som utredningen har konstaterat medför hänvisningen till OSL i nuvarande säkerhetsskyddslag en begränsning i fråga om krav på säkerhetsskydd när uppgifter som är av betydelse för Sveriges säkerhet eller som ska skyddas enligt internationella säkerhetsskyddsåtaganden förekommer i andra verksamheter än sådana där bestämmelser om sekretess gäller. Detta förhållande i kombination med att säkerhetskänsliga uppgifter i allt högre grad förekommer i enskild verksamhet medför allvarlig risk för ett otillräckligt skydd för förhållanden som kan vara av stor betydelse för den nationella säkerheten. Regeringen anser i likhet med utredningen att det bör införas ett tillägg om att säkerhetsskydd inte endast avser skydd för uppgifter som omfattas av sekretess enligt OSL utan också för uppgifter som skulle ha omfattats av sekretess om uppgiften förekommit i verksamhet där bestämmelserna om sekretess i OSL gäller. Genom tillägget tydliggörs att säkerhetsskyddslagen ska tillämpas i såväl allmän som enskild verksamhet.
Förslaget innebär att en enskild verksamhetsutövare som inte omfattas av OSL ska bedöma om uppgifterna i verksamheten är sådana att säkerhetsskyddslagen är tillämplig på verksamheten. Verksamhetsutövaren behöver alltså enligt förslaget göra en fiktiv sekretessbedömning. Särskilt relevant för vägledning i fråga om vilka uppgifter som till sin natur medför krav på säkerhetsskydd är den s.k. försvarssekretessen i 15 kap. 2 § OSL. Paragrafen gäller för uppgift som rör verksamhet för att försvara landet eller planläggning eller annan förberedelse av sådan verksamhet eller som i övrigt rör totalförsvaret, om det kan antas att det skadar landets försvar eller på annat sätt vållar fara för rikets säkerhet om uppgiften röjs. Enskilda aktörer som bedriver verksamhet som har betydelse för totalförsvaret torde därför många gånger omfattas av kraven i säkerhetsskyddslagen till någon del. Även andra sekretessbestämmelser som delvis överlappar försvarssekretessen bör kunna tjäna som vägledning till vilka förhållanden som är av betydelse för Sveriges säkerhet. Känsliga uppgifter som ska skyddas enligt ett internationellt säkerhetsskyddsåtagande omfattas i regel av bestämmelser om sekretess i förhållande till annan stat eller mellanfolklig organisation, den s.k. utrikessekretessen i 15 kap. 1 § OSL. Även andra bestämmelser om sekretess kan vara tillämpliga på denna typ av uppgifter, t.ex. bestämmelsen i 15 kap. 1 a § OSL om sekretess i det internationella samarbetet och, i vissa fall, bestämmelsen om förundersökningssekretess i 18 kap. 1 § och om underrättelseverksamhet i 18 kap. 2 § OSL.
Ett upplägg som innebär att krav på säkerhetsskydd ska gälla inte bara för sekretessbelagda uppgifter i offentlig verksamhet utan även för uppgifter som skulle ha omfattats av sekretess om de förekommit i en verksamhet där OSL gäller är emellertid inte utan invändningar. Detta har påpekats av Försvarets materielverk, som har anfört att definitionen av säkerhetsskyddsklassificerade uppgifter är svår att begripa och sannolikt även att tillämpa i praktiken. Det är ofrånkomligt att bedömningen av om en viss uppgift skulle ha omfattats av sekretess om den förekommit i offentlig verksamhet kan vara svår att göra för enskilda verksamhetsutövare som i övrigt inte har att tillämpa OSL. Regeringen konstaterar dock att det även i annan lagstiftning förekommer att enskilda måste tillämpa sekretessbestämmelser trots att de inte omfattas av den lagstiftningen. Så är exempelvis fallet enligt 27 § personuppgiftslagen (1998:204) där det regleras att en personuppgiftsansvarig som inte är en myndighet i vissa fall får vägra att lämna ut information till registrerade i motsvarande fall som avses i OSL.
Den problematik som den föreslagna bestämmelsen kan komma att ge upphov till får enligt regeringens uppfattning lösas i samverkan med Säkerhetspolisen, Försvarsmakten och de övriga tillsynsmyndigheterna. Eftersom avsikten i huvudsak inte är att ändra eller utvidga kopplingen till vilka bestämmelser i OSL som kan vara relevanta vid bedömningen anser regeringen, till skillnad från vad Ekobrottsmyndigheten anför, inte att det finns anledning att särskilt ange vilken typ av sekretessbelagda uppgifter som omfattas.
Uppgifter som ska skyddas ska betecknas säkerhetsskyddsklassificerade uppgifter
Utredningen har föreslagit att de uppgifter för vilka krav på säkerhetsskydd ska gälla ska sammanfattas i ett gemensamt uttryck, "säkerhetsskyddsklassificerade uppgifter". Uttrycket används bl.a. som översättning av det engelska uttrycket classified information i den officiella översättningen av rådets beslut av den 23 september 2013 om säkerhetsbestämmelser för skydd av säkerhetsskyddsklassificerade EU-uppgifter (2013/488/EU). Uttrycket används också i lagen (2011:1029) om upphandling på försvars- och säkerhetsområdet, förkortad LUFS. Som utredningen pekat på är det därför logiskt att samma uttryck används i en ny säkerhetsskyddslag. Därvid måste dock, som Förvaltningsrätten i Stockholm har framfört, beaktas att definitionen i förslaget avviker från hur uttrycket definieras i 2 kap. 22 § LUFS. Där avses med säkerhetsskyddsklassificerade uppgifter "information och material oavsett form, karaktär eller överföringsteknik som omfattas av krav på en viss säkerhetsnivå eller en viss skyddsnivå och som med hänsyn till rikets säkerhet enligt lagar och andra författningar måste skyddas mot intrång, förstörelse, avlägsnande, spridning, förlust eller åtkomst av någon obehörig person, eller någon annan typ av risk". Denna definition är hämtad från direktivet 2009/81/EG om samordning av förfarandena vid tilldelning av vissa kontrakt för byggentreprenader, varor och tjänster av upphandlande myndigheter och enheter på försvars- och säkerhetsområdet (LUFS-direktivet). Utredningen har utförligt (s. 438 f.) resonerat kring användandet av en annan definition för säkerhetsskyddsklassificerade uppgifter än den som används i LUFS och dragit slutsatsen att de uttryck som föreslås i den reformerade säkerhetsskyddslagen måste anses ha samma innebörd som i LUFS-direktivet. Regeringen instämmer i Förvaltningsrätten i Stockholms synpunkt att flera definitioner av ett uttryck i olika författningar kan ge upphov till tolknings- och tillämpningsproblem. När det gäller förhållandet mellan säkerhetsskyddslagen och LUFS medför dock den hänvisning till säkerhetsskyddslagen som nu införs i 2 kap. 22 § LUFS att risken för feltolkningar undanröjs. Regeringens bedömning utvecklas i avsnitt 9.2.
Sammanfattningsvis anser regeringen att det även i en reformerad säkerhetsskyddslag bör finnas en bestämmelse liknande nuvarande 6 § 2. Det kan tilläggas att digitaliseringen av information medfört att det i dag utöver skydd mot röjande, ändrande och förstörande också handlar om ett
skydd mot att uppgifterna görs otillgängliga.
6 Verksamhetsutövarens skyldigheter
Regeringens förslag: Den som bedriver säkerhetskänslig verksamhet ska utreda behovet av säkerhetsskydd (säkerhetsskyddsanalys). Analysen ska dokumenteras.
Med utgångspunkt i analysen ska verksamhetsutövaren planera och vidta de säkerhetsskyddsåtgärder som behövs med hänsyn till verksamhetens art och omfattning, förekomst av säkerhetsskyddsklassificerade uppgifter och övriga omständigheter.
Verksamhetsutövaren ska även kontrollera säkerhetsskyddet i den egna verksamheten, anmäla och rapportera sådant som är av vikt för säkerhetsskyddet och i övrigt vidta de åtgärder som krävs enligt den nya säkerhetsskyddslagen.
Så långt det är möjligt ska säkerhetsskyddsåtgärderna utformas så att de inte medför skada eller annan olägenhet för andra allmänna eller enskilda intressen.
Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om vad som krävs för att verksamhetsutövarna ska fullgöra sina skyldigheter avseende säkerhetsskyddsanalys, anmälan och rapportering, säkerhetsskyddsåtgärder, säkerhetsskydds-klassificering samt säkerhetsskyddsavtal.
Utredningens förslag: Överensstämmer i huvudsak med regeringens förslag. I utredningens förslag anges dock att skyldigheterna gäller för den som är ansvarig för en säkerhetskänslig verksamhet.
Remissinstanserna: Kammarrätten i Stockholm anser att uttrycket "den som är ansvarig för en säkerhetskänslig verksamhet" bör klargöras genom ett förtydligat krav på verksamheterna att i interna föreskrifter eller instruktioner tydligt peka ut en ansvarig. Statens inspektion för försvarsunderrättelseverksamheten anmärker att det bör framgå av den nya lagen att även den som är ansvarig eller utövar kontrollverksamhet för verksamheter som hanterar säkerhetsskyddsklassificerade uppgifter omfattas av skyldigheterna enligt nya lagen. När det gäller säkerhetsskyddsanalys framför Kriminalvården, Försvarets materielverk, Försvarsexportmyndigheten, Skåne läns landsting, Norrbottens läns landsting och Vattenfall AB att det är positivt att ett krav på säkerhetsskyddsanalys förs in i den nya säkerhetsskyddslagen. Skåne läns landsting anger att man stödjer betänkandets resonemang kring genomförandet av säkerhetsskyddsanalyser och att denna analys särskilt bör lyftas fram som en viktig del av säkerhetsskyddsarbetet. Statens servicecenter anser att uttrycket säkerhetsskyddsanalys bidrar till ett förtydligande av vad en sådan analys ska omfatta jämfört med det nu rådande uttrycket säkerhetsanalys. Riksarkivet bedömer att det är viktigt och relevant att med jämna mellanrum göra uppdaterade säkerhetsskyddsanalyser. Almega Säkerhetsföretagen ser en risk med att brister och variationer i hur analyser genomförs och följs upp kan öka och förvärras om inte verksamhetsansvaret tydligt åtföljs av tillsyn och stöttning. En enhetlig tillämpning och systematik är nödvändig för att säkerställa legitimiteten avseende kontrollen av personal och de säkerhetsskyddsstödjande myndigheterna bör även här ges en viktig uppgift i att lägga grund för samsyn och likställda krav. Försvarsexport-myndigheten understryker vikten av att kravställd kvalificerad personal (säkerhetschef alternativt säkerhetsskyddschef) utför alla former av analyser inom säkerhetsskydd. Vidare framhåller myndigheten att säkerhetshotbedömningen är av betydelse i arbetet med att ta fram en säkerhetsanalys, varför Säkerhetspolisens och Försvarsmaktens uppgift bör förtydligas avseende ansvar att förmedla hotbild till de verksamheter som är av betydelse för Sveriges säkerhet och som omfattas av säkerhets-skyddslagen.
Skälen för regeringens förslag
Tydligare regler om vilka skyldigheter lagen innebär
Säkerhetsskyddslagen innebär skyldigheter i olika avseenden för myndigheter, kommuner, landsting och enskilda verksamhetsutövare. Skyldigheterna framgår både explicit och indirekt av den nuvarande säkerhetsskyddslagen och den tillhörande förordningen. Kravet på att genomföra en säkerhetsanalys för att identifiera vad som ska omges av ett säkerhetsskydd anges i 5 § säkerhetsskyddsförordningen. Att den som omfattas av lagen är skyldig att vidta säkerhetsskyddsåtgärder framgår endast indirekt av 5 § säkerhetsskyddslagen. I bestämmelsen anges att i verksamhet där lagen gäller ska det säkerhetsskydd finnas som behövs med hänsyn till verksamhetens art, omfattning och övriga omständlig-heter. Vad säkerhetsskydd innebär och syftar till framgår av de efterföljande lagbestämmelserna. I lagen regleras också krav på att träffa säkerhetsskyddsavtal vid upphandling (8 §), krav på att göra säkerhets-prövning av personal (11 §) samt att utföra intern utbildning och kontroll (30 §). I säkerhetsskyddsförordningen finns bl.a. bestämmelser som närmare reglerar krav på informationssäkerhetsåtgärder (10-13 §§).
Utredningen har i betänkandet föreslagit att det i den nya säkerhetsskyddslagen ska finnas en bestämmelse som anger de grundläggande skyldigheterna för den som ansvarar för en säkerhetskänslig verksamhet. Den ansvarige ska enligt förslaget utreda behovet av säkerhetsskydd, vidta säkerhetsskyddsåtgärder och kontrollera det egna säkerhetsskyddet. Flera remissinstanser, bl.a. Länsstyrelsen i Stockholms län, är positiva till förtydligandet av vilka skyldigheter som ankommer på ansvariga för en säkerhetskänslig verksamhet.
Regeringen anser i likhet med utredningen att det bör vara tydligt vilka krav som ställs på verksamhetsutövarna. Den omständigheten att säkerhetsskyddslagen nu i större omfattning än tidigare kommer att gälla för enskilda innebär också att det är än mer angeläget att skyldigheterna framgår i lag. Sammanfattningsvis delar regeringen därför utredningens bedömning att det bör införas en särskild bestämmelse som anger vilka skyldigheter som gäller för den som omfattas av lagen. I den utsträckning som en tillsynsmyndighet tar befattning med säkerhetsskyddsklassificerade uppgifter hos en annan myndighet inom ramen för sitt uppdrag kommer även tillsynsmyndigheten att omfattas av lagens bestämmelser. Detta behöver dock inte, som Statens inspektion för försvarsunderrättelseverksamheten har föreslagit, anges särskilt i lagen. Nedan övervägs vilka skyldigheter det är som behöver komma till uttryck i lag.
Säkerhetsskyddsanalys
I nuvarande säkerhetsskyddsförordning (5 §) anges att myndigheter och andra som förordningen gäller för ska göra vissa undersökningar och att resultatet av undersökningen (säkerhetsanalys) ska dokumenteras. Utredningen har framhållit säkerhetsskyddsanalysens betydelse för säkerhetsskyddet och föreslagit att den är en av de skyldigheter som bör anges i lag. Flera remissinstanser, bl.a. Kriminalvården, Försvarets materielverk, Försvarsexportmyndigheten, Skåne läns landsting, Norrbottens läns landsting och Vattenfall AB anför att det är positivt att ett krav på säkerhetsskyddsanalys förs in i lagen.
Regeringen delar utredningens och remissinstansernas uppfattning. Säkerhetsskyddsanalysen är kärnan i ett väl anpassat säkerhetsskydd, för att identifiera skyddsvärde, hot och sårbarheter i en säkerhetskänslig verksamhet. Det är bedömningarna i säkerhetsskyddsanalysen som motiverar de säkerhetsskyddsåtgärder som vidtas och säkerställer att de hänger ihop i ett väl fungerande säkerhetsskyddssystem. Syftet med säkerhetsskyddsanalysen är vidare att tydliggöra vilka typer av hot och sårbarheter de föreslagna säkerhetsskyddsåtgärderna ska skydda mot och vilka negativa konsekvenser ett angrepp kan medföra. I säkerhetsskyddsanalysen bör det identifieras vilka säkerhetsskyddsklassificerade uppgifter som finns i verksamheten och vad som i övrigt behöver ett säkerhetsskydd. Det bör därefter göras en bedömning av säkerhetshot, potentiella konsekvenser och sårbarheter. Analysen ska dokumenteras och mynna ut i en bedömning av behovet av säkerhetsskyddsåtgärder. Arbetet med säkerhetsskyddsanalysen bör vara en kontinuerligt pågående process och analysen bör hållas uppdaterad. I arbetet med säkerhetsskyddsanalysen bör den information som redan finns i organisationen på risk- och sårbarhetsområdet tas till vara. Samordning bör ske med andra risk- och sårbarhetsanalyser i verksamheten.
För att tydliggöra att det är säkerhetsskyddet som ska vara föremål för analysen anser regeringen att termen säkerhetsskyddsanalys bör användas, i stället för dagens benämning säkerhetsanalys. Denna uppfattning delas även av flera remissinstanser, t.ex. Statens servicecenter. Med termen särskiljs även säkerhetsskyddsregleringens säkerhetsskyddsanalys från andra risk- och sårbarhetsanalyser.
En förutsättning för att säkerhetsskyddsanalysen ska bli korrekt och relevant är att de verksamheter som utför analysen får stöd i sitt arbete. Detta framförs av flera remissinstanser, t.ex. Karlskrona kommun, Livsmedelsverket och Försvarsexportmyndigheten. Säkerhetspolisen och Försvarsmakten har en viktig roll att tillsammans med de övriga tillsynsmyndigheterna och de berörda verksamheterna diskutera säkerhetsskyddsanalysernas innehåll för att nå en så enhetlig tillämpning som möjligt. Myndigheterna bör ta fram enhetliga riktlinjer och vägledningar samt bidra till olika utbildningsinsatser.
Övriga skyldigheter för den som bedriver säkerhetskänslig verksamhet
Enligt utredningens förslag bör det också komma till uttryck i lag att den som är ansvarig för en säkerhetskänslig verksamhet ska planera och vidta de säkerhetsskyddsåtgärder som behövs med hänsyn till verksamhetens art, omfattning och övriga omständigheter samt kontrollera säkerhetsskyddet och även fullgöra sådan anmälnings- och upplysningsskyldighet som följer av förordning.
Regeringen bedömer att de grundläggande skyldigheter som gäller enligt lagen bör ges ett tydligare uttryck. Säkerhetsskyddets nivå och utformning bör på samma sätt som i dag anpassas till verksamhetens art, omfattning och övriga omständigheter. Säkerhetsskyddet i fråga om säkerhetsskyddsklassificerade uppgifter bör anpassas till den säkerhetsskyddsklass som gäller för uppgiften. Skyldigheten för verksamhetsutövare att kontrollera säkerhetsskyddet i den egna organisationen kommer redan i dag till uttryck i 30 § säkerhetsskyddslagen och är en viktig påminnelse som bör kvarstå i den nya lagen.
I kommande avsnitt övervägs och föreslås ytterligare skyldigheter för den som bedriver säkerhetskänslig verksamhet som ska gälla enligt lagen. Det gäller bl.a. de olika säkerhetsskyddsåtgärderna, men även att uppgifter ska säkerhetsskyddsklassificeras och en skyldighet att ingå säkerhetsskyddsavtal. För att tydliggöra skyldigheterna för en verksamhetsutövare bör det också föreskrivas särskilt att verksamhetsutövaren även i övrigt ska vidta de åtgärder som krävs enligt lagen.
I lagrådsremissens lagförslag föreslås ett bemyndigande för regeringen eller den myndighet som regeringen bestämmer att meddela föreskrifter om anmälnings- och rapporteringsskyldighet och även i övrigt om vad som krävs för att uppfylla bestämmelserna i det kapitel som innehåller verksamhetsutövarens skyldigheter. Lagrådet har ifrågasatt om bemyndigandet behövs då det även föreslås en upplysningsbestämmelse om verkställighetsföreskrifter. Om bemyndigandet avses vara ett materiellt delegationsbeslut anser Lagrådet att detta bör förtydligas och att det även bör övervägas om bemyndigandet kan preciseras. Regeringen bedömer att det utöver verkställighetsföreskrifter finns behov av ett bemyndigande när det gäller verksamhetsutövarens skyldigheter. Detta eftersom sådana föreskrifter är tänkta att mer i detalj innehålla skyldigheter för den som träffas av lagen. I enlighet med Lagrådets synpunkt bör bemyndigandet emellertid förtydligas. Bemyndigandet bör avse ytterligare föreskrifter om säkerhetsskyddsanalys, anmälnings- och rapporterings-skyldighet, säkerhetsskyddsåtgärder, säkerhetsskyddsklassificering samt säkerhetsskyddsavtal.
Säkerhetsskyddsåtgärderna bör vara proportionerliga
Säkerhetsskyddsåtgärderna bör utformas så att de inte medför skada eller annan olägenhet för andra allmänna eller enskilda intressen. Säkerhetsskyddsåtgärder kan potentiellt vara kostsamma och riskera att negativt påverka en verksamhets funktionalitet, effektivitet och tillgänglighet. Åtgärderna kan även vara mycket ingripande för enskilda (se bl.a. avsnittet 8.3.3 om att det i den nya säkerhetsskyddslagen ska finnas ett uttryckligt krav på restriktiv tillämpning i fråga om placering i säkerhetsklass av anställningar eller annat deltagande i säkerhetskänslig verksamhet). Det är därför viktigt att säkerhetsskyddet inte görs mer omfattande än nödvändigt och att valda åtgärder motiveras av behovet. En väl genomförd säkerhetsskyddsanalys med bedömning och dokumentation av vad som är skyddsvärt i verksamheten och vilka skyddsåtgärder som är nödvändiga och proportionerliga ökar förutsättningarna för att säkerhetsskyddet blir väl avvägt och effektivt.
Det bör framhållas att säkerhetsskyddslagen inte inskränker allmänhetens möjligheter att enligt offentlighetsprincipen ta del av allmänna handlingar. Frågan om sådana uppgifter kan lämnas ut prövas enligt bestämmelser i OSL. Säkerhetsskydd kan dock innebära hanteringskrav för att bl.a. förebygga ett obehörigt röjande av uppgifter för vilka sekretess med hänsyn till Sveriges säkerhet gäller enligt OSL.
7 Indelning av uppgifter i säkerhetsskyddsklasser
Regeringens förslag: Säkerhetsskyddsklassificerade uppgifter ska delas in i fyra nivåer efter den skada för Sveriges säkerhet som kan uppstå om uppgifterna röjs. Indelningen i säkerhetsskyddsklasser ska göras enligt följande:
1. kvalificerat hemlig vid en synnerligen allvarlig skada,
2. hemlig vid en allvarlig skada,
3. konfidentiell vid en inte obetydlig skada, eller
4. begränsat hemlig vid endast ringa skada.
Säkerhetsskyddsklassificerade uppgifter som omfattas av ett internationellt åtagande om säkerhetsskydd ska på motsvarande sätt delas in i en säkerhetsskyddsklass utifrån den skada som ett röjande av uppgiften kan medföra för Sveriges förhållande till annan stat eller mellanfolklig organisation, om de inte redan har klassificerats av en annan stat eller mellanfolklig organisation.
Utredningens förslag: Överensstämmer i huvudsak med regeringens. Utredningen föreslår dock att uttrycken informationssäkerhets-klassificering och informationssäkerhetsklasser ska användas. Utredningen föreslår även att uttrycket för klass 4 ska vara begränsad.
Remissinstanserna: Ett flertal remissinstanser, bl.a. Luftfartsverket, och Kriminalvården, tillstyrker eller lämnar inga synpunkter på förslaget om informationssäkerhetsklasser. Luftfartsverket framför att det är positivt att informationssäkerhetsklasserna följer indelningen inom Försvarsmakten och Nato vilket underlättar myndighetens samverkan med Försvarsmakten. Även Kustbevakningen framhåller att det är positivt att klassificering föreslås ske enligt internationella nivåer. Kustbevakningen konstaterar dock att förslaget innebär att myndigheter kommer att behöva förhålla sig till parallella och devis överlappande system. Länsstyrelsen i Stockholms län anför att med fyra informationssäkerhetsklasser ges möjlighet till ett bättre skydd av information anpassat till skiftande förutsättningar, t.ex. olika miljöer och verksamheter, samt hur de hanteras och används. Förslaget medför också ökad transparens och tydlighet. Myndigheten för samhällsskydd och beredskap (MSB) anser att förslaget underlättar det internationella samarbetet som omfattar utbyte av känsliga uppgifter. Att den lägsta klassen ställer mycket låga krav på säkerhetsskydd är enligt MSB en klar fördel för de verksamhetsutövare där det snarast är en huvudregel att de uppgifter som hanteras är att betrakta som säkerhetskänsliga. MSB ifrågasätter dock om uppgifter med lågt skyddsvärde överhuvudtaget bör betraktas som säkerhetskänsliga. Detta gäller framförallt för civila verksamhetsutövare. Myndigheten befarar att det kan upplevas som om ett införande av en säkerhetsskyddsklass med lågt skyddsvärde blir en väsentlig utvidgning av säkerhetsskyddslagens tillämpningsområde.
TeliaSonera AB anför att förslaget kommer att bli mycket resurskrävande och kostsamt att genomföra. Enligt bolaget bör informationssäkerhetsklasserna därför inte gälla för enskilda. Vattenfall AB, som välkomnar den tydlighet som förslaget om informationssäkerhetsklasser innebär, anser likt TeliaSonera AB att kravet inte bör gälla för enskilda. Försvarets materielverk och Försvarets radioanstalt anför att det mot bakgrund av den snabba utvecklingen på området är lämpligare att ange antalet klasser och vad de innefattar i förordning än i lag. Försvarets radioanstalt anser vidare att lagtexten skulle bli mer logisk och att risken för missförstånd skulle minska om det tydligt framgick av benämningarna att även de två lägsta klasserna är hemliga. Säkerhets- och integritetsskyddsnämnden och Justitiekanslern framför att det finns en viss risk att det nya systemet kommer att innebära en förskjutning mot mindre öppenhet och mer sekretess. Enligt myndigheterna används den lägsta informationssäkerhetsklassen Begränsad inte sällan i exempelvis EU-sammanhang för uppgifter som inte omfattas av sekretess enligt OSL när uppgifterna inkommer till svenska myndigheter. Förslaget kan därför innebära risker ur ett offentlighetsperspektiv som bör belysas ytterligare. Totalförsvarets forskningsinstitut ställer sig tveksam till att införa informationssäkerhetsklassen Konfidentiell eftersom myndighetens erfarenhet är att skillnaden mellan Konfidentiell och Hemlig är liten och att det gör att informationssäkerhetsklassen Konfidentiell ofta saknar mervärde. Myndigheten efterlyser därför en mer ingående analys av vilka fördelar ett införande av informationssäkerhetsklassen Konfidentiell skulle medföra. Försvarsmakten anser att förslaget till säkerhetsskydd för informationssäkerhetsklassen Begränsad är alltför lågt. Det bör enligt myndigheten tydliggöras att det finns risk för att fler uppgifter med informationssäkerhetsklass Begränsad kan medföra att dessa sammantaget ska ges en högre klassificering. Skatteverket anför att de säkerhetsåtgärder som krävs för klassificeringsnivån Begränsad bör förenklas ytterligare. Sveriges riksbank framför att det skulle kunna övervägas om det är lämpligt att förtydliga beteckningarna på de nya informationssäkerhetsklasserna. SME-D påpekar att harmonisering mellan Sveriges och övriga EU-länders syn på informationssäkerhetsklassificering är nödvändig men att användningen av svenska uttryck riskerar öka osäkerheten och risken för att klassificerad information hanteras på ett felaktigt sätt. Stockholms läns landsting föreslår att beskrivningen "3. Konfidentiell vid en inte obetydlig skada" ersätts med "3. Konfidentiell vid en skada". Landstinget har vidare anfört att den lägsta informationssäkerhetsklassen Begränsad med beskrivningen "inte ringa skada" kan uppfattas som förvirrande och föreslagit ytterligare harmonisering med EU-modellen.
Ett flertal remissinstanser, däribland Affärsverket Svenska kraftnät, Skatteverket, Statens servicecenter, Pensionsmyndigheten, Strålsäkerhetsmyndigheten, Stockholms läns landsting och Västerås kommun framför att uttrycket informationssäkerhetsklasser bör ersättas av uttrycket säkerhetsskyddsklasser. Genomgående i den remisskritiken är att uttrycket informationssäkerhetsklasser redan används i många andra sammanhang. I standarden ISO/IEC27000-serien förekommer "klassificering av information". Det finns därmed en risk för termkonflikter och uttrycksförvirring i verksamheter som hanterar både uppgifter som är säkerhetsskyddsklassificerade och sådant som är känsligt i den egna verksamheten. Skatteverket anser att benämningen informationssäkerhetsklasser är missvisande då endast en av informationssäkerhetens aspekter, nämligen konfidentialitet, beaktas. Ekobrottsmyndigheten är av samma uppfattning.
Några remissinstanser, däribland Kriminalvården, Riksgäldskontoret och Göteborgs kommun, anför att det vore önskvärt om man anger att det vid klassificeringen, förutom vilken skada ett röjande av uppgiften kan medföra, även ska beaktas riktighet och tillgänglighet.
Skälen för regeringens förslag
Information ska klassificeras utifrån fyra skyddsnivåer
Som utredningen har konstaterat saknas bestämmelser i nuvarande säkerhetsskyddslag om klassificering av uppgifter utifrån skyddsvärde. En reglering som delvis anknyter till frågeställningen finns i 10 § säkerhetsskyddsförordningen. Den bestämmelsen reglerar dock endast när en verksamhetsutövare ska anmäla till Säkerhetspolisen att en hemlig uppgift har röjts. Det finns därför anledning att nu överväga om information ska klassificeras på förhand och vad som i så fall ska styra om en uppgift bedöms som skyddsvärd eller inte.
I dag delas hemliga handlingar enligt säkerhetsskyddslagen och säkerhetsskyddsförordningen upp i sådana som har synnerlig betydelse för rikets säkerhet och andra hemliga handlingar. Beroende på vilken kategori en uppgift tillhör finns olika bestämmelser om bl.a. inventeringsintervall och placering i säkerhetsklass. I många andra länder används indelning i tre eller fyra nivåer av skyddsgrad. Skillnaden i hur hemliga handlingar klassificeras gör att internationell samverkan ibland kan bli problematisk. För svenska myndigheters vidkommande uppstår problematiken särskilt när det handlar om att bedöma hur en utländsk säkerhetsklassificering ska förhålla sig till svenska säkerhetsskyddsbestämmelser. Problematiken har bl.a. medfört att Försvarsmakten gått över till ett system med fyra nivåer, benämnda informationssäkerhetsklasser, som motsvarar det som används i ett flertal europeiska länder och inom EU och Nato. Systemet används även av de myndigheter som har att följa Försvarsmaktens föreskrifter om säkerhetsskydd.
Att i en ny säkerhetsskyddslag ange att information ska klassificeras i fyra nivåer har flera fördelar. Det skulle, som bl.a. MSB, Kriminalvården och Luftfartsverket har anfört, underlätta det internationella samarbetet som har genomgått en betydande utveckling sedan nuvarande säkerhetsskyddslag trädde i kraft. Ett svenskt system med fyra nivåer skulle därmed innebära att svårigheterna att "översätta" en utländsk klassificering till en av de två svenska nivåerna undanröjs. Som utredningen anför skulle lösningen också kunna motverka att information som klassificerats i någon av de lägre nivåerna av en utländsk myndighet ges ett för högt skyddsvärde i Sverige, med mer kostsamma säkerhetsrutiner som följd. En möjlighet till en mer differentierad bedömning av skyddsvärdet skulle också vara positivt i ett nationellt perspektiv. I de fall som en svensk myndighet tar emot en handling från ett land som har färre säkerhetsskyddsklasser än fyra får myndigheten bedöma hur klassificeringen ska hanteras enligt det svenska systemet. Att sådana situationer kan uppstå påverkar inte fördelarna med att införa ett system med fyra nivåer.
Vilka åtgärder som är nödvändiga för att skydda information och informationssystem varierar och ett system med fyra nivåer skulle medföra större förutsättningar att finna rätt nivå. Samtidigt skulle införandet av ytterligare två klassificeringsnivåer ställa större krav på verksamhetsutövarnas kunskap om informationens skyddsvärde och skadeeffekter för det fall att sådana uppgifter skulle röjas. Införandet av fyra säkerhetsskyddsklasser för alla verksamhetsutövare som ska omfattas av säkerhetsskyddet är en stor förändring i lagstiftningen som kommer att få påtagliga konsekvenser för många verksamhetsutövare. Som MSB har påpekat går det inte att bortse från att införandet av en säkerhetsskyddsklass med lågt skyddsvärde kan upplevas som en utvidgning av säkerhetsskyddslagens tillämpningsområde. Samtidigt är det ett centralt inslag i lagstiftningen att säkerhetskänslig information hanteras med rätt skyddsåtgärder. Att det finns ett behov av att skärpa offentliga och enskilda aktörers hantering av uppgifter med relativt lågt skyddsvärde har på olika sätt framgått under senare tid. Regeringens bedömning är därför att förslaget är angeläget för att uppnå ett modernt säkerhetsskydd som är i nivå med motsvarande system i övriga EU-länder. Klassificeringen bör ha sin utgångspunkt i bedömningen av vilken skada som kan uppkomma för Sveriges säkerhet eller för Sveriges förhållande till annan stat eller mellanfolklig organisation om uppgiften skulle röjas.
Som regeringen tidigare har konstaterat är kunskapen om säkerhetsskydd på vissa områden inom samhället eftersatt. Det behövs i allmänhet en bättre förståelse för vikten av att värna skyddet för Sveriges säkerhet. Detta gäller inte minst hanteringen av skyddsvärd information. En ny säkerhetskyddslag kommer att ställa nya och strängare krav på verksamhetsutövarna, bl.a. i form av bättre kunskap om hur skyddsvärd information ska hanteras. Indelningen av säkerhetsskyddsklassificerade uppgifter i fyra klasser kommer att medföra en tydligare kravställning på hur uppgifter hanteras i en organisation. De krav som kommer att kopplas till en viss klassificeringsnivå kan vara kostnadsdrivande för den enskilde verksamhetsutövaren. Samtidigt finns redan i dag, t.ex. inom Försvarsmaktens tillsynsområde, detaljerade krav på bl.a. informationssäkerhetsåtgärder för uppgifter som har klassificerats på en viss nivå. Sverige är också genom olika internationella säkerhetsskyddsåtaganden, t.ex. rådets säkerhetsbestämmelser, förpliktat att upprätthålla regler om informationssäkerhet för den typen av information. Det är enligt regeringens uppfattning rimligt att hanteringen av säkerhetskänsliga uppgifter följer höga krav på säkerhetsskydd som till viss del bör anges i säkerhetsskyddsförordningen. Kravställningen får sedan nyanseras beroende på vilken verksamhet som det handlar om. Att indelningen i fyra nivåer kan medföra krav på kostsamma åtgärder för säkerhetsskydd är därför i sig inte ett skäl mot att införa klassificeringsmodellen.
Eftersom den nya säkerhetsskyddslagen ska vara tillämplig på alla verksamhetsutövare oavsett organisationsform finns det enligt regeringens bedömning heller inte skäl att inskränka tillämpningsområdet för det nya systemet med säkerhetsskyddsklasser till enbart myndigheter på det sätt som Vattenfall AB och TeliaSonera AB har föreslagit. Regeringen kan inte heller se något behov av att i närtid ändra antalet klasser, något som skulle motivera att bestämmelserna placeras på förordningsnivå, och delar därför inte Försvarets materielverks och Försvarets radioanstalts bedömning i det avseendet. Klassificering av uppgifter är en central del av strukturen i alla organisationers säkerhetsskyddsarbete och bestämmelserna bör därför placeras i säkerhetsskyddslagen. I avsnitt 8 föreslås att placeringen i säkerhetsklass ska styras av tillgången till uppgifter med en viss säkerhetsskyddsklass, vilket är ytterligare ett argument för att klasserna bör anges i lag.
Som påpekats av bl.a. Säkerhets- och integritetsskyddsnämnden och Justitiekanslern kan införandet av nya klassificeringsnivåer medföra vissa utmaningar i förhållande till offentlighetsprincipen. Även MSB berör den frågan i sitt remissvar. Behovet av ett skydd av de för nationen viktigaste funktionerna måste alltid vägas mot bl.a. enskildas rätt till yttrandefrihet och integritet och allmänhetens möjlighet till insyn i offentliga angelägenheter. Avsikten med att införa flera klassificeringsnivåer är emellertid inte att utvidga säkerhetsskyddslagens tillämpningsområde. Ändringen innebär inte heller att sekretessen utvidgas. Klassificeringsnivåerna behöver dock differentieras och anpassas till de system för klassificering som används internationellt och inom Försvarsmakten. I det sammanhanget överväger fördelarna med att införa fyra klasser risken för att säkerhetsskyddslagens tillämpningsområde indirekt utvidgas. Förslaget bör också få till följd att information inte ges ett onödigt högt skyddsvärde med därtill hörande skyddsåtgärder, vilket är en risk med dagens trubbigare system. Det bör också framhållas att aktuell klassificering inte är avgörande för bedömningen om en handling ska lämnas ut från en myndighet till enskilda medborgare. Verksamhetsutövaren måste, på samma sätt som i dag, göra en sekretessprövning i enlighet med OSL. Det gäller även om uppgifterna ursprungligen härstammar från en annan stat eller mellanfolklig organisation.
En metod för säkerhetsskyddsklassificering av information
Ett flertal remissinstanser har framfört att om bestämmelser om klassificering av information i säkerhetsskyddslagen utgår från uttrycken informationsklassificering och informationsklasser så kan det leda till uttrycksförvirring och termkonflikter. Dessa uttryck används redan i bl.a. MSB:s föreskrifter om statliga myndigheters informationssäkerhet där det föreskrivs att information ska klassificeras med utgångspunkt i krav på konfidentialitet, riktighet och tillgänglighet. Regeringen konstaterar att klassificering av säkerhetskänslig information kommer att utgöra en hörnsten i den nya säkerhetsskyddslagen. Det finns därför anledning att så långt möjligt undvika att bestämmelser införs som riskerar att blandas samman med redan vedertagna uttryck. En sådan utveckling skulle riskera att försvåra den nya lagstiftningens tillämpning. Regeringen instämmer därför i Ekobrottsmyndighetens och Skatteverkets förslag om att klassificering av säkerhetsskyddsklassificerade uppgifter ska benämnas säkerhetsskyddsklassificering av information och att de olika nivåerna följaktligen ska betecknas säkerhetsskyddsklasser. Som anges i avsnitt 8 angående personalsäkerhet skulle uttrycket säkerhetsskyddsklasser även kunna användas beträffande placering av befattningar och tjänster i säkerhetsklass. Eftersom uttrycket säkerhetsklass redan i dag är väl inarbetat i säkerhetsskyddsterminologin och det finns större skäl att undvika uttrycket informationssäkerhetsklass bör uttrycket säkerhetsskyddsklass dock förbehållas klassificering av information.
Några remissinstanser har påpekat att klassificeringen kan medföra tillämpningssvårigheter i förhållande till den klassificering som sker i dag. Beträffande denna fråga gör regeringen följande bedömning. Av MSB:s allmänna råd om statliga myndigheters informationssäkerhet följer att värdering och klassificering av information bör ske i en omfattning och med den detaljeringsgrad som behövs för att, tillsammans med risk- och sårbarhetsanalyser, fatta relevanta beslut om skyddsnivå. Samtidigt anges att en alltför omfattande klassificering kan innebära omotiverade administrativa kostnader. Klassificering bör ske enligt en generell modell för informationsklassificering som behandlar informationens konfidentialitet, riktighet och tillgänglighet. Enligt den aktuella modellen (MSB 0040-09) ska information indelas i tre nivåer - måttlig, betydande och allvarlig - beroende på vilken konsekvens som förlust av, otillåten spridning av eller annan skada på informationen leder till. Det är informationen som är skyddsföremålet enligt modellen och konsekvenserna värderas i termer av oönskad påverkan på den egna verksamheten eller annan part till följd av otillräcklig konfidentialitet, riktighet eller tillgänglighet.
Det primära syftet med att införa en klassificering av säkerhetsskyddsklassificerade uppgifter är att uppnå en adekvat skyddsnivå för sådan information som är känslig med hänsyn till Sveriges säkerhet eller annan stat eller mellanfolklig organisation som Sverige har ett åtagande om säkerhetsskydd gentemot. Redan här finns en skillnad i förhållande till den klassificering av information som ska göras enligt MSB:s föreskrifter. Regeringen kan instämma i att införandet av ett nytt system för klassificering av information kan medföra tillämpningsproblem. Det gäller särskilt för sådana verksamhetsutövare som endast hanterar en begränsad mängd skyddsvärd information. För att minska risken för uttrycksförvirring och tillämpningsproblem samt därmed tillkommande administrativa kostnader, bör systemet för klassificering av säkerhetsskyddsklassificerade uppgifter utformas som ett kompletterande system i förhållande till den informationsklassificering som redan sker enligt bl.a. MSB:s föreskrifter. Ett sådant tillvägagångssätt är också naturligt eftersom klassificering av säkerhetsskyddsklassificerade uppgifter syftar till att motverka skada för Sveriges säkerhet, medan klassificering av information enligt MSB:s föreskrifter sker för att undvika konsekvenser för framför allt den egna organisationen. Sådana konsekvenser kan primärt tänkas komma att uttryckas i ekonomiska termer utan en tydlig koppling till eventuella konsekvenser för de skyddsintressen som omfattas av säkerhetsskyddslagen. Klassificering av information bör därför med det nya systemet innebära att verksamhetsutövare först klassificerar information med ledning i bl.a. risk- och sårbarhetsanalyser i förhållande till konsekvenser för den egna verksamheten och därefter klassificerar sådan information som kan ha skadeverkningar för Sveriges säkerhet enligt bestämmelserna i säkerhetsskyddslagen. Att verksamhetsutövare ska använda olika system för att klassificera information är emellertid inte fritt från invändningar. Ett alternativ, som bl.a. Kustbevakningen förespråkat, är att införa ett enhetligt klassificeringssystem där exempelvis de fyra högsta nivåerna är kopplade till Sveriges säkerhet. Ett avgörande argument mot en sådan lösning är dock att säkerhetsskyddslagen ska gälla alla verksamhetsutövare oavsett om de är offentliga eller enskilda aktörer. Det finns i dag ett flertal standarder för klassificering av information t.ex. inom olika branscher, och endast i vissa fall är aktörer skyldiga att följa särskilda bestämmelser om klassificering. Att ersätta dessa system med ett klassificeringssystem reglerat i säkerhetsskyddslagen framstår inte som möjligt eller lämpligt. Regeringens bedömning är därför att klassificering av säkerhetskänslig information ska ske enligt ett system som är fristående från hur en verksamhetsutövare klassificerar annan information i sin organisation.
Hur bör säkerhetsskyddsklasserna utformas?
Försvarsmakten har sedan en tid tillämpat en indelning i fyra informationssäkerhetsklasser. Klasserna anger inte sekretessen för en uppgift eller en handling utan enbart hur uppgiften eller handlingen ska hanteras för att få rätt skyddsnivå. Till informationssäkerhetsklasserna kopplas specifika åtgärder som också är anpassade till motsvarande lagstiftning i andra länder och till säkerhetsbestämmelser inom EU och Nato, exempelvis krav på bestämmelser om hantering, förvaring och inventeringsintervaller. Som utredningen har föreslagit bör denna systematik överföras till säkerhetsskyddslagen.
Utredningen har analyserat hur säkerhetsskyddsklasserna språkligt bör uttryckas och stannat vid slutsatsen att de, bland annat mot bakgrund av språklagens krav, bör anges på svenska med beteckningarna kvalificerat hemlig, hemlig, konfidentiell och begränsad. SME-D har anfört att det är ett vanligt förfarande bland enskilda att uppgifter markeras med tillägget konfidentiell eller hemlig utan att det avser uppgifter som har betydelse för Sveriges säkerhet och att detta kan medföra viss risk för osäkerhet vid tillämpningen av bestämmelserna. Regeringen anser dock att den risken får anses så begränsad att den inte utgör skäl att frångå utredningens bedömning. Att klassificeringen är en del av säkerhetsskyddsarbetet kommer att framgå även genom hur detta ska uttryckas på olika handlingar. Närmare bestämmelser om detta får utformas i myndighetsföreskrifterna. Regeringen delar därför inte Försvarets radioanstalts uppfattning att det finns förväxlingsrisk beträffande de två lägsta klasserna. Däremot bör den lägsta säkerhetsskyddsklassen utformas på ett sätt som gör det lättare att förstå att syftet är att reglera åtkomsten till hemliga uppgifter. Den ska därför anges som begränsat hemlig.
Regeringen instämmer även i huvudsak i utredningens förslag om grunderna för indelning i säkerhetsskyddsklass. Det sätt som risken för skada uttrycks på i förslaget överensstämmer i allt väsentligt med den konsekvensbedömning som enligt rådets säkerhetsbestämmelser ska göras för information som är skyddsvärd enligt de bestämmelserna. Det finns enligt regeringens uppfattning skäl att vidhålla den kopplingen även om t.ex. rekvisitet "inte obetydlig skada" i säkerhetsskyddsklassen konfidentiell kan tänkas medföra vissa tillämpningsproblem. I linje med det bör skaderekvisitet i säkerhetsskyddsklassen begränsat hemlig anges som "endast ringa skada" vilket är det sätt som den lägsta informationssäkerhetsklassen i rådets säkerhetsbestämmelser särskiljs från övriga nivåer. Mot bakgrund av att rekvisitet ringa skada får anses väl etablerat i svensk lagstiftning i övrigt finner regeringen dock att säkerhetsskyddsklassen begränsat hemlig i övrigt bör definieras på det sätt som utredningen föreslagit. Till skillnad från Sveriges riksbank och Stockholms läns landsting anser regeringen därför inte att rekvisiten bör förändras utöver vad som anförts ovan.
I fråga om indelningen i säkerhetsskyddsklasser är det naturligt att alltjämt utgå från vilken konsekvens det innebär för de skyddsintressen som omfattas av säkerhetsskyddslagen om hemliga uppgifter röjs. Några remissinstanser, däribland Kriminalvården, Riksgäldskontoret och Göteborgs kommun, har anfört att klassificeringsarbetet enligt säkerhetsskyddslagen även bör omfatta skydd av uppgifters tillgänglighet och riktighet. Risk för minskad tillgänglighet kan uppstå om information undanhålls från behandling i ett säkerhetskänsligt system eller vid avbrott i en informationskedja som medför att informationen inte är tillgänglig för den som har behov av den. Risk avseende riktighet kan uppstå vid manipulation eller förstörelse av information eller genom att den av annat skäl inte är korrekt. Det senare kan exempelvis ske genom skadegörelse eller att funktioner för t.ex. validering av information inte fungerar på det sätt som de ska. Dessa exempel kan varieras på många sätt och måste relateras till den specifika organisationens verksamhet. Regeringen delar till viss del remissinstansernas synpunkter. Det finns exempel på myndigheter där klassificering av uppgifter som omfattas av säkerhetsskyddslagen sker mot bakgrund av såväl konfidentialitet som riktighet och tillgänglighet. En svårighet med att föreskriva generella bestämmelser med en sådan innebörd är dock bl.a. de olika krav som ställs på riktighet och tillgänglighet i olika verksamheter. I vissa informationssystem, t.ex. högteknologiska styrsystem eller avancerade industriprocesser, kan det finnas krav på att information ska vara tillgänglig inom mycket små tidsintervall medan toleransen kan vara betydligt större i andra system. Mot bakgrund av dessa omständigheter är regeringens uppfattning att grunden för klassificering av skyddsvärda uppgifter endast bör vara konfidentialitet. Placering i viss säkerhetsskyddsklass bör därför, som utredningen föreslagit, föregås av en hypotetisk skadebedömning där hänsyn tas till de konsekvenser ett eventuellt röjande av uppgifter skulle kunna få för de särskilda skyddsintressena i säkerhetsskyddslagen. Däremot bör eventuella konsekvenser av att riktigheten eller tillgängligheten av viss information påverkas bedömas inom ramen för verksamhetens säkerhetsskyddsanalys. En sådan analys, som i första hand kan tänkas omfatta informationssystem, bör kunna mynna ut i att vissa uppgifter hanteras på samma sätt i skyddssyfte, som om de hade varit placerade i en viss säkerhetsskyddsklass.
Som utredningen föreslagit bör placering av uppgifter i säkerhetsskyddsklass alltså styras av den skada för Sveriges säkerhet som kan uppstå om uppgifterna röjs. Vilken skyddsnivå som en uppgift ska ha bör avgöras genom en hypotetisk skadebedömning. Där bedöms vilka konsekvenser ett eventuellt röjande av uppgifterna skulle kunna få för de särskilda skyddsintressena som finns i den aktuella verksamheten. Genom att bedöma eventuella konsekvenser kommer det också tydligt att framgå vilken risk för skada som föreligger. Metodiken överensstämmer med det sätt på vilken informationsklassificering sker enligt MSB:s föreskrifter med undantag för att uppgifter även ska klassificeras efter tillgänglighet och riktighet enligt den modell som MSB hänvisar till. Ett grundläggande moment inför säkerhetsskyddsklassificeringen är arbetet med verksamhetens säkerhetsskyddsanalys. Regeringen delar utredningens uppfattning att om det finns uppgifter med varierande skyddsvärde i en handling bör den uppgift som har högst skyddsvärde vara styrande för indelningen i säkerhetsskyddsklass. Om uppgifterna förekommer i ett informationssystem ska systemets säkerhetsfunktioner vara anpassade för att kunna hantera den högsta säkerhetsskyddsklassen av de uppgifter som hanteras i systemet. Det är i sammanhanget viktigt att framhålla att det endast är den hypotetiska skadebedömningen som ska läggas till grund för placeringen i säkerhetsskyddsklass. Det får naturligtvis inte förekomma att uppgifter av praktiska skäl, t.ex. för att underlätta hanteringen, placeras i en högre säkerhetsskyddsklass än vad skadebedömningen motiverar.
Som Försvarsmakten påpekat måste verksamhetsutövarna också bedöma om en samling av uppgifter i en viss säkerhetsskyddsklass medför att en högre säkerhetsskyddsklass ska tillämpas. Samtidigt är det viktigt att understryka klassificeringens påverkan på tillkommande skyddsåtgärder. För att begränsa onödiga administrativa kostnader och onödiga ingrepp i enskildas integritet m.m., bör klassificeringen inte göras i större utsträckning och med placering i högre klass än vad som är nödvändigt. Detta gäller inte minst mot bakgrund av att bestämmelserna inte syftar till att utvidga säkerhetsskyddslagens tillämpningsområde. För många verksamhetsutövare innebär det en svår bedömning. Här finns behov av stöd och råd från Säkerhetspolisen, Försvarsmakten och de övriga tillsynsmyndigheterna.
8 Ett system av samverkande säkerhetsskyddsåtgärder
Regeringens bedömning: De tre säkerhetsskyddsåtgärderna ska i den nya lagen benämnas informationssäkerhet, fysisk säkerhet och personalsäkerhet.
Utredningens bedömning: Överensstämmer med regeringens förslag.
Remissinstanserna: Ingen remissinstans yttrar sig särskilt över förslaget.
Skälen för regeringens bedömning: Säkerhetsskydd består av en uppsättning åtgärder för att ge ett skydd för säkerhetskänslig verksamhet. Grunden för att kunna vidta relevanta säkerhetsskyddsåtgärder är en väl genomförd säkerhetsskyddsanalys som visar vilken säkerhetskänslig verksamhet som behöver ett säkerhetsskydd och vilka skyddsvärden, hot och sårbarheter som behöver hanteras i verksamheten. Analysen ligger till grund för en säkerhetsplan där ändamålsenliga säkerhetsskyddsåtgärder konkretiseras. Regeringen delar utredningens uppfattning att indelningen i tre säkerhetsskyddsåtgärder, informationssäkerhet, fysisk säkerhet och personalsäkerhet, bör bestå i en ny säkerhetsskyddslag. Det har som utredningen framhåller inte framkommit skäl som påkallar att det görs en ny uppdelning. De tre säkerhetsskyddsåtgärderna samverkar och utgör ett sammanhållet system för skydd av säkerhetskänslig verksamhet.
8.1 Informationssäkerhet
Regeringens förslag: Informationssäkerhet ska dels förebygga att säkerhetsskyddsklassificerade uppgifter obehörigen röjs, ändras, görs otillgängliga eller förstörs, dels förebygga skadlig inverkan i övrigt på uppgifter och informationssystem som gäller säkerhetskänslig verksamhet.
Utredningens förslag: Överensstämmer i huvudsak med regeringens förslag. Utredningen föreslår dock uttrycket informationstillgångar i stället för uppgifter och informationssystem.
Remissinstanserna: En majoritet av remissinstanserna tillstyrker förslaget eller har inte något att invända mot det. Ett flertal remissinstanser, däribland Pensionsmyndigheten och Statens veterinärmedicinska anstalt, anser att uttrycket informationstillgångar inte bör föras in i lagstiftningen. Finansinspektionen och Försvarsmakten framhåller vikten av att uttrycket informationssäkerhet förtydligas. Sveriges advokatsamfund, Statens veterinärmedicinska anstalt och Kammarrätten i Stockholm anför att definitionen av informationssäkerhet bör formuleras om för att bättre motsvara hur uttrycket definieras i olika standarder. Försvarets materielverk konstaterar att säkerhetsskyddsåtgärderna, till skillnad från säkerhetsskyddsklasserna, omfattar även tillgänglighet och riktighet. Myndigheten anser att systemet därmed blir osammanhängande.
Skälen för regeringens förslag
Ett skydd för sekretessbelagda uppgifter och säkerhetskänsliga system
Enligt 7 § nuvarande säkerhetsskyddslag ska säkerhetsskyddsåtgärden informationssäkerhet förebygga att uppgifter som omfattas av sekretess och som rör rikets säkerhet obehörigen röjs, ändras eller förstörs. Säkerhetsskyddsåtgärden informationssäkerhet infördes genom 1996 års säkerhetsskyddslag och ersatte därmed det tidigare uttrycket sekretesskydd. Även om införandet av den nya säkerhetsskyddsåtgärden innebar en breddning i syfte att motverka att sekretessbelagda uppgifter uppsåtligen eller av oaktsamhet förstörs eller ändras, var skydd mot röjande av sekretessbelagda uppgifter alltjämt det primära intresset (prop. 1995/96:129 s. 26).
Informationstekniken har sedan mitten av 1990-talet genomgått en betydande utveckling. I dag hanteras i princip all information i digitala system. Det ökande informationsflödet innebär att viktiga samhällsfunktioner blir allt mer beroende av tillförlitliga och säkra digitala system som en garanti för att information även fortsättningsvis är korrekt och tillgänglig. Även om intresset av att bevara sekretess för säkerhetskänsliga uppgifter är och förblir en hörnpelare inom säkerhetsskyddet bör därför åtgärder som säkerställer uppgifters tillgänglighet och riktighet lyftas fram på ett tydligare sätt. Till detta kommer att även de system som hanterar säkerhetskänslig information måste ha ett tillfredsställande skydd.
Enligt Säkerhetspolisen bedrivs en allt större del av det utländska spionaget med hjälp av teknisk inhämtning, däribland genom dataintrång. Försvarets radioanstalt har uppmärksammat att angripare numera ofta använder sig av nya tillvägagångssätt där angreppen i första hand riktas mot olika tjänsteleverantörer i syfte att ta kontroll över ett specifikt slutmål, ett företag eller en myndighet. En annan slutsats som kan dras utifrån bl.a. internationella erfarenheter är att det blir allt vanligare att viktiga informationssystem som inte i första hand behandlar hemliga uppgifter, men som har ett högt skyddsvärde av andra skäl, t.ex. system för styrning av kraftförsörjning, utsätts för intrångsförsök och sabotage. It-attacker riktade mot skyddsvärda system är därför ett hot mot Sveriges säkerhet som måste tas på stort allvar. Det är av stor vikt att det finns en medvetenhet hos verksamhetsutövare för att intrångsförsök och operationer i syfte att bedöma olika informationssystems robusthet ständigt pågår. Behovet av en dynamisk lagstiftning som står sig över tid och medger ett skydd för de allra mest skyddsvärda verksamheterna i landet är därför särskilt stort när det gäller informationssäkerhet. Dagens lagstiftning har brister i detta avseende. Exempelvis innehåller lagen inte tillräckliga krav på skydd av informationssystem som har betydelse för Sveriges säkerhet. Regleringen av säkerhetsskyddsåtgärden informationssäkerhet bör därför förändras i syfte att klargöra att skyddet inte enbart gäller uppgifter som omfattas av sekretess och som berör rikets säkerhet. Säkerhetsskyddet måste också innebära skydd av information ur andra aspekter.
Ett tydligare skydd för uppgifters riktighet och tillgänglighet
I avsnitt 5 föreslås att uttrycket säkerhetsskyddsklassificerade uppgifter införs i den nya säkerhetsskyddslagen. Uttrycket definieras som uppgifter som rör säkerhetskänslig verksamhet och som av den anledningen omfattas av sekretess enligt OSL, eller som skulle ha omfattats av sekretess enligt den lagen om den hade varit tillämplig.
Utredningen har föreslagit att informationssäkerhet bl.a. ska syfta till att förebygga att säkerhetsskyddsklassificerade uppgifter röjs, ändras, görs otillgängliga eller förstörs. Regeringen delar utredningens bedömning att informationssäkerhet bl.a. bör syfta till att skydda säkerhetsskyddsklassificerade uppgifter. Förslaget innebär att det skydd som i dag gäller för uppgifter som är hemliga med hänsyn till rikets säkerhet och som omfattas av OSL överförs till den nya lagen. Genom införandet av uttrycket säkerhetsskyddsklassificerade uppgifter kommer även sådana uppgifter som finns i enskild verksamhet att omfattas.
Skyddet föreslås gälla inte bara uppgifternas konfidentialitet, utan även deras tillgänglighet och riktighet. I säkerhetsskyddslagen ska anges att konfidentialitet innebär skydd mot att obehöriga får del av viss information vars röjande kan medföra skada för Sveriges säkerhet. Ett verkningsfullt skydd för konfidentialitet förutsätter bestämmelser som hemlighåller informationen. Den tydliga kopplingen till OSL finns just när det gäller detta moment av informationssäkerhet. Med tillgänglighet och riktighet avses att information som är av betydelse för Sveriges säkerhet ska skyddas så att den inte undanhålls när den behövs och att informationen inte kan manipuleras. Som bl.a. Finansinspektionen har anfört är det viktigt att dessa uttryck tydliggörs i den nya lagstiftningen. Den information som bedöms som säkerhetskänslig kan många gånger vara nödvändig för att olika former av system ska kunna fungera.
Försvarets materielverk har invänt att den omständigheten att tillgänglighet och riktighet ska beaktas när det gäller informationssäkerhetsåtgärder, men inte när information klassificeras, gör systemet osammanhängande. Regeringen bedömer, som har utvecklats i avsnitt 7, det som mycket svårt för verksamhetsutövare att placera uppgifter i en viss säkerhetsskyddsklass utifrån vilka risker det skulle innebära för Sveriges säkerhet om uppgifterna förvanskas, förstörs eller görs otillgängliga. Mot den bakgrunden har föreslagits att placering av uppgifter i en viss säkerhetsskyddsklass ska ske endast utifrån den risk för skada som ett röjande kan medföra för Sveriges säkerhet. Ett sådant ställningstagande är enligt regeringens mening fullt förenligt med att informationssäkerhetsåtgärder bör skydda säkerhetsskyddsklassificerade uppgifter inte bara mot att uppgifterna röjs, utan även mot att de förvanskas, förstörs eller görs otillgängliga. Att informationssäkerhet inte begränsas till att enbart handla om konfidentialitet är, som angetts ovan, av stor betydelse. Regeringen delar därmed inte Försvarets materielverks uppfattning i denna del.
Försvarsmakten har påpekat att det utöver uppgifters konfidentialitet, tillgänglighet och riktighet finns skäl att i lagen även lyfta fram vikten av spårbarhet. Med det uttrycket avses traditionellt att det ska vara möjligt att i efterhand härleda hur informationen har hanterats, t.ex. vem som har tagit del av eller ändrat en viss uppgift och när delgivningen eller ändringen ägde rum. Spårbarhetsaspekten i informationssäkerhet kan enligt myndigheten vara av avgörande betydelse för att kunna upptäcka oönskade händelser och i efterhand rekonstruera händelseförlopp. Regeringen delar den uppfattningen. En fördel med att i lagen särskilt lyfta fram vikten av spårbarhet, jämställt med konfidentialitet, riktighet och tillgänglighet, är att det sannolikt skulle ge ett större incitament för verksamhetsutövarna att inrätta sin verksamhet så att angrepp och andra incidenter i informationssystem lättare kan upptäckas och hanteras. Samtidigt är spårbarhet, till skillnad från tillgänglighet och riktighet, inte en egenskap hos informationen utan i stället en av flera aspekter som bör ingå i bedömningen när relevanta åtgärder för att upprätthålla en hög nivå av informationssäkerhet övervägs. Regeringens bedömning är att det är svårt att se något skäl som särskilt motiverar att uppgifters spårbarhet ska anges i lagen när så inte är fallet med andra moment. Till det kommer att en sådan utveckling vore ett avsteg från hur informationssäkerhet traditionellt har beskrivits i säkerhetsskyddssammanhag. Spårbarhet bör i stället ses som något som ska uppnås främst genom sådana åtgärder som anges i förordning och på föreskriftsnivå. Regeringens slutsats är alltså att uttrycket inte bör föras in i lagen.
Lagen ska även skydda informationssystems och uppgifters tillgänglighet och riktighet
Bestämmelsen om informationssäkerhet i gällande säkerhetsskyddslag tar endast sikte på uppgifter som omfattas av sekretess och som rör rikets säkerhet. Som framförts tidigare kan dock handlingar och informationssystem ha ett betydande skyddsintresse utan att de innehåller sekretessbelagda uppgifter. Utredningen har mot denna bakgrund föreslagit att informationssäkerhet även ska förhindra skadlig inverkan i övrigt på andra informationstillgångar som avser säkerhetskänslig verksamhet. Skyddet ska enligt utredningen omfatta verksamhet i vid bemärkelse, t.ex. uppgifter, handlingar och tekniska system som används för att i olika avseenden elektroniskt kommunicera och i övrigt behandla uppgifter. Som utredningen framhåller är det framförallt uppgifternas riktighet och tillgänglighet som skyddas.
Det finns ett stort behov av att utöka skyddet för säkerhetskänsliga informationssystem, även om dessa inte innehåller säkerhetsskyddsklassificerade uppgifter. Det kan röra system som har ett högt skyddsvärde av andra skäl, t.ex. inom digital infrastruktur eller system för styrning av kraftförsörjning. Det kan även gälla uppgifter som inte är säkerhetsskyddsklassificerade men ändå bedöms som säkerhetskänsliga. Många remissinstanser ställer sig positiva till den av utredningen föreslagna utvidgningen. Även regeringen anser att det är en viktig utvidgning och föreslår därför, i likhet med utredningen, att informationssäkerhet även ska förebygga skadlig inverkan på uppgifter och informationssystem som avser säkerhetskänslig verksamhet, även om dessa inte utgör eller innehåller säkerhetsskyddsklassificerade uppgifter.
När det gäller vilken inverkan som ska anses som skadlig är det alltid en bedömning som måste göras i den specifika verksamheten. I säkerhetsskyddsanalysen behöver skyddsvärde, hot och sårbarheter identifieras och eventuella konsekvenser analyseras, vilket ska ligga till grund för slutsatser om bl.a. vilken robusthet som måste finnas för olika typer av informationssystem som används i organisationen. Regeringen anser därför inte att det bör anges i lag vilka överväganden som ska göras för att identifiera skyddsbehovet. Uttrycket skadlig inverkan bör alltså inte närmare definieras i lagtext, något som Finansinspektionen har föreslagit.
Några remissinstanser, däribland Sveriges advokatsamfund, Statens veterinärmedicinska anstalt och Kammarrätten i Stockholm, har framfört att utredningens förslag till definition av uttrycket informationstillgångar inte överensstämmer med hur uttrycket används i andra sammanhang. Kammarrätten i Stockholm har föreslagit att uttrycket bör definieras som "all information och informationshanterande system". Som utredningen anfört, och Statens veterinärmedicinska anstalt tagit fasta på, har uttrycket informationstillgång i den internationella standarden för ledning av informationssäkerhet (LIS) en mer långtgående betydelse än i utredningens förslag. Detsamma gäller enligt SIS terminologi för informationssäkerhet (SIS-TR 50:2015) där uttrycket även exemplifieras med människor. Regeringen delar remissinstansernas synpunkter att användningen av en annan definition än den etablerade kan leda till uttrycksförvirring. Uttrycket informationstillgångar bör därför inte införas i lagstiftningen. I stället bör det i lagen anges att informationssäkerhet även syftar till att förebygga skadlig inverkan i övrigt på uppgifter och informationssystem som avser säkerhetskänslig verksamhet. Med den ändrade lydelsen avses ingen saklig skillnad jämfört med utredningens förslag.
Den närmare regleringen av vilka åtgärder som bör vidtas inom ramen för säkerhetsskyddsåtgärden informationssäkerhet får göras i förordning och myndighetsföreskrifter.
8.2 Fysisk säkerhet
Regeringens förslag: Fysisk säkerhet ska förebygga att obehöriga får tillträde till områden, byggnader och andra anläggningar eller objekt där de kan få tillgång till säkerhetsskyddsklassificerade uppgifter eller där säkerhetskänslig verksamhet i övrigt bedrivs. Åtgärden ska också förebygga skadlig inverkan på sådana områden, byggnader, anläggningar eller objekt.
Även i den nya lagstiftningen ska det finnas hänvisningar till skyddslagen och lagen om ansvar för vissa säkerhetsfrågor vid statsministerns tjänstebostäder.
Utredningens förslag: Överensstämmer med regeringens förslag.
Remissinstanserna: En majoritet av remissinstanserna tillstyrker eller avstår från att lämna några synpunkter på förslaget. Svea hovrätt anser att det bör övervägas om uttrycket objektsäkerhet ska användas i stället för fysisk säkerhet. Flertalet remissinstanser, däribland Svea hovrätt, Förvaltningsrätten i Stockholm, Strålsäkerhetsmyndigheten och Vattenfall AB, uttrycker att vissa följdändringar bör ske i skyddslagen (2010:305), bl.a. att uttrycket hemlig uppgift bör ersättas med säkerhetsskydds-klassificerad uppgift.
Skälen för regeringens förslag
En förutsättning för ett väldimensionerat säkerhetsskydd är möjligheten att vidta åtgärder för att skydda byggnader och platser där säkerhetskänslig verksamhet bedrivs. Enligt 7 § nuvarande säkerhetsskyddslag ska säker-hetsskyddet bl.a. förebygga att obehöriga får tillträde till platser där de kan få tillgång till uppgifter som omfattas av sekretess och som rör rikets säkerhet eller där verksamhet som har betydelse för rikets säkerhet bedrivs.
Utredningens bedömning är att det även i den nya säkerhetsskyddslagen bör finnas krav på tillträdesbegränsning till byggnader, områden och anläggningar där verksamhet som omfattas av lagen bedrivs. Som utvecklas i avsnitt 5 föreslås en utvidgning av lagens tillämpningsområde. En del av utvidgningen består i att säkerhetsskyddet ska omfatta inte bara verksamhet av betydelse för Sveriges säkerhet utan också verksamhet som omfattas av ett internationellt åtagande om säkerhetsskydd (säkerhets-känslig verksamhet). Vidare ska lagen erbjuda skydd för uppgifter som typiskt sett omfattas av sekretess även om de förekommer i enskilt bedriven verksamhet (säkerhetsskyddsklassificerade uppgifter).
I linje med den nya lagens utvidgade tillämpningsområde har utredningen föreslagit att åtgärden ska syfta till att förhindra obehörigt tillträde till byggnader m.m. där det dels kan ges tillgång till säkerhets-skyddsklassificerade uppgifter, dels bedrivs övrig säkerhetskänslig verksamhet. Ett annat förslag från utredningen är att skyddsåtgärden ska kompletteras genom ett tillägg som avser förebyggande skydd mot skadlig påverkan på sådana områden, byggnader, anläggningar eller objekt där säkerhetskänslig verksamhet bedrivs. Syftet med det sistnämnda förslaget är att åtgärderna ska omfatta även ett förebyggande skydd mot angrepp som sker utifrån eller på distans. Som exempel på denna typ av hot anför utredningen direkta angrepp med sprängmedel eller sjukdomsalstrande organismer, eller situationer då någon med tekniska hjälpmedel obehörigen får insyn i den säkerhetskänsliga verksamheten.
Regeringen delar utredningens bedömning att fysisk säkerhet bör vara en del av säkerhetsskyddet även i en ny lag och slutsatsen att det finns skäl att anpassa åtgärden i förhållande till det utvidgade tillämpningsområdet. Syftet med fysisk säkerhet ska vara att förebygga att obehöriga får tillträde till områden, byggnader och andra anläggningar där de kan få tillgång till säkerhetsskyddsklassificerade uppgifter. Därutöver måste åtgärden även omfatta platser eller områden där verksamhet som är skyddsvärd av annan anledning än att där finns säkerhetsskyddsklassificerade uppgifter bedrivs. En viktig del i det skyddet är att förhindra skadlig påverkan mot sådana områden, byggnader, anläggningar eller objekt där säkerhetskänslig verksamhet bedrivs. Sådan påverkan kan som utredningen framhållit t.ex. utgöras av obemannade luftfartyg, s.k. drönare. Exempel på åtgärder avseende fysiskt skydd är skalskydd, påkörningsskydd eller andra barriärer som fysiskt hindrar en bil att t.ex. forcera en vägg eller köra på människor, ballistiskt skydd och skyddsåtgärder mot anlagd brand eller påverkan med hjälp av kemikalier.
Den skyddsvärda verksamheten sammanfaller naturligt med de byggnader, anläggningar och områden som kan beslutas som skyddsobjekt enligt skyddslagen. Därutöver kan det finnas behov av säkerhetsskyddsåtgärder vid exempelvis ledningar, master och basstationer inom telekommunikationssektorn, större knutpunkter inom transportsektorn, ledningscentraler som används inom ramen för det civila försvaret och räddningstjänsten, byggnader eller anläggningar med stor betydelse för kraftförsörjning, centrala laboratorier inom hälso- och sjukvårdssektorn och Försvarsmaktens byggnader och anläggningar. För samtliga exempel gäller naturligtvis att det aktuella objektet ska ha betydelse för Sveriges säkerhet. Det bör understrykas att fysisk säkerhet även kan avse objekt som inte är fast egendom. En verksamhetsutövare som ägnar sig åt transportverksamhet av farligt gods med hög riskpotential måste därför i sin säkerhetsskyddsanalys bedöma vilka åtgärder som är nödvändiga för att skydda t.ex. ett transportmedel och dess last, som i sig inte är ett skyddsobjekt enligt skyddslagen.
När det gäller frågan om hur säkerhetsskyddsåtgärden ska uttryckas har utredningen förslagit att uttrycket tillträdesbegränsning ska ändras till fysisk säkerhet. Ur ett semantiskt perspektiv är det lätt att identifiera tillträdesbegränsning som enbart åtgärder avsedda att förhindra att personer tar sig in på ett visst område. Som utredningen framför stämmer uttrycket väl överens med systematiken i den nuvarande lagstiftningen som primärt syftar till att förebygga att obehöriga personer får tillgång till byggnader och andra platser där hemliga handlingar förvaras. Svea hovrätt har framfört att det kan övervägas om uttrycket tillträdesbegränsning bör ändras till objektsäkerhet i stället för fysisk säkerhet eftersom det sistnämnda uttrycket kan leda tanken åt fel håll. Regeringen delar uppfattningen att uttrycket tillträdesbegränsning utgör en alltför snäv beskrivning av bestämmelsen i den nya lagstiftningen och riskerar att ge en alltför begränsad bild av det avsedda tillämpningsområdet. Fysisk säkerhet är i det avseendet bättre som uttryck men även här finns risk för tolkningsproblem, i och med att det kan förknippas med säkerheten för fysiska personer. Detta skulle i och för sig tala för att i stället använda uttrycket objektsäkerhet. Mot det ska dock ställas att det internationellt vedertagna uttrycket är physical security. Regeringen gör sammantaget bedömningen att fysisk säkerhet är det lämpligaste uttrycket för att ersätta uttrycket tillträdesbegränsning.
Den närmare regleringen av vilka åtgärder som bör vidtas inom ramen för den fysiska säkerheten får göras i föreskrifter. På motsvarande sätt som när det gäller åtgärder som vidtas för att stärka informationssäkerheten ska nivån av åtgärder för att stärka den fysiska säkerheten enligt förslaget beslutas med verksamhetsutövarens säkerhetsskyddsanalys som grund.
Regeringen noterar de synpunkter som har inkommit under remitteringen av betänkandet om att det kan finns anledning att se över om det behöver göras följdförändringar i skyddslagen. Det saknas beredningsunderlag för att nu genomföra förändringar i den lagstiftningen. Regeringen beslutade den 23 mars 2017 att tillsätta en parlamentarisk kommitté med uppgift att se över bl.a. delar av skyddslagstiftningen
(dir. 2017:31). Uppdraget ska delredovisas senast den 6 april 2018, avseende de frågor som rör skyddslagstiftningen, och slutredovisas senast den 1 april 2019.
Fysisk säkerhet i annan lagstiftning
I dag finns bestämmelser om tillträdesbegränsning även i skyddslagen och lagen (2014:514) om ansvar för vissa säkerhetsfrågor vid statsministerns tjänstebostäder. I den gällande säkerhetsskyddslagen finns hänvisningar till dessa författningar som till viss del kompletterar säkerhetsskyddslagen. Utredningen har föreslagit att bestämmelserna ska överföras till den nya säkerhetsskyddslagen. Regeringen delar den bedömningen.
8.3 Personalsäkerhet
Regeringens förslag: Personalsäkerhet ska förebygga att personer som inte är pålitliga från säkerhetssynpunkt deltar i en verksamhet där de kan få tillgång till säkerhetsskyddsklassificerade uppgifter eller i en verksamhet som av annan anledning är säkerhetskänslig, samt säkerställa att de som deltar i säkerhetskänslig verksamhet har en tillräcklig kunskap om säkerhetsskydd.
Utredningens förslag: Överensstämmer med regeringens förslag.
Remissinstanserna: Flertalet remissinstanser tillstyrker eller har inte något att invända mot förslaget. Säkerhetspolisen anser att uttrycket personalsäkerhet är väl valt då det motsvarar det internationella uttrycket och tydliggör att åtgärderna inte endast avser säkerhetsprövning. Almega Säkerhetsföretagen (Säkerhetsbranschen) ställer sig positiv till innebörden av det nya uttrycket personalsäkerhet och det utvidgade syfte som uttrycksändringen medför.
Skälen för regeringens förslag
Enligt 7 § den nuvarande säkerhetsskyddslagen ska åtgärden säkerhetsprövning förebygga att personer som inte är pålitliga från säkerhetssynpunkt deltar i verksamhet som har betydelse för rikets säkerhet. Vidare anges i 30 § att myndigheter och andra som lagen gäller för ska se till att personalen får utbildning i frågor om säkerhetsskydd.
Uttrycket säkerhetsprövning ersatte i nuvarande säkerhetsskyddslag det tidigare uttrycket infiltrationsskydd. Skälen till ändringen var att åtgärderna syftar till mer än att bara ge ett skydd mot infiltration, t.ex. ett skydd mot att personer som av andra anledningar är olämpliga ur säker-hetssynpunkt får del av hemliga uppgifter (prop. 1995/96:129 s. 28).
Utredningen har föreslagit att säkerhetsprövningen kompletteras med krav på utbildning i säkerhetsskydd och att dessa samverkande åtgärder ska utgöra säkerhetsskyddsåtgärden personalsäkerhet. Regeringen, liksom flera remissinstanser, instämmer i utredningens förslag. Utbildningens betydelse för säkerhetsskyddet bör lyftas fram. För att förebygga sådana sårbarheter som den s.k. mänskliga faktorn kan utgöra i en verksamhet är information och utbildning om säkerhetsskydd viktiga delar av säkerhetsskyddet. Sårbarheter vid t.ex. myndigheter kan inte sällan direkt kopplas samman med anställda som av okunskap, obetänksamhet eller bekvämlighet inte följer de krav på säkerhetsskydd som gäller för verksamheten. Säkerhetsskyddsåtgärder uppfattas inte sällan som krångliga, tidsödande och begränsande. Utbildnings- och informationsinsatser för att höja kunskapen om verksamhetens säkerhetsskydd och för att öka förståelsen och acceptansen för det är därför en viktig del av säkerhetsskyddet.
Det är den som bedriver den säkerhetskänsliga verksamheten som ska se till att den som ska anställas eller på annat sätt delta i verksamheten får utbildning i säkerhetsskydd i den utsträckning som behövs. På samma sätt som för säkerhetsprövningen finns det för utbildningskravet ett uppföljningsansvar som sträcker sig över hela anställningsförhållandet eller den motsvarande tid som deltagandet pågår. Utbildning i säkerhetsskydd kan också underlätta den uppföljande säkerhetsprövningen. Samtal om säkerhetsskydd i samband med utbildning kan ge tillfälle att fånga upp relevanta attitydförändringar hos personer som omfattas av krav på säkerhetsprövning. Som bl.a. Chalmers tekniska högskola har anfört är övning en viktig komponent i utbildningsinsatser för att stärka förståelsen av högt säkerhetsskydd.
Utredningen har vidare föreslagit att syftet med säkerhetsprövningen justeras till att avse säkerhetskänslig verksamhet i dess helhet. Därigenom anpassas åtgärden till den nya terminologi som föreslås i den nya säkerhetsskyddslagen. Regeringen delar utredningens bedömning. Som utvecklas i avsnitt 5 förslås en utvidgning av lagens tillämpningsområde. En del av utvidgningen består i att säkerhetsskyddet ska omfatta inte bara verksamhet av betydelse för Sveriges säkerhet, utan också verksamhet som omfattas av ett internationellt åtagande om säkerhetsskydd.
8.3.1 Nuvarande system för personalkontroll ska behållas
Regeringens bedömning: Huvuddragen i det nuvarande systemet för personalkontroll behålls. Det bör inte ske någon övergång till ett system med inslag av säkerhetsklarering. Även fortsättningsvis bör säkerhetsprövningen knytas till de krav som befattningen eller verksamheten ställer i det enskilda fallet.
Utredningens bedömning: Överensstämmer med regeringens bedömning.
Remissinstanserna: Flertalet remissinstanser tillstyrker eller har inga invändningar mot förslaget. Säkerhetspolisen ställer sig bakom utredningens förslag att inte införa ett klareringssystem och anser att argumenten för detta framstår som övertygande. Även Kriminalvården ser positivt på att personalsäkerheten utgår från ett verksamhetsanpassat säkerhetsskydd och inte ett klareringsförfarande. Flera remissinstanser, bl.a. Skatteverket och Ekobrottsmyndigheten, föreslår att uttrycket säkerhetsklass byts ut mot säkerhetsskyddsklass.
Skälen för regeringens bedömning
Säkerhetsskyddslagens bestämmelser om placering i säkerhetsklass och säkerhetsprövning innebär att omfattningen av de kontroller som görs av en person som ska delta i säkerhetskänslig verksamhet styrs av den mängd säkerhetskänsliga uppgifter som personen i en viss befattning får del av. Exempelvis gäller för placering i säkerhetsklass 1 att den anställde eller den som annars deltar i verksamheten i stor omfattning får del av uppgifter som omfattas av sekretess och är av synnerlig betydelse för rikets säkerhet (17 § 1 säkerhetsskyddslagen). Den svenska säkerhetsskyddsregleringen skiljer sig från system med s.k. säkerhetsklarering (på engelska personal security clearance). Med säkerhetsklarering avses i princip att den person som ska kontrolleras godkänns - klareras - i en viss skyddsklass, som ger honom eller henne behörighet att befatta sig med säkerhetskänsliga uppgifter upp till och med en viss skyddsnivå. Systemen med säkerhetsklarering innebär vidare att varje handling som bedöms skyddsvärd förses med en särskild markering som anger vilken skyddsnivå som gäller för handlingen. Systemet med säkerhetsklarering har sin grund i Nato-samarbetet och förekommer i flera länder och mellanfolkliga organisationer. Ett sådant system tillämpas även i EU enligt vad som föreskrivs i rådets beslut av den 31 mars 2011 om säkerhetsbestämmelser för skydd av säkerhetsskyddsklassificerade EU-uppgifter (2011/292/EU). Vidare har ett multilateralt säkerhetsskyddsavtal undertecknats mellan EU:s medlemsländer, som även det utgår från systemet med säkerhetsklarering (EUT 2011/C 202/05). På det nordiska området träffades 2010 ett generellt säkerhetsskyddsavtal om ömsesidigt skydd och utbyte av säkerhetsskyddsklassificerade uppgifter (traktat nr 06893) som också grundas på systemet med säkerhetsklarering. En avgörande skillnad mellan ett system med säkerhetsklarering och säkerhetsskyddslagens systematik brukar anses vara att den svenska säkerhetsprövningen är knuten till en anställning eller ett deltagande i verksamhet medan kontrollen i ett system med säkerhetsklarering hänför sig till en person.
Sedan säkerhetsskyddslagen trädde i kraft har det internationella samarbetet intensifierats. Det gäller dels stater emellan, dels inom näringslivet. Samarbetet inom EU har utvecklats och blivit tätare. I näringslivet ställs allt oftare krav på säkerhetsskyddsåtgärder som villkor för att delta i olika internationella affärssamarbeten. Mot den bakgrunden har utredningen haft i uppdrag att överväga om Sverige bör övergå till ett system med säkerhetsklarering.
Utredningen har i betänkandet översiktligt redovisat de regler och förfaranden som gäller i länder som är jämförbara med Sverige och som tillämpar ett system med säkerhetsklarering. Utredningen konstaterar att erfarenheten som kan dras från den internationella utblicken i fråga om klarering är att likheterna med den svenska modellen är större än olikheterna. Det handlar överlag mer om formella skillnader än om skillnader i sak. Vidare skiljer sig systemen för klarering sinsemellan åt i flera avseenden. Utredningen konstaterar att vid en jämförelse med den svenska säkerhetsprövningen är intrycket att underlagen i klareringsmodellerna i högre grad är mer summariska och inte sällan bygger enbart på uppgifter om tidigare brottslighet. En ordning med ett klareringssystem innebär vidare ett avsteg från den viktiga principen om ett verksamhetsanpassat säkerhetsskydd. En prövning av den verksamhet som anställningen eller deltagandet avser ger bra förutsättningar för en prövning som är anpassad till den specifika befattningen. Det ges även bättre förutsättningar för en fördjupad personkännedom om prövningen pågår under hela den tid som anställningen pågår. Att prövningen anpassas till den specifika befattningen är dessutom angeläget för den som prövningen avser eftersom ordningen med Säkerhets- och integritetsskyddsnämndens relevansprövning av registeruppgifter är en viktig funktion för att skydda den enskildes integritet. Det kan ifrågasättas om den begränsade möjlighet till överklagande av klarering som finns i vissa länder ger samma skydd.
Sammantaget har utredningen bedömt att det för skyddet av verksamheter som har betydelse för Sveriges säkerhet inte kommit fram några påtagliga behov av ett intygsförfarande och att den nuvarande säkerhetsprövningen därför inte bör utvecklas mot ett s.k. klareringssystem. De remissinstanser som särskilt har uttalat sig i frågan, bl.a. Säkerhetspolisen, ställer sig bakom utredningens bedömning. Regeringen delar utredningens uppfattning och anser att det nuvarande systemet med en säkerhetsprövning som är kopplad till anställningen och inte till en person bör behållas.
För vissa situationer, t.ex. arbeten där det utförs likartade uppgifter under korta och återkommande tidsperioder, skulle det troligen passa bättre med ett klareringssystem. Det finns i dessa fall behov av en enklare och mer ändamålsenlig hantering. För att åstadkomma en sådan ordning föreslår regeringen en bestämmelse om att säkerhetsprövningen får göras mindre omfattande om det finns särskilda skäl, se vidare i nästa avsnitt.
För att säkerhetsprövningen tydligare ska uppfylla de krav som följer av internationella säkerhetsskyddsåtaganden och även i övrigt för att underlätta internationell samverkan på säkerhetsskyddsområdet bedömer regeringen att det är påkallat med vissa förändringar av det nuvarande svenska systemet. Det är framför allt i två avseenden som förändringar bör ske. En viktig förutsättning i klareringssystemen är att känsliga uppgifter klassificeras utifrån en fyrgradig skala, eftersom nivåerna för de olika säkerhetsskyddsåtgärderna bestäms utifrån säkerhetsskyddsklass. I avsnitt 7 föreslås att säkerhetsskyddsklassificerade uppgifter ska klassificeras i fyra olika nivåer och att säkerhetsskyddet ska anpassas efter säkerhetsskyddsklass. Detta sätt att klassificera information ska även användas vid säkerhetsprövningen. För att åstadkomma detta föreslås att grunderna för placering av anställningar i säkerhetsklass justeras, se vidare avsnitt 8.3.3. Vidare behöver det svenska systemet ändras så att regleringen blir tydligare avseende säkerhetsintyg för internationella behov. Detta utvecklas vidare i avsnitt 10.2.
Några remissinstanser har föreslagit att uttrycket säkerhetsklass ska bytas ut mot uttrycket säkerhetsskyddsklass. Som anges i avsnitt 7 har regeringen redan föreslagit att uttrycket säkerhetsskyddsklass ska vara benämningen på de olika nivåerna vid säkerhetsskyddsklassificering av information. Således bör uttrycket säkerhetsklass alltjämt användas även i den nya lagen avseende placering av anställning eller annat deltagande i säkerhetskänslig verksamhet.
8.3.2 Säkerhetsprövning av anställda, uppdragstagare och andra som ska delta i säkerhetskänslig verksamhet
Regeringens förslag: Säkerhetsskyddslagens bestämmelser om säkerhetsprövning överförs i stora delar till den nya säkerhetsskyddslagen.
Säkerhetsprövning ska göras av den som genom anställning eller på något annat sätt ska delta i säkerhetskänslig verksamhet. Säkerhetsprövning ska dock inte göras när det gäller
1. uppdrag som statsråd, ledamot av Europaparlamentet, riksdagen eller kommun- och landstingsfullmäktige, eller
2. annat uppdrag som offentlig försvarare eller ombud inför domstol än sådant som avser offentligt ombud enligt 27 kap. 27 § rättegångsbalken eller integritetsskyddsombud enligt 6 § lagen om Försvarsunderrättelsedomstol.
Säkerhetsprövningen syftar till att klarlägga om en person kan antas vara lojal mot de intressen som skyddas i säkerhetsskyddslagen och i övrigt pålitlig från säkerhetssynpunkt. Vid säkerhetsprövningen ska sådana omständigheter som kan antas innebära sårbarheter i säkerhetshänseende beaktas.
Säkerhetsprövningen ska göras innan deltagandet i den säkerhetskänsliga verksamheten påbörjas och innefatta en grundutredning samt registerkontroll och särskild personutredning i vissa fall. Om det finns särskilda skäl får säkerhetsprövningen göras mindre omfattande.
Säkerhetsprövningen ska följas upp under den tid som deltagandet i den säkerhetskänsliga verksamheten pågår.
Utredningens förslag: Överensstämmer i huvudsak med regeringens förslag. Utredningen föreslår dock införandet av uttrycket inledande säkerhetsprövning.
Remissinstanserna: Många remissinstanser tillstyrker eller har inte några invändningar mot förslaget. Försvarets materielverk anför att det är bra att det tydliggörs att säkerhetsprövningen är pågående till sin natur. Myndigheten anser också att det nya uttrycket grundutredning fyller en viktig funktion. Diskrimineringsombudsmannen framhåller att det kan finnas behov av att tydliggöra vilka parametrar som ska vägas in vid en säkerhetsprövning. Diskrimineringsombudsmannen bedömer att man på detta sätt minimerar eventuella risker för osakliga bedömningar. Ekobrottsmyndigheten anför att uttrycken inledande säkerhetsprövning, grundutredning, registerkontroll och särskild personutredning bör beskrivas tillsammans med övriga definitioner. Så många uttryck inom området säkerhetsprövning riskerar att göra bestämmelsen otydlig. Det bör övervägas om skrivningarna kan förenklas genom att ta bort uttrycket inledande säkerhetsprövning. Statens inspektion för försvarsunderrättelseverksamheten påpekar att det i 3 kap. 1 § förslaget till ny säkerhetsskyddslag framgår att den som ska delta i säkerhetskänslig verksamhet ska säkerhetsprövas. Det bör förtydligas i aktuell paragraf att även personer som verkar i sådan verksamhet där skyddsklassificerade uppgifter hanteras bör säkerhetsprövas.
Skälen för regeringens förslag
Huvuddragen i säkerhetsprövningen ska bestå
Säkerhetsprövning enligt säkerhetsskyddslagen tar sikte på anställda, uppdragstagare och andra som deltar i en säkerhetskänslig verksamhet. Vad som ska bedömas inom ramen för säkerhetsprövningen framgår av
7 och 11 §§ säkerhetsskyddslagen. I 7 § 3 nämns pålitlighet från säkerhetssynpunkt. I 11 § anges att prövningen ska klarlägga om personen kan antas vara lojal mot de intressen som skyddas av säkerhetsskyddslagen och i övrigt pålitlig från säkerhetssynpunkt. Pålitlighetsbedömningen ska innefatta inte bara en bedömning av om det finns en risk för att personen i fråga kan göra sig skyldig till spioneri eller dylikt utan också av risken för att personen kan bli utsatt för olika påtryckningar eller risker för att den enskilde genom slarv eller på annat oavsiktligt sätt röjer sekretessbelagda uppgifter. Med lojalitetsprövningen avses i första hand en bedömning av om det t.ex. på grund av bindningar med en främmande makt eller en terroristorganisation finns en risk att personen begår brottsliga handlingar.
Utredningen konstaterar att det inte framkommit skäl som kräver att det görs stora förändringar när det gäller de nuvarande bestämmelserna om säkerhetsprövning och att bestämmelserna därför i stora delar bör överföras till den nya säkerhetsskyddslagen. Eftersom det är särskilt viktigt att säkerhetsprövningen även innefattar underlag och bedömning i fråga om sårbarhet föreslår utredningen emellertid att detta särskilt kommer till uttryck i lagtext. Bland andra Säkerhetspolisen och Försvarsmakten ställer sig bakom detta förslag.
Säkerhetsprövning handlar ytterst om att bedöma om en person har tillräckliga förutsättningar och personlig lämplighet att genom anställning eller på annat sätt delta i säkerhetskänslig verksamhet. Det är fråga om en bedömning som görs utifrån ett riskreduceringsperspektiv, dvs. i syfte att undvika risker i den säkerhetskänsliga verksamheten som inte kan accepteras. Det bör göras en helhetsbedömning som baseras på ett allsidigt underlag och på att bedömningen tydligt relateras till verksamheten och anställningen. Regeringen delar mot den bakgrunden utredningens och remissinstansernas uppfattning.
Lagstiftningen bör vara tydlig när det gäller kraven på en säkerhetsprövning. Detta är viktigt inte minst av hänsyn till den personliga integriteten och, som Diskrimineringsombudsmannen påpekar, för att undvika risk för diskriminering. Det bör klart framgå att syftet med säkerhetsprövningen är att klarlägga om en person kan antas vara lojal mot de intressen som ska skyddas och i övrigt vara pålitlig från säkerhetssynpunkt. Vid prövningen bör beaktas omständigheter som kan innebära sårbarheter i säkerhetshänseende.
Säkerhetsprövning ska enligt förslaget göras av den som genom anställning eller på något annat sätt ska delta i säkerhetskänslig verksamhet. Regeringen bedömer att detta även innefattar personer som deltar i verksamhet där säkerhetsskyddsklassificerade uppgifter hanteras och delar därför inte Statens inspektion för försvarsunderrättelseverksamhetens uppfattning att detta behöver tydliggöras i lagtext.
Utredningen har föreslagit att följande uppdrag ska undantas från kravet på säkerhetsprövning: ledamöter av regeringen, Europaparlamentet, riksdagen eller kommun- och landstingsfullmäktige samt andra uppdrag som offentliga försvarare eller ombud inför domstol än sådana som avser offentligt ombud enligt 27 kap. 27 § rättegångsbalken eller integritetsskyddsombud enligt 6 § lagen (2009:966) om Försvarsunderrättelsedomstol. Motsvarande undantag finns i 11 och 13 §§ nuvarande säkerhetsskyddslag. Undantagen i nuvarande lag avser dock endast registerkontroll. Utredningen har påpekat att de särskilda skäl som har redovisats i förarbetena för undantagen motiverar att de utsträcks till att avse hela säkerhetsprövningen. Regeringen har ingen annan uppfattning än den utredningen framfört. Genom föreslagen ordalydelse tydliggörs vilka grupper som omfattas av undantaget. Det kan tilläggas att undantaget endast gäller när sådana uppdrag som anges i paragrafen utövas. Om t.ex. en person som är ledamot av riksdagen deltar i någon annan säkerhetskänslig verksamhet ska personen säkerhetsprövas.
Grundutredning, registerkontroll och särskild personutredning är olika moment i säkerhetsprövningen
Utredningen har vidare föreslagit att de olika momenten vid säkerhetsprövningen ska tydliggöras. En säkerhetsprövning förutsätter en helhetsbedömning där omständigheter av olika slag vägs samman. Säkerhetsprövningen förutsätter en grundutredning som, i den utsträckning som följer av bestämmelserna om placering i säkerhetsklass, ska kompletteras med registerkontroll och särskild personutredning. Det viktigaste momentet i den inledande delen av säkerhetsprövningen är den del som syftar till en tillräcklig personkännedom. En registerkontroll kan vara en del i en säkerhetsprövning men ersätter inte personkännedom och omdömen om den som ska prövas. Viktiga inslag kan vara någon typ av intervju eller annan form av uppgiftslämnande från den som prövningen avser, kontroll av intyg och betyg och inhämtande av referenser. Av Säkerhetspolisens vägledning om säkerhetsprövning framgår att frågor kan behöva ställas om bl.a. umgänge (den sökandes vänner och eventuella ovänner), tidigare verksamhet (erfarenheter från tidigare anställningar), ekonomi (inkomst, skulder, förmögenhet och boendeform), bisysslor (eventuella andra åtaganden samt uppgifter om företag och verksamhet), personliga egenskaper (den sökandes ambition, samarbetsförmåga, etik, säkerhetsmedvetande och dylikt) samt intressekonflikter (om den sökande kan hamna i en intressekonflikt vid eventuell anställning). Vad som krävs i fråga om underlag och bedömning behöver anpassas till vilken form av deltagande som det är fråga om. Underlaget behöver t.ex. vara betydligt mer omfattande när det är fråga om att få del av säkerhets-skyddsklassificerade uppgifter på skyddsnivån kvalificerat hemlig än när det gäller tillträde till förhållandevis mindre känsliga säkerhetsområden vid ett skyddsobjekt.
Regeringen liksom flera av remissinstanserna, t.ex. Försvarets materielverk, delar utredningens bedömning att de olika momenten i säkerhetsprövningen bör tydliggöras. Regeringen föreslår därför, i likhet med utredningen, att det direkt i lagtext ska anges att säkerhetsprövningen ska omfatta en grundutredning samt en registerkontroll och särskild personutredning under vissa förutsättningar. Innebörden av registerkontroll och särskild personutredning föreslås liksom i dag anges i särskilda bestämmelser i lagen. Ekobrottsmyndigheten har framfört att uttrycken inledande säkerhetsprövning, grundutredning, registerkontroll och särskild personutredning bör beskrivas tillsammans med övriga definitioner. Enligt myndigheten riskerar så många uttryck inom området säkerhetsprövning att göra bestämmelsen otydlig och det bör övervägas om skrivningarna kan förenklas genom att ta bort uttrycket inledande säkerhetsprövning. Regeringen delar uppfattningen att utredningens föreslagna uttryck inledande säkerhetsprövning inte bör användas i bestämmelsen. När det gäller att vissa uttryck närmare behöver definieras bedömer regeringen att det kan ske genom verkställighetsföreskrifter.
I vissa fall behövs en viss flexibilitet i fråga om krav på säkerhetsprövning för att undvika upprepad underlagsinhämtning som inte tillför något nytt i sak och som innebär en onödig pålaga för de som deltar i säkerhetskänslig verksamhet. Vid t.ex. kortvariga anställningar och personalomflyttningar kan det vara aktuellt med endast en begränsad säkerhetsprövning. Regeringen föreslår därför att det i lagtext anges att säkerhetsprövningen får göras mindre omfattande om det finns särskilda skäl.
I nuvarande säkerhetsskyddslag anges i 11 § att säkerhetsprövning får göras även under pågående anställning eller annat pågående deltagande i verksamheten. Utredningen har påtalat vikten av att säkerhetsprövningen ska ses som en process som ska pågå under hela den tid som en person har sin anställning eller sitt uppdrag. Under anställningstiden handlar det om att skaffa sig en fördjupad personkännedom genom t.ex. regelbundna kontakter och uppföljningssamtal för att kunna fånga upp upplevt missnöje med arbetssituationen, kontaktförsök från främmande makt och liknande förhållanden som kan påverka risk och mottaglighet för utpressning eller omständigheter som tyder på att personen är i riskzonen för olika former av missbruk. Vid uppföljning av säkerhetsprövningen finns det anledning att lägga särskild vikt vid tillfällen som innebär större förändringar av arbetsuppgifterna och vid den avslutande fasen av anställningen. Regeringen delar utredningens uppfattning och anser att uppföljningsansvaret är av sådan vikt att det bör uttryckas som ett ska-krav i den nya säkerhetsskyddslagen. Uppföljningsansvaret innebär även att det ska ske en kontinuerlig bevakning av uppgifter som tillförs de register som är aktuella vid registerkontroll. För att bevakningsansvaret ska fungera på avsett sätt är det av vikt att Säkerhetspolisen får kännedom om när grund för att utföra kontrollen upphör, t.ex. vid avslutad anställning eller för det fall att den kontrollerade inte anställs.
8.3.3 Placering i säkerhetsklass
Regeringens förslag: En anställning eller ett annat deltagande i säkerhetskänslig verksamhet ska placeras i:
- säkerhetsklass 1, om personen i en omfattning som inte är ringa får del av uppgifter i säkerhetsskyddsklassen kvalificerat hemlig eller till följd av sitt deltagande i verksamheten har möjlighet att orsaka synnerligen allvarlig skada för Sveriges säkerhet.
- säkerhetsklass 2, om personen i en omfattning som inte är ringa får del av uppgifter i säkerhetsskyddsklassen hemlig, i ringa omfattning får del av uppgifter i säkerhetsskyddsklassen kvalificerat hemlig eller till följd av sitt deltagande i verksamheten har möjlighet att orsaka allvarlig skada för Sveriges säkerhet.
- säkerhetsklass 3, om personen får del av uppgifter i säkerhetsskyddsklassen konfidentiell, i ringa omfattning får del av uppgifter i säkerhetsskyddsklassen hemlig eller till följd av sitt deltagande i verksamheten har möjlighet att orsaka en inte obetydlig skada för Sveriges säkerhet.
En anställning eller ett annat deltagande i säkerhetskänslig verksamhet ska också i andra fall placeras i en säkerhetsklass som motsvarar de krav på säkerhetsprövning som följer av ett internationellt säkerhetsskyddsåtagande.
En anställning eller ett annat deltagande får placeras i säkerhetsklass endast om behovet av säkerhetsskydd inte kan tillgodoses på annat sätt.
Utredningens förslag: Överensstämmer med regeringens förslag.
Remissinstanserna: Flertalet remissinstanser har inte några invändningar mot utredningens förslag. Länsstyrelsen i Västra Götalands län, Statens veterinärmedicinska anstalt, Skatteverket och Ekobrottsmyndigheten tillstyrker särskilt förslaget om placering i säkerhetsklass utifrån uppgiftens säkerhetsskyddsklass. Även Säkerhetspolisen anger att myndigheten anser förslaget om säkerhetsklasser vara väl avvägt och att de föreslagna kriterierna för placering av en anställning i säkerhetsklass kommer att medföra en möjlighet att anpassa personalsäkerheten till verksamhetens behov.
När det gäller det s.k. omfattningsrekvisitet motsätter sig Säkerhetsbranschen, Ekobrottsmyndigheten och Affärsverket Svenska kraftnät att rekvisitet tas bort. Dessa instanser ser en risk med ökade inplaceringar i högre säkerhetsklasser till följd av att enbart en liten del information i högre säkerhetsskyddsklass kan förekomma.
Arbetsgivarverket, Länsstyrelsen i Västra Götalands län och Journalistförbundet tillstyrker utredningens förslag om att det i säkerhetsskyddslagen ska införas ett uttryckligt krav på restriktiv tillämpning i fråga om placering av anställningar i säkerhetsklass. Vidare påpekar Sveriges Kommuner och Landsting, Stockholms läns landsting och Västra Götalands läns landsting att det är av vikt att landstingen och kommunerna får utbildning och rådgivning för att föreslagen restriktivitet ska få genomslag.
Sveriges advokatsamfund anför att utvidgningen, dvs. att den registerkontroll som i dag får göras med stöd av 14 § säkerhetsskyddslagen inordnas i systemet med placering i säkerhetsklass, kommer att innebära att antalet personer som kommer att placeras i säkerhetsklass och därmed säkerhetsprövas kommer att öka. Utredningen har enligt samfundets mening inte i tillräcklig omfattning beaktat proportionalitetsprincipen i förhållande till behovet av det utvidgade tillämpningsområdet.
Skälen för regeringens förslag
Säkerhetsskyddsklassificering ska styra placeringen i säkerhetsklass
Som angetts tidigare föreslås en övergång från skydd av hemliga uppgifter i nuvarande säkerhetsskyddslag till skydd av säkerhetsskyddsklassificerade uppgifter i den nya säkerhetsskyddslagen, se avsnitt 5.2. Utredningen har föreslagit att övergången till säkerhetsskyddsklassificerade uppgifter även ska återspeglas i grunderna för placering av anställning i säkerhetsklass. Att den berörde får del av säkerhetsskyddsklassificerade uppgifter som klassificerats som kvalificerat hemlig, hemlig, konfidentiell eller begränsat hemlig bör styra placeringen i säkerhetsklass. Regeringen, liksom flertalet remissinstanser, delar utredningens uppfattning.
Några remissinstanser, bl.a. Säkerhetsbranschen, Ekobrottsmyndigheten och Affärsverket Svenska kraftnät, har framfört synpunkter på att omfattningsrekvistet i den nya lagen ändras till att den anställde i en omfattning som inte är ringa får del av uppgifter och att detta kan medföra ökad inplacering i högre säkerhetsklass. Regeringen anser att det utrymme för differentiering som de fyra säkerhetsskyddsklasserna innebär medför goda förutsättningar för att finna en väl avvägd skyddsnivå. Dagens översättningsproblematik när det gäller internationella förhållanden, med risk för placering i onödigt hög säkerhetsklass, borde även minska med det nya förslaget. Vidare innebär förslaget att ordalydelsen blir likartad i hela bestämmelsen, dvs. det föreslås att omfattningskravet anges på samma sätt för de olika klasserna, dvs. "i en omfattning som inte är ringa", vilket kan jämföras med nuvarande ordalydelse där det anges både "i stor omfattning" och "i en omfattning som inte är obetydlig". Regeringen vill också framhålla att det är av vikt att det omfattningsrekvist som föreslås alltid prövas noga. Om uppgifter endast förekommer i mindre omfattning ska anställningen placeras i nästa lägre klass. Det är viktigt att alla aktörer gör en noggrann prövning så att placering inte sker i för hög säkerhetsklass. Placeringen har konsekvenser både för den enskilde och för verksamheterna eftersom högre klass innebär större ingrepp i den personliga integriteten och mer kostnader för utökade säkerhetsskyddsåtgärder.
När det gäller information på den lägsta nivån - begränsat hemlig - delar regeringen utredningens uppfattning att det inte är påkallat med någon placering i säkerhetsklass eftersom ett röjande endast kan medföra ringa skada.
En ny grund för placering i säkerhetsklass
Enligt nuvarande ordning för säkerhetsprövning är ett grundläggande moment att en anställning eller annat deltagande i verksamhet som innebär att den anställde eller den som deltar i verksamhet får del av hemliga uppgifter i förväg identifieras och placeras i säkerhetsklass. Nuvarande bestämmelser om säkerhetsprövning gäller också i verksamheter som särskilt behöver skyddas mot terrorism. Däremot gäller inte bestämmelserna om placering av befattningar i säkerhetsklass för sådan verksamhet. Grunden för registerkontroll som ett led i säkerhetsprövningen i dessa fall finns i stället i nuvarande 14 § säkerhetsskyddslagen.
Utredningen har föreslagit att bestämmelserna om placering i säkerhetsklass ska utvidgas till att omfatta befattningar som, även om de inte innebär hantering av säkerhetsskyddsklassificerade uppgifter, är att anse som säkerhetskänsliga (i övrigt säkerhetskänslig verksamhet). Utredningen föreslår vidare att även anställningar och annat deltagande i säkerhetskänslig verksamhet ska placeras i säkerhetsklass om krav på säkerhetsprövning följer av ett internationellt säkerhetsskyddsåtagande. Det finns i dag åtaganden som avser anläggningar, objekt och platser inom bl.a. områdena luftfarts-, hamn-, och sjöfartsskydd. Enligt utredningen är syftet med förslaget bl.a. att systemet för säkerhetsprövning ska vara heltäckande. Placering i säkerhetsklass ska ske både för anställningar som innebär hantering av säkerhetsskyddsklassificerade uppgifter och för anställningar som av annan anledning är av betydelse för Sveriges säkerhet. Förslaget innebär vidare att det inte längre finns anledning att ha kvar den registerkontroll som i dag görs med stöd av 14 § säkerhetsskyddslagen (skydd mot terrorism).
Flera remissinstanser, t.ex. Statens veterinärmedicinska anstalt, Skatteverket och Ekobrottsmyndigheten, är positiva till utredningens förslag om att bestämmelserna om placering i säkerhetsklass ska utvidgas till att omfatta även i övrigt säkerhetskänslig verksamhet och att den registerkontroll som i dag görs med stöd av 14 § säkerhetsskyddslagen inordnas i systemet med säkerhetsklassplaceringar. Även regeringen är av samma uppfattning. Systemet med säkerhetsklasser blir mer enhetligt och logiskt när alla typer av befattningar eller deltagande i verksamhet inordnas i systemet. Övergången från skydd av verksamheter som särskilt behöver skyddas mot terrorism till skydd av i övrigt säkerhetskänslig verksamhet innebär i fråga om säkerhetsprövning att det inte bara är skydd mot terrorism som prövningen ska fånga upp. I dag görs registerkontroll med stöd av 14 § säkerhetsskyddslagen i många fall av den som kommer anställas eller på annat sätt delta i verksamhet vid ett skyddsobjekt enligt skyddslagen (2010:305). Dessa fall kommer att rymmas inom det skyddsvärda området enligt den nya lagen, men även annan säkerhetskänslig verksamhet kommer att innefattas. Exempel på verksamhet som kommer att inkluderas är vissa samhällsviktiga informationssystem, sprängämnesindustri och transporter av vissa farliga ämnen (som kärnavfall) som inte omfattas av bestämmelserna om skyddsobjekt enligt skyddslagen.
För befattningar som innebär hantering av säkerhetsskyddsklassificerade uppgifter kommer, som angetts tidigare, säkerhetsplaceringen vara given utifrån den skyddsnivå (dvs. kvalificerat hemlig, hemlig eller konfidentiell) som har bestämts. För verksamhet som är säkerhetskänslig på annan grund än hantering av säkerhetsskyddsklassificerade uppgifter har inte någon motsvarande formell framåtsyftande skadebedömning gjorts. Till stöd för bedömningen bör i stället användas den konsekvensbedömning som ska göras inom ramen för säkerhetsskyddsanalysen. De säkerhetsklassade befattningarna bör delas in utifrån skadenivåerna synnerligen allvarlig, allvarlig eller inte obetydlig skada för Sveriges säkerhet. Dessa nivåer bör utgöra en alternativ grund för placering i säkerhetsklass 1, 2 eller 3. Graden av skada som en person till följd av sitt deltagande i en säkerhetskänslig verksamhet har möjlighet att orsaka varierar beroende på anläggningen och tillträdesbehörighetens omfattning. En noggrann befattningsanalys eller motsvarande analys av det deltagande det är fråga om får göras.
Regeringen delar utredningens uppfattning att de registerkontroller som i dag görs med stöd av 14 § säkerhetsskyddslagen i första hand bör kunna rymmas inom säkerhetsklass 3. Utrymmet för att placera anställningar i klass 1 och 2 bör vara begränsat. En placering i högre säkerhetsklass kan vara motiverad om t.ex. en anställning innebär att en person behöver anförtros tillgång till vissa anläggningar eller system av kritisk betydelse för landets elförsörjning.
Ett uttryckligt krav på restriktivitet vid placering i säkerhetsklass
Utredningen har även föreslagit att det i den nya säkerhetsskyddslagen ska finnas ett uttryckligt krav på restriktiv tillämpning i fråga om placering i säkerhetsklass av anställningar eller annat deltagande i säkerhetskänslig verksamhet. En säkerhetsprövning aktualiserar ofta frågor som kan uppfattas som mycket integritetskränkande för den enskilde. Det samlas även in mycket information om den enskilde individen. Det har även framhållits av vissa remissinstanser, t.ex. Sveriges advokatsamfund, att proportionalitetsprincipen alltid måste beaktas. Samfundet har även särskilt påpekat att utvidgningen, dvs. att den registerkontroll som i dag får göras med stöd av 14 § säkerhetsskyddslagen inordnas i systemet med placering i säkerhetsklass, kommer att innebära att antalet personer som placeras i säkerhetsklass ökar.
Regeringen delar den uppfattning om behovet av restriktivitet som framförts av utredningen och remissinstanserna. Placering i säkerhetsklass, vilket bl.a. medför att registerkontroll får göras, bör bara ske när det verkligen är nödvändigt. Den som beslutar om placering av en anställning eller ett uppdrag i säkerhetsklass bör alltid noga pröva behovet. Placering i säkerhetsklass bör endast göras om skyddsbehovet inte kan tillgodoses på något annat sätt. Genom att systemet med placering i säkerhetsklass får ett vidare tillämpningsområde i den nya lagen bör i princip alltid säkerhetsprövningar som kan föranleda att ett mer omfattande underlag inhämtas grundas på ett beslut om säkerhetsklass. Någon form av säkerhetsprövning kan emellertid också behöva göras vid ett deltagande i säkerhetskänslig verksamhet som inte föranleder placering i säkerhetsklass, t.ex. vid anställning som medför hantering av säkerhetsskyddsklassificerade uppgifter på nivån begränsat hemlig. I de fallen bör säkerhetsprövningen ha en mer begränsad omfattning och åtgärder inom ramen för personalsäkerheten bör i de fallen framförallt inriktas på utbildning och information om säkerhetsskydd.
Det bör vidare alltid övervägas om verksamheten är organiserad på ett optimalt sätt utifrån skyddsbehovet och om alternativa säkerhetsskyddsåtgärder, dvs. åtgärder inom informationssäkerhet och fysisk säkerhet, kan användas.
Mot denna bakgrund föreslår regeringen att en anställning eller annat deltagande får placeras i säkerhetsklass endast om behovet av säkerhetsskydd inte kan tillgodoses på annat sätt.
8.3.4 Krav på svenskt medborgarskap för vissa anställningar i säkerhetsklass 1 och 2
Regeringens förslag: En anställning i staten, en kommun eller ett landsting som är placerad i säkerhetsklass 1 eller 2 får endast innehas av den som är svensk medborgare.
Regeringen får i enskilda fall, om det finns särskilda skäl, medge undantag från kravet på svenskt medborgarskap.
Utredningens förslag: Överensstämmer delvis med regeringens förslag. Utredningen föreslår att kravet på svenskt medborgarskap i en säkerhetsklassad anställning i staten, en kommun eller ett landsting avskaffas helt.
Remissinstanserna: Ett flertal remissinstanser, bl.a. Sveriges riksbank, Kammarrätten i Stockholm, Åklagarmyndigheten, Polismyndigheten, Kriminalvården, Myndigheten för samhällsskydd och beredskap (MSB), Folke Bernadotteakademin, Styrelsen för internationellt utvecklingsarbete (Sida), Pensionsmyndigheten, Arbetsgivarverket, Länsstyrelsen i Västra Götalands län, Strålsäkerhetsmyndigheten, Affärsverket Svenska kraftnät, Riksarkivet, Diskrimineringsombudsmannen och Ekobrottsmyndigheten tillstyrker utredningens förslag.
Kriminalvården, Pensionsmyndigheten, Affärsverket Svenska kraftnät och Ekobrottsmyndigheten betonar dock att det är av vikt att det tydligt framgår att en säkerhetsprövning av en individ inte kan godkännas om tillräckligt underlag inte kan inhämtas. Såväl Pensionsmyndigheten som Ekobrottsmyndigheten och Strålsäkerhetsmyndigheten betonar därutöver att frågan måste kunna hanteras ur ett arbetsrättsligt perspektiv och ett diskrimineringsperspektiv, i annat fall anser man att kravet på svenskt medborgarskap bör finnas kvar.
Säkerhetspolisen, Säkerhets- och integritetsskyddsnämnden, Inspektionen för strategiska produkter, Försvarsmakten, Försvarets materielverk, Försvarets radioanstalt, Totalförsvarets forskningsinstitut, Försvarsexportmyndigheten, Skatteverket, Fortifikationsverket, Göteborgs kommun och Sveriges advokatsamfund avstyrker utredningens förslag. Säkerhetspolisen, Försvarets radioanstalt och Fortifikationsverket uttrycker bl.a. att det innebär stora praktiska problem att genomföra en lämplighetsbedömning av en person som inte är svensk medborgare. Försvarsmakten, Försvarets radioanstalt, Totalförsvarets forskningsinstitut och Fortifikationsverket framför att de delar uppfattningen som redovisats av vissa av utredningens experter om att den formella och tydliga kopplingen till Sverige, dess statsskick och grundläggande rättigheter som följer av ett medborgarskap är viktig. Försvarets radioanstalt framför därutöver att medborgarskap är en viktig indikation på lojalitet mot Sverige, vilket gör sig särskilt gällande för anställningar i de två högsta säkerhetsklasserna samt i verksamheter som riktar sig mot utländska förhållanden och som omgärdas av sekretess enligt 15 kap. 2 § OSL. Försvarsexportmyndigheten anför bl.a. att verksamheter som är av betydelse för Sveriges säkerhet måste stödjas av en tydlig säkerhetsskyddslagstiftning som värderar pålitlighet högre än en utökad möjlighet till rekrytering. Att ta bort kravet på svenskt medborgarskap innebär att man lägger alltför stort ansvar på den mänskliga faktorn i urvalsprocessen. Skatteverket påpekar att det finns en risk för att en obegränsad rätt att anställa icke svenska medborgare innebär kraftigt utdragna rekryteringsprocesser och diskriminering.
Skälen för regeringens förslag
Medborgarskapskrav i dagens reglering
Enligt 29 § säkerhetsskyddslagen får en säkerhetsklassad anställning vid staten, en kommun eller ett landsting endast innehas av den som är svensk medborgare. Kravet på svenskt medborgarskap gäller inte sådant deltagande i verksamhet som enligt 13 § första stycket vid sidan om anställning ska föranleda registerkontroll. Den som har ytterligare ett medborgarskap, utöver det svenska, anses uppfylla kravet på svenskt medborgarskap. Regeringen får i enskilda fall medge undantag från kravet.
Säkerhetsklassade anställningar förekommer i stor utsträckning inom bl.a. Försvarsmakten, Regeringskansliet och Polismyndigheten. Enligt 11 kap. 11 § regeringsformen ska ordinarie domare vara svenska medborgare. I övrigt får krav på svenskt medborgarskap för behörighet att utöva rättsskipningsuppgifter uppställas endast i lag eller enligt förutsättningar som anges i lag. Enligt 12 kap. 6 § regeringsformen ska riksdagens ombudsmän, riksrevisorerna och justitiekanslern vara svenska medborgare. I övrigt får krav på svenskt medborgarskap för behörighet att inneha anställning eller utöva ett uppdrag hos staten eller en kommun uppställas endast i lag eller enligt förutsättningar som anges i lag. Med stöd av 12 kap. 6 § regeringsformen anges bl.a. i 5 § lagen (1994:260) om offentlig anställning, förkortad LOA, att bara svenska medborgare får ha en anställning som åklagare eller polis eller ha en militär anställning. Vidare anges i 6 § LOA att bara svenska medborgare får ha en anställning inom Regeringskansliet eller utrikesförvaltningen, statlig anställning som kan vara förenad med myndighetsutövning eller handläggning av frågor som rör förhållandet till andra stater eller till mellanfolkliga organisationer eller statlig anställning som kan medföra kännedom om förhållanden som är av betydelse för landets säkerhet eller för andra viktiga, allmänna eller enskilda ekonomiska intressen.
Kravet på svenskt medborgarskap har successivt tagits bort ur stora delar av lagstiftningen. Utvecklingen har gått i riktning mot att begränsa de rättsliga skillnaderna mellan svenska medborgare och den övriga befolkningen. En anledning till denna utveckling är det svenska medlemskapet i EU och bl.a. principerna om likabehandling och icke-diskriminering (artikel 18 i fördraget om Europeiska unionens funktionsätt). Huvudregeln i dag är att utlänningar också ska kunna få en statlig anställning. Några undantag har dock ansetts nödvändiga med hänsyn till bl.a. rikets säkerhet och önskemålet att frågor om enskildas rättsställning beslutas av svenska medborgare (prop. 1973:90 s. 406).
Medborgarskapskrav ska finnas kvar för anställningar i säkerhetsklass 1 och 2
Utredningen har föreslagit att svenskt medborgarskap inte ska vara ett behörighetsgrundande krav för att inneha en säkerhetsklassad anställning hos staten, kommuner eller landsting. Nuvarande ordning innebär enligt utredningen problem när myndigheter inte kan anställa personer med den kompetens och bakgrund som behövs i verksamheten. Utredningen anser att förhållandet att en person saknar svenskt medborgarskap eller t.ex. innehar ett annat medborgarskap jämte det svenska medborgarskapet i stället ska vara en omständighet bland flera som ska vägas in vid säkerhetsprövningen. Många remissinstanser har tillstyrkt utredningens förslag, t.ex. har Sveriges Riksbank, Folke Bernadottesakademin, Arbetsgivarverket, Länsstyrelsen i Västra Götalands län och Strålsäkerhetsmyndigheten anfört att föreslagen lagändring kommer att bredda rekryteringsunderlaget på ett positivt sätt.
Frågan om medborgarskap som behörighetskrav för anställning placerad i säkerhetsklass har diskuterats under lång tid. SÄPO-kommittén förordade i sitt slutbetänkande Säkerhetspolisens arbetsmetoder, personalkontroll och meddelarfrihet (SOU 1990:51 s. 274 f.) att tjänster som då benämndes skyddsklass 2 (säkerhetsklass 3 enligt nuvarande regler) borde vara öppna även för utländska medborgare. Kommittén anförde bl.a. följande.
Det bör vara möjligt att på ett mer nyanserat sätt föreskriva vilka tjänster som bör kräva svenskt medborgarskap än att som nu indirekt låta skyddsklassningen vara helt och hållet avgörande. Det kan inte uteslutas att på det sättet utlänningar i onödan utestängs från möjligheten att inneha vissa befattningar trots att detta inte är motiverat från sakliga utgångspunkter. Med den utvidgning till personalkontroll som kommittén har föreslagit framstår det som än mer angeläget att inte redan den omständigheten att en befattning är hänförd till skyddsklass regelmässigt kan diskvalificera en utlänning från att kunna inneha befattningen. För innehav av befattningar som är särskilt känsliga från säkerhetssynpunkt är det enligt kommitténs mening rimligt att alltjämt bibehålla kravet på svenskt medborgarskap, medan det för övriga tjänster i stället - på samma sätt som för svenska medborgare - bör vara tillräckligt att pålitligheten prövas inom ramen för en personalkontroll.
Förslaget genomfördes aldrig. Säkerhetsskyddsutredningen tog i sitt betänkande Säkerhetsskydd (SOU 1994:149 s. 217 f.) avstånd från
SÄPO-kommitténs uppfattning. Utredningen ansåg, mot bakgrund av de överväganden i frågan om kommunala befattningar som gjorts i samband med lagstiftningen om civilt försvar, att det då inte fanns anledning att inta en annan ståndpunkt när det gällde den statliga sidan. I anslutning till detta anförde emellertid utredningen att det kunde finnas anledning att återkomma till frågan om medborgarskapet, eventuellt i samband med en mera genomgripande översyn av utländska medborgares ställning.
Utredningen har i betänkandet lyft fram slutsatser från Kommittén om medborgarskap (betänkandet Medborgarskapskrav i svensk lagstiftning, SOU 2000:106) om att medborgarskapet i det enskilda fallet inte är en bra värdemätare för lojaliteten till ett land. Många av förslagen i betänkandet har redan genomförts och regeringen bedömer inte att det i nuläget bör tas några ytterligare initiativ till förändringar av regelverket för medborgarskapskrav i enlighet med betänkandet.
Som skäl för generellt medborgarskapskrav vid säkerhetsklassade anställningar har regeringen tidigare (prop. 1995/1996:129 s. 67) hänvisat till de överväganden som gjorts i prop. 1994/95:7 med förslag till lag om civilt försvar, nämligen bl.a. följande:
* I en kris- eller krigssituation kan det hända att en utländsk medborgare många gånger har sin lojalitet hos det land där han är medborgare.
* Utländska medborgare kan i tider av ökade internationella spänningar komma att utsättas för olika former av påtryckningar och risken för lojalitetskonflikter är betydligt större än för den som är svensk medborgare.
* Det finns när det gäller svenska medborgare betydligt bättre möjlig-heter att göra en personbedömning med hjälp av personkontroll än vad som är fallet med en utländsk medborgare, eftersom denne oftast tillbringat en stor del av sitt liv i ett annat land (något som gör det svårt för svenska myndigheter att erhålla tillförlitliga uppgifter om hans förflutna).
Flera remissinstanser, bl.a. Säkerhetspolisen och Försvarsmakten, har framfört att medborgarskapet måste anses vara en indikation på att den enskilde är lojal mot Sverige och svenska intressen. Vidare har Säkerhetspolisen framfört att det i många fall saknas möjlighet att kontrollera utländska medborgare på ett effektivt sätt. Enligt myndigheten förekommer en person som nyligen har kommit till Sverige av naturliga skäl inte i svenska register. Beträffade många länder finns det inte heller någon möjlighet att tillfråga myndigheter i det tidigare hemlandet om en person förekommer i aktuella register eller inte. I sådana situationer skapas en mycket stor osäkerhet kring personens lämplighet. Även i de fall som möjlighet finns att efterfråga uppgifter om en person, har myndigheten ingen möjlighet att kontrollera om det svar som lämnas är fullständigt eller korrekt. Det innebär således enligt myndigheten stora praktiska problem att genomföra en lämplighetsbedömning av en person som inte är svensk medborgare. Det finns enligt myndigheten även betänkligheter med att medborgarskapets betydelse blir en del av den allmänna bedömningen av lojalitet och lämplighet i säkerhetshänseende, dvs. en del i säkerhetsprövningen. När de omständigheter som legat till grund för ett beslut inte kan redovisas öppet finns en risk för att en arbetsgivare anklagas för diskriminering.
Regeringen delar utredningens bedömning att förhållandet att en person är svensk medborgare inte innebär någon garanti för att den personen sympatiserar eller är lojal med det staten och demokratin står för. När det gäller anställningar som är placerade i säkerhetsklass 1 och 2 måste det dock beaktas att det är fråga om personer som kan komma att ta del av kvalificerat hemliga uppgifter eller som till följd av sitt deltagande i en viss verksamhet kan komma att ha möjlighet att orsaka synnerligen allvarlig skada för Sveriges säkerhet. Det går inte att bortse från de skäl som regeringen i tidigare sammanhang har anfört och som talar för ett generellt medborgarskapskrav avseende säkerhetsklassade anställningar. Säkerhetsskyddsarbetets inriktning har varierat under åren. Under 1970- och 80-talet var risken för infiltration av bl.a. polisen och Försvarsmakten en hotbild som sysselsatte Säkerhetspolisen och Försvarsmaktens underrättelse- och säkerhetstjänst (SOU 2002:87 s. 197 f.). Även om infiltration av säkerhetskänsliga verksamheter i dag inte är i fokus på samma sätt är det svårt att förutsäga vad den säkerhetspolitiska utvecklingen innebär på sikt. Som Försvarets radioanstalt har anfört går det inte heller att bortse från att medborgarskapet är en indikation på lojalitet mot Sverige på samma sätt som att medborgarskap i något annat land innebär ett starkt band till det landet. Det är i dag svårt att överblicka konsekvensen av att medborgarskapskravet tas bort i enlighet med utredningens förslag. Vidare måste beaktas de synpunkter som förts fram från remissinstanserna, bl.a. Säkerhetspolisen, om svårigheten att göra nödvändiga kontroller av utländska medborgare och att detta förhållande även kan medföra risk för diskriminering i anställningsförfaranden. Sammantaget bedömer regeringen att det i dag saknas tillräckliga skäl för att göra någon ändring när det gäller krav på svenskt medborgarskap för anställningar vid staten, en kommun eller ett landsting placerade i säkerhetsklass 1 och 2.
Medborgarskapskrav tas bort för anställning i säkerhetsklass 3
När det gäller anställningar placerade i säkerhetsklass 3 bedömer regeringen att det inte finns lika starka skäl för att svenskt medborgarskap ska vara ett behörighetsgrundande krav. I säkerhetsklass 3 är det inte fråga om lika känsliga uppgifter som i säkerhetsklass 1 och 2. I enlighet med förslaget om att den registerkontroll som i dag görs med stöd av 14 § säkerhetsskyddslagen ska inordnas i systemet med säkerhets-klassplacering, kommer ett stort antal ytterligare befattningar att rymmas inom säkerhetsklass 3. Detta medför att anställningar som i dag inte omfattas av något krav på svenskt medborgarskap övergår till en säkerhetsklassad anställning och således - om nuvarande regler behålls - ett krav på svenskt medborgarskap. Om inte kravet på svenskt medborgarskap för säkerhetsklass 3 tas bort skulle alltså kravet på medborgarskap enligt den nya systematiken omfatta fler anställningar än i dag. Mot den bakgrunden delar regeringen utredningens uppfattning att svenskt medborgarskap inte bör vara ett behörighetskrav för anställningar i säkerhetsklass 3. Regeringen vill dock framhålla att en säkerhetsprövning alltid ska bestå av en allsidig bedömning. Till grund för prövningen ska finnas ett brett beslutsunderlag. Omständigheter av olika slag som kan påverka lojaliteten i säkerhetshänseende, t.ex. medborgarskap, bör alltid vägas in.
Medborgarskapskravet avser endast anställning i staten, en kommun eller ett landsting
Kravet på medborgarskap gäller i dag endast för säkerhetsklassad anställning vid staten, en kommun eller ett landsting. Finansinspektionen har anfört att ett krav på svenskt medborgarskap sannolikt skulle få stora konsekvenser för enskilda inom den finansiella sektorn eftersom finansiella företag ofta har internationella inslag i sin organisation och verksamhet. Regeringen bedömer att även i den nya lagen bör kravet endast avse anställningar - som är placerade i säkerhetsklass 1 och 2 - vid staten, en kommun eller ett landsting. Det kan tyckas motsägelsefullt att kravet inte ska gälla i alla verksamheter som kommer att omfattas av kraven på säkerhetsskydd i den nya säkerhetsskyddslagen. Regeringen, liksom flera remissinstanser, anser dock att en sådan reglering blir alltför långtgående.
Undantag från medborgarskapskravet bara vid särskilda skäl
Enligt 29 § säkerhetsskyddslagen kan regeringen medge undantag från kravet på svenskt medborgarskap. Under perioden 2013-2016 har regeringen avgjort ett drygt hundratal sådana ärenden.
Regeringen bedömer att det även i den nya säkerhetsskyddslagen bör finnas en dispensmöjlighet. Möjligheten att ge undantag bör dock inskränkas eftersom den nu endast kommer gälla för anställningar i de högre säkerhetsklasserna, klass 1 och 2. Mot den bakgrunden är det rimligt att undantag endast får medges om det föreligger särskilda skäl. Vid bedömningen bör beaktas bl.a. vilken typ av känslig verksamhet som det är fråga om, vilken säkerhetsklass som är aktuell, vilket land det är fråga om (det påverkar bl.a. möjligheten att få ett korrekt utfall vid säkerhetsprövningen), vilken anknytning personen har till Sverige (hur länge personen bott eller vistats här), och varför myndigheten vill ha just den aktuella personen (finns det t.ex. andra kandidater som är lika kvalificerade). Att ett undantag medges innebär inte att personen i fråga blivit godkänd ur säkerhetssynpunkt. Det ankommer på myndigheten som anställer personen i den säkerhetsklassade anställningen att ansvara för den säkerhetsprövning som behövs, inklusive registerkontroll.
8.3.5 Beslut om placering i säkerhetsklass
Regeringens förslag: Riksdagen och dess myndigheter beslutar om placering i säkerhetsklass när det gäller riksdagens förvaltningsområde.
I övrigt beslutar regeringen om placering i säkerhetsklass. Regeringen får meddela föreskrifter om att myndigheter och andra får besluta om placering i säkerhetsklass. Sådan beslutanderätt får överlåtas till enskilda endast om det finns särskilda skäl.
Utredningens förslag: Överensstämmer med regeringens förslag.
Remissinstanserna: Ett antal remissinstanser instämmer i förslagen eller har inte några invändningar. Vissa instanser framför synpunkter när det gäller beslutanderätten som regleras i förordning.
Skälen för regeringens förslag: Nuvarande ordning i fråga om behörighet att besluta om placering i säkerhetsklass och om registerkontroll är inte helt enkel att utläsa. Vilka som har behörighet att besluta i olika avseenden framgår av 20 § säkerhetsskyddslagen i kombination med
18-22 och 26 a-27 a §§ säkerhetsskyddsförordningen samt av bilagan till den förordningen. Bilagan innehåller en förteckning över de statliga myndigheter som beslutar om placering i säkerhetsklass och om registerkontroll till följd av en sådan placering. Bestämmelserna innebär i korthet att regeringen, med undantag för riksdagens förvaltningsområde, ytterst har beslutanderätten men kan överlåta den till myndigheter, kommuner och landsting och, om det finns särskilda skäl, vissa företag. Regeringen har med stöd av bemyndigandet överlåtit i princip all beslutanderätt, med undantag för framför allt beslut om placering i säkerhetsklass 1, till myndigheter, kommuner och landsting samt till några få bolag där starka oberoendehänsyn gör sig gällande, bl.a. Sveriges Radio Aktiebolag.
Utredningen konstaterar i betänkandet att även om nuvarande beslutsordning är svåröverskådlig är den i huvudsak ändamålsenlig. Förslaget om att den nuvarande registerkontrollen till skydd mot terrorism ska inordnas i systemet med placering i säkerhetsklass innebär behov av justeringar i säkerhetsskyddsförordningen. Det förefaller vara en lämplig ordning att myndigheter som i dag beslutar om placering i säkerhetsklass får göra det i den större utsträckning som blir följden av den föreslagna ordningen med utvidgade grunder för placering i säkerhetsklass. Det innebär t.ex. att Transportstyrelsen, i stället för att besluta om registerkontroll enligt 14 § säkerhetsskyddslagen (skydd mot terrorism), i fråga om de som ska anställas vid flygplatser i motsvarande utsträckning får besluta om placering i säkerhetsklass. Även i fråga om enskild verksamhet, som i dag inte omfattas av bestämmelserna om registerkontroll till skydd mot terrorism (eller av bestämmelser om placering i säkerhetsklass), är det lämpligt att tillsynsmyndigheterna bemyndigas att besluta om placering i säkerhetsklass.
Regeringen delar utredningens uppfattning att nuvarande beslutsordning om placering i säkerhetsklass bör behållas. Regeringen, med undantag för riksdagens förvaltningsområde, ska ytterst ha beslutanderätten men ska kunna överlåta den till myndigheter, kommuner och landsting samt, om det finns särskilda skäl, vissa företag.
8.3.6 Registerkontroll, särskild personutredning och krav på samtycke
Regeringens bedömning och förslag: De nuvarande bestämmelserna om registerkontroll, särskild personutredning och krav på samtycke bör finnas även i den nya säkerhetsskyddslagen.
För säkerhetsklass 1 eller 2 får uppgifter om den kontrollerade som finns i belastningsregistret, misstankeregistret eller som behandlas med stöd av polisdatalagen hämtas. Motsvarande uppgifter om den kontrollerades make eller sambo får också hämtas.
För säkerhetsklass 3 får uppgifter om den kontrollerade som finns i belastningsregistret, misstankeregistret eller som behandlas hos Säkerhetspolisen med stöd av polisdatalagen hämtas.
Om det finns synnerliga skäl får även andra uppgifter hämtas.
Uppgifter ska löpande hämtas in under den tid deltagandet i den säkerhetskänsliga verksamheten pågår.
Utredningens bedömning och förslag: Överensstämmer i huvudsak med regeringens förslag. Utredningen föreslår dock inte särskilda bestämmelser om vilka uppgifter som får hämtas vid registerkontroll.
Remissinstanserna: Ingen remissinstans motsätter sig utredningens bedömning. Totalförsvarets rekryteringsmyndighet påpekar att det är en brist att utredningen inte har tagit upp frågan om medkontroll av närstående.
Skälen för regeringens bedömning och förslag: Som angetts i tidigare avsnitt föreslås att nuvarande system för personalkontroll behålls. Detta innebär att stora delar av den nuvarande regleringen om säkerhetsprövning är aktuell även i en ny säkerhetsskyddslag. Utredningen har bedömt att nuvarande bestämmelser om registerkontroll, särskild personutredning samt samtycke för registerkontroll och särskild personutredning bör föras över till den nya säkerhetsskyddslagen med i huvudsak samma ordalydelse. Regeringen delar i huvudsak utredningens uppfattning. De aktuella bestämmelserna bör med vissa justeringar finnas även i den nya lagen.
Med registerkontroll avses enligt 12 § säkerhetsskyddslagen att uppgifter hämtas från ett register som omfattats av lagen (1998:620) om belastningsregister, lagen (1998:621) om misstankeregister eller lagen (2010:362) om polisens allmänna spaningsregister samt att uppgifter som behandlas med stöd av polisdatalagen (2010:361) hämtas in. Av 18 § säkerhetsskyddslagen framgår i vilka fall en särskild personutredning ska göras vid registerkontroll. Av 21-23 §§ säkerhetsskyddslagen framgår vilka uppgifter om den kontrollerade och vissa till den kontrollerade närstående som ett utlämnande för säkerhetsprövning får omfatta.
Regeringen konstaterar att det i nuvarande reglering inte är tydligt vilka uppgifter som får hämtas in vid en registerkontroll. Det framgår vilka uppgifter som får lämnas ut för säkerhetsprövning och med detta kan tolkas att uppgifterna först måste hämtas in vid en registerkontroll. För att tydliggöra vilka uppgifter som får hämtas in för registerkontroll för de olika säkerhetsklasserna föreslår regeringen att detta ska regleras särskilt. De register som uppgifterna hämtas från bör vara samma som i nuvarande reglering. För säkerhetsklass 1 eller 2 bör uppgifter få hämtas som finns i belastningsregistret, misstankeregistret eller som behandlas med stöd av polisdatalagen (2010:361). För nära anhöriga kan det, särskilt när det gäller de högsta säkerhetsklasserna, vara relevant att även hämta in de uppgifter som finns om dem. Motsvarande uppgifter bör därför även kunna hämtas när det gäller den kontrollerades make eller sambo. För säkerhetsklass 3 bör uppgifter få hämtas som finns i belastningsregistret, misstankeregistret eller som behandlas hos Säkerhetspolisen med stöd av polisdatalagen. Om det finns synnerliga skäl bör, liksom i dag, även andra uppgifter få hämtas in.
Utredningen har påpekat att s.k. spontanutfall, dvs. att registerkontrollen i praktiken innebär en kontinuerlig bevakning av tillkommande uppgifter inte finns reglerat i säkerhetsskyddslagen. Stöd för förfarandet finns i förordningen till säkerhetsskyddslagen 29 § andra stycket. Regeringen delar utredningens uppfattning att det bör finnas en bestämmelse i den nya lagen som reglerar förfarandet.
8.3.7 Prövningen av frågan om att lämna ut uppgifter som kommit fram vid en registerkontroll
Regeringens förslag: En uppgift som har kommit fram vid en registerkontroll eller särskild personutredning får lämnas ut för säkerhetsprövning endast om uppgiften i det enskilda fallet kan antas ha betydelse för säkerhetsprövningen. Om det är absolut nödvändigt, får också motsvarande uppgifter om den kontrollerades make eller sambo lämnas ut.
Säkerhets- och integritetsskyddsnämnden beslutar om huruvida uppgifter som kommit fram vid en registerkontroll och särskild personutredning ska lämnas ut för säkerhetsprövning.
Utredningens förslag: Överensstämmer i huvudsak med regeringens förslag. Utredningen anger endast att en uppgift får lämnas ut om det har betydelse för prövningen av den kontrollerades pålitlighet från säkerhetssynpunkt.
Remissinstanserna: Försvarsmakten och Affärsverket Svenska kraftnät framhåller att lagförslaget bör kompletteras med anledning av att det i betänkandets överväganden påtalas vikten av att utöver pålitlighet göra en bedömning även utifrån lojalitet och sårbarhet. Både Säkerhetspolisen och Säkerhets- och integritetsskyddsnämnden välkomnar ett tydliggörande av Säkerhetspolisens respektive Säkerhets- och integritetsskyddsnämndens uppgifter i samband med säkerhetsprövning. Nämnden ser positivt på utredningens förtydliganden av ansvarsfördelningen mellan nämnden och Säkerhetspolisen när det gäller prövningen av utlämnande av uppgifter efter registerkontroll och bedömer att den föreslagna regleringen skapar förutsättningar för en mer ändamålsenlig handläggning av utlämnandefrågan.
Skälen för regeringens förslag och bedömning
Relevansprövningen
Av 24 § säkerhetsskyddslagen framgår att en uppgift som kommit fram vid registerkontroll eller särskild personutredning får lämnas ut för säkerhetsprövning endast om den kan antas ha betydelse för prövningen av den kontrollerades pålitlighet från säkerhetssynpunkt. Bedömningen av vilka uppgifter som har en sådan relevans för säkerhetsprövningen görs av Säkerhets- och integritetsskyddsnämnden (31 § säkerhetsskyddsförordningen). Det är Registerkontrolldelegationen vid Säkerhets- och integritetsskyddsnämnden som utför uppgiften. I 25 § säkerhets-skyddslagen regleras den kontrollerades rätt att yttra sig över uppgifterna innan de lämnas ut för säkerhetsprövning.
Registerkontrolldelegationens funktion kan beskrivas som ett slags filter för att se till att uppgifter som förekommer i registren och som inte har relevans i säkerhetsprövningsärendet inte lämnas ut för säkerhetsprövning. Den ordningen är således en garanti för att arbetsgivare inte får del av fler uppgifter än vad som är nödvändigt för ändamålet. Förfarandet innehåller vidare krav på att uppgifter innan de lämnas ut kommuniceras med den som prövningen avser. Kommuniceringen fyller inte endast en informationsfunktion utan kan också medföra bedömningen att t.ex. en uppgift om brott inte har relevans för säkerhetsprövningen och därför inte ska lämnas ut. Det får inte framgå av svaret till den som har beslutat om registerkontrollen att det finns en uppgift om den kontrollerade som inte lämnas ut (33 § säkerhetsskyddsförordningen). Det är vidare den som har beslutat om registerkontrollen som självständigt avgör betydelsen av uppgifter som kommit fram vid kontrollen och som lämnats ut för säkerhetsprövning (27 § säkerhetsskyddslagen). En uppgift som lämnas ut vid registerkontroll får inte heller åtföljas av något annat yttrande än en förtydligande kommentar till uppgiften (26 § säkerhetsskyddslagen).
Utredningen har i betänkandet redogjort för att tillämpningen av bestämmelserna om utlämnade av uppgifter visar att endast en mindre del av de uppgifter som förekommer i de register som omfattas av kontrollen lämnas ut för säkerhetsprövning. Utredningen har haft i uppgift att ta ställning till om reglerna om utlämnande av uppgifter bör ändras när det gäller registerkontroll till skydd mot terrorism. Det har bl.a. ifrågasatts om bestämmelserna om utlämnande i 24 § säkerhetsskyddslagen fått en alltför restriktiv utformning när det gäller personal som är verksam vid flygplatser eller kärnkraftverk. Utredningen konstaterar att frågan kommer i en något annan dager mot bakgrund av det förslag som lämnats om att den nuvarande registerkontrollen till skydd mot terrorism (14 § säkerhetsskyddslagen) föreslås inordnas i systemet med säkerhetsklasser. Utredningen konstaterar dock att en mer övergripande fråga är om det finns anledning att i något avseende ändra förfarandet där uppgifter från bl.a. belastningsregistret lämnas ut för säkerhetsprövning först efter en relevansprövning av Registerkontrolldelegationen vid Säkerhets- och integritetsskyddsnämnden. Den utsållning av uppgifter som görs genom delegationen är en viktig del av skyddet av den personliga integriteten. Samtidigt kan konstateras att filtret är finmaskigt genom att endast en mindre del av de uppgifter som förekommer lämnas ut. Utredningen har vid kontakter med verksamheter som utför säkerhetsprövningar fått exempel på situationer där man senare fått kännedom om uppgifter om brottmålsdomar som för den aktuella anställningen och i ljuset av omständigheterna i övrigt ansetts vara av stor relevans för säkerhetsprövningen. Utredningen konstaterar att relevansprövningen i sig förutsätter en god kunskap om de förutsättningar som gäller för verksamheten och anställningen och det redovisade problemet kan bero på att Registerkontrolldelegationen inte har fått ett tillräckligt underlag från den som ansökt om registerkontrollen.
Utredningen konstaterar vidare att ordningen med att uppgifter lämnas ut efter en relevansprövning av Registerkontrolldelegationen vid Säkerhets- och integritetsskyddsnämnden är ett viktigt integritets-skyddande moment i säkerhetsprövningen. Det finns dock utrymme för att något förtydliga vad relevansprövningen innebär, både i sak och i fråga om delegationens roll i förhållande till Säkerhetspolisens, dvs. den myndighet som utför registerkontrollen. I 24 § säkerhetsskyddslagen, anges att uppgifter får lämnas ut endast om uppgifterna kan antas ha betydelse för prövningen av den kontrollerades pålitlighet från säkerhetssynpunkt. Utredningen påtalar att relevansprövningen tar sikte på samma förhållanden som de som nämns i bestämmelsen om säkerhetsprövningens syfte, dvs. att även omständigheter som kan innebära sårbarheter i säkerhetshänseende bör beaktas. Flera remissinstanser, bl.a. Försvarsmakten och Affärsverket Svenska kraftnät, har påtalat att utredningens slutsats om att relevansprövningen tar sikte på samma förhållanden som de som nämns i bestämmelsen om säkerhetsprövningens syfte även bör komma till uttryck i lagtexten. Regeringen delar utredningens uppfattning att samma omständigheter som anges i bestämmelsen om säkerhetsprövningens syfte bör beaktas vid relevansprövningen men instämmer i de synpunkter som framförts av remissinstanserna, dvs. att det i bestämmelsen om utlämnande av uppgifter bör anges uttryckligen att dessa omständigheter ska beaktas. Det ska alltså framgå att det även ska beaktas dels om personen kan antas vara lojal mot de intressen som ska skyddas i lagen, dels sådana omständigheter som kan antas innebära sårbarheter i säkerhetshänseende. I den aktuella bestämmelsen ska anges en hänvisning till bestämmelsen om säkerhetsprövningens syfte och innehåll.
När det gäller uppgifter om den kontrollerades make eller sambo bör dessa uppgifter, liksom i dag, bara lämnas ut för säkerhetsprövning om det är absolut nödvändigt.
Rätten att yttra sig
Utredningen har föreslagit att nuvarande bestämmelse om den kontrollerades rätt att yttra sig över uppgifterna innan de lämnas ut för säkerhetsprövning ska föras över till den nya säkerhetsskyddslagen med i huvudsak samma ordalydelse. Regeringen delar utredningens uppfattning. Den aktuella bestämmelsen bör finnas även i den nya lagen och det är inte påkallat med några förändringar i sak. Vissa mindre språkliga justeringar föreslås.
Säkerhetspolisens och Säkerhets- och integritetsskyddsnämndens upp-gifter vid registerkontroll
Utredningen konstaterar i betänkandet att när det gäller rollfördelningen mellan Registerkontrolldelegationen vid Säkerhets- och integritetsskyddsnämndens roll och Säkerhetspolisen i fråga om utlämnade av uppgifter efter registerkontroll innehåller nuvarande bestämmelser i säkerhetsskyddsförordningen vissa oklarheter avseende ärendehanteringen. Det stora flertalet ärenden är sådana där det inte förekommer några uppgifter i registren eller där uppgifterna är av ringa betydelse. I dessa ärenden fattar av Säkerhets- och integritetsskyddsnämnden förordnade tjänstemän vid Registerkontrolldelegationens kansli beslut om att det inte finns några uppgifter att redovisa. Genom delegation får av Säkerhets- och integritetsskyddsnämnden förordnade handläggare och föredragande fatta beslut om att inte lämna ut uppgifter. Även delegationens ordförande och vice ordförande får fatta beslut i frågan om utlämnande av uppgifter om frågan är av enkel beskaffenhet. På detta sätt behöver inte delegationen i sin helhet belastas med alla registerkontrollärenden. Denna delegation medför en snabbare handläggning. Utredningen konstaterar att den redovisade ordningen är ändamålsenlig och bör framgå redan av författningstexten.
Säkerhets- och integritetsskyddsnämnden framför att nämnden ser positivt på utredningens förtydliganden av ansvarsfördelningen mellan nämnden och Säkerhetspolisen när det gäller prövningen av utlämnande av uppgifter efter registerkontroll. Den föreslagna regleringen i betänkandet, 3 kap. 12 § säkerhetsskyddslagen och 7 kap. 10-11 §§ säkerhetsskyddsförordningen skapar förutsättningar för en mer ändamålsenlig handläggning av utlämnandefrågan. Nämnden betonar att förslaget att Säkerhetspolisen - och inte av nämnden förordnade föredragande - kommer att göra det stora flertalet bedömningar i utlämnandefrågan, inte innebär något försvagat integritetsskydd. Enligt utredningens förslag kommer inga uppgifter att lämnas ut utan att delegationen har beslutat att så ska ske.
Regeringen bedömer att de förtydliganden som utredningen föreslagit, och som stöds av Säkerhets- och integritetsskyddsnämnden, är ändamålsenliga i fråga om ansvarsfördelningen mellan nämnden och Säkerhetspolisen när det gäller prövningen av utlämnande av uppgifter efter registerkontroll. Det bör tydligt framgå av förordningen att ansökan görs till Säkerhetspolisen som sedan utför den faktiska registerkontrollen. I uppgiften ingår också att i vissa fall göra en särskild personutredning. Om det kommer fram uppgifter som kan antas vara av betydelse för säkerhetsprövningen, bör frågan om utlämnade av uppgifter för säkerhetsprövning underställas Registerkontrolldelegationen vid Säkerhets- och integritetsskyddsnämnden.
I lagrådsremissens lagförslag är den aktuella bestämmelsen formulerad på så sätt att den myndighet som regeringen bestämmer beslutar om huruvida uppgifter som kommit fram vid en registerkontroll och särskild personutredning ska lämnas ut för säkerhetsprövning. Lagrådet har påtalat att om det inte anges uttryckligen i bestämmelsen att det är Säkerhets- och integritetsskyddsnämnden som ska avgöra om uppgifter ska lämnas ut för säkerhetsprövning, så bör det anges skäl för detta. Avsikten är att det i den nya lagen, på samma sätt som i den gällande säkerhetsskyddslagen, ska vara Säkerhets- och integritetsskyddsnämnden som tar ställning i samtliga ärenden då uppgifter lämnas ut för säkerhetsprövning. Denna ordning är motiverad av hänsyn till den enskildes integritet och bör bestå. Regeringen anser därför att det, i likhet med dagens reglering, ska framgå direkt av lagen att det är Säkerhets- och integritetsskyddsnämnden som beslutar om huruvida uppgifter som kommit fram vid en registerkontroll och särskild personutredning ska lämnas ut för säkerhetsprövning. Regeringen vill samtidigt betona att ärenden där inga uppgifter framkommer eller där uppgifter finns men där Säkerhetspolisen bedömer att uppgifterna saknar betydelse för säkerhetsprövningen och därmed inte bör lämnas ut, inte behöver hanteras av Säkerhets- och integritetsskyddsnämnden. Regeringen avser att närmare reglera detta förfarande i förordning.
8.3.8 Ansvaret för säkerhetsprövningen
Regeringens förslag: Bedömningen i samband med säkerhetsprövning ska utgå från uppgifter som kommit fram vid genomförandet av grundutredningen och den kännedom som i övrigt finns om den som ska prövas, uppgifter som har lämnats ut efter en registerkontroll och särskild personutredning, arten av den verksamhet som prövningen gäller samt omständigheterna i övrigt.
Bedömningen ska göras av den som beslutar om anställning eller annat deltagande i den säkerhetskänsliga verksamheten. Om en myndighet har det bestämmande inflytandet över den prövades lämplighet att delta i säkerhetskänslig verksamhet hos en enskild verksamhetsutövare, är det i stället myndigheten som gör den slutliga bedömningen.
Om det finns anledning till det, ska en tidigare gjord bedömning av en persons lämplighet att delta i den säkerhetskänsliga verksamheten omprövas.
Utredningens förslag: Överensstämmer med regeringens förslag.
Remissinstanserna: Ett antal remissinstanser instämmer i förslagen eller har inte några invändningar. Vissa instanser framför synpunkter, bl.a. Forsmark Kraftgrupp AB som anför att nuvarande ordning där Affärsverket Svenska kraftnät beslutar i samråd med en tillståndshavare är att föredra framför förslaget om att den som beslutar om anställningen ska göra bedömningen av en persons lämplighet att delta i säkerhetskänslig verksamhet. Ringhals AB är av samma uppfattning.
Skälen för regeringens förslag: I 27 § säkerhetsskyddslagen anges att den som bestämmer om registerkontroll självständigt avgör om den person som prövas ska få anlitas. Prövningen ska grundas på den kunskap som finns om den som prövas, de uppgifter som har kommit fram vid registerkontrollen och vid särskild personutredning, arten av den verksamhet för vilken prövningen görs samt omständigheterna i övrigt.
Utredningen konstaterar i betänkandet att hänsynen till enskildas integritet motiverar att beslut om placering i säkerhetsklass och att vid Säkerhetspolisen initiera registerkontroll på samma sätt som i dag i huvudsak bör vara en uppgift för myndigheter eller andra offentliga organ. Den ordningen bör kunna säkerställa att säkerhetsklassplacering och de integritetskränkande moment i säkerhetsprövningen som följer av en sådan placering förbehålls anställningar etc. där kontrollen är befogad.
En annan fråga är vem eventuella uppgifter bör lämnas ut till och vem som således bör ha ansvaret för säkerhetsprövningen, dvs. att bedöma den kontrollerades pålitlighet i säkerhetshänseende. Enligt gällande ordning lämnas uppgifterna till den som bestämmer om registerkontrollen. När det gäller en person som ska anställas i en enskild verksamhet medför det att uppgifternas betydelse för säkerhetsprövningen avgörs av en myndighet i stället för t.ex. arbetsgivaren. Den ordningen innebär ett avsteg från grundtanken att säkerhetsprövningen bäst görs i den verksamhet som deltagandet avser. Utredningen har föreslagit att detta ska ändras i den nya säkerhetsskyddslagen och att det som huvudregel även i enskilda verksamheter ska vara arbetsgivaren eller annan som beslutar om deltagande i verksamheten som ska göra bedömningen.
Regeringen delar utredningens uppfattning att utgångspunkten vid säkerhetsprövning ska vara att det är den som beslutar om anställningen eller deltagandet som ska göra bedömningen av säkerhetsprövningen och att detta även ska gälla i enskilda verksamheter. De integritetsskyddshänsyn som ligger till grund för att endast en myndighet eller annat allmänt organ bör ha möjlighet att besluta om placering i säkerhetsklass och därigenom kunna initiera registerkontroll är inte lika framträdande i frågan om vem som bör pröva utlämnade uppgifters betydelse för säkerhetsprövningen. Det gäller särskilt när ordningen är sådan att utlämnandet av uppgifter föregås av en relevansprövning av Säkerhets- och integritetsskyddsnämnden. Den särskilda relevansprövningen, som i praktiken medför att merparten av de uppgifter som utgör underlag vid registerkontrollen inte lämnas vidare till den som gör säkerhetsprövningen, bör i sig vara tillräcklig för att i detta avseende skydda den kontrollerades integritet. Även uppgifter som i övrigt kommer fram vid en säkerhetsprövning, t.ex. genom referenstagning och intervju, kan vara minst lika känsliga för den enskilde som uppgifter som lämnas ut efter registerkontroll. Sådana moment i säkerhetsprövningen utförs i regel av arbetsgivaren. Det kan vidare noteras att den aktuella ordningen med en myndighetsmedverkan motiverats endast av behovet att skydda den enskildes integritet. Principiellt sett bör också enskilda verksamheter ha ett eget tydligt ansvar för att utreda behovet av säkerhetsskydd och vidta de säkerhetsskyddsåtgärder som behövs för att tillgodose behovet. Synpunkterna från Forsmark Kraftgrupp AB och Ringhals AB om att dessa instanser föredrar gällande ordning föranleder ingen annan bedömning. Det stöd i fråga om personalsäkerheten som i vissa fall kan behövas får hanteras med hjälp av tillsynsmyndigheterna.
Det finns emellertid områden där den ovan beskrivna principen inte kan tillämpas. Exempelvis i vissa fall ska den myndighet som initierat registerkontroll för en enskild verksamhetsutövares räkning också utifrån resultatet av kontrollen godkänna den kontrollerades deltagande i den säkerhetskänsliga verksamheten. Den ordningen gäller t.ex. inom luftfartsskyddsområdet, där Transportstyrelsen har att besluta om registerkontroll som en följd av att internationella konventioner anger villkor för tillträde till olika slag av behörighetsområden på flygplatser. Efter registerkontrollen meddelar Transportstyrelsen, om det inte finns några uppgifter att lämna ut för säkerhetsprövning, sitt godkännande av säkerhetsprövningen. Om uppgifter efter registerkontrollen lämnas ut till Transportstyrelsen, behöver myndigheten göra en bedömning av uppgifternas betydelse för den prövades lämplighet att få tillträde till flygplatsens säkerhetsområden.
En ordning motsvarande den som tillämpas på luftfartsskyddsområdet torde gälla på fler områden, t.ex. hamn-, sjöfarts- och strålskydd. Också i fråga om säkerhetsskyddad upphandling avtalas i regel om att leverantörer ansvarar för säkerhetsprövningen men att ett godkännande efter registerkontroll krävs från den upphandlande myndigheten.
Om förfarandet avseende prövningen av ett eventuellt utfall efter registerkontroll justeras för att ge ett tydligare stöd för att enskilda verksamheter självständigt ska kunna svara för säkerhetsprövningen, behöver hänsyn tas till den ordning som gäller i fråga om luftfartsskydd och liknande samt upphandling. För att tillgodose båda de nämnda aspekterna föreslår regeringen, i likhet med utredningen, att det i säkerhetsskyddslagen anges att bedömningen i fråga om säkerhetsprövning görs av den som beslutar om anställningen eller deltagandet i den säkerhetskänsliga verksamheten. Om en myndighet har det avgörande inflytandet över den prövades lämplighet att delta i säkerhetskänslig verksamhet hos en enskild verksamhetsutövare ska dock myndigheten göra den slutliga bedömningen.
För de fall som den som ansvarar för säkerhetsprövningen inte är densamma som arbetsgivaren är det lämpligt att en dialog sker med arbetsgivaren om de olika säkerhetsprövningsåtgärderna. Detta bör även ske under uppföljningen av säkerhetsprövningen, dvs. under hela den tid som deltagandet i den säkerhetskänsliga verksamheten pågår. En dialog kan säkerställa att förhållanden som kan påverka säkerhetsprövningen och som arbetsgivaren har kännedom om även blir kända för den som är ansvarig för säkerhetsprövningen.
8.3.9 Handlingar ska återställas till Säkerhetspolisen
Regeringens förslag: Sedan ett beslut har fattats med anledning av en säkerhetsprövning ska de handlingar som överlämnats snarast återställas till den överlämnande myndigheten, om inte den har beslutat något annat.
Utredningens förslag: Överensstämmer inte med regeringens förslag. Utredningen föreslår att bestämmelsen tas bort.
Remissinstanserna: Flera remissinstanser, bl.a. Säkerhetspolisen, Skatteverket och Ekobrottsmyndigheten, avstyrker utredningens förslag.
Skälen för regeringens förslag: I 28 § säkerhetsskyddslagen finns en bestämmelse som innebär att handlingar som en säkerhetsprövande arbetsgivare har fått från Säkerhetspolisen ska återställas dit snarast efter beslut med anledning av säkerhetsprövning, om inte Säkerhetspolisen har beslutat annat.
Utredningen har förslagit att bestämmelsen ska tas bort med motiveringen att den inte fyller någon praktisk funktion. Säkerhetspolisen och andra remissinstanser har motsatt sig att bestämmelsen tas bort. De handlingar som i detta sammanhang har skickats till en myndighet innehåller de uppgifter som Registerkontrolldelegationen har beslutat ska lämnas ut. Dessa uppgifter kan röra information som är oerhört integritetskänslig för den enskilde och även uppgifter som är hemliga. Uppgifterna skulle t.ex. kunna röra pågående känsliga ärenden som finns registrerade i Säkerhetspolisens register. De flesta myndigheter har inte något system för att hantera sådana inkomna hemliga handlingar på ett sätt som uppfyller kravet på säkerhetsskydd.
Enligt 12 och 15 §§ arkivlagen (1990:782) krävs stöd i författning eller beslut av regeringen respektive kommunfullmäktige för att en statlig eller kommunal myndighet ska få lämna ifrån sig allmänna handlingar. Detta gäller dock inte handlingar som myndigheten har fått som lån.
Regeringen delar den uppfattning som framförts av remissinstanserna. Det är angeläget att hemliga och känsliga uppgifter inte i större utsträckning än nödvändigt sprids och förvaras hos flera aktörer. För att skyldigheten att återlämna handlingarna ska träffa även enskilda verksamhetsutövare krävs stöd i lag. Skyldigheten att återlämna handlingar till Säkerhetspolisen bör därmed även komma till uttryck i en ny säkerhetsskyddslag.
8.3.10 Skydd för uppgifter om enskildas personliga förhållanden vid säkerhetsprövningen
Regeringens förslag: Bestämmelsen i offentlighets- och sekretesslagen om sekretess till skydd för enskilds personliga förhållanden för uppgifter som kommer fram vid registerkontroll och särskild personutredning enligt säkerhetsskyddslagen, utvidgas till att avse även andra uppgifter om en enskilds personliga förhållanden som kommer fram vid säkerhetsprövningen.
En bestämmelse om tystnadsplikt införs i säkerhetsskyddslagen i fråga om säkerhetsprövningsärenden i enskilda verksamheter. Den som med stöd av säkerhetsskyddslagen får del av uppgifter som förekommer i en angelägenhet som avser säkerhetsprövning får inte obehörigen röja eller utnyttja dessa uppgifter.
Utredningens förslag: Överensstämmer med regeringens förslag.
Remissinstanserna: Flertalet remissinstanser tillstyrker eller har inte några invändningar mot förslaget. Försvarets materielverk framför att den föreslagna ändringen i OSL är av stor praktisk betydelse för myndigheter som, i likhet med Försvarets materielverk, utför ett stort antal säkerhetsprövningar. Myndigheten anser att det är viktigt att det klarläggs att myndigheten faktiskt kan sekretessbelägga olika former av information som kommer fram vid säkerhetsprövningen och inte endast information i den mer begränsade omfattning som lagen i dag uttryckligen medger. Sveriges advokatsamfund ifrågasätter om skyddet mot missbruk av uppgifter om enskildas personliga förhållanden som kommer fram vid kontroll är tillräckligt tillgodosett genom de föreslagna ändringarna i OSL och införandet av en tystnadsplikt.
Skälen förregeringens förslag
Utökad sekretess till skydd för enskildas personliga integritet
Ett säkerhetsprövningsärende kan innebära att för den enskilde synnerligen känsliga uppgifter hämtas in av arbetsgivaren eller den som annars ska göra säkerhetsprövningen. I 35 kap. 1 § OSL finns en bestämmelse som tar sikte på att skydda uppgifter av detta slag. Enligt ordalydelsen avser bestämmelsen dock endast uppgifter som kommer fram vid registerkontroll eller särskild personutredning enligt säkerhetsskyddslagen. Utredningen har föreslagit att bestämmelsen ändras så att den avser angelägenhet vid säkerhetsprövning.
Den nuvarande sekretessbestämmelsens begränsning innebär att skyddet för uppgifter som i övrigt kommer fram vid säkerhetsprövningen, t.ex. vid en intervju eller vid kontakter med tidigare arbetsgivare, är svagt. Underlaget i den delen kan innebära tillgång till uppgifter som från integritetssynpunkt kan vara minst lika känsliga som uppgifter som lämnats ut efter en registerkontroll och den enskildes intresse av skydd mot att sådana uppgifter röjs väger i dessa fall över enskildas intresse av insyn i offentlig verksamhet. Regeringen delar därför utredningens uppfattning att bestämmelsen i OSL bör utvidgas så att skyddet täcker in säkerhetsprövningen i dess helhet.
Sveriges advokatsamfund har ifrågasatt om det föreslagna skyddet är tillräckligt för att hindra att uppgifterna används för annat än det avsedda ändamålet. Regeringen kan med anledning av den synpunkten konstatera att bestämmelser om sekretess endast syftar till att hindra att uppgifter lämnas ut i strid med det intresse som sekretessen avser att skydda. Bestämmelser som i övrigt reglerar hur enskildas personuppgifter får behandlas finns i huvudsak i polisdatalagen (2010:361) och andra registerförfattningar.
Tystnadsplikt
Bestämmelser om sekretess i OSL gäller endast i det allmännas verksamhet. Säkerhetsprövning eller inhämtande av underlag för sådan prövning kan dock vara en uppgift som utförs även i enskilda verksamheter. Mot den bakgrunden har utredningen i betänkandet föreslagit att det i säkerhetsskyddslagen införs en till OSL kompletterande bestämmelse om tystnadsplikt för uppgifter som kommer fram om enskildas personliga förhållanden i säkerhetsprövningsärenden.
Brott mot tystnadsplikten är straffsanktionerat genom 20 kap. 3 § brottsbalken. Eventuella negativa konsekvenser av att införa en straffsanktionerad tystnadsplikt måste därför ställas mot de intressen som förbudet avser att skydda. Krav måste också ställas på precision och förutsebarhet avseende det straffbara området. Regeringen anser emellertid tveklöst att sådana uppgifter om enskildas personliga förhållanden som förekommer i en säkerhetsprövning bör ges samma skydd oavsett om uppgiften finns i en verksamhet som omfattas av OSL eller i en verksamhet som inte omfattas av den lagen. Det finns liknande bestämmelser även i andra regleringar, t.ex. 11 kap. 65 § plan- och bygglagen (2010:900). Regeringen föreslår även fler bestämmelser om tystnadsplikt, se avsnitt 11.
9 Säkerhetsskyddsavtal
9.1 Kravet på att ingå säkerhetsskyddsavtal utvidgas
Regeringens förslag: Statliga myndigheter, kommuner och landsting som avser att genomföra en upphandling och ingå ett avtal om varor, tjänster eller byggentreprenader ska se till att det i ett säkerhetsskyddsavtal anges hur kraven på säkerhetsskydd enligt 1 § ska tillgodoses av leverantören om det i upphandlingen förekommer säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller om upphandlingen i övrigt avser eller ger leverantören tillgång till säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet.
Skyldigheten att ingå säkerhetsskyddsavtal gäller även för enskilda verksamhetsutövare som ingår avtal om varor, tjänster eller byggentreprenader med utomstående leverantörer. I sådana situationer ska beslut om placering av tjänst eller annat deltagande i säkerhetsklass fattas av en myndighet.
Verksamhetsutövaren ska kontrollera att leverantören följer säkerhetsskyddsavtalet.
Utredningens förslag: Överensstämmer till viss del med regeringens förslag. Utredningen föreslår att staten, kommuner och landsting fortsättningsvis ska ingå säkerhetsskyddsavtal i samband med säkerhetsskyddad upphandling. När en enskild aktör ingår ett affärsavtal som rör säkerhetskänslig verksamhet föreslås att en myndighet ska ingå säkerhetsskyddsavtalet i den enskilde verksamhetsutövarens ställe. Enskilda ska på egen hand kunna ingå säkerhetsskyddsavtal om det finns särskilda skäl.
Remissinstanserna: Majoriteten av remissinstanserna tillstyrker eller har inga synpunkter på förslaget. Totalförsvarets forskningsinstitut föreslår att det ska förtydligas att statliga myndigheter har rätt att ingå säkerhetsskyddsavtal även i det fall myndigheten är leverantör av varor eller tjänster som omfattas av lagens tillämpningsområde. Försvarsmakten, Försvarets materielverk, Försvarets radioanstalt och Luftfartsverket anför att säkerhetsskyddsavtal bör krävas även för uppgifter i säkerhetsskyddsklassen begränsad.
När det gäller utredningens förslag om att enskilda som har behov av säkerhetsskyddsavtal bör kunna begära ett sådant avtal hos en myndighet (s.k. trepartskonstruktion) är flertalet av de remissinstanser som yttrar sig negativa till utredningens förslag. Säkerhetspolisen, Finansinspektionen, Affärsverket Svenska kraftnät, SME-D och Vattenfall AB avstyrker förslaget. Almega Säkerhetsföretagen (Säkerhetsbranschen) ställer sig positiv till utredningens förslag men anser att det kan finnas behov av vidare utredning av konsekvenserna med förslaget.
Skälen för regeringens förslag
Kravet på att ingå säkerhetsskyddsavtal utvidgas
Enligt 8 § säkerhetsskyddslagen gäller att om staten, en kommun eller ett landsting avser att begära in anbud eller träffa avtal om upphandling där det förekommer uppgifter som med hänsyn till rikets säkerhet omfattas av sekretess, ska ett skriftligt avtal (säkerhetsskyddsavtal) ingås med anbudsgivaren eller leverantören om det säkerhetsskydd som behövs i det särskilda fallet. Bestämmelsen innebär en skyldighet för myndigheter att i avtal specificera vilka säkerhetsskyddskrav som ska vara uppfyllda av leverantören i det aktuella uppdraget. Det huvudsakliga syftet med ett säkerhetsskyddsavtal är att reglera de säkerhetsskyddsåtgärder som behövs för den säkerhetskänsliga verksamhet som omfattas av ett kontrakt om varor, tjänster eller byggentreprenader. Avtalet utgör en grund för att besluta om vilka anställningar och annat deltagande hos leverantören som ska placeras i säkerhetsklass.
Bestämmelsen i 8 § är av stor betydelse för att nödvändiga tjänster och varor ska kunna upphandlas inom skyddsvärda verksamheter och bör kvarstå i den nya säkerhetsskyddslagen. Med anledning av de förändringar som lagstiftningen nu står inför finns dock ett behov av att reformera innehållet i bestämmelsen. Säkerhetsskyddet föreslås i den nya lagstiftningen fokusera på skydd av säkerhetsskyddsklassificerade uppgifter och i övrigt säkerhetskänslig verksamhet.
Utredningens föreslår att bestämmelsen ska utvidgas jämfört med gällande lag. Den första utvidgningen ligger i att säkerhetsskyddsavtal ska ingås vid upphandling och efterföljande ingående av avtal om varor, tjänster eller byggentreprenader där det förekommer säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller över. Säkerhetsskyddsavtal ska enligt förslaget även ingås vid upphandling och ingående av ett avtal om varor, tjänster eller byggentreprenader som i övrigt avser säkerhetskänslig verksamhet och därmed har betydelse för Sveriges säkerhet. Sådan verksamhet kan enligt utredningens bedömning ha ett starkt skyddsvärde trots att fokus inte ligger vid säkerhetsskyddsklassificerade uppgifter. Det kan t.ex. gälla kärnkraftverk, flygplatser eller annan verksamhet som bedrivs vid skyddsobjekt.
Grundtanken inom säkerhetsskyddet är att de intressen som lagstiftningen slår vakt om ska ha samma skydd oavsett om verksamheten bedrivs av det allmänna eller av enskilda. I det här sammanhanget innebär det att när en utomstående aktör genom en upphandling engageras i säkerhetskänslig verksamhet ska behovet av säkerhetsskyddsåtgärder enligt 2 kap. 1 § utredas och kraven på sådana åtgärder uppställas i ett säkerhetsskyddsavtal mellan parterna. Regeringen instämmer i utredningens bedömning att bestämmelserna om säkerhetsskyddsavtal behöver utvidgas. Utvidgningen av bestämmelsen till att även gälla upphandlingar och ingående av ett avtal avseende varor, tjänster eller byggentreprenader som i övrigt avser säkerhetskänslig verksamhet innebär en skyldighet för verksamhetsutövarna att skydda uppgifter och informationssystem ur ett riktighets- och tillgänglighetsperspektiv. Förslaget medför t.ex. att en verksamhetsutövare som ska upphandla programmeringstjänster för ett informationssystem som bedöms vara säkerhetskänsligt måste fundera över säkerhetsskydd när uppgifters riktighet och tillgänglighet är centrala förutsättningar för systemet. Utöver avtal som gäller varor, tjänster och byggentreprenader som direkt berör säkerhetskänslig verksamhet finns det enligt regeringens uppfattning också skäl att ställa krav på säkerhetsskydd när en leverantör kan få tillgång till säkerhetskänslig verksamhet utan att den avtalade tjänsten för den sakens skull gäller en säkerhetskänslig verksamhet. Det kan t.ex. vara fallet om en verksamhetsutövare träffar avtal med en leverantör som får tillgång till lokaler där säkerhetskänslig verksamhet bedrivs. Med upphandling brukar avses åtgärder i syfte att anskaffa vara, tjänst eller byggentreprenad från en leverantör. Ledning för tolkning av uttrycket kan hämtas från upphandlingslagstiftningen.
Det har framförts synpunkter på att utredningens förslag bör utvidgas till att inte bara avse upphandlingssituationer utan även gälla andra situationer då avtal ingås. Exempelvis har Totalförsvarets forskningsinstitut påpekat att det kan vara av vikt att det finns en möjlighet att ingå säkerhetsskyddsavtal även när en statlig myndighet är leverantör av varor eller tjänster som omfattas av lagens tillämpningsområde. Det bör i detta sammanhang understrykas att en verksamhetsutövare inte är förhindrad att ställa krav på en leverantör att ingå säkerhetsskyddsavtal även om det inte finns någon sådan skyldighet enligt lag. Redan idag ingås säkerhetsskyddsavtal i flera andra situationer än i upphandlingar, vilket bl.a. redogörs för i avsnitt 10.1. Enligt regeringens mening finns det emellertid anledning att överväga om det i lagen bör införas krav på att säkerhetsskyddsavtal ska ingås även i andra avtalssituationer då en utomstående part får ta del av säkerhetsskyddsklassificerade uppgifter eller i övrigt säkerhetskänslig verksamhet. Detta gäller särskilt med anledning av grundtanken inom säkerhetsskyddet att information ska ha samma skydd hos en leverantör eller annan motpart som hos verksamhetsutövaren. Det saknas dock beredningsunderlag för att utvidga utredningens förslag i denna riktning men Utredningen om vissa säkerhetsskyddsfrågor har fått i uppdrag att även utreda denna fråga (dir. 2018:02). Uppdraget ska redovisas senast den 31 oktober 2018.
Som har utvecklats i avsnitt 5 drivs säkerhetskänslig verksamhet numera ofta i enskild regi. Av den anledningen har utredningen också föreslagit att enskilda i större omfattning ska omfattas av den nya säkerhetsskyddslagen. Ingen remissinstans har motsatt sig förslaget. Regeringen anser i likhet med utredningen det befogat att utvidga kravet på säkerhetsskyddsavtal vid upphandling till att gälla även enskilda verksamhetsutövare. Till skillnad från statliga myndigheter, kommuner och landsting omfattas enskilda aktörer i huvudsak inte av upphandlingslagstiftningen. Det behöver därför tydliggöras att bestämmelsens tillämpningsområde för enskilda är oberoende av om ett avtal med en extern leverantör ingås efter ett upphandlingsförfarande eller inte. Det kan också förekomma att enskilda aktörer kommer överens om en tjänst utan att detta uttrycks i ett skriftligt avtal. Så kan t.ex. vara fallet i transaktioner mellan två bolag i samma koncern.
Säkerhetsskyddet får inte göras mindre långtgående i ett säkerhetsskyddsavtal än vad som redan följer av lagen. Som framhölls redan i förarbetena till nuvarande lag kan en enskild aktör som omfattas av lagstiftningen alltså inte genom ett säkerhetsskyddsavtal åläggas mindre omfattande säkerhetsskyddsåtgärder än de som redan gäller för verksamheten. Däremot kan ett säkerhetsskyddsavtal fylla funktionen att det preciserar säkerhetsskyddet hos leverantören för att passa den aktuella upphandlingen.
Begränsning till uppgifter i säkerhetsskyddsklassen konfidentiell och uppåt
Som utredningen framhåller kan säkerhetsskyddad upphandling med säkerhetsskyddsavtal föranleda kostnader. Utredningen har därför funnit det nödvändigt att begränsa kravet på att använda sådana avtal till tillfällen då det är befogat av hänsyn till skyddsbehoven. Enligt förslaget ska kravet på säkerhetsskyddsavtal gälla för uppgifter i säkerhetsskyddsklassen konfidentiell och uppåt samt vid i övrigt säkerhetskänslig verksamhet av motsvarande betydelse.
Förslaget har i denna del kritiserats av ett flertal remissinstanser. Försvarsmakten påpekar att förslaget inte överensstämmer med kraven i gällande lagstiftning för motsvarande säkerhetsskyddsklass och anser att detta behov av säkerhetsskydd kvarstår. Försvarsmakten framför därför att myndigheten bör ges möjlighet att i särskilda fall ställa krav på tecknande av säkerhetsskyddsavtal även för säkerhetsskyddsklassen begränsad. Försvarets radioanstalt befarar att förslaget kan komma att leda till att uppgifter i nivån begränsad behandlas som öppna uppgifter i upphandlingssituationer. Myndigheten anser att säkerhetsskyddsavtal även ska krävas för uppgifter i nivån begränsad och att det i annat fall uttryckligen ska framgå av bestämmelsen att en myndighet inte är förhindrad att ingå säkerhetsskyddavtal när ett uppdrag enbart omfattar uppgifter i nämnda informationssäkerhetsklass. Det sätt som bestämmelsen nu är utformad i förslaget kan annars uppfattas som ett förbud mot ett sådant förfarande. Försvarets materielverk anför att förslaget kan medföra att leverantörer får del av och förutsätts hantera uppgifter som t.ex. omfattas av försvarssekretess men att några krav på säkerhetsskydd ändå inte kan ställas i ett säkerhetsskyddsavtal. Det finns också risk för att aktörer försöker sänka nivån för informationssäkerhetsklassning. Myndigheten efterfrågar därför ett bemyndigande att kunna ingå säkerhetsskyddsavtal även avseende sådant som ryms inom säkerhetsskyddsklassen begränsad. Även Luftfartsverket framhåller vikten av en sådan möjlighet.
Som remissinstanserna framfört kan den föreslagna förändringen ge sken av att syftet med förslaget är att kraven på att teckna säkerhetsskyddsavtal ska mjukas upp. Så är inte fallet, även om det är riktigt att kravet på säkerhetsskyddsavtal inte föreslås gälla för alla säkerhetsskyddsklassificerade uppgifter. Utredningens förslag är nära knutet till den säkerhetsskyddsklassificering av uppgifter som föreslås gälla. Införandet av fyra säkerhetsskyddsklasser gör att olika skyddsåtgärder kan vidtas på ett mer differentierat sätt än i dag. I det fall en upphandling kan komma att beröra uppgifter som har klassificerats enligt den lägsta säkerhetsskyddsklassen, eller om den avser säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet, torde det finnas ett mindre behov av att ingå säkerhetsskyddsavtal med leverantörer. Ytterligare skäl som kan anföras till stöd för förslaget är att den föreslagna systematiken är i linje med hur motsvarande bestämmelser ser ut i andra länder. Givet den slutsatsen kan det även finnas företagsekonomiska skäl för att inte lägga kravet på en annan nivå för svenska aktörer. Detta gäller särskilt när den nya lagstiftningen även ska gälla enskilda verksamhetsutövare. Som Försvarsmakten, Försvarets radioanstalt och Luftfartsverket framför kan det emellertid vara befogat att säkerhetsskyddsavtal även får ingås i de fall då den säkerhetskänsliga verksamheten det är fråga om endast har klassificerats i säkerhetsskyddsklassen begränsat hemlig. Den nya paragrafen i säkerhetsskyddslagen har därför utformats för att även möjliggöra säkerhets-skyddsavtal när uppgifter i den lägsta säkerhetsskyddsklassen omfattas.
Säkerhetsskyddslagens krav på att teckna säkerhetsskyddsavtal gäller även för det fall leverantören har sin juridiska hemvist i ett annat land. Detta krav bör gälla på motsvarande sätt i den nya lagen.
Säkerhetsskyddsavtal ska ingås av verksamhetsutövaren
Utredningens bedömning är att staten, kommunerna och landstingen även fortsättningsvis bör få ingå säkerhetsskyddsavtal för den egna verksamheten. När det gäller enskilda har utredningen stannat för att dessa inte på egen hand bör kunna ingå säkerhetsskyddsavtal. Skälet för utredningens ställningstagande är att säkerhetsskyddsavtal innebär placering av anställningar och annat deltagande i säkerhetsklass, vilket av integritetsskäl alltid bör vara ett myndighetsbeslut. Utredningen föreslår dock att de företag som redan i dag har rätt att besluta om placering i säkerhetsklass 2 och 3 samt registerkontroll, däribland Sveriges Radio Aktiebolag och Sveriges Television Aktiebolag, ska undantas från principen och även i framtiden ges rätt att ingå säkerhetsskyddsavtal.
Förslaget för med sig att övriga privata företag som driver säkerhetskänslig verksamhet och som har anledning att införskaffa viss tjänst som berör den säkerhetskänsliga delen av verksamheten måste vända sig till en myndighet med en framställan om att myndigheten ska ingå ett säkerhetsskyddsavtal med leverantören vid sidan av affärsavtalet. Med detta följer att det blir den myndighet som har slutit säkerhetsskyddsavtalet som blir ansvarig för att följa upp och kontrollera säkerhetsskyddet hos leverantören. Utredningen konstaterar dock att förslaget inte är invändningsfritt eftersom det innebär en trepartskonstruktion där säkerhetsskyddsavtalet mellan en säkerhetsskyddsstödjande myndighet och en leverantör inte hänger samman med en affärsmässig relation. Genom att affärsavtalets giltighet ska villkoras med att kraven i säkerhetsskyddsavtalet följs kan det enligt utredningen uppstå situationer där de tre parterna är oense om villkoren i säkerhetsskyddsavtalet är uppfyllda eller inte. Utredningen har därför som ett alternativ övervägt att i stället föreslå att enskilda ska kunna ingå säkerhetsskyddsavtal med den begränsningen att beslut om placering i säkerhetsklass och åtgärder för att genomföra registerkontroll ska hanteras av den säkerhetsskyddsstödjande myndigheten. En sådan lösning skulle minska statens kontroll över säkerhetsskyddsavtalen, men samtidigt uppväga de negativa effekter som utredningens förstahandsförslag kan medföra.
Utredningens förslag om en trepartskonstruktion har mötts av stark kritik från ett flertal remissinstanser. Affärsverket Svenska kraftnät, Finansinspektionen och Vattenfall AB framför att den föreslagna trepartskonstruktionen kommer att medföra en mycket komplex struktur för hur den aktuella typen av avtal ska ingås. Finansinspektionen påpekar vidare att detta potentiellt kommer att belasta de säkerhetsskyddstödjande myndigheterna med risk för att handläggningstiden drar ut onödigt mycket för de enskilda. Även Svensk Energi belyser risken med att myndigheterna blir en flaskhals i processen. Svensk Energi påtalar vidare att det torde finnas en inte försumbar risk för att affärshemligheter skulle kunna bli offentliga genom förfarandet. Vattenfall AB anför att den föreslagna regleringen skulle kunna leda till en situation där tre parter är oense om villkoren i ett säkerhetsskyddsavtal är uppfyllda eller inte vilket vore en allvarlig situation. Säkerhetspolisen förordar den alternativa lösning som utredningen övervägt.
Regeringen delar remissinstansernas farhågor med utredningens förslag om en trepartskonstruktion vid ingående av säkerhetsskyddsavtal. Utöver vad som har redovisats om remissinstansernas synpunkter skulle en sådan lösning också kunna innebära en betydande ökning av arbetsbördan hos tillsynsmyndigheterna. Dessa myndigheter ska enligt förslaget vara ansvariga för att kontrollera att de angivna villkoren om säkerhetsskydd följs. Det kan innebära att tillsynsmyndigheterna måste granska de enskilda avtalen på djupet och följa upp hur leverantören lever upp till säkerhetsskyddsavtalet. En sådan åtgärd kan vara att besikta lokaler och anläggningar hos leverantören. Förslaget innebär också, utöver ökad arbetsbelastning, att myndigheterna kan behöva sätta sig in i enskilda aktörers ekonomiska förehavanden.
Regeringen instämmer samtidigt i utredningens bedömning att vissa moment vid enskilda verksamhetsutövares ingående av säkerhetsskyddsavtal är sådana som alltjämt bör hanteras av myndigheter. Det gäller särskilt beslut om placering av anställning eller annat deltagande i verksamhet i säkerhetsklass. Regeringen bedömer dock att de enskilda aktörerna, i enlighet med det alternativa förslag som utredningen har presenterat, bör kunna anförtros att upprätta och ingå säkerhetsskyddsavtal med leverantörer. En sådan utveckling är i linje med kravet på enskilda verksamhetsutövare att genomföra säkerhetsskyddsanalyser och förordas av samtliga remissinstanser som ställt sig negativa till utredningens förstahandsförslag. Rent praktiskt kan det innebära att tillsynsmyndigheterna ändå behöver involveras i viss utsträckning, t.ex. för att bistå den enskilda aktören med råd när säkerhetsskyddsavtal ska upprättas. Det torde också vara så att säkerhetsskyddsavtalet i flera fall inte kommer kunna träda ikraft förrän tillsynsmyndigheten beslutat att deltagande i viss verksamhet ska placeras i säkerhetsklass och efterföljande registerkontroll har genomförts. En viss fördröjning i den affärsmässiga relationen mellan aktör och leverantör kan alltså uppstå även med detta förfarande.
Sammanfattningsvis anser regeringen att det ska vara den enskildes ansvar att säkerhetsskyddsavtal ingås. Det innebär att det som huvudregel också ska vara den enskilde som är part i avtalet i fråga. Undantagsvis kan det emellertid förekomma att relationerna mellan aktörerna är sådana, att det enligt praxis ändå är en myndighet som är part i avtalet. Så är det i dag inom delar av försvars- och säkerhetsområdet. Även i sådana fall är det den enskilde som ansvarar för att avtal verkligen ingås och som har det huvudsakliga ansvaret för att kontrollera att villkoren i säkerhetsskyddsavtalet följs.
Av stor vikt är att säkerhetsskyddsavtalen utformas i enlighet med de grunder för säkerhetsskyddsavtal som Säkerhetspolisen och Försvarsmakten fastslår i myndigheternas respektive föreskrifter. Eftersom säkerhetsskyddet ska anpassas till den aktuella situationen får dock standardiseringen inte gå för långt. Samtidigt gäller också att det faktum att enskilda aktörer får rätt att själva ingå säkerhetsskyddsavtal aldrig får innebära att innehållet i avtalen blir förhandlingsbart med den följden att säkerhetskänslig verksamhet inte får ett tillräckligt skydd. En sådan utveckling kan motverkas genom råd och stöd från tillsynsmyndigheterna.
En annan följd av förfarandet är att det rimligen bör vara den aktör som ingår säkerhetsskyddsavtalet som är ansvarig för att kontrollera att bestämmelserna i säkerhetsskyddsavtalet uppfylls. Även för denna uppgift kan dock en enskild aktör ha behov av biträde av tillsynsmyndigheten. Det gör att staten ändå kommer att ha viss kontroll över hur de enskilda säkerhetsskyddsavtalen ingås.
Eftersom statens direkta kontroll över säkerhetsskyddsavtal minskar finns det skäl att ge tillsynsmyndigheterna en möjlighet att kontrollera säkerhetsskyddet hos sådana aktörer som ingått ett säkerhetsskyddsavtal med en verksamhetsutövare som omfattas av den nya säkerhets-skyddslagen. Tillsyn bör dessutom kunna utövas över sådana aktörer som har uppdrag från flera myndigheter, kommuner och landsting där det samlade uppdraget är av stor betydelse för Sveriges säkerhet. I dessa fall sker tillsynen på grund av att de samlade uppdragen gör att verksamheten är säkerhetskänslig. Detta utvecklas vidare i avsnitt 13.
Anmälan av säkerhetsskyddsavtal
För säkerställa en god kontroll av säkerhetsskyddet behöver det ske en uppföljning av de säkerhetsskyddsavtal som ingås av verksamhetsutövare som bedriver säkerhetskänslig verksamhet. I dag gäller enligt 7 kap. 8 § Säkerhetspolisens föreskrifter och allmänna råd om säkerhetsskydd (PMFS 2015:3) samt enligt 8 kap. 7 § Försvarsmaktens föreskrifter om säkerhetsskydd (FFS 2015:2) att en myndighet utan dröjsmål ska underrätta Säkerhetspolisen om säkerhetsskyddsavtal som träffats och om säkerhetsskyddsavtal som upphört att gälla. Utredningen har föreslagit att det ska införas en skyldighet i säkerhetsskyddsförordningen att anmäla ingående och upphörande av säkerhetsskyddsavtal till Säkerhetspolisen.
Svea hovrätt har framfört att det kan ifrågasättas om denna förpliktelse såvitt avser enskilda rättssubjekt kan ställas upp i en förordning beslutad av regeringen. Hovrättens uppfattning är att det torde krävas stöd i lag för en sådan rapporteringsplikt, eller att det i vart fall bör krävas ett bemyndigande för regeringen att besluta härom. Regeringen delar den uppfattning som Svea hovrätt har framfört. I avsnitt 6 har det föreslagits att det införs en bestämmelse som innebär att den som bedriver säkerhetskänslig verksamhet bl.a. ska anmäla och rapportera sådant som är av vikt för säkerhetsskyddet. Det har även föreslagits ett bemyndigande för regeringen eller den myndighet som regeringen bestämmer att meddela föreskrifter om anmälnings- och rapporteringsskyldighet och även i övrigt om vad som krävs för att verksamhetsutövarna ska fullgöra sina skyldigheter enligt lagen. Med stöd av bemyndigandet kan det i förordning anges att anmälan om säkerhetsskyddsavtal ska göras när ett avtal ingås.
9.2 Förändringar i lagen om upphandling på försvars- och säkerhetsområdet
Regeringens förslag: Det ska tydliggöras i lagen om upphandling på försvars- och säkerhetsområdet att den definition som där finns av uttrycket säkerhetsskyddsklassificerade uppgifter endast gäller just i den lagen. Vidare ska det i samma lag införas en upplysning om att bestämmelser om skydd för säkerhetsskyddsklassificerade uppgifter finns i den nya säkerhetsskyddslagen.
Utredningens förslag: Överensstämmer med regeringens.
Remissinstanserna: Majoriteten av remissinstanserna yttrar sig inte särskilt om förslaget i denna del. Förvaltningsrätten i Stockholm anser att det från ett lagtekniskt perspektiv är mindre lämpligt att uttrycket säkerhetsskyddsklassificerade uppgifter används med olika definitioner i lagen om upphandling på försvars- och säkerhetsområdet och säkerhetsskyddslagen.
Skälen för regeringens förslag: Genom lagen (2011:1029) om upphandling på försvars- och säkerhetsområdet (LUFS) genomfördes det s.k. LUFS-direktivet (direktiv om samordning av förfarandena vid tilldelning av vissa kontrakt för byggentreprenader, varor och tjänster av upphandlande myndigheter och enheter på försvars- och säkerhetsområdet [2009/81/EG]) i svensk rätt. Enligt 2 kap. 22 § LUFS avses med säkerhetsskyddsklassificerade uppgifter "information och material oavsett form, karaktär eller överföringsteknik som omfattas av krav på en viss säkerhetsnivå eller en viss skyddsnivå och som med hänsyn till rikets säkerhet enligt lagar och andra författningar måste skyddas mot intrång, förstörelse, avlägsnande, spridning, förlust eller åtkomst av någon obehörig person, eller någon annan typ av risk". Samma definition förekommer i det s.k. LUFS-direktivet men där avser definitionen uttrycket sekretessbelagd information (classified information). I samband med genomförandet av LUFS-direktivet konstaterade regeringen att det uttrycket kunde blandas samman med uttrycket sekretessbelagd uppgift som förekommer i OSL. För att undvika en risk för sammanblandning valde regeringen att använda uttrycket säkerhetsskyddsklassificerade uppgifter i LUFS. Det uttrycket hade då föreslagits inom EU i arbetet med regler för hantering av hemliga uppgifter och uppgifter av känslig karaktär som utväxlas inom unionen (Rådets säkerhetsföreskrifter). Redan då fanns uttrycket med delvis olika definitioner. Regeringen bedömde emellertid att det inte utgjorde ett hinder mot att använda uttrycket säkerhetsskyddsklassificerade uppgifter i upphandlingssammanhang, även om definitionen av uttrycket i arbetet med rådets säkerhetsföreskrifter slutligen skulle skilja sig något från definitionen i LUFS-direktivet (prop. 2010/11:150 del 1 s. 257 f.).
Utredningen konstaterar att säkerhetsskyddsklassificerade uppgifter enligt LUFS-direktivet har en stark koppling till nationell lagstiftning. Det uttrycks enligt utredningen genom att uttrycket säkerhetsskyddsklassificerade uppgifter i LUFS-direktivet tar sin utgångspunkt i sådan nationell lagstiftning i medlemsstaterna som föreskriver ett skydd för uppgifter av betydelse för den nationella säkerheten. Vid jämförelse mellan definitionen av säkerhetsskyddsklassificerade uppgifter i LUFS och hur skyddsområdet uttrycks i nu gällande säkerhetsskyddslag är det tydligt att LUFS avser information i en vidare bemärkelse än vad som anges i säkerhetsskyddslagen. Den nya säkerhetsskyddslagens utformning innebär dock att skyddsområdet kommer att omfatta uppgifter som berör Sveriges säkerhet eller som ska ges skydd i enlighet med ett internationellt förpliktande avtal om säkerhetsskydd som Sverige har ingått. Till det kommer att såväl uppgifter som är hemliga beroende på konfidentialitet som i övrigt säkerhetskänslig verksamhet ska skyddas. Den nya säkerhetsskyddslagen kommer således att ha ett bredare tillämpningsområde än den nu gällande lagen. Det innebär enligt utredningens bedömning att det finns förutsättningar för att en ny säkerhetsskyddslag skulle kunna utgöra en sådan nationell lagstiftning som avses i LUFS-direktivet.
Utredningen har vidare analyserat hur uttrycket säkerhetsskyddsklassificerade uppgifter i LUFS överensstämmer med den definition som utredningen föreslagit. I analysen har utredningen utgått från att definitionen i LUFS kan delas upp i fyra delmoment: informationens form, krav på skyddsnivå, betydelsen för rikets säkerhet och mot vad informationen ska ges skydd. I fråga om informationens form anför utredningen att det som ska ges ett skydd enligt förslaget är informationen som sådan, oavsett form. Ställt mot definitionen i LUFS-direktivet, där det anges att informationens form, karaktär och överföringsteknik saknar betydelse, måste de båda delmomenten enligt utredningen anses ha samma innebörd. Utredningen finner att även delmomenten skyddsnivå och betydelse för rikets säkerhet i LUFS är samstämmiga med en ny säkerhetsskyddslag, även om uttrycket rikets säkerhet föreslås utmönstras till förmån för Sveriges säkerhet.
När det gäller frågan om mot vad den säkerhetskänsliga verksamheten ska ges ett skydd konstaterar utredningen att såväl den gällande säkerhetsskyddslagen som förslaget till ny säkerhetsskyddslag syftar till att motverka allt röjande, ändrande och förstörande av sekretessbelagda uppgifter som rör rikets säkerhet, oavsett om det sker uppsåtligen eller av oaktsamhet, vilket enligt utredningen måste anses täcka de hot mot informationen som anges i LUFS-direktivet. Utredningens slutsats är därför att det skulle kunna övervägas om definitionen i LUFS skulle kunna ersättas med enbart en hänvisning till definitionen av säkerhetsskyddsklassificerade uppgifter i förslaget till ny säkerhetsskyddslag. Med hänsyn till att det kan diskuteras om en sådan ändring på ett, i förhållande till EU-rätten, otillåtet sätt skulle kunna inskränka tillämpningen av LUFS har utredningen dock stannat för en smärre språklig ändring i LUFS definition av säkerhetsskyddsklassificerade uppgifter samt en hänvisning i definitionen till att det finns bestämmelser om skydd för säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddslagen.
Regeringen delar utredningens bedömning att de centrala uttrycken i LUFS - informationens form, kravet på skyddsnivå, betydelsen för rikets säkerhet och mot vad informationen ska ges skydd - måste anses ha samma innebörd som i förslaget till en ny säkerhetsskyddslag. Definitionen av säkerhetsskyddsklassificerade uppgifter i LUFS får därmed anses i huvudsak överensstämma med den betydelse som uttrycket föreslås få i den nya säkerhetsskyddslagen. Regeringen delar också utredningens uppfattning att det finns förutsättningar för att den nya säkerhetsskyddslagen kan utgöra en sådan nationell lagstiftning som avses i LUFS-direktivet. Som Förvaltningsrätten i Stockholm framfört är det från ett författningssystematiskt perspektiv normalt sett mindre lämpligt att ett uttryck får delvis olika definition i olika lagstiftningar. En hänvisning i LUFS till säkerhetsskyddslagens definition av uttrycket säkerhetsskyddsklassificerade uppgifter skulle förstås vara mest fördelaktigt av tydlighetsskäl. Med hänsyn till att definitionerna av säkerhetsskyddsklassificerade uppgifter i LUFS-direktivet och LUFS är snarlika men inte helt överensstämmande och till att upphandlingslagstiftningen till skillnad från säkerhetsskyddslagstiftningen, grundar sig på EU-gemensamma regler, delar dock regeringen uppfattningen att det finns en viss risk att en sådan förändring skulle kunna inskränka tillämpningen av LUFS på ett otillåtet sätt. Med anledning av detta och det faktum att en hänvisning i LUFS till säkerhetsskyddslagen fyller samma syfte bör frågan lösas på det sätt som utredningen har föreslagit.
I konsekvens med att uttrycket rikets säkerhet utmönstras ur lagstiftningen bör även uttrycket rikets säkerhet i LUFS ändras till Sveriges säkerhet (2 kap. 22 § och 11 kap. 2 § första stycket 5). Även uttrycket rikets väsentliga säkerhetsintressen (1 kap. 9 och 10 §§) bör förändras. Det är i linje med de förändringar som har gjorts i den nya lagen (2016:1145) om offentlig upphandling.
10 Internationell samverkan
10.1 Det behövs ingen lagreglering om nationell säkerhetsmyndighet
Regeringens bedömning: Det behövs inte någon bestämmelse i lag om nationell säkerhetsmyndighet respektive nationell industrisäker-hetsmyndighet.
Utredningens förslag: Överensstämmer inte med regeringens bedömning. Utredningen föreslår att det i lag ska anges en bestämmelse som upplyser om att regeringen bestämmer vilka myndigheter som ska fullgöra uppgifterna som ankommer på en nationell säkerhetsmyndighet respektive industrisäkerhetsmyndighet.
Remissinstanserna: Ingen remissinstans yttrar sig särskilt över utredningens förslag om en upplysningsbestämmelse.
Skälen för regeringens bedömning
Internationella överenskommelser
Sverige har ingått ett antal internationella överenskommelser om säkerhetsskydd, såväl bilaterala som multilaterala, med andra stater och internationella organisationer. Det finns ett trettiotal bilaterala överenskommelser och en gemensam överenskommelse mellan de fem nordiska länderna. Bland de internationella organisationer som Sverige har överenskommelser om säkerhetsskydd med kan nämnas EU, Europeiska rymdbyrån (ESA) och Nato.
Flertalet överenskommelser om säkerhetsskydd avser verksamhet inom försvars- och säkerhetsområdet, däribland forsknings- och materielfrågor. Det finns även överenskommelser om säkerhetsskydd som är generella, dvs. de omfattar både civil och militär verksamhet. Den nordiska överenskommelsen om säkerhetsskydd är ett exempel på en sådan generell överenskommelse.
Sveriges överenskommelser är begränsade på så sätt att åtgärder ska vidtas i enlighet med de respektive ländernas nationella lagar och andra författningar. Det svenska åtagandet att skydda säkerhetsskyddsklassificerad information förpliktar därför inte Sverige att i sin lagstiftning i detalj efterbilda de funktioner etc. som anges. I stället är Sveriges åtagande fullgjort genom den befintliga lagstiftningen, främst säkerhetsskyddslagen med följdförfattningar samt OSL.
Av många överenskommelser framgår att varje land ska ha en nationell säkerhetsmyndighet (NSA) som gentemot motparterna ansvarar för skyddet av den säkerhetsskyddsklassificerade informationen. I det internationella samarbete som den nationella säkerhetsmyndigheten deltar i tas dock inte någon hänsyn till hur länderna valt att fullgöra sina åtaganden och vilken information som omfattas av de respektive ländernas nationella lagstiftning. Arbetet avser i stället systemet för skydd av den säkerhetsskyddsklassificerade informationen och fokus ligger på hur informationen ska skyddas inom olika klassificeringsnivåer. Den nationella säkerhetsmyndighetens uppgift påverkas därför lika mycket av utformningen av de överenskommelser som Sverige ingått, och den information som omfattas, som av hur Sverige valt att fullgöra sina åtaganden.
Det svenska åtagandet omfattar sådan information som den som tagit fram informationen utifrån sina utgångspunkter och värderingar bedömt vara skyddsvärd och Sverige är bundet av den bedömningen. Bedömningarna kan därför variera mellan olika länder och leda till en stor spridning när det gäller den information som är säkerhetsskyddsklassificerad. Ordalydelsen av de svenska åtagandena visar också att informationen kan förekomma inom många olika samhällssektorer.
Vid sidan av den nationella säkerhetsmyndigheten finns enligt de överenskommelser som Sverige ingått andra funktioner som är väsentliga för skyddet av säkerhetsskyddsklassificerad information. Den myndighet som utses till industrisäkerhetsmyndighet (DSA) är enligt rådets säkerhetsbestämmelser ansvarig inför den nationella säkerhetsmyndigheten när det gäller industrisäkerhet. Exempel på andra myndigheter eller funktioner med mer specialiserade uppgifter är kryptogodkännande myndighet (NCSA), kryptodistribuerande myndighet (NDA) och myndighet som hanterar krav på skydd mot röjande signaler (NTA).
Sveriges åtaganden att skydda säkerhetsskyddsklassificerad information innebär att den nationella säkerhetsmyndigheten inte kan ses som en isolerad företeelse med en begränsad uppgift. I stället gör säkerhetsmyndighetens ansvar och uppgifter att den intar en ledande roll i ett system där myndigheter eller funktioner med ett visst utpekat ansvar samverkar i skyddet av säkerhetsskyddsklassificerad information.
Reglering avseende nationell säkerhetsmyndighet
Som utredningen redovisar i betänkandet är funktionen som NSA i Sverige i dag fördelad på flera myndigheter. I 20 § 8 förordningen (1996:1515) med instruktion för Regeringskansliet anges att Regeringskansliet ska vara nationell säkerhetsmyndighet. Uppgiften är dock begränsad till att upprätthålla säkerheten för sekretessbelagda uppgifter enligt rådets säkerhetsföreskrifter samt enligt Sveriges åtaganden i överenskommelser med Nato och ESA.
Sverige har även genom bilaterala säkerhetsskyddsavtal, liksom i det nordiska säkerhetsskyddsavtalet, åtagit sig att upprätthålla säkerheten för sekretessbelagda uppgifter vid informationsutbyte mellan Sverige och de respektive avtalsslutande länderna.
I säkerhetsskyddslagen finns härtill bestämmelser som reglerar uppgifter rörande det som ankommer på den nationella säkerhetsmyndigheten. Det gäller exempelvis Säkerhetspolisens uppgift enligt 22 § säkerhetsskyddsförordningen att besluta om registerkontroll efter begäran från en annan stat. Detsamma gäller uppgiften att utöva tillsyn och meddela föreskrifter för säkerhetsskyddslagens tillämpning. I det fallet är ansvaret enligt 39 och 44 §§ säkerhetsskyddsförordningen delat mellan Försvarsmakten och Säkerhetspolisen. Enligt 15 § säkerhetsskyddslagen utför Säkerhetspolisen registerkontroller efter framställan från en annan stat.
Utredningen har föreslagit en bestämmelse i lag om att den som regeringen bestämmer ska fullgöra uppgiften som nationell säkerhetsmyndighet och nationell industrisäkerhetsmyndighet i enlighet med internationella säkerhetsskyddsåtaganden. Utredningen har också föreslagit att Försvarsmakten ska få i uppgift att vara nationell säkerhetsmyndighet och Försvarets materielverk ska vara nationell industrisäkerhetsmyndighet. Flera remissinstanser har framfört synpunkter på utredningen förslag. Vissa myndigheter, bl.a. Statens veterinärmedicinska anstalt och Myndigheten för samhällsskydd och beredskap (MSB), tillstyrker förslaget. Andra remissinstanser, bl.a. Försvarsmakten, Försvarets radioanstalt, Totalförsvarets forskningsinstitut och Statens jordbruksverk, avstyrker förslaget. När det gäller förslaget att Försvarets materielverk utses till nationell industrisäkerhetsmyndighet tillstyrks det av de remissinstanser som yttrat sig, t.ex. MSB, Försvarets materielverk och SME-D. Till skillnad från utredningen bedömer regeringen inte att det i lag behöver tas in en upplysning om att regeringen bestämmer vilken myndighet som ska fullgöra uppgiften som nationell säkerhetsmyndighet respektive nationell industrisäkerhetsmyndighet. En sådan upplysning är överflödig, eftersom det ligger inom regeringens kompetens att fördela uppgifter mellan myndigheter under regeringen. Utpekande av funktionerna kan ske i förordning. Regeringen återkommer i frågan.
10.2 Säkerhetsintyg
Regeringens förslag: Ett säkerhetsintyg får utfärdas för personer som har hemvist i Sverige och leverantörer med säte i Sverige när en annan stat eller en mellanfolklig organisation ansökt om sådant underlag, om
1. behov av sådant intyg finns vid internationell samverkan om säkerhetskänslig verksamhet enligt den nya säkerhetsskyddslagen, eller
2. intyget, utöver vad som följer av 1, kan underlätta för en person eller för en leverantör att delta i en verksamhet som en annan stat eller en mellanfolklig organisation bedömer vara i behov av säkerhetsskydd.
Ett intyg får utfärdas endast om deltagandet avser verksamhet i eller för en stat eller mellanfolklig organisation som omfattas av ett internationellt åtagande om säkerhetsskydd. Om det finns särskilda skäl får regeringen besluta att intyg får utfärdas trots att det inte finns något internationellt åtagande om säkerhetsskydd.
Om det behövs för att intyg ska kunna utfärdas får en säkerhetsprövning göras som innefattar registerkontroll och särskild personutredning. Bestämmelserna om säkerhetsprövning ska gälla även vid ärenden om säkerhetsintyg.
Den nuvarande säkerhetsskyddslagens bestämmelser om registerkontroll och särskild personutredning efter ansökan av en annan stat eller mellanfolklig organisation ska överföras till den nya säkerhetsskyddslagen.
Sekretess ska inte hindra att en uppgift som har kommit fram vid registerkontroll eller särskild personutredning i ett ärende om underlag för säkerhetsprövning lämnas till en utländsk myndighet eller en mellanfolklig organisation, om det står klart att ett sådant utlämnande är förenligt med svenska intressen.
Regeringen kan meddela föreskrifter om vilka myndigheter som ska besluta om registerkontroll, utfärda säkerhetsintyg och lämna underlag.
Utredningens förslag: Överensstämmer delvis med regeringens förslag. Utredningen föreslår att det i lag ska anges att det är den nationella säkerhetsmyndigheten respektive nationella industrisäkerhetsmyndigheten som beslutar om registerkontroll och utfärdar säkerhetsintyg.
Remissinstanserna: Flertalet remissinstanser tillstyrker eller har inte något att invända mot förslaget. Vattenfall AB framhåller att det behövs tydlig information om säkerhetsintyg och Rymdstyrelsen påpekar vikten av att industrin snabbt och enkelt kan ges ackreditering och andra säkerhetsintyg för personer och processer när så krävs. Teknikföretagen och Säkerhets- och försvarsföretagen tillstyrker förslaget att inrätta en industrisäkerhetsmyndighet som kan utfärda säkerhetsintyg. Säkerhetsintyg bör enligt dem kunna utfärdas för personal hos leverantörer som för sin produktutveckling och tillverkning samt sitt tillhandahållande av tjänster är beroende av tillgång till utländsk försvarsteknik eller information och uppgifter som i andra länder omfattas av säkerhetsskydd. De anser således att det inte bör krävas att det ska finnas ett självständigt nationellt säkerhetsintresse för att det ska vara möjligt att utfärda säkerhetsintyg.
Skälen för regeringens förslag
Kriterier för säkerhetsintyg
Av de internationella överenskommelser som Sverige har ingått framgår att en behörig svensk myndighet ska kunna utfärda säkerhetsintyg för personer och leverantörer på begäran av en annan stat eller mellanfolklig organisation (s.k. security clearance eller certificat de sécurité). Intyget syftar till att visa att en behörig myndighet i ett land har genomfört en utredning och i denna kommit fram till att en person eller en leverantör kan anses pålitlig att hantera säkerhetsskyddsklassificerade uppgifter upp till en viss nivå.
Utredningen har påpekat att det i nuvarande säkerhetsskyddslagstiftning saknas bestämmelser om hur denna typ av intyg ska utfärdas, vad som krävs inför ett utfärdande och vilken myndighet som ska utfärda intygen. Utredningen har analyserat om en övergång till ett klareringssystem skulle vara ändamålsenligt och underlätta utfärdandet av säkerhetsintyg för person. Utredningen har kommit fram till att det inte bör införas ett klareringssystem, en uppfattning som delas av regeringen (se avsnitt 8.3.1), och att nuvarande system medger att säkerhetsintyg kan utfärdas men att tydliga bestämmelser om detta behöver införas i säkerhetsskyddslagstiftningen.
Regeringen delar utredningens uppfattning att nuvarande reglering inte är tillräcklig i detta avseende. Redan vid säkerhetsskyddslagens införande uppmärksammades att det, trots att lagen primärt tar sikte på att skydda svenska intressen, fanns ett behov av att i vissa fall tillåta kontroller med hänsyn även till andra länders säkerhetsintressen. Mot den bakgrunden infördes bestämmelserna i nuvarande 15 och 18 §§ säkerhetsskyddslagen om att i vissa fall tillåta en registerkontroll, eventuellt kompletterad av en särskild personutredning, efter framställan från ett annat land eller en mellanfolklig organisation som Sverige är medlem i. Det nuvarande systemet innebär att det finns några olika situationer där ett intyg om utförd säkerhetsprövning kan utfärdas. Så kan ske bl.a. när intyget avser en person som redan tidigare har genomgått en säkerhetsprövning. I det fallet utfärdas intyget av den myndighet eller annan arbetsgivare som utfört säkerhetsprövningen. Det finns också möjlighet att utfärda intyg om utförd säkerhetsprövning i det fall en registerkontroll av en anställd har skett i enlighet med villkoren i ett säkerhetsskyddsavtal som den anställdes arbetsgivare träffat med Försvarets materielverk (jfr 17 § säkerhetsskyddsförordningen). Ett sådant avtal kan dock träffas endast om det gäller deltagande i internationellt samarbete om utveckling eller produktion av försvarsmateriel. Därutöver finns möjligheten att göra en registerkontroll, och eventuellt en särskild personutredning, efter framställan från en främmande stat eller en mellanfolklig organisation som Sverige är medlem i. Enligt vad som uttrycktes i förarbetena till säkerhetsskyddslagen bör ett intyg om utförd prövning kunna utfärdas även efter en sådan kontroll (jfr prop. 1995/96:129 s. 39 och 69).
Från såväl Säkerhetspolisen som från näringslivshåll har framhållits att det nuvarande systemet är förenat med vissa brister och tillämpningssvårigheter, särskilt när det gäller frågan om utfärdande av intyg om utförd säkerhetsprövning (se dessa instansers remissvar över promemorian Några frågor om säkerhetsskyddslagen, Ds 2004:12, dnr Ju2004/2091/PO). Bland annat har påpekats att det finns ett flertal situationer där det från ett utländskt företag eller en mellanfolklig organisation kan ställas krav på intyg om utförd säkerhetsprövning avseende den som ska anställas eller anlitas för ett uppdrag, men där säkerhetsskyddslagen inte möjliggör att en registerkontroll och en särskild personutredning görs. Ett exempel kan vara att ett svenskt företag önskar delta i ett anbudsförfarande vid ett utländskt företag, avseende annat än utveckling eller produktion av krigsmateriel, och det utländska företaget ställer krav på att de personer som deltar i uppdraget kan uppvisa ett intyg om säkerhetsklarering. Har det svenska företaget inte tidigare deltagit i något upphandlingsförfarande, och därför inte omfattas av ett säkerhetsskyddsavtal med någon svensk myndighet, saknas grund för en svensk myndighet att utfärda det begärda intyget. Företaget kan därför tvingas avstå från att delta i upphandlingen. Ett annat exempel kan vara vid deltagande i olika former av internationellt industriellt samarbete. En internationell organisation kan uppställa krav på säkerhetsprövning av viss personal. Om arbetet inte bedöms röra Sveriges säkerhet och heller inte omfattas av säkerhetsskyddslagens bestämmelser om skydd mot terrorism, saknas möjlighet till registerkontroll i Sverige av den som söker arbete hos organisationen eller är anställd hos ett företag eller en myndighet som vill inleda ett samarbete med organisationen. Trots att det från säkerhetssynpunkt kan vara berättigat att en säkerhetsprövning görs är möjligheterna till en sådan prövning och att utfärda ett intyg om prövningen alltså i flera fall begränsade. Teknikföretagen och Säkerhets- och försvarsföretagen har framfört i sitt remissvar att även andra staters säkerhetsintressen måste kunna beaktas även om det saknas direkt koppling till svenska säkerhetsintressen.
Regeringen bedömer mot denna bakgrund att bestämmelser om utfärdande av säkerhetsintyg bör införas i den nya säkerhetsskyddslagen. Genom regleringen kommer det att vara möjligt att utfärda intyg i de fall som efterfrågats av myndigheter och näringsliv. Ett antal förutsättningar bör vara uppfyllda för att säkerhetsintyg ska få utfärdas. Det första kriteriet är att det är en stat eller mellanfolklig organisation som har ansökt om underlaget. Enskilda bör inte själva kunna begära och få intyg. Utredningen har gjort en komparativ studie och funnit att andra länder utfärdar säkerhetsintyg endast efter ansökan från behörig myndighet i det land där intyget behövs. Det finns, som utredningen uppfattat det, inte något utrymme i dessa länder för enskilda att själva begära och få ett säkerhetsintyg. Det skulle vara olyckligt om denna ordning skulle frångås i svensk lagstiftning. Om man tillåter att enskilda ska kunna begära och få intyg skulle det kunna öppna för ett missbruk av registerkontrollinstitutet och en urholkning av den restriktivitet som bör gälla vid registerkontroll.
Intyg bör få utfärdas i två olika typsituationer. Den första situationen är när ett intyg behövs för säkerhetskänslig verksamhet som utgör en del av internationell samverkan mellan Sverige och ett annat land eller en mellanfolklig organisation, t.ex. ett internationellt säkerhetskänsligt materielprojekt som Sverige deltar i. Den andra situationen är när ett intyg behövs för deltagande i ett annat lands eller en mellanfolklig organisations verksamhet vilken till sin natur närmast motsvarar säkerhetskänslig verksamhet, t.ex. om en i Sverige bosatt person söker anställning i ett annat land där det för anställning krävs ett säkerhetsintyg på en grund som motsvarar förutsättningarna i den svenska säkerhetsskyddslagstiftningen.
Som ett ytterligare krav bör gälla att deltagandet avser verksamhet i eller för en stat eller en mellanfolklig organisation som omfattas av ett internationellt åtagande om säkerhetsskydd. Åtagandet kan framgå av en överenskommelse om säkerhetsskydd mellan Sverige och ett annat land eller en mellanfolklig organisation eller följa av EU-rätten. Det finns dock vissa fall där ett intyg behöver utfärdas trots att det inte finns något internationellt säkerhetsskyddsåtagande, dvs. att det föreligger en situation där säkerhetsskyddsklassificerade uppgifter behöver utbytas med ett annat land trots att en överenskommelse om säkerhetsskydd ännu inte har ingåtts, t.ex. vid en större försvarsexportaffär där affärsprocessen går snabbare än ratificeringen av en överenskommelse om säkerhetsskydd. Det behöver därför finnas en möjlighet att besluta om undantag från kravet på ett internationellt säkerhetsskyddsåtagande om det föreligger särskilda skäl.
Det bör i säkerhetsskyddslagen även regleras att säkerhetsprövning, som innefattar registerkontroll och särskild personutredning, får göras om det behövs för att intyg ska kunna utfärdas. Vidare ska bestämmelserna om säkerhetsprövning gälla även vid ärenden om säkerhetsintyg.
Säkerhetsintyg bör utfärdas av den myndighet som regeringen bestämmer.
Registerkontroll på ansökan av en annan stat eller mellanfolklig organisation
I nuvarande 15 § säkerhetsskyddslagen anges att registerkontroll i vissa fall får göras efter framställning från annan stat. Bestämmelsen tar sikte på det förhållandet att en person med anknytning till Sverige ska genomgå något som motsvarar säkerhetsprövning i en annan stat eller mellanfolklig organisation. I dessa fall ska det inte utfärdas ett intyg utan det är endast fråga om att lämna ut uppgifter efter registerkontroll. Regeringen bedömer att bestämmelsen bör kvarstå i en ny säkerhetsskyddslag. Det bör även framgå av bestämmelsen att särskild personutredning får göras. Detta regleras i dag i 18 § säkerhetskyddslagen. Det bör även införas en bestämmelse där det framgår att bestämmelserna om registerkontroll, särskild personutredning och samtycke i tillämpliga delar även gäller vid denna typ av ärenden.
Utredningen har påpekat att det i ett tidigare utredningssammanhang har uppmärksammats att det befintliga författningsstödet för att möjliggöra att uppgifter från en registerkontroll lämnas till en utländsk myndighet är oklart (jfr Ds 2006:20 s. 66). Utredningen har därför föreslagit att säkerhetsskyddslagen bör kompletteras med en sekretessbrytande bestämmelse som tar sikte på det slag av uppgifter och ärenden som det här är fråga om. Regeringen delar utredningens bedömning. Det behöver således införas en sekretessbrytande bestämmelse i den nya säkerhetsskyddslagen som innebär att uppgifter som omfattas av sekretess enligt OSL och som har kommit fram vid registerkontroll eller särskild personutredning i ett ärende om underlag för säkerhetsprövning kan lämnas ut till en annan stat eller mellanfolklig organisation. Bestämmelsen utgör en sådan föreskrift som avses i 8 kap. 3 § 1 OSL. Utgångspunkten är att en uppgift, för vilken sekretess gäller enligt OSL, inte får röjas för en utländsk myndighet eller en mellanfolklig organisation. Av nämnda bestämmelse framgår att undantag kan medges för det fall att uppgiftslämnandet har reglerats särskilt i lag eller förordning. Det kan dock förekomma att uppgifter som kommit fram vid registerkontroll av olika skäl är olämpliga att delge en utländsk myndighet eller mellanfolklig organisation. Det bör därför ställas upp ett förbehåll om att uppgifterna får lämnas ut endast om utlämnandet är förenligt med svenska intressen.
11 Tystnadsplikt vid deltagande i säkerhetskänslig verksamhet
Regeringens förslag: Den som på grund av anställning eller på annat sätt deltar eller har deltagit i säkerhetskänslig verksamhet får inte obehörigen röja eller utnyttja säkerhetsskyddsklassificerade uppgifter.
I det allmännas verksamhet tillämpas i stället bestämmelserna i offentlighets- och sekretesslagen.
Utredningens förslag: Överensstämmer delvis med regeringens förslag. Utredningen föreslår att placering i säkerhetsklass ska vara en förutsättning för tystnadsplikten.
Remissinstanserna: Flera remissinstanser, bl.a. Norrbottens läns landsting och Ekobrottsmyndigheten, tillstyrker förslaget om införande av en bestämmelse om tystnadsplikt. Vissa remissinstanser, bl.a. Försvarets materielverk, Skatteverket, Luftfartsverket och Riksgäldskontoret, avstyrker förslaget att placering i säkerhetsklass ska vara en förutsättning för tystnadsplikten. Försvarets materielverk och Skatteverket anför att tystnadspliktsförhållandena för privatanställda och offentliganställda bör vara så lika som möjligt. Luftfartsverket framför vidare att även säkerhetsskyddsklassificerade uppgifter i informationssäkerhetsklassen begränsad bör omfattas av tystnadsplikten.
Skälen för regeringens förslag: Som redovisats tidigare föreslår regeringen att den nya lagen ska gälla i alla verksamheter som är av betydelse för Sveriges säkerhet eller som omfattas av ett för Sverige förpliktande internationellt åtagande om säkerhetsskydd (säkerhetskänslig verksamhet).
Sekretess innebär ett förbud mot att röja en uppgift som omfattas av sekretess, vare sig det sker muntligen eller genom att lämna ut handlingar som innehåller sekretessbelagda uppgifter. Sekretess innebär också ett förbud mot att utnyttja sekretessbelagda uppgifter utanför den verksamhet i vilken sekretess gäller för uppgiften. Den personkrets som är bunden av tystnadsplikt och sekretess är i första hand de som är anställda vid organ som ska tillämpa OSL (se 2 kap. 1 § OSL). Fysiska personer som agerar som uppdragstagare åt sådana organ anses vara knutna till verksamheten på ett sådant sätt att de också är bundna av offentlighetsprincipen och bestämmelserna om tystnadsplikt och sekretess (RÅ 1996 ref. 25). En myndighet kan också ingå avtal eller annan överenskommelse om tystnadsplikt för uppgifter som omfattas av sekretess enligt OSL. Ett sådant förfarande kan tillämpas när en myndighet inom ramen för säkerhetsskyddad upphandling anlitar externa leverantörer.
Utredningen har i sitt förslag till ny säkerhetsskyddslag föreslagit en kompletterande bestämmelse till OSL om tystnadsplikt. Bestämmelsen innebär att den som på grund av anställning eller på annat sätt deltar eller har deltagit i en säkerhetskänslig verksamhet inte obehörigen ska få röja eller utnyttja vad han eller hon då fått veta om säkerhetsskyddsklassificerade uppgifter.
Regeringen instämmer i utredningens bedömning att det bör införas en bestämmelse om tystnadsplikt. Uppgifter av det slaget bör ha samma skydd oavsett i vilken verksamhet som uppgifterna finns. I fråga om bl.a. anställda vid myndigheter gäller redan enligt OSL förbud att obehörigen röja eller utnyttja motsvarande uppgifter. Bestämmelser om tystnadsplikt i enskild verksamhet finns även i flera andra regleringar. En till OSL kompletterande bestämmelse om tystnadsplikt finns t.ex. i 16 § elberedskapslagen (1997:288). Den lagen innehåller bestämmelser om elberedskapsåtgärder avseende elproducenter, elhandelsföretag och nätföretag som ska syfta till att förebygga, motstå och hantera sådana störningar i elförsörjningen som kan medföra svåra påfrestningar på samhället. Bestämmelsen om tystnadsplikt innebär ett förbud för den som på grund av bestämmelser i elberedskapslagen eller föreskrifter som meddelats med stöd av den lagen har fått kännedom om bl.a. förhållanden som är av betydelse för totalförsvaret eller för rikets säkerhet i övrigt att obehörigen röja eller utnyttja uppgifterna. En liknande bestämmelse finns i 29 § skyddslagen (2010:305). Där föreskrivs ett förbud för skyddsvakter att bl.a. obehörigen röja eller utnyttja vad han eller hon, på grund av ett uppdrag enligt skyddslagen, fått veta om förhållanden av betydelse för totalförsvaret eller annars för Sveriges säkerhet. En annan bestämmelse om tystnadsplikt som tar sikte på bl.a. förhållanden av betydelse för totalförsvaret eller rikets säkerhet i övrigt finns i 7 kap. 1 § lagen (2006:544) om kommuners och landstings åtgärder inför och vid extraordinära händelser i fredstid och höjd beredskap. Också i 11 kap. 65 § plan- och bygglagen (2010:900) finns en liknande bestämmelse som bl.a. avser förhållanden av betydelse för Sveriges försvar.
Flera remissinstanser, t.ex. Skatteverket, Luftfartsverket, Riksgäldskontoret och Ekobrottsmyndigheten, avstyrker utredningens förslag att en förutsättning för tystnadsplikten ska vara placering i säkerhetsklass. Regeringen delar den kritik som framförts av remissinstanserna och anser att placering i säkerhetsklass inte bör vara en förutsättning för tystnadsplikten. Det finns ingen anledning att göra skillnad på tystnadspliktsförhållandena för privatanställda och offentliganställda. Den föreslagna paragrafens utformning kommer utan den angivna förutsättningen om placering i säkerhetsklass även att vara i överensstämmelse med andra liknande bestämmelser. Det ska beaktas att brott mot tystnadsplikten är straffsanktionerat genom 20 kap. 3 § brottsbalken. Eventuella negativa konsekvenser av att införa en straffsanktionerad tystnadsplikt måste därför ställas mot de intressen som förbudet avser att skydda. Krav måste också ställas på precision och förutsebarhet på det straffbara området. Vidare ska beaktas hur tystnadsplikten förhåller sig till meddelarfriheten. Av 7 kap. 3 § 1 TF och 5 kap. 3 § YGL följer att meddelarfriheten är inskränkt om ett uppgiftslämnande är straffbart som bl.a. spioneri, grovt spioneri eller grov obehörig befattning med hemlig uppgift eller försök, förberedelse eller stämpling till sådant brott. Regeringen anser att hänsynen till skyddet av för Sverige viktiga säkerhetsintressen väger tungt. Dessutom är tillämpningsområdet för en bestämmelse av det slag som här är i fråga begränsat. Tystnadsplikten är inte avsedd att träffa annat än uppgifter som avser det för nationen mest skyddsvärda.
Den redovisade exemplifieringen av tystnadspliktsbestämmelser visar att enskilda verksamheter inom bl.a. elsektorn redan i dag genom annan reglering omfattas av en tystnadsplikt som tar sikte på liknande uppgifter. Tystnadsplikt bör därför gälla även för den som deltar eller har deltagit i sådan verksamhet som här är i fråga. Tystnadsplikten bör avse alla slag av säkerhetsskyddsklassificerade uppgifter, dvs. omfatta såväl uppgifter som har betydelse för Sveriges säkerhet som uppgifter som omfattas av internationella säkerhetsskyddsåtaganden.
Regeringen föreslår även fler bestämmelser om tystnadsplikt, se avsnitt 8.3.10.
12 Säkerhetsskyddet i riksdagen och Regeringskansliet
Regeringens förslag: För riksdagen och dess myndigheter ska endast bestämmelserna om säkerhetsskyddsklasser, säkerhetsprövning och säkerhetsintyg i den nya säkerhetsskyddslagen gälla.
För Regeringskansliet, utlandsmyndigheterna och kommittéväsendet ska den nya lagen gälla i sin helhet, men regeringen ska få besluta om undantag från andra bestämmelser i lagen än de som gäller säkerhetsskyddsklasser, säkerhetsprövning och säkerhetsintyg.
Utredningens förslag: Överensstämmer i huvudsak med regeringens förslag.
Remissinstanserna: De flesta remissinstanserna har inga synpunkter på förslaget. Försvarsmakten bedömer att säkerhetsskyddslagen och säkerhetsskyddsförordningens bestämmelser bör gälla i sin helhet även för Regeringskansliet, eftersom det i Regeringskansliet finns sådana skyddsvärden att förlust av säkerhetsskyddsklassificerade uppgifter kan ge mycket allvarliga konsekvenser för Sverige. Riksrevisionen anser att lagen (2006:128) om säkerhetsskydd i riksdagen och dess myndigheter bör ses över i sin helhet.
Skälen för regeringens förslag: Den nuvarande säkerhetsskyddslagen gäller endast i viss angiven utsträckning för riksdagen och dess myndigheter och för Regeringskansliet. Det handlar bl.a. om bestämmelserna om placering i säkerhetsklass och om registerkontroll. Säkerhetsskyddsförordningen gäller inte för riksdagen. Den gäller i begränsad utsträckning för Regeringskansliet.
När det gäller riksdagen finns det bestämmelser om säkerhetsskydd även i lagen (2006:128) om säkerhetsskydd i riksdagen och dess myndigheter. Den lagen, som kompletteras med föreskrifter, har nuvarande säkerhetsskyddslag som förebild. För Regeringskansliet gäller på motsvarande sätt även föreskrifter om säkerhetsskydd i Regeringskansliet. I de särskilda regleringarna om säkerhetsskydd för riksdagen respektive Regeringskansliet finns i stor utsträckning en reglering som svarar mot den som finns i den nuvarande säkerhetsskyddslagen. De särskilda regleringarna stämmer överens med de grundprinciper som säkerhetsskyddslagen ger uttryck för.
Utredningen har i betänkandet föreslagit att stora delar av gällande bestämmelser om säkerhetsskyddslagens tillämplighet i fråga om riksdagen och Regeringskansliet ska föras över till förslaget om en ny säkerhetsskyddslag utan någon ändring i sak. För att riksdagen och Regeringskansliet ska kunna tillämpa säkerhetsskyddslagens bestämmelser om placering i säkerhetsklass föreslås emellertid, utöver vad som gäller enligt nuvarande säkerhetsskyddslag, att även den föreslagna bestämmelsen om säkerhetsskyddsklasser ska gälla för dessa verksamheter. Även bestämmelserna om säkerhetsintyg för internationella behov föreslås gälla för riksdagen och Regeringskansliet. Försvarsmakten har invänt mot utredningens förslag och ansett att den nya regleringen bör gälla i sin helhet även för Regeringskansliet med hänsyn till de skyddsvärden som finns där. Riksrevisionen anser att lagen (2006:128) om säkerhetsskydd i riksdagen och dess myndigheter bör ses över i sin helhet. Regeringen kan förstå den kritik som framförs och att man kan ifrågasätta lämpligheten av att det inte finns likvärdiga krav på säkerhetsskydd i alla verksamheter. Några närmare skäl för den gällande ordningen - där säkerhetsskyddslagen endast delvis gäller för riksdagen och Regeringskansliet - redovisas inte i förarbetena till säkerhetsskyddslagen (prop. 1995/96:129 s. 73 och 89). Regeringen anser dock att den reglering som finns för Regeringskansliet, bl.a. genom föreskrifter, är tillräcklig. Samma sak gäller för utlandsmyndigheterna där Regeringskansliet kan ge föreskrifter och vägledning för att uppnå en enhetlig hantering inom utrikesförvaltningen. När det gäller riksdagen kan det med anledning av de genomgripande förändringar av regleringen om säkerhetsskydd som nu föreslås finnas behov av att överväga om ytterligare ändringar ska göras i regleringen. Det saknas dock beredningsunderlag för att i nu förevarande lagstiftningsärende göra andra ändringar än de som utredningen har föreslagit. Regeringen kan komma att återkomma i frågan.
Det finns vidare, som utredningen konstaterat, ett behov av en smärre justering i nuvarande reglering när det gäller säkerhetsskyddet i riksdagen och Regeringskansliet. Enligt 32 § säkerhetsskyddslagen får undantagen från lagens tillämpning i fråga om Regeringskansliet avse andra bestämmelser i lagen än sådana som gäller registerkontroll. I fråga om riksdagen avser dock undantagen andra bestämmelser än sådana som gäller säkerhetsprövning. Undantaget för riksdagen fick den utformningen i enlighet med Lagrådets förslag (prop. 1995/96:129 s. 135). I det till Lagrådet remitterade förslaget avsåg undantaget för riksdagen, på samma sätt som undantaget för Regeringskansliet, endast registerkontroll. Det är rimligt att anta att regeringens möjlighet att föreskriva om undantag från lagens tillämpning för Regeringskansliet borde ha fått en motsvarande omfattning, dvs. exkludera samtliga bestämmelser om säkerhetsprövning och inte enbart de som handlar om registerkontroll. Den slutsatsen är också i linje med 2 § säkerhetsskyddsförordningen som anger i vilka avseenden säkerhetsskyddslagen gäller för Regeringskansliet. När det gäller vilka bestämmelser som inte ska omfattas av regeringens rätt att föreskriva om undantag för Regeringskansliet bör därför säkerhetsprövning anges i stället för registerkontroll.
13 Tillsyn och föreskrifter
Regeringens förslag: Den myndighet som regeringen bestämmer ska utöva tillsyn över säkerhetsskyddet hos myndigheter och andra som den nya säkerhetsskyddslagen gäller för. Den myndighet som regeringen bestämmer får utöva tillsyn över säkerhetsskyddet hos leverantörer som en verksamhetsutövare har träffat säkerhetsskyddsavtal med.
I den nya lagen upplyses om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om verkställighet.
Utredningens förslag: Överensstämmer delvis med regeringens. Utredningen föreslår att Myndigheten för samhällsskydd och beredskap (MSB) ska ta över det tillsynsansvar som länsstyrelserna har gentemot vissa enskilda verksamheter och Säkerhetspolisens tillsynsansvar för kommuner och landsting.
Remissinstanserna: Ett flertal remissinstanser, däribland Skatteverket, Ekobrottsmyndigheten, Sveriges Kommuner och Landsting (SKL), Länsstyrelsen i Stockholms län, Stockholms kommun och Kammarrätten i Stockholm ställer sig negativa till förslaget att MSB ska överta tillsynsansvar från länsstyrelserna och Säkerhetspolisen. Andra remissinstanser, främst länsstyrelser och kommuner, tillstyrker förslaget.
Finansinspektionen framför att myndigheten i dag har ett utpekat sektorsansvar för den ekonomiska sektorn enligt krisberedskapsförordningen (2006:942). Myndigheten ser en risk för överlappning mellan olika tillsynsuppdrag inom den finansiella sektorn. En utredning skulle närmare behöva beakta aktuella närliggande regleringar inom den finansiella sektorn.
Till skillnad från utredningen anser ett antal remissinstanser, däribland Säkerhetspolisen, Finansinspektionen, Affärsverket Svenska kraftnät, Svensk Energi och SME-D, att det är nödvändigt att införa sanktioner i lagstiftningen.
Ett stort antal remissinstanser påtalar vikten av rådgivning, stöd och utbildning från Säkerhetspolisen, Försvarsmakten och de säkerhetsskyddsstödjande myndigheterna.
Majoriteten av remissinstanserna berör inte förslaget om föreskrifter i sina remissvar.
Skälen för regeringens förslag
Tillsyn ska ske på huvudsakligen samma sätt som i dag
Ansvaret för tillsyn enligt säkerhetsskyddslagen är i dag uppdelat mellan flera myndigheter. Säkerhetsskyddet kontrolleras av Försvarsmakten när det gäller Fortifikationsverket och Försvarshögskolan samt de myndigheter som hör till Försvarsdepartementet. I fråga om övriga myndigheter förutom Justitiekanslern kontrolleras säkerhetsskyddet av Säkerhetspolisen. Säkerhetsskyddet hos bolag, föreningar och stiftelser samt enskilda kontrolleras av Affärsverket Svenska kraftnät, Transportstyrelsen och Post- och telestyrelsen inom verksamhetsområdena elförsörjning, flygtransport och elektronisk kommunikation. Aktörer som är verksamma inom andra områden än dessa kontrolleras av länsstyrelsen i det län där bolaget, stiftelsen eller föreningen har sitt säte. Utredningen benämner genomgående dessa myndigheter som har visst ansvar för tillsyn som säkerhetsskyddsstödjande myndigheter. Utmärkande för dessa är att de genom sin branschkunskap ska ha en stödjande och rådgivande roll inom sektorn. Utöver dessa myndigheters tillsynsansvar ska alla myndigheter som ingår säkerhetsskyddsavtal med anbudsgivare och leverantörer kontrollera säkerhetsskyddet hos motparten. Vidare gäller att Säkerhetspolisen och Försvarsmakten har exklusiv möjlighet att kontrollera säkerhetsskyddet hos de aktörer som i första hand ligger under övriga myndigheters tillsynsansvar. Sådan tillsyn ska utföras i samråd med de säkerhetsskyddsstödjande myndigheterna.
Utredningen konstaterar att formerna för tillsynen av säkerhetsskyddet i väsentliga avseenden avviker från hur offentlig tillsyn normalt är ordnad. Samtidigt framhålls att tillsynen på området har ett stort inslag av råd och stöd till verksamhetsutövarna. Utredningen stannar därför vid bedömningen att det inte finns tillräckliga skäl för att förändra tillsynens inriktning och genomförande. Däremot föreslår utredningen att MSB ska ta över tillsynsansvaret för kommuner och landsting från Säkerhetspolisen och även länsstyrelsernas ansvar för enskilda verksamheter som inte hör till övriga säkerhetsskyddsstödjande myndigheters tillsynsområden.
Utredningen har inte heller lämnat något förslag om att tillsynsmyndigheterna ska få möjlighet att besluta om sanktioner mot den som inte sköter sitt säkerhetsskyddsarbete. Som motivering för detta ställningstagande anför utredningen att en omfattande förändring av tillsynen skulle innebära kostnader och andra konsekvenser och att det i dag inte finns ett så tydligt behov av sanktioner som kan motivera sådana konsekvenser. Ett skäl för att avvakta med sanktioner är enligt utredningen att det är svårt att förutsäga i vilken omfattning enskilda verksamheter kommer att omfattas av en reformerad säkerhetsskyddslag. Utredningen öppnar dock för att frågan kan behöva övervägas i framtiden. I betänkandet konstateras vidare att det finns aspekter som kan tala mot införandet av sanktioner. Utredningen anför t.ex. att det är viktigt att det finns goda förutsättningar för samverkan mellan myndigheter och enskilda verksamheter. Om brister i säkerhetsskyddet skulle kunna medföra åtgärder som t.ex. varningar och vitessanktionerade åtgärdsförelägganden, kan det enligt utredningen få till följd att benägenheten att på eget initiativ ta upp brister med den myndighet som kontrollerar säkerhetsskyddet påverkas negativt.
Som konstateras i de inledande avsnitten av denna proposition är behovet stort av ett förbättrat säkerhetsskydd hos såväl offentliga som enskilda verksamhetsutövare. Den nya säkerhetsskyddslagen utvidgar i viss mån kraven på offentliga aktörer och kommer också på ett tydligare sätt att omfatta enskilda verksamheter. Som utredningen har konstaterat är det svårt att förutsäga hur många enskilda verksamhetsutövare som kommer att vara skyldiga att tillämpa lagstiftningen. Det kan dock konstateras att antalet verksamheter som har betydelse för Sveriges säkerhet, och som drivs i enskild regi, har ökat i takt med privatiseringen av offentlig verksamhet. Det innebär sammantaget med den snabba digitaliseringen av samhället att det kan antas att verksamheter med central betydelse för Sveriges säkerhet även i framtiden kommer att drivas av enskilda aktörer. Att tillsynen över såväl offentliga som enskilda verksamhetsutövare även framöver fungerar på ett tillfredsställande sätt är därför mycket angeläget.
Ett flertal remissinstanser har ställt sig kritiska till utredningens förslag både när det gäller tillsynsstrukturen och bedömningen att det inte bör införas sanktioner i lagstiftningen. När det gäller sanktioner anser t.ex. Säkerhetspolisen att sanktioner mot vissa enskilda verksamheter skulle vara ett viktigt verktyg för att inskärpa vikten av säkerhetsskydd. När det gäller tillsynsstrukturen är många remissinstanser kritiska till att flytta länsstyrelsernas och delar av Säkerhetspolisens tillsynsansvar till MSB, medan andra remissinstanser tillstyrker det förslaget. Vissa remissinstanser anser också att även andra myndigheter bör få uppdrag som säkerhetsskyddsstödjande myndigheter, t.ex. anger Energimyndigheten att även fjärrvärme-, naturgas- samt olje- och drivmedelsförsörjningen är skyddsvärd och bör ha en säkerhetsskyddsstödjande myndighet.
Regeringen har mot den bakgrunden beslutat att ge en särskild utredare i uppdrag att föreslå dels ett system med sanktioner i säkerhetsskyddslagen, dels hur en ändamålsenlig tillsyn ska vara utformad (dir. 2017:32). I direktiven till utredningen (Utredningen om vissa säkerhetsskyddsfrågor) konstaterar regeringen att avsaknaden av sanktioner i säkerhetsskyddslagen mot den verksamhetsutövare som brustit i sitt säkerhetsskyddsarbete riskerar att medföra mindre följsamhet hos de aktörer som omfattas av lagstiftningen. Den risken gör sig inte minst gällande eftersom den nya lagstiftningen i viss mån kommer att innebära hårdare krav på förebyggande åtgärder och att den på ett tydligare sätt kommer att rikta sig mot enskilda aktörer. En situation där avsaknaden av sanktioner i säkerhetsskyddslagen resulterar i att verksamhetsutövare inte vidtar nödvändiga säkerhetsskyddsåtgärder skulle vara skadlig för Sveriges säkerhet. Regeringen anser därför att en ny säkerhetsskyddslag bör kompletteras med en möjlighet att utfärda sanktioner mot aktörer som brister i sitt säkerhetsskyddsarbete. När det gäller frågan om tillsyn konstateras i direktiven att det bl.a. mot bakgrund av de remissynpunkter som framkommit över betänkandet En ny säkerhetsskyddslag finns anledning att på nytt utreda vilka myndigheter som bör ha uppgifter att utöva tillsyn enligt säkerhetsskyddslagen. Även ett införande av sanktionsmöjligheter medför ett behov av att se över tillsynsstrukturen eftersom det också innebär att tillsynens karaktär behöver förändras från dagens inriktning mot rådgivning och stöd till tillsyn i en mer traditionell mening. Uppdraget ska redovisas senast den 31 oktober 2018.
I avvaktan på förslag från utredningen bedömer regeringen att nuvarande tillsynsstruktur bör bestå. Även i den nya säkerhetsskyddslagen bör det därför tas in en upplysning om att tillsyn över säkerhetsskyddet hos myndigheter och andra som lagen gäller för ska utövas av den myndighet som regeringen bestämmer.
Tillsyn av leverantörer som har ingått säkerhetsskyddsavtal
Tillsynsarbetet ska bedrivas gentemot den som direkt har att tillämpa säkerhetsskyddslagen. En närliggande fråga är hur säkerhetsskyddet hos leverantörer som utför arbete baserat på ett säkerhetsskyddsavtal ska kontrolleras.
I fråga om säkerhetskänslig verksamhet gäller redan i dag att en verksamhetsutövare som ingått ett säkerhetsskyddsavtal ska underrätta Säkerhetspolisen om detta och om ett säkerhetsskyddsavtal upphört att gälla. Som framgår av avsnitt 9.1 föreslås att detta även finns med i den nya regleringen. I avsnittet föreslås att även enskilda verksamhetsutövare ska kunna ingå säkerhetsskyddsavtal och kontrollera att avtalen efterlevs hos motparterna. Tillsynsmyndigheterna föreslås även kunna utöva tillsyn över dessa enskilda verksamhetsutövare och bistå med råd och stöd till enskilda inför ingående av säkerhetsskyddsavtal enligt den nya lagen. Förfarandet med att det är den enskilda verksamhetsutövaren som kontrollerar att bestämmelserna i säkerhetsskyddsavtalet upprätthålls hos motparten innebär dock en viss minskad statlig kontroll på området jämfört med i dag. Det finns därför skäl att ge Säkerhetspolisen och Försvarsmakten möjlighet att utöva tillsyn direkt mot sådana enskilda aktörer som har ingått säkerhetsskyddsavtal med verksamhetsutövare som omfattas av lagen.
Som framgått av avsnitt 5.1 kan en leverantör som svarar för t.ex. driftstjänster åt ett flertal myndigheter genom sitt samlade engagemang anses bedriva säkerhetskänslig verksamhet. Vid större koncentrationer av uppdrag kan detta gälla även om de enskilda uppdragen inte omfattas av säkerhetsskyddsavtal. I dessa fall ska den nya säkerhetsskyddslagen vara direkt tillämplig på leverantören av driftstjänsterna.
Rådgivande och stödjande insatser i form av bl.a. utbildning
Ett stort antal remissinstanser har framfört att det bör framgå av lagstiftningen att tillsynsmyndigheterna ska svara för utbildning i säkerhetsskydd och att behovet av en strukturerad utbildning är stort. Regeringen instämmer i att utbildning är en mycket viktig faktor för att höja kunskapsnivån generellt om vikten av ett grundläggande säkerhetsskyddsarbete. Här har tillsynsmyndigheterna en viktig roll att fylla. MSB och Säkerhetspolisen har redan tagit initiativ på området. Regeringen finner dock skäl att understryka att trots den betydelse som tillsynsmyndigheterna har i sin rådgivande och stödjande verksamhet är det alltid den som är ansvarig för en säkerhetskänslig verksamhet som ska utbilda sin personal i frågor kring säkerhetsskydd. Frågor om utbildning m.m. utvecklas i avsnitt 8.3 om personalsäkerhet.
Föreskrifter om säkerhetsskyddet
Utredningen har föreslagit att rätten att meddela föreskrifter ska vara i huvudsak densamma som i nuvarande säkerhetsskyddslagstiftning, men med vissa justeringar som regleras i förordning. Det innebär att föreskriftsrätten fördelas främst mellan Säkerhetspolisen och Försvarsmakten. Regeringen delar utredningens uppfattning och föreslår att den nuvarande bestämmelsen om föreskriftsrätt förs över till den nya säkerhetsskyddslagen med i huvudsak samma ordalydelse.
14 Ikraftträdande- och övergångsbestämmelser
Regeringens förslag: Den nya säkerhetsskyddslagen och övriga föreslagna lagändringar ska träda i kraft den 1 april 2019. Nuvarande säkerhetsskyddslag upphör då att gälla.
En anställning eller annat deltagande som enligt 1996 års säkerhetsskyddslag placerats i säkerhetsklass 1-3 ska motsvara en placering enligt den nya lagen i säkerhetsklass 1-3. En registerkontroll med stöd av 14 § i 1996 års säkerhetsskyddslag ska i den utsträckning som regeringen föreskriver motsvara ett beslut om placering i säkerhetsklass 3. Detta ska gälla till dess att ett nytt beslut om säkerhetsklass enligt den nya lagen fattas, dock längst till utgången av 2024.
Utredningens förslag: Utredningens förslag överensstämmer delvis med regeringens. Utredningen föreslår att den nya lagen samt övriga författningsändringar ska träda i kraft den 1 januari 2017. Utredningens förslag till övergångsbestämmelse rörande beslut om placering i säkerhetsklass är inte begränsad i tid.
Remissinstanserna: Majoriteten av remissinstanserna yttrar sig inte särskilt över förslaget i denna del. Luftfartsverket anför att de presenterade författningsförslagen innebär relativt stora förändringar samt omklassificering av personal, information och system. Det bör vara minst två år mellan det att författningarna beslutas tills de träder ikraft. Lämpligt ikraftträdande bör ske stegvis därefter. Trafikverket anser att övergångsbestämmelser även ska omfatta tid för förnyad säkerhetsskyddsanalys och som resultat av denna även tid för anpassning av myndighetens landsomfattande it-infrastruktur. Ringhals AB är positiv till föreslagen övergångsbestämmelse om att registerkontroll enligt säkerhetsklass 3 likställs med registerkontroll med stöd av 14 § säkerhetsskyddslagen. Tullverket framför att verksamheter som omfattas av bestämmelser om offentlig upphandling men i dag inte är tvungna att ingå säkerhetsskyddsavtal, kommer att omfattas av ett sådant krav vid ett ikraftträdande av en ny säkerhetsskyddslagstiftning. Kravet på säkerhetsskyddsavtal påverkar utformningen av förfrågningsunderlaget vid upphandling för de nya verksamheter som kommer att omfattas. Eftersom nya villkor i princip inte får läggas till i efterhand kan övervägas om det finns behov av ett tydliggörande i förslagen till lagstiftning med övergångsbestämmelser som anger att äldre bestämmelser gäller för upphandlingar som har påbörjats före lagens ikraftträdande.
Skälen för regeringens förslag: Regeringen anser att den nya lagen och följdändringarna bör träda ikraft så snart som möjligt. Eftersom den nya lagstiftningen innebär att nya och till viss del strängare krav ska ställas på verksamhetsutövarna och att dessa bestämmelser nu även direkt ska gälla för enskilda, finns det dock ett behov av god tid för förberedelsearbete. Det kan hos vissa verksamheter finnas anledning att genomföra förnyade säkerhetsskyddsanalyser. Den typ av krav som redan finns i gällande lag bör däremot inte påverka tiden för ikraftträdande. Dock innebär förslaget att också andra krav på åtgärder ställs på verksamhetsutövarna som är helt nya i förhållande till gällande lag, t.ex. klassificering av uppgifter i fyra säkerhetsskyddsklasser. Den föreslagna lagen innebär också bl.a. att regeringen eller den myndighet som regeringen bestämmer ska få meddela ytterligare föreskrifter om säkerhetsskydd. Regeringen bedömer sammantaget, i likhet med flera remissinstanser, att det finns behov av en anpassningsperiod till dess att lagen träder ikraft. Den nya lagen och följdändringarna i övriga lagar bör därför träda i kraft den 1 april 2019.
Det finns för vissa delar av den nya lagen behov av övergångsbestämmelser. Det gäller den förändring som innebär att bestämmelsen om registerkontroll till skydd mot terrorism upphör att gälla och att dessa befattningar i stället ska placeras i en säkerhetsklass. Regeringen delar utredningens bedömning att ett beslut om registerkontroll enligt 14 § 1996 års säkerhetsskyddslag ska motsvara ett beslut om placering i säkerhetsklass 3. Regeringen anser dock att detta bara ska gälla fram till dess att ett beslut om placering i säkerhetsklass enligt den nya lagen kan fattats och att detta ska ske senast vid utgången av 2024. Det är angeläget att verksamheterna utifrån en säkerhetsskyddsanalys tar ställning till vilka beslut om placering i säkerhetsklass som behövs och att säkerhetsprövningar genomförs så snart som möjligt. Då det kan vara fråga om ett stort antal befattningar bedöms det finnas behov av en övergångsperiod om fem år innan kravet på placering i säkerhetsklass kan gälla fullt ut.
Utredningen föreslår inte någon övergångsbestämmelse när det gäller redan ingångna säkerhetsskyddsavtal, utan konstaterar att befintliga säkerhetsskyddsavtal inte påverkas av de nya bestämmelserna om ingående av sådana avtal. Detta ligger i linje med huvudprincipen i svensk rätt om att civilrättslig lagstiftning inte ska ges retroaktiv effekt. Avsteg från denna huvudregel bör bara komma i fråga om det finns tillräckligt starka skäl. Enligt regeringens uppfattning finns det inte skäl att tillämpa den nya lagen på säkerhetsskyddsavtal som har ingåtts före lagens ikraftträdande. Det framstår inte som rimligt att myndigheter, kommuner, landsting och enskilda tvingas omförhandla ingångna avtal och ställa högre krav på leverantören. Huvudprincipen på civilrättens område bör således gälla. Det behövs ingen särskild övergångsbestämmelse om detta.
15 Konsekvenser
Regeringens bedömning: Den nya säkerhetsskyddslagstiftningen kommer att innebära att vissa myndigheter som har en särskild roll, bl.a. som tillsynsmyndighet, får en ökad arbetsbelastning. Regeringen har i budgetpropositionen för 2018 föreslagit att berörda anslag ökar med totalt 16,3 miljoner kronor. För 2019 och framåt beräknas ökningen till 34 miljoner kronor årligen.
Utredningens bedömning: Överensstämmer delvis med regeringens förslag. Utredningen bedömer att förslagen inte medför annat än marginella kostnadsökningar som kan hanteras inom nuvarande budgetramar.
Remissinstanserna: Flera remissinstanser invänder inte mot bedömningarna i denna del. Stockholms läns landsting delar i huvudsak utredningens bedömning att förslaget till ny säkerhetsskyddslag i sig inte är kostnadsdrivande utan att grunden ligger i lagens åligganden liksom förändringar i samhällets generella hot- och riskbild. Regelrådet anför att beskrivningen av alternativa lösningar och effekter är bristfällig.
Ett stort antal remissinstanser, bl.a. Polismyndigheten, Säkerhetspolisen, Myndigheten för samhällsskydd och beredskap (MSB), Finansinspektionen, Sjöfartsverket, Luftfartsverket, Transportstyrelsen, Statens jordbruksverk, Länsstyrelsen i Stockholms län, Stockholms läns landsting, Jönköpings läns landsting, Göteborgs kommun, Eskilstuna kommun, Trafikverket, Forsmark Kraftgrupp AB, Swedavia AB, Sveriges advokatsamfund, Säkerhetsbranschen, Vattenfall AB, Ekobrottsmyndigheten och Statens veterinärmedicinska anstalt invänder mot utredningens slutsats att förslagen inte bör innebära annat än marginellt ökade kostnader vare sig för det allmänna eller för enskilda jämfört med nuvarande lagstiftning. Säkerhetspolisen anför att förslaget innebär såväl en breddning som en ambitionshöjning när det gäller säkerhetsskyddet i landet. Detta innebär enligt myndigheten en rad nya uppgifter som med största sannolikhet kommer innebära ökade kostnader. Antalet personer som kommer att placeras i säkerhetsklass och säkerhetsprövas kommer att öka. Till detta kommer omställningskostnader i form av t.ex. utfärdande av nya föreskrifter, anpassning till fyra informationssäkerhetsklasser samt utbildning och rådgivning. Stockholms universitet (Juridiska fakulteten) ifrågasätter om förutsättningarna för ett effektivt genomförande av förslagen har ägnats tillräcklig uppmärksamhet. Forsmark Kraftgrupp AB påpekar särskilt att det i åtskilliga av de verksamheter som kommer att omfattas av den nya lagen finns stora mängder verksamhetsdokument som inte har den informationssäkerhetsklassning som nu är tänkt att införas.
Skälen för regeringens bedömning
En moderniserad säkerhetsskyddslagstiftning
Syftet med förslagen i propositionen är att åstadkomma en lagstiftning på området som säkerställer säkerhetsskyddet för verksamhet hos staten, kommuner, landsting och enskilda som är av betydelse för Sveriges säkerhet eller som omfattas av ett för Sverige förpliktande internationellt åtagande om säkerhetsskydd. I vissa delar, t.ex. avsnittet om informationssäkerhet, innebär propositionen en klar skärpning och modernisering av gällande lagstiftning. Förslaget syftar också till att åstadkomma en ändamålsenlig lagstiftning som ger ett tydligt rättsligt stöd för dess tillämpning, t.ex. i fråga om säkerhetsskyddad upphandling och internationell samverkan. Det finns ett stort behov av och en stor efterfrågan på en moderniserad lagstiftning. Effekten av att ingen reglering kommer till stånd skulle vara negativ för Sveriges säkerhet. Det skulle innebära att säkerhetskänslig verksamhet, som i allt större utsträckning är beroende av informationssystem, inte skulle tillförsäkras nödvändigt skydd mot antagonistiska hot. Avsaknaden av en modern och tydlig lagstiftning gör också att Sveriges internationella samverkan försvåras och att osäkerhet gäller för enskilda aktörer som bedriver säkerhetskänslig verksamhet. Regeringens bedömning är därför, även med beaktande av vad Regelrådet har anfört, att de föreslagna åtgärderna är nödvändiga för att värna Sveriges säkerhet.
Lagstiftningen kommer att innebära förändringar i den nuvarande strukturen för säkerhetsskydd och även innebära att fler enskilda måste göra anpassningar i sin verksamhet. Det finns därför behov av särskilda informationsinsatser. Tiden för lagens ikraftträdande har anpassats mot denna bakgrund.
Ett flertal remissinstanser, t.ex. Skatteverket och Statens veterinärmedicinska anstalt, har framfört att den höjda ambitionsnivån som förslaget innebär kommer att medföra kostnadsökningar för såväl offentliga som enskilda verksamhetsutövare. Regeringen vill särskilt understryka att en del av ambitionshöjningen är en konsekvens av utvecklingen i samhället där förändringar i bl.a. hotbilden mot Sverige är ett viktigt skäl för en skärpt och moderniserad lagstiftning. Det hade oavsett det nya lagförslaget ställts krav på de aktörer som omfattas av säkerhetsskyddslagen, dvs. staten, kommuner, landsting och enskilda, att se till att nödvändiga åtgärder vidtas.
Konsekvenser för statliga myndigheter, kommuner och landsting
Den nya säkerhetsskyddslagstiftningen kommer att innebära att vissa offentliga aktörer får en ökad arbetsbelastning. Det gäller främst de myndigheter som redan har ansvar för tillsyn, rådgivning och stöd på området och som med den nya lagstiftningen får utökade uppgifter. Utredningen har föreslagit vissa förändringar när det gäller tillsyn. Regeringen har beslutat att ge en särskild utredare i uppdrag att bl.a. föreslå ett system med sanktioner i säkerhetsskyddslagen och hur en ändamålsenlig tillsyn ska vara utformad (dir. 2017:32). Uppdraget ska redovisas senast den 31 oktober 2018. I avvaktan på förslag från utredningen har regeringen bedömt att nuvarande tillsynsstruktur bör bestå.
Säkerhetspolisen och Försvarsmakten har i dag viktiga roller för säkerhetsskyddet. Fler verksamheter än i dag kommer att omfattas av säkerhetsskyddslagen. Det kommer att föreligga ett ökat behov av rådgivning och stöd från Säkerhetspolisen och Försvarsmakten när det gäller bl.a. säkerhetsskyddsanalys, informationssäkerhet och säkerhetsskyddsklassificering av information. Myndigheterna kommer vidare behöva utfärda nya föreskrifter. Säkerhetspolisen kommer även att få betydligt fler ärenden rörande registerkontroll och särskild personutredning. Även de övriga tillsynsmyndigheterna (Affärsverket Svenska kraftnät, Post- och telestyrelsen, Transportstyrelsen och länsstyrelserna) bedöms få en ökad arbetsbelastning genom förslagen. Myndigheterna har redan i dag uppgifter som innebär att de för vissa enskilda verksamheters räkning ska besluta om placering av anställningar och annat deltagande i säkerhetsklass och ansvara för ansökan till Säkerhetspolisen om registerkontroll till följd av sådana beslut. I vissa fall har de även det slutliga avgörandet i fråga om säkerhetsprövningen. Myndigheterna har även som uppgift att utöva tillsyn över enskilda verksamhetsutövare inom sina respektive områden. Dessa uppgifter bedöms öka genom förslagen, eftersom fler enskilda på ett tydligare sätt föreslås omfattas av den nya lagen och det också förslås införas ett tydligt stöd för att placera deltagande i enskild verksamhet i säkerhetsklass. Tillsynsmyndigheterna kommer också att behöva vägleda enskilda verksamheter i fråga om säkerhetsskyddslagens tillämplighet. Sådan vägledning kan innebära framtagande av manualer eller liknande som kan vara ett stöd för att kunna identifiera vad som inom det aktuella området (elförsörjning, elektronisk kommunikation etc.), utgör säkerhetskänslig verksamhet. Det kan också innebära att i samråd med Säkerhetspolisen och Försvarsmakten ta fram underlag i fråga om vilka hot som säkerhetsskyddet inom det berörda området behöver vara dimensionerat för. Även Försvarets radioanstalt bedöms få en ökad arbetsbelastning genom sitt uppdrag att bl.a. stödja statliga myndigheter som hanterar information som bedöms vara känslig från sårbarhetssynpunkt.
Under 2018 förväntas vissa myndigheter ha kostnader för förberedande åtgärder. Regeringen har i budgetpropositionen för 2018 föreslagit att berörda anslag ökar med totalt 16,3 miljoner kronor. För 2019 och framåt beräknas ökningen till 34 miljoner kronor årligen.
När det gäller kommuner och landsting så kommer förslagen, till skillnad mot vad som anges ovan om vissa myndigheter som har särskilda roller inom säkerhetsskyddet, inte medföra väsentliga kostnadsmässiga konsekvenser. Vidare bedömer regeringen att förslagen, jämfört med den nu gällande säkerhetsskyddslagen, inte innebär någon ytterligare inskränkning av den kommunala självstyrelsen.
Konsekvenser för enskilda verksamhetsutövare
Förslaget i propositionen gäller för enskilda verksamhetsutövare på samma sätt som för det allmänna. En skillnad med den nya lagstiftningen är att det tydligare framgår att lagen ska tillämpas på alla aktörer. De höjda krav som lagstiftningen innebär gällande t.ex. informationssäkerhet kommer att påverka alla verksamheter och bedöms medföra behov av kostnadsdrivande åtgärder för att inrätta verksamheterna i enlighet med de krav som lagstiftningen innebär. Enskilda verksamhetsutövare får också ansvar för att förhandla och ingå säkerhetsskyddsavtal med underleverantörer när detta är nödvändigt med hänsyn till verksamheten. I det arbetet ingår också skyldighet att kontrollera att leverantörerna lever upp till kraven i säkerhetsskyddsavtalen. Även denna nyordning bedöms innebära ökade kostnader.
Det är inte möjligt, och inte heller önskvärt, att lista de områden eller verksamheter som omfattas av lagen. Vissa verksamheter kan dock identifieras. Det gäller t.ex. inom vissa högteknologiska branscher som på grund av sin internationella verksamhet kan antas vara intresserade av säkerhetsintyg. För dessa verksamheter innebär den nya lagstiftningen förenklingar.
Konsekvenser för miljön
Regeringens förslag bedöms inte ha någon direkt inverkan på miljön.
Konsekvenser för EU-rätten
Förslagen bedöms vara förenliga med EU-rätten
Konsekvenser för jämställdheten
Förslagen bedöms inte medföra några konsekvenser för jämställdheten mellan män och kvinnor.
16 Författningskommentar
16.1 Förslaget till säkerhetsskyddslag
Den nya lagen ersätter säkerhetsskyddslagen (1996:627). Allmänna överväganden om behovet av en ny lag finns i avsnitt 4. Den nya säkerhetsskyddslagen har en ny struktur och uppbyggnad i form av fem kapitel med löpande paragrafnumrering inom varje kapitel. Flera bestämmelser har förts över från 1996 års säkerhetsskyddslag. Dessa paragrafer är utformade helt eller delvis i överensstämmelse med motsvarande bestämmelser i den lagen. I vissa paragrafer har det gjorts förtydliganden i förhållande till nuvarande lag. Ett antal nya bestämmelser har tillkommit.
I följande avsnitt kommenteras förslagen till ny säkerhetsskyddslag, lagen om ändring i elberedskapslagen (1997:288), lagen om ändring i lagen (2006:128) om säkerhetsskydd i riksdagen och dess myndigheter, lagen om ändring i offentlighets- och sekretesslagen (2009:400, OSL), lagen om ändring i lagen (2011:1029) om upphandling på försvars- och säkerhetsområdet och lagen om ändring i lagen (2014:514) om ansvar för vissa säkerhetsfrågor vid statsministerns tjänstebostäder. Förslagen till ändringar i de övriga lagarna innebär endast att hänvisningar till 1996 års säkerhetsskyddslag, eller till någon viss bestämmelse i den lagen, har ersatts med motsvarande hänvisningar till den nya säkerhetsskyddslagen. I vissa av lagarna har det även gjorts mindre språkliga och redaktionella ändringar.
1 Kap. Lagens tillämpningsområde
Lagen gäller för utövare av säkerhetskänslig verksamhet
1 § Denna lag gäller för den som till någon del bedriver verksamhet som är av betydelse för Sveriges säkerhet eller som omfattas av ett för Sverige förpliktande internationellt åtagande om säkerhetsskydd (säkerhetskänslig verksamhet).
I lagen finns också bestämmelser om internationell samverkan i övrigt på säkerhetsskyddsområdet.
I paragrafen, som delvis motsvarar 1 § 1996 års säkerhetsskyddslag, anges lagens tillämpningsområde. Övervägandena finns i avsnitt 5.1 och 10.2.
I första stycket anges att lagen gäller för den som till någon del bedriver säkerhetskänslig verksamhet. Uttrycket "säkerhetskänslig verksamhet" finns i dag i 4 § 3 säkerhetsskyddsförordningen (1996:633) och avser där verksamhet av betydelse för rikets säkerhet. Enligt den nu aktuella paragrafen avses med det uttrycket verksamhet som är av betydelse för Sveriges säkerhet eller som omfattas av ett för Sverige förpliktande internationellt åtagande om säkerhetsskydd. På samma sätt som 1996 års säkerhetsskyddslag är lagen direkt tillämplig vid verksamhet hos staten, kommuner, landsting och enskilda oberoende av verksamhetsform. Med "till någon del" avses tydliggöras att det för lagens tillämplighet inte krävs att hela verksamheten kan anses utgöra säkerhetskänslig verksamhet.
När det gäller lagens tillämpningsområde finns två huvudsakliga förändringar i förhållande till 1996 års säkerhetsskyddslag. Dels har ordet "rikets" ersatts med "Sveriges", dels har en kompletterande skrivning om för Sverige förpliktande internationellt åtagande om säkerhetsskydd införts. Förändringarna syftar till en tydligare och mer modern lagstiftning och innebär att lagens tillämpningsområde är vidare än 1996 års säkerhets-skyddslag.
Uttrycket "Sveriges säkerhet" tar i enlighet med vad som uttalades i propositionen Förstärkt skydd mot främmande makts underrättelseverksamhet (prop. 2013/14:51 s. 36) sikte på förhållanden av grundläggande betydelse för Sverige. Det innebär att lagens krav på säkerhetsskydd på samma sätt som tidigare gäller för såväl militär som civil verksamhet. Vilka verksamheter som är av betydelse för att upprätthålla Sveriges säkerhet måste bedömas i ljuset av samhälls-utvecklingen. Vad som behöver skyddas för att förebygga hot mot Sveriges säkerhet kan därför i viss utsträckning förändras över tid. Tidigare var uttrycket starkt förknippat med Försvarsmaktens verksamhet, eftersom det främsta hotet mot rikets säkerhet ansågs vara ett militärt angrepp. I dag är samhället och hotbilden mer komplex och föränderlig, vilket i sin tur har fört med sig att uppgifter som rör förhållanden inom andra samhällssektorer också kan vara av betydelse för den nationella säkerheten. Det kan exempelvis gälla uppgifter om viktig civil infrastruktur såsom flygplatser, energianläggningar och förmedlings-stationer för telekommunikation. Även inom sådana områden som typiskt sett domineras av enskilda aktörer kan det finnas uppgifter som behöver skyddas enligt bestämmelserna i denna lag. Här kan nämnas olika former av elektronisk utrustning som används i syfte att skydda information eller informationssystem eller uppgifter om bl.a. tillverkningssätt och konstruk-tion av produkter inom telekommunikationsområdet.
Med uttrycket "som omfattas av ett för Sverige förpliktande internationellt åtagande om säkerhetsskydd" avses uppgifter som är säkerhets-känsliga för andra stater och mellanfolkliga organisationer och som Sverige genom säkerhetsskyddsöverenskommelser har åtagit sig att skydda. Sådana överenskommelser gäller i dag i förhållande till ett trettiotal stater och vissa mellanfolkliga organisationer, bl.a. EU och Nato. Bestämmelsen ger även stöd för säkerhetsskyddsåtgärder som följer av folkrättsliga förpliktelser i övrigt, bl.a. EU-rättsliga bestämmelser inom t.ex. luftfartsskyddsområdet.
Alla delar i en verksamhet som har betydelse för Sveriges säkerhet omfattas av paragrafen. Det kan t.ex. röra sig om uppgifter som är hemliga med hänsyn till Sveriges säkerhet och som kan finnas i informationssystem eller fysiska handlingar. Det kan också röra sig om personal, fastigheter och andra anläggningar samt informationssystem som inte i första hand behöver skyddas för att de innehåller hemliga uppgifter utan för att de är vitala för förmågan att upprätthålla kritiska samhällsfunktioner, t.ex. för Sveriges demokratiska statsskick, rättsväsende eller brottsbekämpande förmåga.
I andra stycket anges att lagen innehåller bestämmelser om inter-nationell samverkan i övrigt på säkerhetsskyddsområdet. Härmed avses framförallt bestämmelserna om säkerhetsintyg för internationella ändamål, som har ett något vidare tillämpningsområde än lagen i övrigt. Det kan finnas situationer där säkerhetsskyddsklassificerade uppgifter behöver utbytas med ett annat land trots att det inte finns något inter-nationellt säkerhetsskyddsåtagande.
Vad som avses med säkerhetsskydd
2 § Med säkerhetsskydd avses skydd av säkerhetskänslig verksamhet mot spioneri, sabotage, terroristbrott och andra brott som kan hota verksamheten samt skydd i andra fall av säkerhetsskyddsklassificerade uppgifter.
Med säkerhetsskyddsklassificerade uppgifter avses uppgifter som rör säkerhetskänslig verksamhet och som därför omfattas av sekretess enligt offentlighets- och sekretesslagen (2009:400) eller som skulle ha omfattats av sekretess enligt den lagen, om den hade varit tillämplig.
I paragrafen definieras vad som avses med säkerhetsskydd. Övervägandena finns i avsnitt 5.2.
Första stycket motsvarar, med de justeringar av lagens tillämpningsområde som följer av 1 §, i huvudsak 6 § i 1 1996 års säkerhetsskyddslag (prop. 1995/96:129 s. 22 f. och 74). Lagen ska skydda mot i första hand antagonistiska hot, exempelvis spioneri, sabotage och terroristbrott. Skyddet mot terroristbrott avser, till skillnad från 1996 års lag, endast brott enligt 2 § lagen (2003:148) om straff för terroristbrott som kan hota säkerhetskänslig verksamhet. Vidare motsvarar stycket delvis 6 § 2 i 1996 års säkerhetsskyddslag och 4 § 1 i 1996 års säkerhetsskyddsförordning. Paragrafen tar även sikte på skydd i andra fall av säkerhetsskyddsklassificerade uppgifter. Därmed avses att sådana uppgifter inte bara ska skyddas mot brott. I likhet med gällande lag innebär säkerhetsskyddet att t.ex. handlingar ska förvaras på ett betryggande sätt och att spridningen av uppgifter i handlingarna så långt det är möjligt ska begränsas till personer som behöver dem för sin tjänsteutövning.
I andra stycket anges vad som avses med säkerhetsskyddsklassificerade uppgifter. Utgångspunkten är att det är fråga om uppgifter som rör säkerhetskänslig verksamhet, vilket innefattar såväl uppgifter av betydelse för Sveriges säkerhet som uppgifter som ska ha ett säkerhetsskydd enligt internationella säkerhetsskyddsåtaganden, även om de inte samtidigt kan anses vara av betydelse för Sveriges säkerhet. Det ska vidare vara fråga om uppgifter som på grund av att de rör säkerhetskänslig verksamhet omfattas av bestämmelser om sekretess i OSL eller som skulle ha omfattats av sekretess enligt den lagen, om den hade varit tillämplig. Det innebär att det inte uppställs något krav på att verksamheter som denna lag gäller för ska omfattas av bestämmelserna om sekretess i OSL för att en uppgift ska kunna anses vara säkerhetsskyddsklassificerad. Däremot förutsätts att en säkerhetsskyddsklassificerad uppgift till sin natur är sådan att uppgiften materiellt sett kan hänföras till en bestämmelse om sekretess, med hänsyn till antingen Sveriges säkerhet eller Sveriges förbindelser med någon annan stat eller mellanfolklig organisation. Särskilt relevant för vägledning i fråga om vilka uppgifter som till sin natur medför krav på säkerhetsskydd är den s.k. försvarssekretessen i 15 kap. 2 § och bestämmelserna om sekretess i underrättelseverksamhet i 18 kap. 2 § OSL. Även andra bestämmelser om sekretess kan vara tillämpliga på denna typ av uppgifter. Här kan särskilt nämnas den så kallade utrikessekretessen i 15 kap. 1 §, bestämmelsen om sekretess i det internationella samarbetet i 15 kap. 1 a § och, i vissa fall, bestämmelsen om förundersökningssekretess i 18 kap. 1 § OSL, men även andra sekretessbestämmelser kan vara relevanta i sammanhanget.
Undantag från bestämmelserna om säkerhetsskydd
3 § För riksdagen och dess myndigheter gäller endast bestämmelserna om säkerhetsskyddsklasser i 2 kap. 5 §, säkerhetsprövning i 3 kap. och säkerhetsintyg i 4 kap. I övrigt gäller lagen (2006:128) om säkerhetsskydd för riksdagen och dess myndigheter.
Regeringen får i fråga om Regeringskansliet, utlandsmyndigheterna och kommittéväsendet meddela föreskrifter om undantag från andra bestämmelser i lagen än de som anges i första stycket.
Paragrafen anger i vilken utsträckning lagen gäller för riksdagen och dess myndigheter och i vilken utsträckning regeringen får besluta om undantag för Regeringskansliet, utlandsmyndigheterna och kommittéväsendet. Övervägandena finns i avsnitt 12.
Första stycket motsvarar i huvudsak 2 § 1996 års säkerhetsskyddslag (prop. 1995/96:129 s. 73). I förhållande till vad som gäller i dag utvidgas lagens tillämplighet i fråga om riksdagen och dess myndigheter något. Enligt den nuvarande säkerhetsskyddslagen gäller endast bestämmelserna om säkerhetsprövning i 11-29 §§ för riksdagen och dess myndigheter. Enligt första stycket första meningen förevarande paragraf ska även bestämmelserna om säkerhetsskyddsklasser, säkerhetsprövning och säkerhetsintyg gälla för riksdagen och dess myndigheter. För att ange vad som i övrigt gäller i fråga om säkerhetsskydd för riksdagen och dess myndigheter har en upplysning om lagen (2006:128) om säkerhetsskydd för riksdagen och dess myndigheter tagits in i första stycket andra meningen.
Andra stycket motsvarar i huvudsak 32 § 1996 års säkerhetsskyddslag (prop. 1995/96:129 s. 89). Stycket innehåller ett bemyndigande för regeringen att i fråga om Regeringskansliet, utlandsmyndigheterna och kommittéväsendet i viss utsträckning meddela föreskrifter om undantag från andra bestämmelser i lagen än de som anges i första stycket.
Särskilda bestämmelser om statsministerns tjänstebostäder och skyddsobjekt
4 § I lagen (2014:514) om ansvar för vissa säkerhetsfrågor vid statsministerns tjänstebostäder finns bestämmelser om ansvar för fysisk säkerhet och om samrådsskyldighet inför att säkerhetsskyddsavtal ska träffas och inför beslut om placering i säkerhetsklass.
Paragrafen, som i sak motsvarar 32 a § 1996 års säkerhetsskyddslag (prop. 1995/96:129 s. 27 f.), innehåller en upplysning om att det finns särskilda bestämmelser om ansvar för fysisk säkerhet och om samrådsskyldighet inför att säkerhetsskyddsavtal ska träffas och inför beslut om placering i säkerhetsklass enligt lagen (2014:514) om ansvar för vissa säkerhetsfrågor vid statsministerns tjänstebostäder. Övervägandena finns i avsnitt 8.2.
En språklig justering har gjorts så att benämningen tillträdesbegränsning i 1996 års säkerhetsskyddslag ändrats till fysisk säkerhet. Det är en följd av motsvarande förslag i 2 kap. 4 §, se kommentaren till den paragrafen. I övrigt gäller säkerhetsskyddslagens bestämmelser även i verksamhet som bedrivs vid de aktuella fastigheterna.
5 § I skyddslagen (2010:305) finns bestämmelser om förbud mot tillträde till vissa byggnader, andra anläggningar, områden och andra objekt.
Paragrafen har efter viss språklig justering förts över från 10 § andra stycket 1996 års säkerhetsskyddslag (prop. 1995/96:129 s. 27 och 77). Den innehåller en hänvisning till de mer kvalificerade åtgärder i fråga om fysisk säkerhet som bestämmelser i skyddslagen (2010:305) gör möjliga. Övervägandena finns i avsnitt 8.2.
2 kap. Grundläggande bestämmelser om säkerhetsskydd
Skyldigheter för den som bedriver säkerhetskänslig verksamhet
1 § Den som bedriver säkerhetskänslig verksamhet ska utreda behovet av säkerhetsskydd (säkerhetsskyddsanalys). Säkerhetsskyddsanalysen ska dokumenteras.
Med utgångspunkt i analysen ska verksamhetsutövaren planera och vidta de säkerhetsskyddsåtgärder som behövs med hänsyn till verksamhetens art och omfattning, förekomst av säkerhetsskyddsklassificerade uppgifter och övriga omständigheter.
Verksamhetsutövaren ska även kontrollera säkerhetsskyddet i den egna verksamheten, anmäla och rapportera sådant som är av vikt för säkerhetsskyddet och i övrigt vidta de åtgärder som krävs enligt denna lag.
Så långt det är möjligt ska säkerhetsskyddsåtgärderna utformas så att de inte medför skada eller annan olägenhet för andra allmänna eller enskilda intressen.
Paragrafen anger grundläggande skyldigheter för den som bedriver säkerhetskänslig verksamhet. Det kan vara fråga om en företrädare för en statlig myndighet, en kommun, ett landsting eller en enskild verksamhet. Det som gäller för leverantörer som omfattas av ett säkerhetsskyddsavtal framgår av 6 §. Övervägandena finns i avsnitt 6.
Innehållet i paragrafen är i huvudsak hämtat från 1996 års säkerhetsskyddslag med tillhörande förordning (bl.a. 5 och 30 §§ 1996 års säkerhetsskyddslag, prop. 1995/96:129 s. 26 f., 74 och 88).
Av första och andra styckena framgår att en verksamhetsutövare som till någon del omfattas av säkerhetsskyddslagen är skyldig att utreda behovet av säkerhetsskydd i en säkerhetsskyddsanalys. Om verksamhetsutövaren är osäker på om och i vilken utsträckning verksamheten till någon del omfattas av lagen bör en analys göras för att få svar på den frågan. Avgörande för behovet av säkerhetsskydd är bl.a. vilka hot, risker och sårbarheter som kan finnas i verksamheten. Resultatet av säkerhetsskyddsanalysen ska dokumenteras. Utifrån säkerhetsskydds-analysen ska verksamhetsutövaren planera ett väl avvägt och balanserat säkerhetsskydd där olika säkerhetsskyddsåtgärder
(se 2-4 §§) samverkar med varandra.
Enligt tredje stycket ska verksamhetsutövaren även se till att det finns intern kontroll av säkerhetsskyddet. Verksamhetsutövaren ska vidare anmäla och rapportera sådant som är av vikt för säkerhetsskyddet. Detta innebär att verksamhetsutövaren ska fullgöra sådan anmälnings- och rapporteringsskyldighet som framgår av föreskrifter. I 2 kap. 7 § finns ett bemyndigande för regeringen eller den myndighet som regeringen bestämmer att meddela föreskrifter om dessa skyldigheter. Verksamhetsutövaren ska även i övrigt vidta de åtgärder som krävs enligt lagen.
Fjärde stycket innehåller ett krav på att säkerhetsskyddsåtgärderna så långt det är möjligt ska utformas så att de inte medför skada eller annan olägenhet för andra allmänna eller enskilda intressen. Med andra allmänna och enskilda intressen avses bl.a. skyddet för den personliga integriteten. Lagen inskränker inte allmänhetens möjligheter att enligt offentlig-hetsprincipen ta del av allmänna handlingar. Frågan om huruvida sådana uppgifter kan lämnas ut prövas enligt bestämmelserna i OSL. Säkerhets-skydd kan dock innebära hanteringskrav för att bl.a. förebygga ett obehörigt röjande av uppgifter som sekretess gäller för med hänsyn till Sveriges säkerhet.
Säkerhetsskyddsåtgärder
Paragraferna 2-4 beskriver säkerhetsskyddets inriktning och anger vad de olika säkerhetsskyddsåtgärderna syftar till. Övervägandena finns i avsnitt 8.1 (informationssäkerhet), 8.2 (fysisk säkerhet) och 8.3 (personalsäkerhet). Paragraferna motsvarar delvis 7 § och 30 § 1 1996 års säkerhetsskyddslag. Den förändrade systematiken för säkerhetsskyddslagen som är utgångspunkten för beskrivningen i fråga om de olika åtgärderna behandlas i avsnitt 5.1.
2 § Informationssäkerhet ska
1. förebygga att säkerhetsskyddsklassificerade uppgifter obehörigen röjs, ändras, görs otillgängliga eller förstörs, och
2. förebygga skadlig inverkan i övrigt på uppgifter och informationssystem som gäller säkerhetskänslig verksamhet.
I paragrafen regleras vad som gäller för säkerhetsskyddsåtgärden informationssäkerhet. Åtgärden har ett vidare syfte än bestämmelsen om informationssäkerhet i 7 § 1 1996 års säkerhetsskyddslag (prop. 1995/96:129 s. 27). Tillämpningsområdet är utvidgat dels från att gälla hemliga uppgifter till säkerhetsskyddsklassificerade uppgifter, dels till att avse skydd av andra uppgifter och själva informationssystemen som hanterar uppgifter i en säkerhetskänslig verksamhet.
Första punkten tar sikte på skyddet av säkerhetsskyddsklassificerade uppgifter. Om ett informationssystem ska hantera säkerhetsskyddsklassificerade uppgifter ska informationssystemets säkerhetsfunktioner anpassas för att förebygga att sådana uppgifter obehörigen röjs, ändras, görs otillgängliga eller förstörs. Förekommer uppgifter som har delats in i olika säkerhetsskyddsklasser enligt 5 § ska systemet vara inrättat med säkerhetsfunktioner som svarar upp mot den högsta skyddsnivån.
Andra punkten tar framför allt sikte på skyddsåtgärder för att tillgodose behov av tillgänglighet och riktighet i fråga om uppgifter och informationssystem som inte utgör eller innehåller säkerhetsskyddsklassificerade uppgifter, men som har avgörande betydelse för t.ex. styrning, reglering och övervakning av för Sverige viktiga samhällsfunktioner inom t.ex. el- och vattenförsörjning, digital infrastruktur och sådana sammanställningar av uppgifter, t.ex. folkbokföringsregistret, som är av grundläggande betydelse för ett fungerande samhälle. Med uppgifter och informationssystem avses i detta sammanhang såväl uppgifter som de tekniska system som används för att i olika avseenden elektroniskt behandla uppgifter.
3 § Fysisk säkerhet ska
1. förebygga att obehöriga får tillträde till områden, byggnader och andra anläggningar eller objekt där de kan få tillgång till säkerhetsskyddsklassificerade uppgifter eller där säkerhetskänslig verksamhet i övrigt bedrivs, och
2. förebygga skadlig inverkan på sådana områden, byggnader, anläggningar eller objekt som avses i 1.
I paragrafen regleras vad som gäller för säkerhetsskyddsåtgärden fysisk säkerhet. Åtgärden har ett vidare syfte än bestämmelsen om tillträdesbegränsning i 7 § 2 1996 års säkerhetsskyddslag (prop. 1995/96:129 s. 27 f.).
I första punkten har det tydliggjorts att fysisk säkerhet inte enbart innebär att förebygga att obehöriga får tillträde till platser utan att åtgärden också kan avse byggnader och anläggningar av olika slag samt objekt, t.ex. fordon. Även delar av t.ex. en anläggning innefattas.
I andra punkten har vidare tydliggjorts att åtgärden kan avse också ett skydd mot sådan skadlig inverkan som kan orsakas utan ett obehörigt tillträde. Det skulle exempelvis kunna röra sig om att en kabel för samhällsviktig elektronisk kommunikation skyddas genom ett robust hölje eller larm eller åtgärder för att skydda ett objekt mot obemannade luftfartyg, s.k. drönare.
4 § Personalsäkerhet ska
1. förebygga att personer som inte är pålitliga från säkerhetssynpunkt deltar i en verksamhet där de kan få tillgång till säkerhetsskyddsklassificerade uppgifter eller i en verksamhet som av någon annan anledning är säkerhetskänslig, och
2. säkerställa att de som deltar i säkerhetskänslig verksamhet har tillräcklig kunskap om säkerhetsskydd.
I paragrafen anges vad säkerhetsskyddsåtgärden personalsäkerhet syftar till. Paragrafen motsvarar delvis 7 § och 30 § 1 1996 års säkerhetsskyddslag (prop. 1995/96:129 s. 74 f och 88).
I första punkten anges att personalsäkerhet kan vara aktuell vid olika slag av verksamheter, dels vid deltagande i verksamheter där tillgång ges till säkerhetsskyddsklassificerade uppgifter, dels i verksamheter som av annan anledning är säkerhetskänsliga, exempelvis deltagande i verksamhet vid ett skyddsobjekt.
Åtgärden har ett vidare syfte än bestämmelsen om säkerhetsprövning i 1996 års säkerhetsskyddslag genom att den också enligt andra punkten inkluderar en skyldighet att säkerställa att de som deltar i säkerhetskänslig verksamhet har en tillräcklig kunskap om säkerhetsskydd, dvs. att det genomförs utbildning i säkerhetsskydd. Utbildnings- och informationsinsatser för att höja kunskapen om verksamhetens säkerhetsskydd och för att öka förståelsen och acceptansen för det är en viktig del av säkerhetsskyddet.
Säkerhetsskyddsklassificering
5 § Säkerhetsskyddsklassificerade uppgifter ska delas in i säkerhetsskyddsklasser utifrån den skada som ett röjande av uppgiften kan medföra för Sveriges säkerhet. Indelningen i säkerhetsskyddsklasser ska göras enligt följande:
1. kvalificerat hemlig vid en synnerligen allvarlig skada,
2. hemlig vid en allvarlig skada,
3. konfidentiell vid en inte obetydlig skada, eller
4. begränsat hemlig vid endast ringa skada.
Säkerhetsskyddsklassificerade uppgifter som omfattas av ett internationellt åtagande om säkerhetsskydd ska på motsvarande sätt delas in i säkerhetsskyddsklass, om de inte redan har klassificerats av en annan stat eller en mellanfolklig organisation. Indelningen i säkerhetsskyddsklass ska i sådant fall göras utifrån den skada som ett röjande av uppgiften kan medföra för Sveriges förhållande till annan stat eller mellanfolklig organisation.
Paragrafen saknar motsvarighet i 1996 års säkerhetsskyddslag. Den innehåller bestämmelser om indelning i nivåer av säkerhetsskydds-klassificerade uppgifter. Bestämmelsen är av central betydelse för bl.a. placering i säkerhetsklass vid säkerhetsprövning enligt 3 kap. 4 §. Övervägandena finns i avsnitt 7.
Första stycket föreskriver krav på indelning av säkerhetsskyddsklassificerade uppgifter i fyra nivåer kvalificerat hemlig, hemlig, konfidentiell eller begränsat hemlig. Bedömningen ska göras endast som ett led i fastställande av korrekt skyddsnivå för uppgiften. Bedömningen ska inte vara avgörande vid en prövning enligt OSL om utlämnande av uppgifter. Klassificering ska ske efter en bedömning av vilken skada för Sveriges säkerhet som ett röjande av uppgiften skulle medföra. Genom bedömningen av eventuella konsekvenser kommer det också tydligt att framgå vilken risk för skada för Sveriges säkerhet som föreligger. Om det i en handling förekommer skyddsvärd information av varierande grad ska den uppgift som kan orsaka störst skada om den röjs styra valet av säkerhetsskyddsklass. Verksamhetsutövarens säkerhetsskyddsanalys är av stor betydelse för arbetet med säkerhetsskyddsklassificering. På samma sätt som i dag ska det till säkerhets-skyddsklasserna kopplas specifika åtgärder för att skydda de säkerhetsklassificerade uppgifterna. Dessa konkretiseras i förordning eller myndighetsföreskrifter. Av 7 § följer att regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om hur säkerhetsskyddsklassificering av uppgifter ska gå till. Bestämmelsen är teknikneutral. Klassificeringen ska alltså ske av uppgifter i såväl fysisk som digital form.
Andra stycket innehåller bestämmelser om en motsvarande nivåindelning av uppgifter som ska skyddas enligt internationella säkerhetsskyddsåtaganden. I regel är sådana uppgifter redan klassificerade på motsvarande sätt av den stat eller mellanfolkliga organisation från vilken uppgifterna kommer. En gjord klassificering ska då godtas och läggas till grund för bestämmande av skyddsnivå. I vissa internationella samarbeten förekommer det dock att en svensk myndighet upprättar handlingar som innehåller uppgifter som omfattas av ett internationellt säkerhetsskyddsåtagande. Bestämmelsen tar sikte på sådana situationer. I dessa fall kan det bli aktuellt att göra en klassificering utifrån den skada som ett röjande av uppgiften kan medföra för Sveriges förhållande till en annan stat eller en mellanfolklig organisation. Det regelverk som är tillämpligt i det aktuella samarbetet kan utgöra ett stöd vid bedömningen.
Säkerhetsskyddsavtal
6 § Statliga myndigheter, kommuner och landsting som avser att genomföra en upphandling och ingå ett avtal om varor, tjänster eller byggentreprenader ska se till att det i ett säkerhetsskyddsavtal anges hur kraven på säkerhetsskydd enligt 1 § ska tillgodoses av leverantören om
1. det i upphandlingen förekommer säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller
2. upphandlingen i övrigt avser eller ger leverantören tillgång till säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet.
Verksamhetsutövaren ska kontrollera att leverantören följer säkerhetsskyddsavtalet.
Det som anges i första och andra styckena gäller även för enskilda verksamhetsutövare som ingår avtal om varor, tjänster och byggentreprenader med utomstående leverantörer.
Paragrafen, som till viss del motsvarar 8 § 1996 års säkerhetsskyddslag (prop. 1995/96:129 s. 36 f. och 76), innehåller bestämmelser om säkerhetsskyddsavtal när offentliga verksamhetsutövare - statliga myndigheter, kommuner och landsting - avser att genom upphandling ingå avtal om varor, tjänster eller byggentreprenader. Bestämmelserna gäller även när enskilda verksamhetsutövare ingår avtal om varor, tjänster eller byggentreprenader. Övervägandena finns i avsnitt 9.1 och 9.2.
I första stycket anges att statliga myndigheter, kommuner och landsting under vissa förutsättningar är skyldiga att se till att den leverantör som man efter en upphandling avser att ingå ett avtal med ska ingå ett säkerhetsskyddsavtal. Hänvisningen till 1 § tydliggör grundtanken i säkerhetsskyddet att de intressen som lagen slår vakt om ska ha samma skydd oavsett om verksamheten bedrivs av det allmänna eller av enskilda. I det här sammanhanget innebär det att när en utomstående aktör genom en upphandling engageras i säkerhetskänslig verksamhet ska behovet av säkerhetsskyddsåtgärder enligt 1 § utredas och kraven på sådana åtgärder uppställas i ett säkerhetsskyddsavtal mellan parterna. För säkerhetsprövning gäller bestämmelserna i 3 kap. Hänvisningen till 1 § innebär vidare att säkerhetsskyddet inte får göras mindre långtgående än vad som följer av den bestämmelsen. En enskild aktör som omfattas av lagstiftningen kan alltså inte genom ett säkerhetsskyddsavtal åläggas mindre omfattande säkerhetsskyddsåtgärder än de som redan gäller för verksamheten enligt denna lag. Däremot kan ett säkerhetsskyddsavtal fylla funktionen att det preciserar säkerhetsskyddet hos leverantören för att passa den aktuella upphandlingen. Ledning för tolkning av ordet upphandling kan hämtas från upphandlingslagstiftningen. Paragrafen gäller all typ av upphandling, även sådan upphandling som med stöd av upphandlingslagstiftningen kan undantas från lagstiftningens regelverk. Med leverantör avses även anbudssökande och anbudsgivare.
Kravet på säkerhetsskyddsavtal gäller enligt första punkten vid upphandlingssituationer där det förekommer säkerhetsskydds-klassificerade uppgifter i lägst säkerhetsskyddsklassen konfidentiell. Att krav inte ställs på säkerhetsskyddsavtal för alla upphandlingar eller kontraktssituationer vid säkerhetskänslig verksamhet innebär inget hinder mot att sådana avtal ändå ingås när det t.ex. gäller en upphandling där det förekommer säkerhetsskyddsklassificerade uppgifter i den lägsta säkerhetsskyddsklassen. Enligt andra punkten gäller kravet på säkerhets-skyddsavtal även om upphandlingen och avtalet inte berör säkerhets-skyddsklassificerade uppgifter om avtalsingåendet i övrigt ger en leverantör tillgång till säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet. Det kan t.ex. vara fråga om upphandling av informationssystem eller andra elektroniska kommunikationslösningar som avser vitala funktioner för samhället och som medför höga krav på tillgänglighet och riktighet. Det kan även gälla situationer där leverantören ska delta i säkerhetskänslig verksamhet i övrigt. Detta kan vara fallet på t.ex. kärnkraftverk och flygplatser där den säkerhetskänsliga verksam-heten enbart i begränsad omfattning avser säkerhetsskyddsklassificerade uppgifter.
Enligt andra stycket ska den som har genomfört en upphandling och ingått ett säkerhetsskyddsavtal med en leverantör kontrollera att leverantören följer säkerhetsskyddsavtalet. Kontrollskyldigheten innebär en skyldighet att se till att avtalsvillkoren följs.
Enligt tredje stycket gäller paragrafen även för enskilda aktörer. Till skillnad från nuvarande säkerhetsskyddslag gäller skyldigheten att teckna säkerhetsskyddsavtal alltså inte bara för statliga myndigheter, kommuner och landsting utan även för enskilda bolag, föreningar och stiftelser som omfattas av säkerhetsskyddslagen och som avser ingå avtal om varor, tjänster eller byggentreprenader. Paragrafen gäller därmed inte bara offentlig upphandling utan även när enskilda verksamhetsutövare ingår avtal med externa leverantörer, oavsett om dessa uttryckts i ett skriftligt avtal eller inte, exempelvis vid affärstransaktioner mellan två bolag i samma koncern.
Bemyndigande
7 § Regeringen eller den myndighet som regeringen bestämmer får meddela ytterligare föreskrifter om säkerhetsskyddsanalys samt anmälnings- och rapporteringsskyldighet enligt 1 §, säkerhetsskyddsåtgärder enligt 2-4 §§, säkerhetsskyddsklassificering enligt 5 § och säkerhetsskyddsavtal enligt 6 §.
I paragrafen, som saknar motsvarighet i 1996 års säkerhetsskyddslag, finns ett bemyndigande för regeringen eller den myndighet som regeringen bestämmer att meddela föreskrifter om vad som krävs för att uppfylla skyldigheter som anges i kapitlet. Paragrafen har utformats med beaktande av Lagrådets synpunkter. Skyldigheter som avses är de som framgår i 1 § om krav på säkerhetsskyddsanalys och krav på att anmäla och rapportera sådant som är av vikt för säkerhetsskyddet, 2-4 §§ om krav på säkerhets-skyddsåtgärder, 5 § om krav på säkerhetsskyddsklassificering och 6 § om krav på säkerhetsskyddsavtal. Föreskrifter som kan meddelas med stöd av detta bemyndigande är t.ex. vilka åtgärder en verksamhetsutövare ska vidta för att identifiera och värdera skyddsvärden inom ramen för arbetet med sin säkerhetsskyddsanalys samt hur man ska uppfylla kraven på säkerhetsskyddsklassificering, informationssäkerhet, fysisk säkerhet och personalsäkerhet. Föreskrifter om anmälnings- och rapporterings-skyldighet kan t.ex. avse skyldighet att anmäla röjande av säkerhets-skyddsklassificerad uppgift, allvarlig säkerhetshotande verksamhet, brister i säkerhetsskyddet och ingående av säkerhetsskyddsavtal samt rapportering av it-incidenter. Övervägandena finns i avsnitt 6.
3 kap. Säkerhetsprövning
Vem som ska säkerhetsprövas
1 § Den som genom en anställning eller på något annat sätt ska delta i säkerhetskänslig verksamhet ska säkerhetsprövas. Säkerhetsprövning ska dock inte göras när det gäller
1. uppdrag som statsråd, ledamot av Europaparlamentet, riksdagen eller kommun- och landstingsfullmäktige, eller
2. annat uppdrag som offentlig försvarare eller ombud inför domstol än sådant som avser offentligt ombud enligt 27 kap. 27 § rättegångsbalken eller integritets-skyddsombud enligt 6 § lagen (2009:966) om Försvarsunderrättelsedomstol.
I paragrafen anges krav på säkerhetsprövning när en person genom anställning eller på något annat sätt ska delta i säkerhetskänslig verksamhet. Från kravet på sådan prövning undantas bl.a. riksdagsledamöter. Övervägandena finns i avsnitt 8.3.2.
Paragrafen motsvarar i huvudsak 11 § och 13 § andra stycket 1996 års säkerhetsskyddslag (prop. 1995/96:129 s. 28 f., 38 f., 78 f.). De kategorier som undantas från kravet på säkerhetsprövning har tidigare endast varit undantagna från kravet på registerkontroll. I första punkten förtydligas vilka grupper som omfattas av undantaget. Undantaget från kravet på säkerhetsprövning enligt denna paragraf hindrar inte att ett säkerhetsintyg enligt 4 kap. 1 § utfärdas för att underlätta internationell samverkan. Vidare gäller undantaget endast när sådana uppdrag som anges i paragrafen utövas. Om t.ex. en person som är ledamot av riksdagen deltar i någon annan säkerhetskänslig verksamhet, ska personen säkerhetsprövas.
Säkerhetsprövningens syfte och innehåll
2 § Säkerhetsprövningen syftar till att klarlägga om en person kan antas vara lojal mot de intressen som skyddas i denna lag och i övrigt pålitlig från säkerhetssynpunkt. Vid säkerhetsprövningen ska sådana omständigheter beaktas som kan antas innebära sårbarheter i säkerhetshänseende.
I paragrafen anges säkerhetsprövningens syfte. Övervägandena finns i avsnitt 8.3.2. I huvudsak har paragrafen överförts från 11 § första stycket 1996 års säkerhetsskyddslag (prop. 1995/96:129 s. 28 och 78). Paragrafen har dock förtydligats genom att det anges att omständigheter som kan innebära sårbarheter i säkerhetshänseende hos den person som prövningen avser ska beaktas. Säkerhetsprövning handlar ytterst om att bedöma om en person har tillräckliga förutsättningar och personlig lämplighet att genom anställning eller på annat sätt delta i säkerhetskänslig verksamhet. En helhetsbedömning ska göras som baseras på ett allsidigt underlag och som tydligt relateras till verksamheten och anställningen.
3 § Säkerhetsprövningen ska göras innan deltagandet i den säkerhetskänsliga verksamheten påbörjas och ska innefatta en grundutredning samt registerkontroll och särskild personutredning i den omfattning som anges i 13, 14 och 17 §§. Om det finns särskilda skäl får säkerhetsprövningen göras mindre omfattande.
Säkerhetsprövningen ska följas upp under den tid som deltagandet i den säkerhetskänsliga verksamheten pågår.
I paragrafen finns bestämmelser om när säkerhetsprövning ska göras och vilka huvudsakliga moment prövningen består av. Övervägandena finns i avsnitt 8.3.2. Paragrafen motsvarar delvis 11 § 1996 års säkerhetsskyddslag (prop. 1995/96:129 s. 28 f. och 78). Enligt paragrafen gäller kravet på säkerhetsprövning inte bara vid ett anställningstillfälle eller liknande, utan också när t.ex. ändrade arbetsuppgifter innebär deltagande i säkerhetskänslig verksamhet. Bestämmelsen kompletteras av 4 § om bedömningen vid säkerhetsprövning.
I första stycket har uttrycket grundutredning lagts till för att understryka att säkerhetsprövningen förutsätter en mer allsidig personkännedom än den som en registerkontroll kan ge. Med grundutredning avses att uppgifter hämtas in om personliga förhållanden av betydelse för säkerhetsprövningen. Utredningen kan innebära kontroll av betyg, intyg och referenser samt att uppgifter från den som kontrollen avser hämtas in, t.ex. genom en intervju eller ett frågeformulär. Omfattningen av grundutredningen och utförandet av den bör anpassas till vilket slag av deltagande i säkerhetskänslig verksamhet det är fråga om. En grundutredning bör alltid ha gjorts innan en registerkontroll kan komma i fråga, men utredningen kan också behöva kompletteras om uppgifter lämnas ut efter registerkontroll.
I första stycket anges också att säkerhetsprövningen, om det finns särskilda skäl, får göras mindre omfattande. Paragrafen motsvaras närmast av det undantag från registerkontroll som finns i 16 § 1996 års säkerhetsskyddslag (prop. 1995/96:129 s. 80 f.). Särskilda skäl bör kunna föreligga om den som prövningen avser redan tidigare har prövats på motsvarande sätt och ytterligare utredning därför inte bedöms kunna tillföra något nytt i sak. Ett undantag bör dock inte kunna avse registerkontrollmomentet i dess helhet, eftersom den kontrollen innebär att också uppgifter som tillförs registren under anställnings- eller uppdragstiden kan komma att lämnas ut för säkerhetsprövning (se 14 §).
Andra stycket saknar direkt motsvarighet i 1996 års säkerhetsskyddslag och innehåller ett krav på uppföljande säkerhetsprövning. Det innebär att säkerhetsprövning är en åtgärd som ska fortgå så länge deltagandet i den säkerhetskänsliga verksamheten pågår. Krav på uppföljning innebär bl.a. att uppgifterna i grundutredningen ska hållas uppdaterade. Under anställningstiden handlar det om att skaffa sig en fördjupad person-kännedom genom t.ex. regelbundna kontakter och uppföljningssamtal för att fånga upp upplevt missnöje med arbetssituationen, kontaktförsök från främmande makt och liknande förhållanden som kan påverka risk och mottaglighet för utpressning eller omständigheter som tyder på att personen är i riskzonen för olika former av missbruk. Det kan även finnas anledning att lägga särskild vikt vid tillfällen som innebär större förändringar av arbetsuppgifterna och vid den avslutande fasen av anställ-ningen. Ett avslutningssamtal kan vara en viktig del av säkerhets-prövningen. Att registerkontrollen pågår genom en bevakning förtydligas också särskilt i 14 §.
Ansvar för säkerhetsprövningen
4 § Säkerhetsprövningen ska utgå från uppgifter som kommit fram när grundutredningen gjordes och den kännedom som i övrigt finns om den som ska prövas, uppgifter som har lämnats ut efter registerkontroll och särskild personutredning, arten av den verksamhet som prövningen gäller samt omständigheterna i övrigt.
Bedömningen görs av den som beslutar om anställning eller annat deltagande i den säkerhetskänsliga verksamheten. Om en myndighet har det bestämmande inflytandet över den prövades lämplighet att delta i säkerhetskänslig verksamhet hos en enskild verksamhetsutövare, är det i stället myndigheten som gör den slutliga bedömningen.
Om det finns anledning till det, ska en tidigare gjord bedömning av en persons lämplighet att delta i den säkerhetskänsliga verksamheten omprövas.
Paragrafen reglerar bedömningen vid ställningstagande till anställning eller deltagande i den säkerhetskänsliga verksamheten och vem som ansvarar för den. Övervägandena finns i avsnitt 8.3.8. Innehållet i paragrafen är delvis nytt. Delar av innehållet har dock hämtats från 27 § 1996 års säkerhetsskyddslag (prop. 1995/96:129 s. 63 f. och 87).
I första stycket anges vad bedömningen vid en säkerhetsprövning ska grundas på. Säkerhetsprövningen innebär en bedömning enligt 1 § av en persons lämplighet för att delta i en säkerhetskänslig verksamhet. Innehållet överensstämmer i stort med motsvarande bestämmelse i 27 § 1996 års säkerhetsskyddslag, men har utvecklats något.
Innehållet i andra stycket är nytt men motsvarar delvis 27 § 1996 års säkerhetsskyddslag. Bestämmelsen tydliggör att bedömningen görs av den som beslutar om anställning eller annat deltagande i den säkerhetskänsliga verksamheten. I det avseendet kan bestämmelsen för vissa verksamheter innebära en ändring i sak för det fall att arbetsgivaren inte själv beslutar om säkerhetsklass och därigenom bestämmer om registerkontroll (jfr 27 § 1996 års säkerhetsskyddslag).
Av andra stycket andra meningen följer dock att det sistnämnda inte gäller om en myndighet har det avgörande inflytandet över den prövades lämplighet att delta i säkerhetskänslig verksamhet hos en enskild verksam-hetsutövare. I vissa fall krävs att den slutliga bedömningen i fråga om deltagandet i säkerhetskänslig verksamhet görs av en myndighet. Det gäller bl.a. i fråga om verksamheter vid flygplatser där det följer av inter-nationella konventioner om luftfartsskydd att t.ex. ett tillträde till vissa säkerhetsområden som ska finnas på en flygplats förutsätter en godkänd registerkontroll. I dessa fall genomförs säkerhetsprövningen på så sätt att den som beslutar om anställningen ansvarar för grundutredningen och utifrån den gör en första bedömning. Om den prövade bedöms vara pålitlig, begärs sedan att den ansvariga myndigheten går vidare i ärendet med en registerkontroll. För det fall att uppgifter efter sådan kontroll lämnas ut till myndigheten, bestämmer myndigheten om den som kontrollen avser ska få delta i verksamheten. På grundval av myndighetens beslut kan sedan ett behörighetsbevis i enlighet med internationella regelverk utfärdas. Motsvarande ordning kan gälla på andra områden såsom t.ex. hamnskydd, sjöfartsskydd och strålskydd.
Också när det gäller säkerhetsskyddsavtal innebär avtalet i regel en liknande uppdelning av ansvar för säkerhetsprövningen. Ofta avtalas om att leverantörer ansvarar för säkerhetsprövningen men att ett godkännande efter registerkontroll krävs från den upphandlande myndigheten. På samma sätt som i övrigt gäller för säkerhetsprövningen ska i regel eventuella uppgifter som kommer fram vid en registerkontroll bedömas utifrån vad som i övrigt kommit fram under säkerhetsprövningen och utifrån vad arbetsuppgifterna innebär.
I tredje stycket förtydligas att en tidigare gjord bedömning avseende en persons lämplighet för att delta i den säkerhetskänsliga verksamheten ska omprövas om det finns anledning till det.
Placering i säkerhetsklass
5 § En anställning eller något annat deltagande i säkerhetskänslig verksamhet ska placeras i säkerhetsklass i den utsträckning som följer av 6-10 §§.
6 § En anställning eller något annat deltagande i säkerhetskänslig verksamhet ska placeras i säkerhetsklass 1, om den anställde eller den som på annat sätt deltar i verksamheten
1. i en omfattning som inte är ringa får del av uppgifter i säkerhetsskyddsklassen kvalificerat hemlig, eller
2. till följd av sitt deltagande i verksamheten har möjlighet att orsaka synnerligen allvarlig skada för Sveriges säkerhet.
7 § En anställning eller något annat deltagande i säkerhetskänslig verksamhet ska placeras i säkerhetsklass 2, om den anställde eller den som på annat sätt deltar i verksamheten
1. i en omfattning som inte är ringa får del av uppgifter i säkerhetsskyddsklassen hemlig,
2. i ringa omfattning får del av uppgifter i säkerhetsskyddsklassen kvalificerat hemlig, eller
3. till följd av sitt deltagande i verksamheten har möjlighet att orsaka allvarlig skada för Sveriges säkerhet.
8 § En anställning eller något annat deltagande i säkerhetskänslig verksamhet ska placeras i säkerhetsklass 3, om den anställde eller den som på annat sätt deltar i verksamheten
1. får del av uppgifter i säkerhetsskyddsklassen konfidentiell,
2. i ringa omfattning får del av uppgifter i säkerhetsskyddsklassen hemlig, eller
3. till följd av sitt deltagande i verksamheten har möjlighet att orsaka en inte obetydlig skada för Sveriges säkerhet.
9 § En anställning eller något annat deltagande i säkerhetskänslig verksamhet ska också i andra fall än sådana som följer av 6-8 §§ placeras i en säkerhetsklass som motsvarar de krav på säkerhetsprövning som följer av ett internationellt åtagande om säkerhetsskydd.
10 § En anställning eller något annat deltagande får placeras i säkerhetsklass endast om behovet av säkerhetsskydd inte kan tillgodoses på något annat sätt.
I paragraferna finns bestämmelser om placering av anställningar eller annat deltagande i säkerhetskänslig verksamhet i säkerhetsklass. Av paragraferna framgår grunderna för indelning i säkerhetsklass. Övervägandena finns i avsnitt 8.3.3.
Paragraferna motsvarar till viss del 17 § 1996 års säkerhetsskyddslag om placering i säkerhetsklass (prop. 1995/96:129 s. 39, 41 f. och 81). Tillämpningsområdet för de nya paragraferna är vidare än nämnda paragraf, dels genom övergången från hemliga uppgifter till säkerhetsskyddsklassificerade uppgifter, dels genom att en alternativ grund införs för placering i säkerhetsklass som delvis motsvarar säkerhetsprövning med registerkontroll enligt 14 § 1996 års säkerhetsskyddslag (skydd mot terrorism).
I 5 § finns en upplysning om att en anställning eller ett annat deltagande i säkerhetskänslig verksamhet ska placeras i säkerhetsklass enligt vad som följer av 6-10 §§.
I 6-8 §§ finns bestämmelser om placering i säkerhetsklass 1, 2 respektive 3. I fråga om säkerhetsskyddsklassificerade uppgifter utgår paragraferna från den fyrgradiga indelning i säkerhetsskyddsklasser som ska göras enligt 2 kap. 2 §. Att en anställning eller ett visst deltagande ger tillgång till säkerhetsskyddsklassificerade uppgifter som delats in i skyddsklassen kvalificerat hemlig, hemlig, konfidentiell eller begränsat hemlig styr placeringen i säkerhetsklass. Tillgång till uppgifter i den lägsta säkerhetsskyddsklassen innebär dock inte placering i säkerhetsklass. Mängden av uppgifter är utöver säkerhetsskyddsklass av betydelse för om placering i säkerhetsklass ska ske eller inte.
För att beskriva omfattningskravet, dvs. i vilken utsträckning som man får del av säkerhetsskyddsklassificerade uppgifter vilket har betydelse för placering av en anställning i säkerhetsklass, används uttrycken "i en omfattning som inte är ringa" eller "i ringa omfattning". Till skillnad mot tidigare används samma formulering för alla säkerhetsklasserna. Detta innebär att om uppgifter av viss klass endast förekommer i mindre omfattning ska befattningen placeras i nästa lägre klass.
För verksamhet som är säkerhetskänslig på annan grund än hantering av säkerhetsskyddsklassificerade uppgifter ska de säkerhetsklassade befattningarna delas in utifrån skadenivåerna synnerligen allvarlig, allvarlig eller inte obetydlig skada för Sveriges säkerhet. Dessa nivåer utgör en alternativ grund för placering i säkerhetsklass 1, 2 eller 3. Graden av skada som en person till följd av sitt deltagande i en säkerhetskänslig verksamhet har möjlighet att orsaka varierar t.ex. beroende på anläggningen och tillträdesbehörighetens omfattning. Till stöd för bedömningen bör säkerhetsskyddsanalysen användas. En placering i högre säkerhetsklass kan vara motiverad om ett deltagande i en verksamhet innebär att en person behöver anförtros tillgång till vissa anläggningar eller system av kritisk betydelse för landets grundläggande funktioner, t.ex. elförsörjning.
Enligt 9 § ska en anställning eller ett annat deltagande i säkerhetskänslig verksamhet också i andra fall än sådana som följer av 6-8 §§ placeras i en säkerhetsklass som motsvarar de krav på säkerhetsprövning som följer av ett internationellt säkerhetsskyddsåtagande. I detta fall är det alltså inte fråga om ett deltagande som ger möjlighet till hantering av säkerhets-skyddsklassificerade uppgifter eller bedöms kunna orsaka skada för Sveriges säkerhet på det sätt som anges i 6-8 §§. Avsikten med bestämmelsen är att fullt ut kunna tillgodose bl.a. krav på säkerhetsskydd som följer av internationella konventioner och EU-rätten inom områdena luftfartsskydd, hamnskydd och sjöfartsskydd.
Enligt 10 § får en anställning eller ett annat deltagande i säkerhetskänslig verksamhet placeras i säkerhetsklass endast om behovet av säkerhetsskydd inte kan tillgodoses på annat sätt. Genom att systemet med placering i säkerhetsklass får ett vidare tillämpningsområde i den nya lagen ska säkerhetsprövningar som kan föranleda att ett mer omfattande underlag inhämtas grundas på ett beslut om säkerhetsklass. Vid ett deltagande i säkerhetskänslig verksamhet som inte föranleder placering i säkerhetsklass, t.ex. vid anställning som medför hantering av säkerhets-skyddsklassificerade uppgifter på nivån begränsat hemlig, ska också en säkerhetsprövning göras. I de fallen bör dock säkerhetsprövningen ha en begränsad omfattning och åtgärder inom ramen för personalsäkerheten ska inriktas på utbildning och information om säkerhetsskydd. Det ska vidare alltid övervägas om verksamheten är organiserad på ett optimalt sätt utifrån skyddsbehovet och om alternativa säkerhetsskyddsåtgärder i stället kan användas. Det kan t.ex. handla om informationssäkerhetsåtgärder för att minska tillgången till uppgifter och informationssystem eller åtgärder som syftar till att begränsa tillträdet till byggnader, anläggningar, områden och andra objekt.
11 § En anställning i staten, en kommun eller ett landsting som är placerad i säkerhetsklass 1 eller 2 får endast innehas av den som är svensk medborgare.
Om det finns särskilda skäl får regeringen i enskilda fall medge undantag från kravet på svenskt medborgarskap.
I paragrafen anges krav på svenskt medborgarskap för vissa anställningar. Övervägandena finns i avsnitt 8.3.4. Paragrafen motsvarar delvis 29 § 1996 års säkerhetsskyddslag (prop. 1995/96:129 s. 65 f. och 87 f).
Enligt första stycket gäller kravet endast anställningar i säkerhetsklass 1 eller 2 hos staten, kommuner och landsting. I likhet med bestämmelsen i 1996 års säkerhetsskyddslag gäller kravet alltså inte hos enskilda verksamhetsutövare och inte heller för annat deltagande i verksamheter än det som följer av en anställning. Skillnaden i förhållande till 1996 års lag är att medborgarskapskravet inte gäller för anställningar i säkerhetsklass 3.
Av andra stycket framgår att regeringen har möjlighet att medge undantag från kravet på svenskt medborgarskap. Stycket motsvarar 29 § tredje stycket 1996 års säkerhetsskyddslag med den skillnad att undantagsmöjligheten endast är tillämplig om det finns särskilda skäl. Vid bedömningen av om det finns särskilda skäl ska beaktas bl.a. vilken typ av känslig verksamhet som det är fråga om, vilken säkerhetsklass som är aktuell, vilken möjlighet som finns att genom kontakter med medborgar-skapslandet få korrekt utfall från registerkontroll där, vilken anknytning personen har till Sverige (hur länge personen bott eller vistats här) och om det finns tillgång till andra personer som är lika kvalificerade.
Beslut om placering i säkerhetsklass
12 § Riksdagen och dess myndigheter beslutar om placering i säkerhetsklass när det gäller riksdagens förvaltningsområde.
I övrigt beslutar regeringen om placering i säkerhetsklass. Regeringen får meddela föreskrifter om att myndigheter och andra får besluta om placering i säkerhetsklass. Sådan beslutanderätt får överlåtas till enskilda endast om det finns särskilda skäl.
I paragrafen finns den grundläggande regleringen om vem som beslutar om placering i säkerhetsklass. Övervägandena finns i avsnitt 8.3.5. Bestämmelsen motsvarar i sak 20 § 1996 års säkerhetsskyddslag (prop. 1995/96:129 s. 55 f. och 82 f.). I första stycket har dock viss reglering utgått rörande interna angelägenheter vid riksdagen och dess myndigheter. En skillnad är vidare att paragrafen endast avser beslut om placering i säkerhetsklass. I princip all registerkontroll enligt lagen ska föregås av ett beslut om placering i säkerhetsklass. Att en registerkontroll ska göras vid sådan placering följer av 14 § varför ett särskilt beslut om registerkontroll inte behövs. I andra stycket finns, i likhet med bestämmelsen i 1996 års säkerhetsskyddslag, ett bemyndigande för regeringen att meddela föreskrifter om beslutanderätt avseende beslut om placering i säkerhetsklass.
Registerkontroll
13 § Med registerkontroll avses i denna lag att uppgifter hämtas från register som omfattas av lagen (1998:620) om belastningsregister eller lagen (1998:621) om misstankeregister. Med registerkontroll avses också att uppgifter som behandlas med stöd av polisdatalagen (2010:361) hämtas.
Paragrafen anger vad som avses med registerkontroll. Övervägandena finns i avsnitt 8.3.6. Paragrafen motsvarar 12 § 1996 års säkerhetsskyddslag (prop. 1995/96:129 s. 28 f, 38 f. och 78). Mindre redaktionella ändringar har gjorts. Någon ändring i sak är inte avsedd.
14 § Registerkontroll ska göras om anställningen eller deltagandet i verksamheten har placerats i säkerhetsklass. Uppgifter ska löpande hämtas under den tid deltagandet i den säkerhetskänsliga verksamheten pågår.
För säkerhetsklass 1 eller 2 får sådana uppgifter om den kontrollerade som finns i belastningsregistret eller misstankeregistret eller som behandlas med stöd av polisdatalagen (2010:361) hämtas. Motsvarande uppgifter får även hämtas om den kontrollerades make eller sambo.
För säkerhetsklass 3 får sådana uppgifter om den kontrollerade som finns i belastningsregistret eller misstankeregistret eller som behandlas hos Säkerhetspolisen med stöd av polisdatalagen hämtas.
Om det finns synnerliga skäl får även andra uppgifter än sådana som anges i andra och tredje styckena hämtas.
Paragrafen anger när registerkontroll ska göras och motsvarar delvis
13 och 21-23 §§ 1996 års säkerhetsskyddslag (prop. 1995/96:129 s. 79, 83 och 84). Övervägandena finns i avsnitt 8.3.3, 8.3.5 och 8.3.6.
Första stycket första meningen motsvarar delvis 13 § första stycket 1996 års säkerhetsskyddslag. Vissa redaktionella ändringar har gjorts i syfte att förenkla bestämmelsen. Någon ändring i sak är inte avsedd. Av andra meningen framgår det förhållandet att registerkontrollen i praktiken innebär en kontinuerlig bevakning av tillkommande uppgifter (s.k. spontanutfall). Någon motsvarande bestämmelse finns inte i 1996 års säkerhetsskyddslag utan stödet för förfarandet finns i förordningen till 1996 års säkerhetsskyddslag (29 § andra stycket 1996 års säkerhetsskyddsförordning).
Av andra och tredje styckena framgår vilka uppgifter som får hämtas in vid registerkontrollen för respektive säkerhetsklass. Bestämmelsen motsvarar delvis 21 § 1996 års säkerhetsskyddslag. I nämnda paragraf anges dock i stället vilka uppgifter som får lämnas ut vid en register-kontroll. Avsikten med justeringarna är inte att åstadkomma någon ändring i sak i förhållande till 1996 års lag utan att ge tydligare uttryck för vilka uppgifter som registerkontrollen får omfatta. När det gäller säkerhetsklass 1 och 2 får, liksom enligt 1996 års säkerhetsskyddslag, motsvarande uppgifter hämtas avseende make eller sambo.
Av fjärde stycket framgår att om det finns synnerliga skäl får även andra uppgifter hämtas in än sådana som anges i andra och tredje styckena. Bestämmelsen motsvarar i sak 23 § första stycket 1996 års säkerhets-skyddslag.
15 § Om det finns särskilda skäl, får registerkontroll av någon som ska delta i säkerhetskänslig verksamhet göras utan föregående placering i säkerhetsklass. Vid en sådan kontroll får de uppgifter om den kontrollerade som anges i 14 § tredje stycket hämtas.
Regeringen får meddela föreskrifter om sådan registerkontroll som avses i första stycket. Föreskrifterna får dock inte gälla för riksdagen och dess myndigheter.
Paragrafen saknar direkt motsvarighet i 1996 års säkerhetsskyddslag. I sak motsvaras dock första stycket delvis av 14 § den lagen (registerkontroll till skydd mot terrorism) som innebär registerkontroll utan placering i säkerhetsklass. Bestämmelserna i 5-8 §§ om placering i säkerhetsklass medför att i princip all registerkontroll enligt den tidigare bestämmelsen om registerkontroll till skydd mot terrorism inordnas i det nya systemet. I andra stycket ges därutöver möjlighet för regeringen att föreskriva om registerkontroll för verksamhet av tillfällig karaktär i samband med statsbesök, vissa internationella konferenser och liknande (jfr 26 a § 1996 års säkerhetsskyddsförordning). Vid registerkontrollen får de uppgifter hämtas in som anges i 14 § tredje stycket, dvs. samma uppgifter som vid säkerhetsklass 3. Paragrafen innehåller även ett bemyndigande för regeringen att meddela föreskrifter om registerkontroll i annat fall än vid placering i säkerhetsklass. Med stöd av bemyndigandet kan föreskrifter meddelas om förutsättningarna för sådan registerkontroll samt vilka myndigheter som ska besluta om registerkontroll. Övervägandena finns i avsnitt 8.3.3, 8.3.5 och 8.3.6.
16 § Bestämmelser om registerkontroll finns också i 4 kap. om internationell säkerhetsskyddssamverkan och säkerhetsintyg.
Paragrafen, som endast innehåller en upplysning, saknar motsvarighet i 1996 års säkerhetsskyddslag. Den innehåller en hänvisning till de möjligheter att besluta om registerkontroll som följer av bestämmelserna i 4 kap. om bl.a. säkerhetsintyg för internationella behov. Övervägandena finns i avsnitt 10.
Särskild personutredning
17 § En särskild personutredning ska göras vid registerkontroll som avser sådan anställning eller annat deltagande i verksamhet som har placerats i säkerhetsklass 1 eller 2. Utredningen ska omfatta en undersökning av den kontrollerades ekonomiska förhållanden. I övrigt ska utredningen ha den omfattning som behövs.
Paragrafen reglerar när särskild personutredning ska göras. Paragrafen motsvarar i stort 18 § 1996 års säkerhetsskyddslag (prop. 1995/96:129 s. 48 f. och 81 f.). Den del av den paragrafen som gäller kontroll efter ansökan från annan stat eller mellanfolklig organisation har dock flyttats till 4 kap. 5 §. I övrigt har vissa mindre redaktionella ändringar gjorts. Någon ändring i sak är inte avsedd. Övervägandena finns i avsnitt 8.3.6.
Krav på samtycke
18 § Registerkontroll och särskild personutredning får göras endast om den som säkerhetsprövningen gäller har lämnat sitt samtycke. Samtycket ska anses gälla också kontroller och utredningar under den tid som deltagandet i den säkerhetskänsliga verksamheten pågår.
Paragrafen motsvarar i huvudsak 19 § 1996 års säkerhetsskyddslag (prop. 1995/96:129 s. 54 f. och 82). Vissa redaktionella ändringar har gjorts. Någon ändring i sak är inte avsedd. Övervägandena finns i avsnitt 8.3.6.
Paragrafen innebär att registerkontroll och särskild personutredning förutsätter samtycke av den som prövningen gäller samt att ett lämnat samtycke också gäller kontroller och utredningar som görs efter den inledande säkerhetsprövningen. Den som hämtar in samtycket bör klargöra detta förhållande för den som ska säkerhetsprövas.
Utlämnande av uppgifter för säkerhetsprövning
19 § En uppgift som har kommit fram vid en registerkontroll eller särskild personutredning får lämnas ut för säkerhetsprövning endast om uppgiften i det enskilda fallet kan antas ha betydelse för prövningen enligt 3 kap. 2 §. För att en uppgift som gäller den kontrollerades make eller sambo ska lämnas ut krävs därutöver att utlämnandet är absolut nödvändigt.
Säkerhets- och integritetsskyddsnämnden beslutar om huruvida uppgifter som kommit fram vid en registerkontroll och särskild personutredning ska lämnas ut för säkerhetsprövning.
I paragrafen, som har utformats med beaktande av Lagrådets synpunkter, finns bestämmelser om utlämnande av uppgifter för säkerhetsprövning. Övervägandena finns i avsnitt 8.3.7.
Innehållet i första stycket har förts över från 24 § 1996 års säkerhets-skyddslag (prop. 1995/96:129 s. 57 f. och 84 f.). Redaktionella ändringar har gjorts. I paragrafen anges att när det gäller vilka uppgifter som får lämnas ut för säkerhetsprövning ska samma omständigheter beaktas som anges i 3 kap. 2 § om säkerhetsprövningens syfte och innehåll. Detta innebär att det utöver pålitlighet från säkerhetssynpunkt, ska beaktas dels om personen kan antas vara lojal mot de intressen som ska skyddas i lagen, dels sådana omständigheter som kan antas innebära sårbarheter i säkerhetshänseende. När det gäller uppgifter som rör den kontrollerades make eller sambo får uppgifter lämnas ut för säkerhetsprövning endast om det är absolut nödvändigt. Bestämmelsen motsvarar delvis 21 § första punkten 1996 års lag (prop. 1995/96:129 s. 83).
Det andra stycket innehåller en upplysning om vilken myndighet som ska besluta om huruvida uppgifter ska lämnas ut för säkerhetsprövning. Bestämmelsen motsvaras av 23 § andra stycket 1996 års säkerhets-skyddslag. Kravet på att beslut fattas av Säkerhets- och integritetsskyddsnämnden gäller endast i de fall då den myndighet som utför registerkontrollen och den särskilda personutredningen, Säkerhetspolisen, gör bedömningen att uppgifter som framkommit kan ha betydelse för säkerhetsprövningen och därför bör lämnas ut.
20 § Innan en uppgift lämnas ut för säkerhetsprövning ska den som uppgiften gäller ges tillfälle att yttra sig över uppgiften. Detta gäller dock inte om uppgiften omfattas av sekretess i förhållande till den enskilde enligt någon annan bestämmelse i offentlighets- och sekretesslagen (2009:400) än 35 kap. 3 §.
Även om uppgiften omfattas av sådan sekretess ska den som uppgiften gäller ges tillfälle att yttra sig innan uppgiften lämnas ut, om hans eller hennes intresse av att få yttra sig skäligen bör ha företräde framför det intresse som sekretessen ska skydda.
Paragrafen innehåller bestämmelser om enskilds möjlighet att ta del av en uppgift innan den lämnas ut för säkerhetsprövning och har förts över från 25 § 1996 års säkerhetsskyddslag (prop. 1995/96:129 s. 59 ff. och 85 f.). Vissa redaktionella ändringar har gjorts. Någon ändring i sak är inte avsedd. Övervägandena finns i avsnitt 8.3.7.
21 § Sedan ett beslut har fattats med anledning av en säkerhetsprövning ska de handlingar som överlämnats snarast återställas till den överlämnande myndigheten, om inte den har beslutat något annat.
Paragrafen innehåller bestämmelser om hanteringen av handlingar efter att ett beslut har fattats med anledning av en säkerhetsprövning och har förts över från 28 § 1996 års säkerhetsskyddslag, där det anges att handlingar ska återlämnas till Säkerhetspolisen (prop. 1995/96:129 s. 57 f. och 87). Vissa redaktionella ändringar har gjorts. Någon ändring i sak är inte avsedd. Övervägandena finns i avsnitt 8.3.9.
4 kap. Internationell säkerhetsskyddssamverkan och säkerhetsintyg
Säkerhetsintyg
1 § Ett säkerhetsintyg får utfärdas för personer som har hemvist i Sverige och leverantörer med säte i Sverige när en annan stat eller en mellanfolklig organisation har ansökt om ett sådant intyg, om
1. behov av ett sådant intyg finns vid internationell samverkan om säkerhetskänslig verksamhet enligt denna lag, eller
2. intyget, utöver vad som följer av 1, kan underlätta för en person eller för en leverantör att delta i en verksamhet som en annan stat eller en mellanfolklig organisation bedömer vara i behov av säkerhetsskydd.
Ett intyg enligt första stycket får utfärdas endast om deltagandet avser verksamhet i eller för en stat eller en mellanfolklig organisation som omfattas av ett internationellt åtagande om säkerhetsskydd. Om det finns särskilda skäl får regeringen besluta att ett intyg får utfärdas trots att det inte finns något internationellt åtagande om säkerhetsskydd.
Paragrafen innehåller bestämmelser om under vilka förutsättningar som ett säkerhetsintyg kan utfärdas på ansökan av en annan stat eller en mellanfolklig organisation och saknar motsvarighet i 1996 års säkerhetsskyddslag. Övervägandena finns i avsnitt 10.2.
Enligt första stycket får ett säkerhetsintyg utfärdas för personer och leverantörer i två huvudsakliga situationer. I den första situationen förutsätts en internationell samverkan mellan Sverige och en annan stat eller en mellanfolklig organisation som rör säkerhetskänslig verksamhet, t.ex. ett internationellt säkerhetskänsligt materielprojekt som Sverige deltar i. I den andra situationen får ett intyg utfärdas för att tillgodose behovet av att underlätta för en person eller en leverantör att kunna delta i det som i en annan stat eller en mellanfolklig organisation motsvarar säkerhetskänslig verksamhet. I den sistnämnda situationen behöver deltagandet inte vara inom ramen för ett internationellt samarbete som Sverige deltar i. Det krävs i båda situationerna att ansökan görs av den andra staten eller mellanfolkliga organisationen. Ett intyg får alltså inte utfärdas efter ansökan av en enskild person eller leverantör.
För båda situationerna gäller enligt andra stycket att ett intyg får utfärdas endast om verksamheten i fråga omfattas av ett internationellt säkerhetsskyddsåtagande. Skälet till detta krav är att Sverige av ömsesidighetsskäl måste godta ett motsvarande intyg från den andra parten. Regeringen får besluta om undantag från detta krav om det finns särskilda skäl. Sådana skäl blir främst aktuella för intyg enligt den första punkten, t.ex. i internationella samarbeten där ett internationellt säkerhetsskyddsåtagande ännu inte har trätt i kraft men där det finns ett behov av att delge säkerhetsskyddsklassificerade uppgifter mellan parterna.
2 § Om det behövs för att ett säkerhetsintyg ska kunna utfärdas får det göras en säkerhetsprövning som innefattar registerkontroll enligt 3 kap. 13 §. Vid en sådan registerkontroll får också en särskild personutredning enligt 3 kap. 17 § göras.
Paragrafen innehåller bestämmelser om säkerhetsprövning vid utfärdande av säkerhetsintyg och saknar motsvarighet i 1996 års säkerhetsskyddslag. Övervägandena finns i avsnitt 10.2.
Paragrafen tar sikte på de fall när en tidigare säkerhetsprövning saknas. I dessa fall görs ingen placering i säkerhetsklass och därför behövs en möjlighet till registerkontroll och särskild personutredning inom ramen för den säkerhetsprövning som görs för att kunna utfärda ett intyg. Huvuddelen av de personer som kan komma i fråga för intyg enligt 1 § kommer dock redan att vara placerade i säkerhetsklass. Intyget kan då utfärdas på den grunden utan att någon ytterligare utredning behöver göras.
3 § För ärenden om säkerhetsintyg gäller bestämmelserna om säkerhetsprövning i 3 kap. 2 §, 4 § första stycket, 13 §, 14 § andra-fjärde styckena och
17-21 §§.
Paragrafen innehåller bestämmelser om förfarandet vid utfärdande av säkerhetsintyg. Paragrafen saknar motsvarighet i 1996 års säkerhetsskyddslag. Övervägandena finns i avsnitt 10.2. Paragrafen kompletterar 2 § på så sätt att det förtydligas att det som normalt gäller för säkerhetsprövning enligt 3 kap. även i tillämpliga delar gäller säkerhetsprövning som görs i syfte att kunna utfärda ett säkerhetsintyg. Säkerhetsprövning enligt 2 § måste dock anpassas till att det endast är fråga om en inledande säkerhetsprövning. Den för vars verksamhet intyget utfärdas övertar det kontinuerliga säkerhetsprövningsansvaret i enlighet med de bestämmelser som gäller där verksamheten bedrivs.
Registerkontroll på ansökan av en annan stat eller en mellanfolklig organisation
4 § Registerkontroll enligt 3 kap. 13 § får göras när en annan stat eller en mellanfolklig organisation har ansökt om ett sådant underlag, om
1. den person som ansökan gäller har eller har haft hemvist i Sverige, och
2. personen genom anställning eller på annat sätt ska delta i en verksamhet där det för deltagandet ställs krav som motsvarar bestämmelserna i denna lag om registerkontroll vid säkerhetsprövning.
Vid registerkontroll enligt första stycket får också en särskild personutredning enligt 3 kap. 17 § göras.
Paragrafen innehåller bestämmelser om förutsättningarna för att utföra registerkontroll på ansökan av annan stat eller en mellanfolklig organisation och motsvarar närmast 15 § och 18 § andra meningen 1996 års säkerhetsskyddslag (prop. 1995/96:129 s. 69 f. och 79 f.). Övervägandena finns i avsnitt 10.2. En till paragrafen korresponderande sekretessbrytande bestämmelse finns i 5 kap. 3 §.
Första stycket överensstämmer i stort med 15 § första stycket 1996 års säkerhetsskyddslag. Vissa redaktionella ändringar har dock gjorts. Paragrafen kompletterar bestämmelserna om säkerhetsintyg i 1-3 §§. Den tar sikte på det förhållandet att en person med anknytning till Sverige ska genomgå något som motsvarar en säkerhetsprövning i en annan stat eller en mellanfolklig organisation. I dessa fall ska det inte utfärdas något säkerhetsintyg, utan det är fråga endast om att lämna ut uppgifter efter registerkontroll till den andra staten eller organisationen.
I andra stycket, som motsvarar 18 § andra meningen 1996 års säkerhetsskyddslag, anges att det i dessa fall även får göras en särskild personutredning enligt 3 kap. 17 §.
5 § Vid ärenden enligt 4 § gäller bestämmelserna om registerkontroll, särskild personutredning och samtycke i 3 kap. 13 §, 14 § andra-fjärde styckena och
17-21 §§.
Paragrafen anger vilka bestämmelser som ska tillämpas vid registerkontroll på ansökan av annan stat eller en mellanfolklig organisation och saknar motsvarighet i 1996 års säkerhetsskyddslag men innehållet får anses följa av 15 § i den lagen. Övervägandena finns i avsnitt 10.2. Paragrafen förtydligar på samma sätt som 3 § att bestämmelserna i 3 kap. om registerkontroll, särskild personutredning och samtycke i tillämpliga delar gäller vid sådana förfaranden som avses i 4 §.
Vem som beslutar om registerkontroll och utfärdar intyg
6 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om vilken myndighet som beslutar om registerkontroll enligt 2 och 4 §§ samt utfärdar intyg enligt 1 § och lämnar underlag enligt 4 §.
Paragrafen innehåller en upplysning om att regeringen kan meddela föreskrifter om vilken myndighet som beslutar om och vidtar de åtgärder som anges i 1, 2 och 4 §§ och saknar motsvarighet i 1996 års säkerhets-skyddslag. Övervägandena finns i avsnitt 10.2.
5 kap. Övriga bestämmelser
Tystnadsplikt
1 § Den som med stöd av denna lag har fått del av uppgifter som förekommer i angelägenhet som avser säkerhetsprövning får inte obehörigen röja eller utnyttja dessa uppgifter.
I det allmännas verksamhet tillämpas i stället bestämmelserna i offentlighets- och sekretesslagen (2009:400).
Paragrafen innehåller bestämmelser om tystnadsplikt för uppgifter som förekommer i angelägenhet som avser säkerhetsprövning och saknar motsvarighet i 1996 års säkerhetsskyddslag. Övervägandena finns i avsnitt 8.3.10.
Första stycket innebär en tystnadsplikt för enskilda verksamhetsutövare som tar sikte på att skydda enskildas integritet vid säkerhetsprövning enligt denna lag. Tystnadsplikten gäller såväl uppgifter som efter registerkontroll lämnats ut för säkerhetsprövning som uppgifter om den kontrollerade som kommit fram vid en grundutredning, t.ex. vid en intervju med den kontrollerade.
I andra stycket anges upplysningsvis att motsvarande tystnadsplikt gäller i det allmännas verksamhet enligt bestämmelser i OSL. Se kommentaren till förslaget om ändring i 35 kap. 1 § OSL.
2 § Den som på grund av anställning eller på annat sätt deltar eller har deltagit i säkerhetskänslig verksamhet får inte obehörigen röja eller utnyttja säkerhetsskyddsklassificerade uppgifter.
I det allmännas verksamhet tillämpas i stället bestämmelserna i offentlighets- och sekretesslagen (2009:400).
Paragrafen saknar motsvarighet i 1996 års säkerhetsskyddslag. Övervägandena finns i avsnitt 11.
Av första stycket framgår att tystnadsplikt gäller för den som på grund av anställning eller på annat sätt deltar eller har deltagit i säkerhetskänslig verksamhet enligt denna lag. Den som har deltagit i säkerhetskänslig verksamhet får således inte obehörigen föra vidare eller på annat sätt utnyttja uppgifter som är av betydelse för Sveriges säkerhet eller som Sverige i förhållande till annan stat eller mellanfolklig organisation har åtagit sig att skydda.
Brott mot tystnadsplikten är straffsanktionerat genom 20 kap. 3 § brottsbalken. I fråga om hur tystnadsplikten förhåller sig till meddelarfriheten bör vissa bestämmelser i tryckfrihetsförordningen, förkortad TF och yttrandefrihetsgrundlagen, förkortad YGL, noteras. Av 7 kap. 3 § 1 TF och 5 kap. 3 § YGL följer att meddelarfriheten är inskränkt om ett uppgiftslämnande är straffbart som bl.a. spioneri, grovt spioneri eller grov obehörig befattning med hemlig uppgift eller försök, förberedelse eller stämpling till sådant brott.
I andra stycket finns en upplysning om att i det allmännas verksamhet gäller i stället bestämmelser i OSL.
Sekretessbrytande bestämmelse
3 § Sekretess hindrar inte att den myndighet som avses i 4 kap. 6 § i ett ärende om underlag för säkerhetsprövning enligt 4 kap. 4 § lämnar ut en uppgift som har kommit fram vid registerkontroll eller särskild personutredning till en utländsk myndighet eller en mellanfolklig organisation, om det står klart att ett sådant utlämnande är förenligt med svenska intressen.
Paragrafen innehåller en sekretessbrytande bestämmelse och saknar motsvarighet i 1996 års säkerhetsskyddslag. Övervägandena finns i avsnitt 10.2.
Bestämmelsen ger stöd för att lämna ut uppgifter som omfattas av bestämmelser om sekretess i OSL till en annan stat eller mellanfolklig organisation i ett ärende om underlag för säkerhetsprövning enligt 4 kap. 4 §. Bestämmelsen utgör en sådan föreskrift som anges i 8 kap. 3 § 1 OSL. Kravet på att det står klart att utlämnandet är förenligt med svenska intressen innebär ett hinder mot att lämna ut uppgifter som kommit fram vid en registerkontroll om uppgifterna är olämpliga att delge en utländsk myndighet eller en mellanfolklig organisation.
Tillsyn
4 § Den myndighet som regeringen bestämmer ska utöva tillsyn över säkerhetsskyddet hos myndigheter och andra som lagen gäller för.
Den myndighet som regeringen bestämmer får utöva tillsyn hos leverantörer som har träffat säkerhetsskyddsavtal.
Paragrafen innehåller bestämmelser om tillsyn och motsvarar delvis 31 § första stycket 1996 års säkerhetsskyddslag (prop. 1995/96:129 s. 70 f. och 89). Vissa redaktionella ändringar har gjorts. Övervägandena finns i avsnitt 13.
Av första stycket följer att det är regeringen som bestämmer vilken eller vilka myndigheter som ska vara ansvariga för tillsynen enligt lagen.
I andra stycket avses den tillsyn som får utövas över leverantörer som har träffat säkerhetsskyddsavtal. Som följer av 2 kap. 6 § tredje stycket är det den som har uppställt krav på säkerhetsskydd i ett säkerhetsskyddsavtal som i första hand ska kontrollera att motparten följer de angivna villkoren om säkerhetsskydd. Trots att huvudregeln i dessa fall är att den som ingått ett säkerhetsskyddsavtal också ska kontrollera säkerhetsskyddet hos motparten möjliggörs genom bestämmelsen att tillsyn även får utövas av en myndighet. Det kan exempelvis uppkomma situationer då myndigheten har tillgång till information om förestående eller pågående it-angrepp vilket gör att leverantörens informationssäkerhetsarbete behöver granskas.
Föreskrifter om verkställighet
5 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om verkställighet av denna lag.
Paragrafen upplyser om att det finns en möjlighet för regeringen eller den myndighet som regeringen bestämmer att meddela verkställig-hetsföreskrifter och motsvarar 33 § 1996 års säkerhetsskyddslag (prop. 1995/96:129 s. 89 f.). Vissa redaktionella ändringar har gjorts. Övervägandena finns i avsnitt 13.
Ikraftträdande- och övergångsbestämmelser
1. Denna lag träder i kraft den 1 april 2019.
2. Genom lagen upphävs säkerhetsskyddslagen (1996:627).
3. Den upphävda lagen gäller dock fortfarande för beslut om placering i säkerhetsklass som har meddelats före ikraftträdandet, dock längst till dess att ett motsvarande beslut om placering i säkerhetsklass meddelas enligt denna lag. Ett sådant beslut ska meddelas senast vid utgången av 2024.
4. Beslut om registerkontroll enligt 14 § i den upphävda lagen ska i den utsträckning som regeringen föreskriver motsvara ett beslut om placering i säkerhetsklass 3 enligt denna lag, dock längst till dess att ett nytt beslut om säkerhetsklass meddelas enligt denna lag. Ett sådant beslut ska meddelas senast vid utgången av 2024.
Lagen träder enligt bestämmelsen i punkt 1 i kraft den 1 april 2019. Bestämmelsen hindrar inte att en verksamhetsutövare före dess vidtar vissa administrativa åtgärder som kan behövas för att lagen ska kunna tillämpas i sin helhet i verksamheten från och med ikraftträdandet.
Av punkt 2 följer att 1996 års säkerhetsskyddslag upphävs genom lagen.
Av punkt 3 följer att en anställning eller annat deltagande som enligt den upphävda lagen placerats i säkerhetsklass 1-3 ska anses motsvara en placering enligt 3 kap. 6-8 §§ i säkerhetsklass 1-3.
I punkt 4 anges att ett beslut om registerkontroll till skydd mot terrorism enligt 14 § i den upphävda lagen ska i den utsträckning som regeringen föreskriver motsvara ett beslut om placering i säkerhetsklass 3 enligt denna lag, dock längst till dess att ett nytt beslut om säkerhetsklass meddelas enligt denna lag. Avsikten är att regeringen för merparten av de kontroller som utförts med stöd av den nämnda bestämmelsen ska kunna föreskriva att det tidigare beslutet gäller som ett beslut om placering i säkerhetsklass 3. De beslut som har meddelats med stöd av den upphävda lagen gäller under en övergångsperiod om fem år.
Övervägandena finns i avsnitt 14.
16.2 Förslag till lag om ändring i elberedskapslagen (1997:288)
2 § Beredskapslagring av bränsle som används för elproduktion omfattas av lagen endast i fråga om rätt till ersättning enligt 10 §. Särskilda bestämmelser om beredskapslagring finns i lagen (2012:806) om beredskapslagring av olja.
I skyddslagen (2010:305) och i säkerhetsskyddslagen (2018:000) finns bestämmelser om tillträdesbegränsning och fysisk säkerhet.
De ändringar som föreslås i lagen är en följd av att säkerhetsskyddslagen (1996:627) ersätts av en ny lag och att begreppet tillträdesbegränsning i den nya lagen ersätts av begreppet fysisk säkerhet.
16.3 Förslaget till lag om ändring i lagen (2006:128) om säkerhetsskydd i riksdagen och dess myndigheter
7 § För riksdagen och de myndigheter som avses i 1 § finns bestämmelser om säkerhetsskyddsklass, säkerhetsprövning och säkerhetsintyg i säkerhetsskyddslagen (2018:000).
8 § När en myndighet som lagen gäller för avser att begära in anbud eller träffa avtal om upphandling där det förekommer uppgifter som med hänsyn till rikets säkerhet omfattas av sekretess, ska myndigheten träffa ett skriftligt avtal (säkerhetsskyddsavtal) med anbudsgivaren eller leverantören om det säkerhetsskydd som behövs i det särskilda fallet.
Om säkerhetsskyddslagen (2018:000) gäller för anbudsgivaren eller leverantören på grund av 1 kap. 1 § i den lagen, kan anbudsgivarens eller leverantörens skyldigheter enligt lagen inte göras mindre långtgående genom villkoren i säkerhetsskyddsavtalet.
10 § Av 7 § lagen (2011:745) med instruktion för Riksdagsförvaltningen framgår att Riksdagsförvaltningen får meddela föreskrifter inom sitt verksamhetsområde.
Övriga myndigheter som avses i 1 § får meddela de närmare föreskrifter inom sitt verksamhetsområde som behövs för tillämpning av
1. denna lag och
2. säkerhetsskyddslagens (2018:000) bestämmelser om säkerhetsskyddsklass, säkerhetsprövning och säkerhetsintyg.
De ändringar som föreslås i lagen är en följd av att säkerhetsskyddslagen ersätts av en ny lag. Övervägandena finns i avsnitt 12.
Hänvisningarna i 7, 8 och 10 §§ till 2006 års lag justeras så att hänvisningar i stället görs till aktuella paragrafer i den nya lagen. Vidare görs i 7 § en mindre ändring i sak till följd av den justering som har gjorts i 1 kap. 3 § i den nya säkerhetsskyddslagen i fråga om i vilken omfattning lagen ska gälla för riksdagen och dess myndigheter.
16.4 Förslaget till lag om ändring i offentlighets- och sekretesslagen (2009:400)
35 kap.
1 § Sekretess gäller för uppgift om en enskilds personliga och ekonomiska förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till honom eller henne lider skada eller men och uppgiften förekommer i
1. utredning enligt bestämmelserna om förundersökning i brottmål,
2. angelägenhet som avser användning av tvångsmedel i brottmål eller i annan verksamhet för att förebygga brott
3. angelägenhet som avser säkerhetsprövning enligt säkerhetsskyddslagen (2018:000),
4. annan verksamhet som syftar till att förebygga, uppdaga, utreda eller beivra brott och som bedrivs av en åklagarmyndighet, Polismyndigheten, Säkerhetspolisen, Skatteverket, Tullverket eller Kustbevakningen,
5. register som förs av Polismyndigheten enligt 4 kap. polisdatalagen (2010:361) eller som annars behandlas med stöd av de bestämmelserna eller uppgifter som behandlas av Säkerhetspolisen med stöd av 6 kap. samma lag,
6. register som förs enligt lagen (1998:621) om misstankeregister,
7. register som förs av Skatteverket enligt skattebrottsdatalagen (2017:452) eller som annars behandlas där med stöd av samma lag,
8. särskilt ärenderegister över brottmål som förs av åklagarmyndighet, om uppgiften inte hänför sig till registrering som avses i 5 kap. 1 §, eller
9. register som förs av Tullverket enligt tullbrottsdatalagen (2017:447) eller som annars behandlas där med stöd av samma lag.
Sekretessen enligt första stycket 2 gäller hos domstol i dess rättskipande eller rättsvårdande verksamhet endast om det kan antas att den enskilde eller någon närstående till honom eller henne lider skada eller men om uppgiften röjs. Vid förhandling om användning av tvångsmedel gäller sekretess för uppgift om vem som är misstänkt endast om det kan antas att fara uppkommer för att den misstänkte eller någon närstående till honom eller henne utsätts för våld eller lider annat allvarligt men om uppgiften röjs.
Första stycket gäller inte om annat följer av 2, 6 eller 7 §.
För uppgift i en allmän handling gäller sekretessen i högst sjuttio år.
3 § Sekretess gäller i verksamhet som avser förande av eller uttag ur register enligt lagen (1998:620) om belastningsregister för uppgift i registret. I fråga om utlämnande av sådan uppgift gäller vad som är föreskrivet i den lagen och i säkerhetsskyddslagen (2018:000) samt i förordningar som har meddelats med stöd av dessa lagar.
För uppgift i en allmän handling gäller sekretessen i högst sjuttio år.
Bestämmelserna i 10 och 12 kap. gäller inte i fråga om sekretessen enligt denna paragraf.
10 § Sekretessen enligt 1 § hindrar inte att en uppgift lämnas ut
1. till en enskild enligt vad som föreskrivs i lagen (1964:167) med särskilda bestämmelser om unga lagöverträdare,
2. till en enskild enligt vad som föreskrivs i säkerhetsskyddslagen (2018:000) samt i förordning som har meddelats med stöd i den lagen,
3. enligt vad som föreskrivs i
- lagen (1998:621) om misstankeregister,
- polisdatalagen (2010:361),
- skattebrottsdatalagen (2017:452),
- tullbrottsdatalagen (2017:447),
- kustbevakningsdatalagen (2012:145),
- åklagardatalagen (2015:433),
- förordningar som har stöd i dessa lagar, eller
4. till en enskild enligt vad som föreskrivs i 27 kap. 8 § rättegångsbalken.
De ändringar som föreslås i 35 kap. 1, 3 och 10 §§ är i huvudsak en följd av att säkerhetsskyddslagen ersätts av en ny lag. Övervägandena finns i avsnitt 8.3.10. Paragraferna ändras på så sätt att hänvisningar görs till den nya säkerhetsskyddslagen.
Ändringen i 35 kap. 1 § 3 innebär att sekretessen utvidgas till att avse säkerhetsprövning. Syftet med ändringen är att ge ett motsvarande skydd för uppgifter som på annat sätt än genom registerkontroll och särskild personutredning kommer fram vid säkerhetsprövningen. Det kan bl.a. vara fråga om uppgifter om personliga och ekonomiska förhållanden som den som kontrollen avser lämnar vid en intervju.
Ikraftträdande- och övergångsbestämmelser
1. Denna lag träder i kraft den 1 april 2019.
2. Äldre föreskrifter gäller fortfarande i fråga om registerkontroll och särskild personutredning som har genomförts enligt säkerhetsskyddslagen (1996:627) före ikraftträdandet.
Lagen träder enligt bestämmelsen i punkt 1 i kraft den 1 april 2019.
Av punkt 2 följer att äldre föreskrifter fortfarande ska gälla för uppgifter som avser registerkontroll och särskild personutredning som har genomförts enligt den gamla säkerhetsskyddslagen.
16.5 Förslag till lag om ändring i lagen (2011:1029) om upphandling på försvars- och säkerhetsområdet
1 kap.
9 § I fråga om upphandling som avser sådan tillverkning av eller handel med vapen, ammunition och krigsmateriel som omfattas av artikel 346.1 b i EUF-fördraget och där 7 eller 8 § eller 10 § första stycket 2-4 eller 10 inte är tillämpliga får regeringen i enskilda fall besluta om de undantag från bestämmelserna i denna lag som är nödvändiga med hänsyn till Sveriges väsentliga säkerhetsintressen.
Försvarets materielverk får besluta om sådana undantag som avses i första stycket om upphandlingen
1. avser tillägg till en upphandling där regeringen tidigare beslutat om undantag
med stöd av första stycket,
2. avser varor, tjänster eller byggentreprenader inom ramen för en av Sverige träffad internationell överenskommelse om mellanstatlig samverkan i fråga om försörjning av varor, tjänster eller byggentreprenader, eller
3. har ett värde som understiger 25 000 000 kronor.
Försvarsmakten och Försvarets radioanstalt får besluta om sådana undantag
som avses i första stycket om upphandlingens värde understiger 5 000 000 kronor.
10 § Denna lag gäller inte för kontrakt
1. för vilka tillämpningen av denna lag skulle kräva att en upphandlande myndighet eller enhet tillhandahåller information vars avslöjande strider mot Sveriges väsentliga säkerhetsintressen,
2. som avser underrättelseverksamhet,
3. som tilldelas inom ramen för ett samarbetsprogram som gäller forskning och utveckling mellan minst två stater inom EES avseende utvecklandet av en ny produkt och, i förekommande fall, de senare skedena av hela eller delar av produktens livslängd,
4. som, av operativa skäl, måste tilldelas en leverantör i ett område utanför EES territorium där operationen genomförs,
5. som avser förvärv av fastighet, arrenderätt, hyresrätt, bostadsrätt, tomträtt, servitutsrätt eller någon annan rättighet till fastighet,
6. som en regering tilldelas av en annan regering och som avser
a) tillhandahållande av militär utrustning eller utrustning av känslig karaktär,
b) byggentreprenader och tjänster med direkt anknytning till sådan utrustning som avses i a, eller
c) byggentreprenader och tjänster särskilt avsedda för militära syften eller av känslig karaktär,
7. som avser skiljemanna- eller förlikningsuppdrag,
8. som avser finansiella tjänster, utom försäkringstjänster,
9. som avser anställningar, eller
10. som avser forsknings- och utvecklingstjänster, med undantag för sådana vilkas resultat endast tillkommer en upphandlande myndighet eller enhet i den egna verksamheten och betalas av myndigheten eller enheten.
Första stycket 4 avser även civila inköp.
Med fastighet enligt första stycket 5 avses det som enligt jordabalken utgör eller tillhör en fastighet. Befintlig byggnad som tillhör någon annan än ägaren till jorden ska också anses utgöra en fastighet. Detsamma gäller sådana tillbehör till byggnaden som avses i 2 kap. 2 och 3 §§ jordabalken, om de tillhör byggnadens ägare.
2 kap.
22 § Med säkerhetsskyddsklassificerade uppgifter avses i denna lag information och material oavsett form, karaktär eller överföringsteknik som omfattas av krav på en viss säkerhetsnivå eller en viss skyddsnivå och som med hänsyn till Sveriges säkerhet enligt lagar och andra författningar måste skyddas mot intrång, förstörelse, avlägsnande, spridning, förlust eller åtkomst av någon obehörig person, eller någon annan typ av risk.
För skydd av säkerhetsskyddsklassificerade uppgifter som avses i säkerhetsskyddslagen (2018:000) finns bestämmelser i den lagen.
11 kap.
2 § En leverantör får uteslutas från att delta i en upphandling, om leverantören
1. är i konkurs eller likvidation, är under tvångsförvaltning eller är föremål för ackord eller tills vidare har inställt sina betalningar eller är underkastad näringsförbud,
2. är föremål för ansökan om konkurs, tvångslikvidation, tvångsförvaltning, ackord eller annat liknande förfarande,
3. genom lagakraftvunnen dom är dömd för brott avseende yrkesutövningen, såsom till följd av en överträdelse av befintlig lagstiftning om export av försvars- och säkerhetsutrustning,
4. har gjort sig skyldig till allvarligt fel i yrkesutövningen, såsom genom att inte ha iakttagit sina skyldigheter i fråga om informationssäkerhet eller försörjningstrygghet vid ett tidigare kontrakt, och den upphandlande myndigheten eller enheten kan visa detta,
5. har, på grundval av någon form av bevis som även kan bestå av skyddade uppgiftskällor, kunnat konstaterats inte vara så tillförlitlig som krävs för att inte riskera Sveriges säkerhet,
6. inte har fullgjort sina åligganden avseende socialförsäkringsavgifter eller skatt i det egna landet eller i det land där upphandlingen sker, eller
7. i något väsentligt hänseende har låtit bli att lämna begärda upplysningar eller lämnat felaktiga upplysningar som begärts med stöd av bestämmelserna i 11 eller 12 kap.
Är leverantören en juridisk person, får leverantören uteslutas om en företrädare för den juridiska personen har dömts för brott som avses i första stycket 3 eller gjort sig skyldig till sådant fel som avses i första stycket 4.
Myndigheten eller enheten får, utom i de fall som avses i 4 §, begära att en leverantör visar att det inte finns någon grund för att utesluta leverantören med stöd av första stycket 1, 2, 3 eller 6.
De ändringar som föreslås i lagen är i huvudsak en följd av att säkerhetsskyddslagen ersätts av en ny lag. Uttrycket "rikets säkerhet" ändras språkligt till "Sveriges säkerhet" och "rikets väsentliga säkerhetsintressen" ändras språkligt till "Sveriges väsentliga säkerhetsintressen". Övervägandena finns i avsnitt 9.2.
När det gäller 2 kap. 22 § innehåller paragrafen en definition av uttrycket säkerhetsskyddsklassificerade uppgifter. Genom ändringen i första stycket klargörs att definitionen av säkerhetsskyddsklassificerade uppgifter endast gäller för den här lagen. Övervägandena finns i avsnitt 5.2.
Det andra stycket i paragrafen är nytt och innehåller en upplysning om att bestämmelser om skydd för säkerhetsklassificerade uppgifter finns i den nya säkerhetsskyddslagen.
16.6 Förslag till lag om ändring i lagen (2014:514) om ansvar för vissa säkerhetsfrågor vid statsministerns tjänstebostäder
1 § Denna lag innehåller särskilda bestämmelser som rör verksamheten vid och skyddet för egendom som används som tjänstebostad för statsministern. Bestämmelserna utgör kompletteringar till och undantag från säkerhetsskyddslagen (2018:000) och skyddslagen (2010:305).
2 § Säkerhetspolisen har det ansvar för fysisk säkerhet som anges i 2 kap. 3 § säkerhetsskyddslagen (2018:000) vid egendom som används som tjänstebostad för statsministern.
Inför att åtgärder avseende fysisk säkerhet vidtas ska Säkerhetspolisen samråda med den eller de myndigheter som förvaltar egendomen och som berörs av åtgärden. När det gäller åtgärder som rör fysisk säkerhet som är av större betydelse ska Säkerhetspolisen även samråda med Regeringskansliet.
4 § Inför att säkerhetsskyddsavtal ska träffas enligt 2 kap. 6 § säkerhetsskyddslagen (2018:000) med anledning av upphandling till egendom som används som tjänstebostad för statsministern ska den upphandlande myndigheten samråda med Säkerhetspolisen.
5 § Inför beslut om placering i säkerhetsklass enligt 3 kap. 5 § säkerhetsskyddslagen (2018:000) av anställningar eller annat deltagande i verksamheten vid egendom som används som tjänstebostad för statsministern ska den som bedriver verksamheten samråda med Säkerhetspolisen.
De ändringar som föreslås i lagens 1, 2, 4 och 5 §§ är en följd av att säkerhetsskyddslagen ersätts av en ny lag. Övervägandena finns i avsnitt 8.2. Hänvisningen i de nämnda paragraferna till säkerhetsskyddslagen justeras. I fråga om 2, 4 och 5 §§ justeras även paragrafhänvisningarna.
Vidare görs en mindre ändring i sak i 2 § genom att uttrycken tillträdesbegränsning och tillträdesbegränsande åtgärder ersätts av uttrycken fysisk säkerhet och åtgärder avseende fysisk säkerhet. Ändringarna är en följd av att bestämmelser om tillträdesbegränsning i 1996 års säkerhetsskyddslag ersätts av bestämmelser om fysisk säkerhet i 2 kap. 4 § den nya säkerhetsskyddslagen. Som redovisats i kommentaren till den bestämmelsen har åtgärden ett vidare syfte än tillträdesbegränsning enligt 1996 års säkerhetsskyddslag.
Sammanfattning av betänkandet En ny säkerhetsskyddslag (SOU 2015:25)
Förslag
Vi föreslår att säkerhetsskyddslagen ersätts av en ny lag. Även den nya lagen bör benämnas säkerhetsskyddslag. En ny lag ska svara mot de förändrade kraven på säkerhetsskyddet, bl.a. avseende utvecklingen på informationsteknikområdet, en ökad internationell samverkan, en ökad sårbarhet i samhällsviktiga funktioner och att säkerhetskänslig verksamhet i allt större omfattning bedrivs i enskild regi.
En bredare ansats för lagen innebär bl.a. att tillgänglighets- och riktighetsaspekterna av information och informationssystem lyfts fram. På detta sätt vidgas tillämpningsområdet till att ge ett skydd för informationstillgångar i samhällsviktig verksamhet som inte behöver ett skydd från ett konfidentialitetsperspektiv.
Den nya lagen ska medge ett nyanserat säkerhetsskydd som bygger på fyra informationssäkerhetsklasser av internationell modell. Informationssäkerhetsklasserna påverkar utformningen av säkerhetsskyddsåtgärderna informationssäkerhet, fysisk säkerhet och personalsäkerhet. Säkerhetsskyddsanalysen får en central roll och ska leda till slutsatser om hur säkerhetsskyddet i en verksamhet bör utformas. Vad verksamhetsansvaret innebär i fråga om säkerhetsskydd förtydligas.
Lagen ska på ett tydligare sätt än i dag ge stöd för internationella säkerhetsskyddsåtaganden och internationell samverkan, bl.a. genom möjligheten att utfärda säkerhetsintyg för personer och leverantörer.
Uppdraget
Ett huvudsyfte med uppdraget är att modernisera regleringen och att bättre anpassa den till det som krävs för att skydda verksamhet som har betydelse för Sveriges säkerhet och till de krav det internationella samarbetet ställer.
Bakgrund
Den gällande regleringen
Säkerhetsskydd ska i den omfattning som behövs finnas vid verksamhet hos staten, kommunerna och landstingen, hos juridiska personer som staten, kommunerna eller landstingen utövar ett rättsligt bestämmande inflytande över samt hos enskilda, om verksamheten är av betydelse för rikets säkerhet eller särskilt behöver skyddas mot terrorism. Säkerhetsskyddet ska förebygga att uppgifter som omfattas av sekretess och som rör rikets säkerhet obehörigen röjs, ändras eller förstörs (informationssäkerhet), att obehöriga får tillträde till platser där de kan få tillgång till sådana uppgifter eller där verksamhet som har betydelse för rikets säkerhet bedrivs (tillträdesbegränsning) samt att personer som inte är pålitliga från säkerhetssynpunkt deltar i verksamhet som har betydelse för rikets säkerhet (säkerhetsprövning). Säkerhetsskyddet ska även i övrigt förebygga terrorism.
Säkerhetsskyddslagen innehåller också bestämmelser om skyldighet att i vissa fall teckna säkerhetsskyddsavtal vid anlitande av leverantörer samt om utbildning, kontroll och tillsyn. Närmare bestämmelser om säkerhetsskydd finns i den till lagen hörande säkerhetsskyddsförordningen.
Närliggande reglering
Av betydelse för säkerhetsskyddet är bl.a. reglering avseende luftfartsskydd, hamnskydd och sjöfartsskydd, reglering om kärnteknisk verksamhet och strålskydd, skydd för landskapsinformation och reglering avseende samhällsskydd och beredskap. Vidare finns ett nära samband mellan säkerhetsskyddslagstiftningen och reglerna om upphandling på försvars- och säkerhetsområdet.
Folkrättsliga förpliktelser avseende säkerhetsskydd
Sveriges internationella säkerhetsskyddsåtaganden har ökat markant, bl.a. när det gäller generella säkerhetsskyddsöverenskommelser med andra stater och mellanfolkliga organisationer.
Syftet med en generell säkerhetsskyddsöverenskommelse är att två eller flera länder (eller mellanfolkliga organisationer) på ett säkert sätt ska kunna utbyta uppgifter som berör nationell säkerhet.
Av internationella åtaganden följer att det ska finnas ett utpekat organ som har ett nationellt ansvar för säkerhetsskyddsfrågor och som är kontaktorganisation i internationella säkerhetsskyddsärenden.
Myndigheter med uppgifter enligt säkerhetsskyddslagstiftningen
Säkerhetspolisen och Försvarsmakten har ett särskilt ansvar för säkerhetsskyddet, bl.a. genom att myndigheterna har det huvudsakliga ansvaret för tillsyn och tillämpningsföreskrifter. Därutöver har bl.a. Affärsverket Svenska kraftnät, Post- och telestyrelsen och Transportstyrelsen fått ansvar för att i fråga om vissa enskilda verksamheter besluta om placering i säkerhetsklass och registerkontroll samt kontrollera säkerhetsskyddet.
Säkerhets- och integritetsskyddsnämnden prövar om uppgifter som kommer fram vid registerkontroll ska lämnas ut för säkerhetsprövning.
Försvarets materielverk får under vissa omständigheter ingå avtal om säkerhetsskydd med företag, om det behövs för att företaget ska kunna delta i internationella uppdrag.
Internationell utblick
Vi har studerat regelverken i Danmark, Finland, Nederländerna, Norge och Tjeckien.
Hot och förändringsfaktorer
Uttrycket rikets säkerhet har kommit att förknippas med framför allt militära förhållanden. Samtidigt har utvecklingen gått mot att andra för samhället viktiga verksamheter fått en allt större betydelse från säkerhetsskyddssynpunkt. Främmande staters underrättelseverksamhet har breddats mot forskning och utveckling inom civila områden samt mot politiska frågor och information som rör samhällsviktiga system. Elektroniska angrepp betraktas som ett av de allvarligare hoten. Samtidigt kvarstår underrättelsehotet mot militära förhållanden och mot information av betydelse för försvaret av Sverige. Den ökade koncentrationen till ett fåtal företag som tillhandahåller tjänster till myndigheter särskilt på itområdet och som därmed får tillgång till stora mängder information kan medföra en ökad sårbarhet.
Våra överväganden
Utgångspunkter för en reformerad säkerhetsskyddslagstiftning
En reformerad säkerhetsskyddslagstiftning bör i vissa delar bygga på tidigare reglering. Vi anser att syftet med lagstiftningen ska vara att säkerställa ett tillräckligt skydd för det som är mest skyddsvärt för nationen, att den ska vara verksamhetsorienterad, att den ska ge ett förebyggande skydd mot i huvudsak antagonistiska hot, att den ska omfatta samverkande säkerhetsskyddsåtgärder för information, personer och verksamhet, samt att den nuvarande organisatoriska indelningen avseende bl.a. verkställighetsföreskrifter och tillsyn bör finnas kvar.
Säkerhetsskyddslagen behöver dock utvecklas när det gäller Sveriges internationella åtaganden på säkerhetsskyddsområdet och informationssäkerhetsperspektiven tillgänglighet och riktighet. Vidare behöver lagen förtydligas avseende att den ska tillämpas i såväl allmän som enskild verksamhet. Det innebär att våra överväganden inriktas på att klargöra lagens skyddsintressen och dess tillämpningsområde. Sammantaget medför det behov av en justerad beskrivning av lagens syfte och av en delvis förändrad systematik.
Lagens syfte
Den nuvarande lagen är uppbyggd utifrån uttrycken rikets säkerhet och skydd mot terrorism. Vi har sett behov av att ompröva också den delen av lagstiftningen. En utgångspunkt har varit att skydd mot terrorism, som snarare hör till frågan mot vad behövs ett skydd, inte bör ingå i en beskrivning av vad som ska skyddas.
Rikets säkerhet är en för säkerhetsskyddet lämplig avgränsning. Vi delar den uppfattning om innebörden av uttrycket som regeringen gett uttryck för vid översynen av spioneribestämmelsen, nämligen att skyddsvärda verksamheter kan finnas inom fler samhällsområden än tidigare.
Vi delar också uppfattningen att Sveriges säkerhet är en lämpligare benämning. Vi har övervägt om tillämpningsområdet kan göras tydligare genom någon form av komplettande skrivning, t.ex. en exemplifiering av olika slag av civila och militära verksamheter eller genom en hänvisning till övriga vitala säkerhetsintressen. Sådana lösningar kan dock riskera att få en motsatt effekt än den avsedda. Vi har därför stannat vid att det skyddsvärda området ska beskrivas som verksamhet av betydelse för Sveriges säkerhet.
Sverige har ingått överenskommelser om säkerhetsskydd med andra stater och mellanfolkliga organisationer. Det är därför viktigt med en större tydlighet om de krav på säkerhetsskydd som sådana åtaganden innebär. Vi föreslår därför att säkerhetsskyddslagens tillämpningsområde ska omfatta även verksamhet som avses i ett för Sverige förpliktande åtagande om säkerhetsskydd (internationellt säkerhetsskyddsåtagande).
Som en samlande benämning för dessa huvudkomponenter i säkerhetsskyddslagen föreslår vi säkerhetskänslig verksamhet. Innebörden av detta för lagen centrala uttryck är således verksamhet av betydelse för Sveriges säkerhet samt verksamhet som omfattas av ett internationellt säkerhetsskyddsåtagande.
I fråga om vad lagen ska skydda mot har vi gjort bedömningen att det är bra med en fortsatt tydlighet om att säkerhetsskydd främst handlar om skydd mot antagonistiska hot bl.a. spioneri, sabotage och terroristbrott.
Det skydd som avser annat obehörigt röjande, ändrande, otillgängliggörande eller förstörande av uppgifter som är säkerhetskänsliga bör även i fortsättningen komma till uttryck i bestämmelsen om vad säkerhetsskyddslagen ska skydda mot. Vi föreslår att det skyddet ska omfatta också uppgifter som ska skyddas enligt internationella säkerhetsskyddsåtaganden.
Säkerhetskänslig verksamhet - två huvudsakliga inriktningar
I dag utgår säkerhetsskyddslagen från att behov av säkerhetsskydd främst handlar om skydd av hemliga uppgifter. Kopplingen till OSL kan ge intryck av att säkerhetsskydd främst är en angelägenhet för myndigheter och andra offentliga organ för vilka den lagen är tillämplig. Därutöver handlar det om ett säkerhetsskydd med inriktning att skydda mot terrorism för flygplatser och byggnader, anläggningar m.m. som enligt skyddslagen är skyddsobjekt. Sådana avgränsningar är i dag för snäva och medför eller riskerar att medföra att t.ex. verksamheter som är av betydelse för att upprätthålla grundläggande samhällsfunktioner faller utanför tillämpningsområdet. Ett första steg är en ändrad systematik som bl.a. tydligare innefattar sådan säkerhetskänslig verksamhet som bedrivs hos enskilda. Vi föreslår att beskrivningen av säkerhetsskyddet ska utgå från två huvudsakliga inriktningar.
Säkerhetsskyddet ska inriktas mot verksamhet som innebär hantering av säkerhetsskyddsklassificerade uppgifter. Det ska innefatta skydd av uppgifter som är av betydelse för Sveriges säkerhet eller som ska skyddas enligt ett internationellt säkerhetsskyddsåtagande och som till sin natur är sådana uppgifter som avses i bestämmelser om sekretess. Det innebär således en vidare ram än enligt den nuvarande lagen som utgår från uttrycket hemliga uppgifter.
Därutöver ska säkerhetsskyddet inriktas mot verksamheter som av annan anledning behöver ett säkerhetsskydd (i övrigt säkerhetskänslig verksamhet). Det motsvarar delvis vad som i dag skyddas inom ramen för skydd mot terrorism, dvs. i huvudsak verksamhet vid skyddsobjekt, flygplatser och vissa verksamheter som ska skyddas enligt folkrättsliga åtaganden om luftfartsskydd, hamnskydd och sjöfartsskydd. Det skyddsvärda området bör inte avgränsas genom regleringen om skyddsobjekt, utan ska utformas så att det även kan innefatta annan säkerhetskänslig verksamhet, t.ex. hantering av informationssystem eller sammanställningar av uppgifter som är av central betydelse för ett fungerande samhälle eller verksamhet som behöver skyddas på den grunden att den kan utnyttjas för att skada nationen, t.ex. vissa verksamheter inom det kärntekniska området.
Vad ska skyddas - säkerhetsskyddsanalys
Svaret på frågan vilka tillgångar och funktioner i verksamheter som behöver säkerhetsskydd varierar över tid och kommer därför att behöva omprövas kontinuerligt. Frågan måste bl.a. därför besvaras på verksamhetsnivå.
Säkerhetsskyddsanalysens centrala funktion för säkerhetsskyddet behöver bl.a. därför lyftas fram. En bestämmelse om att den som är ansvarig för säkerhetskänslig verksamhet ska se till att behovet av säkerhetsskydd för den egna verksamheten utreds bör därför tas in i lagen. Genom säkerhetsskyddsanalysen ska säkerhetsskyddsklassificerade uppgifter och vad som i övrigt behöver ett säkerhetsskydd identifieras samt säkerhetshot och potentiella konsekvenser, sårbarheter och behovet av säkerhetsskyddsåtgärder bedömas. Analysen ska ligga till grund för planeringen av verksamhetens säkerhetsskydd. I det bredare arbetet med att stärka skyddet av samhällsviktig verksamhet och kritisk infrastruktur utförs risk- och sårbarhetsanalyser. Säkerhetsskyddsanalysen bör så långt som möjligt samordnas med sådana analyser.
Ett tydligare verksamhetsansvar
Vi föreslår att regleringen av för vilka verksamheter lagen gäller förenklas. Vi ser inget behov av någon uppdelning mellan företagsformer över vilket det allmänna har ett rättsligt bestämmande inflytande och företagsformer där ett sådant inflytande inte finns. Lagen ska därför gälla för verksamhet hos staten, kommuner, landsting och enskilda som är av betydelse för Sveriges säkerhet eller omfattas av ett internationellt säkerhetsskyddsåtagande (säkerhetskänslig verksamhet).
I dag finns inte i säkerhetsskyddslagen någon bestämmelse som sammanfattar vad som är följden av att lagen är tillämplig. Vi föreslår därför att det i lagen uttrycks att den som ansvarar för en säkerhetskänslig verksamhet ska utreda behovet av säkerhetsskydd, se till att säkerhetsskyddsåtgärder vidtas, kontrollera att bestämmelserna om säkerhetsskydd följs samt lämna uppgifter som följer av viss angiven rapporteringsskyldighet till utsedda tillsynsmyndigheter.
Ett system av samverkande säkerhetsskyddsåtgärder
Samverkande säkerhetsskyddsåtgärder
Vi anser att indelningen i tre säkerhetsskyddsåtgärder ska bestå i en ny lag. De tre säkerhetsskyddsåtgärderna, som bör benämnas informationssäkerhet, fysisk säkerhet och personalsäkerhet, samverkar och utgör ett sammanhållet system för skydd av säkerhetskänslig verksamhet. Säkerhetsskyddsåtgärderna kan kombineras på olika sätt för att optimera skyddseffekten. Ett sådant synsätt leder till ett balanserat och kostnadseffektivt säkerhetsskydd. Grunden för vilka säkerhetsskyddsåtgärder som ska vidtas läggs i säkerhetsskyddsanalysen, och dessa åtgärder ska sedan konkretiseras i en säkerhetsskyddsplan.
Säkerhetsskyddsklassificerade uppgifter
Säkerhetsskyddsklassificerade uppgifter ska delas in i fyra informationssäkerhetsklasser efter den skada som kan uppstå om uppgifterna röjs. De fyra klasserna ska benämnas kvalificerat hemlig, hemlig, konfidentiell och begränsad. Indelningen i informationssäkerhetsklasser är grunden för utformningen av den del av säkerhetsskyddsåtgärderna informationssäkerhet, fysisk säkerhet och personalsäkerhet som tar sikte på skyddet av säkerhetsskyddsklassificerade uppgifter.
En bestämmelse om indelning av säkerhetsskyddsklassificerade uppgifter ska finnas i säkerhetsskyddslagen eftersom denna indelning är av central betydelse för hur säkerhetsskyddet ska utformas.
Informationssäkerhet
Enligt vårt förslag ska säkerhetsskyddsåtgärden informationssäkerhet vara uppdelad i två moment. Det första tar sikte på skyddet av säkerhetsskyddsklassificerade uppgifter för att förebygga att uppgifterna röjs, ändras, görs otillgängliga eller förstörs. I informationssäkerhets sammanhang brukar man tala om skydd för konfidentialitet, riktighet och tillgänglighet.
I det andra momentet är inriktningen att åtgärderna ska förebygga skadlig inverkan på informationstillgångar som annars är av betydelse för säkerhetskänslig verksamhet. I detta fall är det därför enbart riktighets- och tillgänglighetshänsyn som gör sig gällande. Med informationstillgångar avses information och informationssystem i vid bemärkelse, dvs. uppgifter, handlingar och tekniska system som används för att i olika avseenden elektroniskt kommunicera och i övrigt behandla uppgifter.
Informationssäkerhet innebär åtgärder av olika slag för att skydda information som är av betydelse för säkerhetskänslig verksamhet. Sådan information förekommer i olika miljöer och verksamheter och hanteras och används på flera olika sätt. Därför måste säkerhetsskyddsåtgärderna anpassas till de skiftande förutsättningarna. Uppgifternas form saknar i sammanhanget betydelse, och åtgärderna måste avse uppgifterna som sådana dvs. såväl uppgifter på papper som elektroniskt lagrade och kommunicerade uppgifter samt uppgifter som kan läsas ut ur t.ex. bilder eller materiel.
Fysisk säkerhet
Enligt vårt förslag ska fysisk säkerhet innefatta sådana säkerhetsskyddsåtgärder som ska förebygga dels att obehöriga får tillträde till områden, byggnader, andra anläggningar eller objekt där de kan få tillgång till säkerhetsskyddsklassificerade uppgifter eller där i övrigt säkerhets- känslig verksamhet bedrivs, dels skadlig inverkan på sådana områden, byggnader, anläggningar eller objekt. Den nya benämningen svarar bättre mot åtgärderna än den nuvarande benämningen tillträdesbegränsning.
Personalsäkerhet
Syftet med personalsäkerhet
Vi föreslår att syftet med säkerhetsskyddsåtgärden personalsäkerhet ska anges vara dels att förebygga att personer som inte är pålitliga från säkerhetssynpunkt deltar i en verksamhet där de kan få tillgång till säkerhetsskyddsklassificerade uppgifter eller i en verksamhet som av annan anledning är säkerhetskänslig (säkerhetsprövning), dels att säkerställa att de som deltar i säkerhetskänslig verksamhet har en tillräcklig kunskap om säkerhetsskydd (utbildning i säkerhetsskydd).
En övergång till säkerhetsklarering?
Enligt direktiven ska vi överväga en förändring av nuvarande säkerhetsprövning mot ett system med inslag av säkerhetsklarering. Redovisningen i direktiven utgår i det avseendet från de förändringar som samarbetet med andra länder och mellanfolkliga organisationer påkallar.
Erfarenheter som kan dras utifrån den internationella utblicken visar att i fråga om klarering likheterna med den svenska modellen är större än olikheterna. Det handlar överlag mer om formella skillnader än om skillnader i sak. Systemen för klarering i de länder vi har studerat skiljer sig dessutom sinsemellan åt i flera avseenden.
Vid en jämförelse med den svenska säkerhetsprövningen är vårt intryck att underlagen i klareringsmodellerna i högre grad är mer summariska och inte sällan bygger på enbart uppgifter om tidigare brottslighet. Som vi ser det innebär vidare en ordning med ett klareringsförfarande ett avsteg från den viktiga principen om ett verksamhetsanpassat säkerhetsskydd. Att prövningen ska anpassas till den specifika befattningen är angeläget inte enbart utifrån behovet av ett för den ifrågavarande verksamheten väl anpassat säkerhetsskydd utan också för den som prövningen avser.
Sammantaget har det inte för skyddet av verksamhet som har betydelse för Sveriges säkerhet kommit fram några påtagliga behov av ett intygsförfarande. Behoven hör i stället samman med utlandstjänstgöring och liknande. Det finns mervärden i nuvarande system som i viss utsträckning kan behöva förstärkas men som i stället kan riskera att försvagas vid en övergång till ett klareringssystem.
För att tillgodose krav som följer av internationella säkerhetsskyddsåtaganden behöver grunderna för och underlaget vid säkerhetsprövningen ansluta till det sätt att klassificera information i en fyrgradig skala som vi har föreslagit. En sådan anpassning kan åstadkommas genom en justering av grunderna för placering av anställningar i säkerhetsklass. Det finns vidare behov av en reglering som tydligt ger stöd för att utfärda internationellt sett inom säkerhetsskyddsområdet accepterade intyg. Sådana förändringar kan genomföras också inom ramen för nuvarande system för säkerhetsprövning (se vidare nedan under rubriken Internationell samverkan).
Vi har alltså kommit fram till att säkerhetsprövningen inte bör utvecklas mot ett s.k. klareringssystem. En sådan förändring behövs inte för att kunna uppfylla krav som följer av internationella säkerhetsskyddsåtaganden och är inte heller av annan anledning att föredra.
Säkerhetsprövning
Vad som ska bedömas inom ramen för säkerhetsprövningen är liksom i dag pålitlighet och lojalitet. Av förarbeten till gällande säkerhetsskyddslag framgår att det innebär ett behov av att utreda och ta ställning till om t.ex. missbruk av olika slag eller förbindelser med andra länder innebär att den kontrollerade kan löpa en särskild risk att utsättas för påtryckningar. Det kan innebära att det är nödvändigt att ställa frågor om personliga förhållanden som kan vara känsliga för den som kontrollen avser. Vi föreslår att det i lagtexten tydligt anges att säkerhetsprövningen innebär att omständigheter som kan antas innebära sårbarheter i säkerhetshänseende ska beaktas.
Säkerhetsskyddslagens bestämmelser om säkerhetsprövning bör i stora delar föras över till en reformerad säkerhetsskyddslag. I vissa avseenden har vi sett behov av förtydliganden. Vårt förslag innebär att det också av lagen tydligare framgår att prövningen förutsätter en grundutredning som, i den utsträckning som följer av bestämmelserna om placering i säkerhetsklass, ska kompletteras med registerkontroll och särskild personutredning. Med grundutredning avses således bl.a. intervju eller annan form av uppgiftsinhämtning.
Vidare föreslår vi att det av lagtexten tydligt ska framgå att
säkerhetsprövningen innebär krav på uppföljning under hela den tid deltagandet i den säkerhetskänsliga verksamheten pågår.
Placering i säkerhetsklass
Bestämmelserna om placering av anställningar i säkerhetsklass anpassas till förslaget om en övergång från skydd av hemliga uppgifter till skydd av säkerhetsskyddsklassificerade uppgifter och till förslaget om att skyddsnivån för sådana uppgifter ska bestämmas av uppgiftens informationssäkerhetsklass.
Att den berörde får del av säkerhetsskyddsklassificerade uppgifter som klassificerats som kvalificerat hemliga, hemliga eller konfidentiella ska styra placeringen i säkerhetsklass. Om uppgifter på en högre skyddsnivå förekommer endast i mindre omfattning, ska dock anställningen placeras i nästa lägre klass.
Bestämmelserna om placering i säkerhetsklass utvidgas till att omfatta även anställningar i verksamhet som, även om den inte innebär hantering av säkerhetsskyddsklassificerade uppgifter, är säkerhetskänslig (i övrigt säkerhetskänslig verksamhet). Den nya grunden för placering i säkerhetsklass innebär att den registerkontroll som i dag görs med stöd av 14 § säkerhetsskyddslagen (skydd mot terrorism) inordnas i systemet med säkerhetsklassplaceringar.
Att den anställde till följd av sitt deltagande i verksamheten har
möjlighet att orsaka synnerligen allvarlig skada, allvarlig skada eller
en inte obetydlig skada för Sveriges säkerhet ska styra placeringen i
säkerhetsklass.
Medborgarskapskravet tas bort
Vi har kommit fram till att svenskt medborgarskap inte ska vara ett behörighetsgrundande krav för att inneha en säkerhetsklassad anställning hos staten, kommuner eller landsting och att det kravet således inte ska föras över till en reformerad säkerhetsskyddslag. Det innebär dock inte att avsaknaden av svenskt medborgarskap är utan betydelse. Den omständigheten att en person saknar svenskt medborgarskap får i stället, på samma sätt som t.ex. innehav av annat medborgarskap jämte ett svenskt, närmare utredas och vägas in vid säkerhetsprövningen.
Ett uttryckligt krav på restriktivitet vid placering i säkerhetsklass
Ett krav på restriktiv tillämpning i fråga om placering av anställningar i säkerhetsklass ska införas i säkerhetsskyddslagen. Av en sådan bestämmelse ska framgå att den som beslutar om placering av en anställning i säkerhetsklass ska noga pröva behovet och att sådan placering får göras endast om skyddsbehovet inte kan tillgodoses på något annat sätt.
Utlämnande av uppgifter som kommit fram vid registerkontroll
Den nuvarande ordningen där uppgifter efter registerkontroll får
lämnas ut endast efter en relevansprövning av Säkerhets- och
integritetsskyddsnämnden bör inte ändras.
Vem ska besluta om placering i säkerhetsklass?
Behörigheten att besluta om placering av anställningar i säkerhetsklass ska bygga på nuvarande beslutsordning där regeringen, med undantag för riksdagens förvaltningsområde, ytterst har beslutanderätten men kan överlåta den till myndigheter, kommuner och landsting och, om det finns särskilda skäl, vissa företag. I huvudsak ska endast den som beslutar om placering i säkerhetsklass ha behörighet att från Säkerhetspolisen få uppgifter vid registerkontroll.
Ansvaret för säkerhetsprövningen
Den verksamhet som avser att anställa någon eller på annat sätt låta någon delta i säkerhetskänslig verksamhet ansvarar för säkerhets- prövningen och avgör självständigt om personen är lämplig från säkerhetssynpunkt. En delvis avvikande ordning gäller på vissa områden bl.a. i fråga om verksamhet som omfattas av krav på luftfartsskydd och för leverantörer där villkoren för säkerhetsskyddet bestäms i ett säkerhetsskyddsavtal.
Skyddet för uppgifter om enskildas personliga förhållanden
Säkerhetsprövningen kan innebära att för den enskilde synnerligen känsliga uppgifter hämtas in av den presumtive arbetsgivaren eller den som annars ska göra säkerhetsprövningen. Det är därför viktigt att det finns ett skydd för att uppgifterna inte används för annat ändamål än det avsedda. Vår bedömning är att skyddet i dag inte i alla avseenden är tillräckligt. Vi föreslår därför en ändring i offentlighets- och sekretesslagen och en, i fråga om enskild verksamhet, kompletterade tystnadspliktsbestämmelse i säkerhetsskyddslagen.
Säkerhetsskyddad upphandling
Säkerhetsskyddad upphandling med säkerhetsskyddsavtal bör behållas i en ny lagstiftning. Bestämmelserna om säkerhetsskyddad upphandling och säkerhetsskyddsavtal ska gälla för upphandlingar eller ingående av kontrakt där det förekommer information i informationssäkerhetsklassen konfidentiell eller däröver, eller som i övrigt avser säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet. Skälet till det är att kraven på att säkerhetsskyddad upphandling genomförs ska korrespondera mot andra krav på säkerhetsskydd.
I säkerhetsskyddsavtalen ska villkor anges för hur krav på säkerhetsskydd ska tillgodoses av leverantören.
Även fortsättningsvis bör säkerhetsskyddsavtal ingås av staten, kommuner och landsting, men vi anser att andra som har behov av sådana avtal bör kunna begära detta hos en myndighet som regeringen bestämmer, i första hand en säkerhetsskyddsstödjande myndighet. Om det finns särskilda skäl, bör en enskild kunna ingå säkerhetsskyddsavtal.
Internationell samverkan
Vi föreslår att Försvarsmakten får i uppgift att vara nationell säkerhetsmyndighet. Försvarsmakten ska dock, i fråga om andra ärenden än sådana som rör registerkontroll och säkerhetsintyg för person, till Säkerhetspolisen lämna över ärenden som främst rör Säkerhetspolisens tillsynsområde. Vi föreslår också att Försvarets materielverk får i uppgift att vara nationell industrisäkerhetsmyndighet. Försvarsmakten och Försvarets materielverk bör ges rätt att utfärda föreskrifter för respektive ansvarsområden.
Säkerhetsintyg för person får utfärdas om behov av sådant intyg finns vid internationell samverkan avseende säkerhetskänslig verksamhet, eller om intyget kan underlätta för en person som har hemvist i Sverige att delta i en verksamhet som en annan stat eller en mellanfolklig organisation bedömer vara i behov av säkerhetsskydd. Säkerhetsintyg för leverantör får utfärdas om behov av sådant intyg finns vid internationell samverkan avseende säkerhetskänslig verksamhet, eller om intyget kan underlätta för en leverantör som har sitt säte i Sverige att delta i en verksamhet som en annan stat eller en mellanfolklig organisation bedömer vara i behov av säkerhetsskydd.
Gemensamt för båda slagen av intyg är att dessa i princip får utfärdas endast om deltagandet avser verksamhet i eller för en stat eller mellanfolklig organisation som omfattas av ett internationellt säkerhetsskyddsåtagande.
Tillsyn, föreskrifter och rapportering
Det finns brister som i vissa fall är allvarliga vad gäller att uppfylla säkerhetsskyddslagens bestämmelser och intentioner. I några avseenden beror det på förhållanden som inte går att påverka genom en reformerad säkerhetsskyddslagstiftning. Vad i övrigt gäller bristerna i säkerhetsskyddet är det vår bedömning att de i en relativt stor utsträckning kan relateras till otydlig lagstiftning och bristfällig kunskap om hur lagstiftningens krav påverkar och kan tillgodoses i den egna verksamheten. Tillsyn kan endast i begränsad omfattning påverka sådana brister.
Vår bedömning är att tillsynen bör bedrivas under i huvudsak samma former som i dag. Behovet av råd och stöd är framträdande särskilt i fråga om enskilda som bedriver säkerhetskänslig verksamhet. Tillräckliga skäl föreligger för närvarande inte att föreslå en så genomgripande förändring av tillsynens inriktning och genomförande som sanktioner skulle medföra. Frågan bör dock följas upp när en reformerad säkerhetsskyddslag har varit i kraft en tid.
I fråga om organisationen av tillsynen föreslår vi bl.a. ett förenklat samrådsförfarande för de inblandade myndigheterna. Säkerhetspolisen och Försvarsmakten som har det huvudsakliga ansvaret för tillsynen av säkerhetsskyddet kan då också arbeta mer effektivt med tillsynen. Vi föreslår också att Myndigheten för samhällsskydd och beredskap tar över det tillsynsansvar som länsstyrelserna har gentemot vissa enskilda verksamheter samt även Säkerhetspolisens tillsynsansvar för kommuner och landsting.
Rätten att meddela föreskrifter bör i huvudsak vara densamma som
i nuvarande säkerhetsskyddslagstiftning. Det innebär att föreskriftsrätten fördelas främst mellan Säkerhetspolisen och Försvarsmakten.
I fråga om rapportering föreslår vi bl.a. att myndigheter och andra som säkerhetsskyddslagstiftningen gäller för och som får kännedom om säkerhetshotande verksamhet av allvarlig karaktär eller misstänker sådan verksamhet ska vara skyldiga att rapportera förhållandet till Säkerhetspolisen eller Försvarsmakten. Det kan t.ex. vara fråga om incidenter där angreppen är av kvalificerad art eller tyder på en systematisk och målinriktad strategi från en aktör. Vidare torde angrepp som samtidigt riktas mot flera verksamheter ofta vara allvarliga.
Övriga frågor
Tystnadsplikt för den som deltar i säkerhetskänslig verksamhet
Det behövs sekretesskydd för uppgifter som är av betydelse för Sveriges säkerhet när sådana uppgifter förekommer i enskild verksamhet. Vi föreslår att en tystnadspliktsbestämmelse införs i säkerhetsskyddslagen. Tystnadsplikten ska gälla också förhållanden som omfattas av ett för Sverige förpliktande åtagande om säkerhetsskydd. En förutsättning för tystnadsplikten ska vara att anställningen eller deltagandet placeras i säkerhetsklass.
Säkerhetsskyddet i riksdagen och Regeringskansliet
Riksdagen och dess myndigheter och Regeringskansliet omfattas i en begränsad utsträckning av säkerhetsskyddslagstiftningen. Den ordningen ska i sak föras över till en reformerad säkerhetsskyddslag. Den föreslagna bestämmelsen om krav på informationssäkerhetsklassificering kommer att vara central för bl.a. bestämmelser om placering av anställda i säkerhetsklass. Vi föreslår därför att även den bestämmelsen ska gälla för de nämnda organen.
Betänkandets lagförslag
1 Förslag till säkerhetsskyddslag
Härigenom föreskrivs följande.
1 kap. Lagens syfte och tillämpningsområde samt definitioner
Lagens syfte och tillämpningsområde
1 § Syftet med denna lag är att säkerställa säkerhetsskyddet för verksamheter hos staten, kommuner, landsting och enskilda som är av betydelse för Sveriges säkerhet, eller som omfattas av ett för Sverige i förhållande till annan stat eller mellanfolklig organisation, förpliktande åtagande om säkerhetsskydd.
Lagen ska även i övrigt ge stöd för internationell samverkan på säkerhetsskyddsområdet.
Definitioner
2 § Med internationellt säkerhetsskyddsåtagande avses ett för Sverige, i förhållande till annan stat eller mellanfolklig organisation, förpliktande åtagande om säkerhetsskydd.
3 § Med säkerhetskänslig verksamhet avses sådan verksamhet hos staten, kommuner, landsting och enskilda som är av betydelse för Sveriges säkerhet eller omfattas av ett internationellt säkerhetsskyddsåtagande.
4 § Med säkerhetsskyddsklassificerad uppgift avses en uppgift som rör säkerhetskänslig verksamhet och som av den anledningen omfattas av sekretess enligt offentlighets- och sekretesslagen (2009:400) eller som skulle ha omfattats av sekretess, om uppgiften i stället förekommit i en verksamhet där bestämmelser om sekretess i offentlighets- och sekretesslagen gäller.
5 § Med säkerhetsskydd avses
1. skydd mot spioneri, sabotage, terroristbrott och andra brott som kan hota säkerhetskänslig verksamhet, samt
2. skydd i andra fall av säkerhetsskyddsklassificerade uppgifter.
2 kap. Allmänna bestämmelser om säkerhetsskydd
Säkerhetsskyddsåtgärder
1 § Säkerhetsskyddet ska särskilt genom
1. informationssäkerhet förebygga dels att säkerhetsskyddsklassificerade uppgifter obehörigen röjs, ändras, görs otillgängliga eller förstörs, dels skadlig inverkan på andra informationstillgångar som avser säkerhetskänslig verksamhet,
2. fysisk säkerhet förebygga dels att obehöriga får tillträde till områden, byggnader och andra anläggningar eller objekt där de kan få tillgång till säkerhetsskyddsklassificerade uppgifter eller där verksamhet som av annan anledning är säkerhetskänslig bedrivs, dels skadlig inverkan på sådana områden, byggnader, anläggningar eller objekt, och
3. personalsäkerhet förebygga att personer som inte är pålitliga från säkerhetssynpunkt deltar i en verksamhet där de kan få tillgång till säkerhetsskyddsklassificerade uppgifter eller i en verksamhet som av annan anledning är säkerhetskänslig (säkerhetsprövning) samt säkerställa att de som deltar i säkerhetskänslig verksamhet har en tillräcklig kunskap om säkerhetsskydd (utbildning i säkerhetsskydd).
Skyldigheter för den som är ansvarig för en
säkerhetskänslig verksamhet
2 § Den som är ansvarig för en säkerhetskänslig verksamhet ska se till att
1. behovet av säkerhetsskydd utreds (säkerhetsskyddsanalys),
2. säkerhetsskyddsåtgärder enligt 1 § planeras och vidtas för att säkerställa det säkerhetsskydd som behövs med hänsyn till verksamhetens art, omfattning och övriga omständigheter, samt i fråga om säkerhetsskyddsklassificerade uppgifter också är anpassat till uppgifternas informationssäkerhetsklass enligt 3 §,
3. säkerhetsskyddet kontrolleras, och
4. att sådan anmälnings- och upplysningsskyldighet som följer av förordning som har meddelats med stöd av denna lag fullgörs.
Så långt det är möjligt ska säkerhetsskyddsåtgärderna utformas så att de inte medför skada eller annan olägenhet för andra allmänna eller enskilda intressen.
Informationssäkerhetsklasser
3 § Säkerhetsskyddsklassificerade uppgifter ska utifrån den skada som ett röjande av uppgiften kan medföra för Sveriges säkerhet delas in i en informationssäkerhetsklass enligt följande
1. Kvalificerat hemlig vid en synnerligen allvarlig skada,
2. Hemlig vid en allvarlig skada,
3. Konfidentiell vid en inte obetydlig skada, eller
4. Begränsat hemlig vid en ringa skada.
Säkerhetsskyddsklassificerade uppgifter som omfattas av ett internationellt säkerhetsskyddsåtagande ska, om de inte redan av annan stat eller mellanfolklig organisation har klassificerats, på motsvarande sätt delas in en informationssäkerhetsklass enligt första stycket utifrån den skada som ett röjande av uppgiften kan medföra för Sveriges förhållande till annan stat eller mellanfolklig organisation.
Säkerhetsskyddsavtal
4 § Vid upphandling eller ingående av ett avtal avseende varor, tjänster eller byggentreprenader där det förekommer säkerhetsskyddsklassificerade uppgifter i informationssäkerhetsklassen konfidentiell eller däröver, eller som i övrigt avser säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet, ska villkor anges i ett säkerhetsskyddsavtal för hur krav på säkerhetsskydd enligt 2 § ska tillgodoses av leverantören.
Den som ingått ett säkerhetsskyddsavtal med en leverantör ska också kontrollera att de angivna villkoren om säkerhetsskydd följs och se till att sådan anmälningsskyldighet som avses i 2 § första stycket 4 fullgörs.
5 § Ett säkerhetsskyddsavtal enligt 4 § får, om det inte finns särskilda skäl, ingås endast av staten, kommuner eller landsting.
Om en upphandlande verksamhet i enlighet med första stycket inte själv får ingå ett säkerhetsskyddsavtal, ska en ansökan om ingående av säkerhetsskyddsavtal göras till den myndighet som regeringen bestämmer.
Undantag från bestämmelser om säkerhetsskydd
6 § För riksdagen och dess myndigheter gäller endast bestämmelserna om informationssäkerhetsklasser, säkerhetsprövning och säkerhetsintyg. I övrigt gäller lagen (2006:128) om säkerhetsskydd för riksdagen och dess myndigheter.
7 § Regeringen får i fråga om Regeringskansliet förordna om undantag från andra bestämmelser i lagen än sådana som gäller informationssäkerhetsklasser, säkerhetsprövning och säkerhetsintyg.
Särskilda bestämmelser om statsministerns tjänstebostäder
8 § I lagen (2014:514) om ansvar för vissa säkerhetsfrågor vid statsministerns tjänstebostäder finns särskilda bestämmelser om ansvar för fysisk säkerhet och om samrådsskyldighet inför att säkerhetsskyddsavtal ska träffas och inför beslut om placering i säkerhetsklass.
Skyddsobjekt
9 § Bestämmelser om förbud mot tillträde till vissa byggnader, andra anläggningar, områden och andra objekt finns i skyddslagen (2010:305).
3 kap. Säkerhetsprövning
Vem som ska säkerhetsprövas
1 § Den som genom anställning eller på något annat sätt ska delta i säkerhetskänslig verksamhet ska säkerhetsprövas. Säkerhetsprövning ska dock inte göras när det gäller
1. ledamöter av regeringen, av Europaparlamentet, av riksdagen eller av kommun- och landstingsfullmäktige, eller
2. andra uppdrag som offentliga försvarare eller ombud inför domstol än sådana som avser offentligt ombud enligt 27 kap. 27 § rättegångsbalken eller integritetsskyddsombud enligt 6 § lagen (2009:966) om Försvarsunderrättelsedomstol.
Säkerhetsprövningens syfte och dess innehåll
2 § Säkerhetsprövningen ska klarlägga om personen kan antas vara lojal mot de intressen som skyddas i denna lag och i övrigt pålitlig från säkerhetssynpunkt. Vid säkerhetsprövningen ska beaktas sådana omständigheter som kan antas innebära sårbarheter i säkerhetshänseende.
3 § En inledande säkerhetsprövning ska göras innan deltagandet i den säkerhetskänsliga verksamheten påbörjas. Prövningen ska innefatta en grundutredning samt registerkontroll och särskild personutredning i den omfattning som anges i 6, 7 och 10 §§. Om det finns särskilda skäl, får den inledande säkerhetsprövningen göras mindre omfattande.
Säkerhetsprövningen ska därefter följas upp under den tid som deltagandet i den säkerhetskänsliga verksamheten pågår.
Säkerhetsklasser
4 § En anställning eller ett annat deltagande i säkerhetskänslig verksamhet ska placeras i säkerhetsklass enligt följande.
1. Säkerhetsklass 1, om den anställde eller den som på annat sätt deltar i verksamheten i en omfattning som inte är ringa får del av uppgifter i informationssäkerhetsklassen kvalificerat hemlig, eller på annat sätt till följd av sitt deltagande i verksamheten har möjlighet att orsaka synnerligen allvarlig skada för Sveriges säkerhet.
2. Säkerhetsklass 2, om den anställde eller den som på annat sätt deltar i verksamheten i en omfattning som inte är ringa får del av uppgifter i informationssäkerhetsklassen hemlig eller i ringa omfattning får del av uppgifter i informationssäkerhetsklassen kvalificerat hemlig, eller på annat sätt till följd av sitt deltagande i verksamheten har möjlighet att orsaka allvarlig skada för Sveriges säkerhet.
3. Säkerhetsklass 3, om den anställde eller den som på annat sätt deltar i verksamheten får del av uppgifter i informationssäkerhetsklassen konfidentiell eller i ringa omfattning får del av uppgifter i informationssäkerhetsklassen hemlig, eller på annat sätt till följd av sitt deltagande i verksamheten har möjlighet att orsaka en inte obetydlig skada för Sveriges säkerhet.
En anställning eller ett annat deltagande i säkerhetskänslig verksamhet ska också i andra fall än sådana som följer av första stycket placeras i en säkerhetsklass som motsvarar de krav på säkerhetsprövning som följer av ett internationellt säkerhetsskyddsåtagande.
En anställning eller ett annat deltagande får placeras i säkerhetsklass endast om behovet av säkerhetsskydd inte kan tillgodoses på annat sätt.
Vem som beslutar om placering i säkerhetsklass
5 § Riksdagen och dess myndigheter beslutar om placering i säkerhetsklass såvitt avser riksdagens förvaltningsområde.
I övrigt beslutar regeringen om placering i säkerhetsklass. Regeringen får föreskriva att myndigheter och andra för vilka bestämmelserna om säkerhetsprövning gäller beslutar om placering i säkerhetsklass. Denna beslutanderätt får tilldelas enskilda endast om det finns särskilda skäl.
Registerkontroll
6 § Med registerkontroll avses i denna lag att uppgifter i den omfattning som följer av 12 § hämtas från register som omfattas av lagen (1998:620) om belastningsregister, lagen (1998:621) om misstankeregister eller lagen (2010:362) om polisens allmänna spaningsregister. Med registerkontroll avses också att uppgifter som behandlas med stöd av polisdatalagen (2010:361) hämtas in.
7 § Registerkontroll ska göras om anställningen eller deltagandet i verksamheten har placerats i säkerhetsklass.
Vid registerkontroll enligt första stycket ska också uppgifter enligt 6 § löpande hämtas in under den tid deltagandet i den säkerhetskänsliga verksamheten pågår.
8 § Om det finns särskilda skäl, får registerkontroll av någon som ska delta i en säkerhetskänslig verksamhet göras utan föregående placering i säkerhetsklass. Föreskrifter om detta meddelas av regeringen, utom såvitt gäller riksdagen och dess myndigheter.
9 § Bestämmelser om registerkontroll finns också i 4 kap. om internationell säkerhetsskyddssamverkan och säkerhetsintyg.
Särskild personutredning
10 § En särskild personutredning ska göras vid registerkontroll som avser anställning eller annat deltagande i verksamhet, om anställningen eller deltagandet i verksamheten har placerats i säkerhetsklass 1 eller 2. Utredningen ska omfatta en undersökning av den kontrollerades ekonomiska förhållanden. I övrigt ska utredningen ha den omfattning som behövs.
Krav på samtycke
11 § Registerkontroll och särskild personutredning får göras endast om den som säkerhetsprövningen gäller har lämnat sitt samtycke. Samtycket ska anses gälla också kontroller och utredningar under den tid som deltagandet i den säkerhetskänsliga verksamheten pågår.
Utlämnande av uppgifter
12 § Säkerhets- och integritetsskyddsnämnden beslutar om uppgifter som kommit fram vid registerkontroll och särskild personutredning ska lämnas ut för säkerhetsprövning. Utlämnande av uppgifter får omfatta,
1. för säkerhetsklass 1 eller 2: uppgifter om den kontrollerade som finns i något av de register som anges i 6 § eller som behandlas med stöd av polisdatalagen (2010:361). Om det är oundgängligen nödvändigt, får också motsvarande uppgifter om den kontrollerades make eller sambo lämnas ut, eller
2. för säkerhetsklass 3: uppgifter om den kontrollerade i belastningsregistret och misstankeregistret samt uppgifter som behandlas hos Säkerhetspolisen med stöd av polisdatalagen.
Om det finns synnerliga skäl, får utlämnandet omfatta även andra uppgifter än sådana som avses i första stycket.
En uppgift som har kommit fram vid registerkontroll eller särskild personutredning får lämnas ut för säkerhetsprövning endast om den i det enskilda fallet kan antas ha betydelse för prövningen av den kontrollerades pålitlighet från säkerhetssynpunkt.
13 § Innan en uppgift lämnas ut för säkerhetsprövning ska den som uppgiften avser ges tillfälle att yttra sig över uppgiften. Detta gäller dock inte om uppgiften omfattas av sekretess i förhållande till den enskilde enligt någon annan bestämmelse i offentlighets- och sekretesslagen (2009:400) än 35 kap. 3 §.
Även om uppgiften omfattas av sådan sekretess, ska den som uppgiften avser ges tillfälle att yttra sig innan uppgiften lämnas ut, om hans eller hennes intresse av att få yttra sig skäligen bör ha företräde framför det intresse som sekretessen ska skydda.
Bedömning vid säkerhetsprövning
14 § Säkerhetsprövningen innebär en bedömning enligt 2 § av en persons lämplighet för att delta i en säkerhetskänslig verksamhet. Bedömningen ska utgå från uppgifter som kommit fram vid genomförandet av grundutredningen och den kännedom som i övrigt finns om den som ska prövas, uppgifter som har lämnats ut efter registerkontroll och särskild personutredning, arten av den verksamhet för vilken prövningen görs samt omständigheterna i övrigt.
Bedömningen görs av den som beslutar om anställning eller annat deltagande i den säkerhetskänsliga verksamheten. Har någon annan ett avgörande bestämmande över den prövades lämplighet att delta i den säkerhetskänsliga verksamheten, gör dock denne den slutliga bedömningen.
Om det finns anledning till det, ska en tidigare gjord bedömning avseende en persons lämplighet för att delta i den säkerhetskänsliga verksamheten omprövas.
4 kap. Internationell säkerhetsskyddssamverkan och säkerhetsintyg
Nationell säkerhetsmyndighet
1 § Den som regeringen bestämmer ska fullgöra uppgiften som nationell säkerhetsmyndighet och nationell industrisäkerhetsmyndighet i enlighet med internationella säkerhetsskyddsåtaganden.
Säkerhetsintyg
2 § Ett säkerhetsintyg får utfärdas för personer och leverantörer när en annan stat eller mellanfolklig organisation ansökt om sådant underlag, om
1. behov av sådant intyg finns vid internationell samverkan avseende säkerhetskänslig verksamhet enligt denna lag, eller
2. intyget, utöver vad som följer av punkten 1, kan underlätta för en person som har hemvist i Sverige eller för en leverantör med säte i Sverige att delta i en verksamhet som en annan stat eller en mellanfolklig organisation bedömer vara i behov av säkerhetsskydd.
Ett intyg enligt första stycket får utfärdas endast om deltagandet avser verksamhet i eller för en stat eller mellanfolklig organisation som omfattas av ett internationellt säkerhetsskyddsåtagande. Om det finns särskilda skäl, får regeringen besluta om undantag från kravet på ett internationellt säkerhetsskyddsåtagande.
3 § En säkerhetsprövning som innefattar registerkontroll enligt 3 kap. 6 § får göras, om det behövs för att ett säkerhetsintyg ska kunna utfärdas. Vid sådan registerkontroll får också en särskild personutredning enligt 3 kap. 10 § göras.
4 § Vid ärenden om säkerhetsintyg gäller bestämmelserna om säkerhetsprövning i 3 kap. 2, 6, 10-13 §§ samt 14 § första stycket.
Registerkontroll på ansökan av en annan stat eller
mellanfolklig organisation
5 § Registerkontroll enligt 3 kap. 6 § får göras när en annan stat eller mellanfolklig organisation ansökt om sådant underlag, om
1. den person som ansökan gäller har eller har haft hemvist i Sverige, och
2. personen genom anställning eller på annat sätt ska delta i en verksamhet där det för deltagandet gäller regler om registerkontroll vid säkerhetsprövning som motsvarar reglerna i denna lag.
Vid registerkontroll enligt första stycket får också en särskild personutredning enligt 3 kap. 10 § göras.
6 § Vid ärenden enligt 5 § gäller bestämmelserna om registerkontroll, särskild personutredning och samtycke i 3 kap. 6 och 10-13 §§.
Vem som beslutar om registerkontroll och utfärdar intyg
7 § Den nationella säkerhetsmyndigheten beslutar om registerkontroll enligt 3 och 5 §§ samt utfärdar intyg enligt 2 § och lämnar underlag enligt 5 §.
Om en registerkontroll föranleds av ett ärende om säkerhetsintyg för leverantör, beslutar i stället den nationella industrisäkerhetsmyndigheten om registerkontrollen och utfärdar intyg enligt 2 §.
5 kap. Övriga bestämmelser
Tystnadsplikt
1 § Den som med stöd av denna lag har fått del av uppgifter om någon annans personliga förhållanden får inte obehörigen röja eller utnyttja dessa uppgifter.
I det allmännas verksamhet tillämpas i stället bestämmelserna i offentlighets- och sekretesslagen (2009:400).
2 § Den som på grund av anställning eller på annat sätt deltar eller har deltagit i säkerhetskänslig verksamhet enligt denna lag får inte obehörigen röja eller utnyttja säkerhetsskyddsklassificerade uppgifter. Tystnadsplikten gäller om anställningen eller deltagandet placerats i säkerhetsklass enligt 3 kap. 4 §.
I det allmännas verksamhet tillämpas i stället bestämmelserna i offentlighets- och sekretesslagen (2009:400).
Sekretessbrytande bestämmelse
3 § Sekretess hindrar inte att den nationella säkerhetsmyndigheten enligt 4 kap. 1 § i ett ärende om underlag för säkerhetsprövning enligt 4 kap. 5 § till en utländsk myndighet eller en mellanfolklig organisation lämnar ut en uppgift som har kommit fram vid registerkontroll eller särskild personutredning, om det står klart att ett sådant utlämnande är förenligt med svenska intressen.
Tillsyn
4 § Den som regeringen bestämmer ska utföra tillsyn över säkerhetsskyddet hos myndigheter och andra som lagen gäller för samt hos leverantörer som har träffat ett säkerhetsskyddsavtal.
Föreskrifter om verkställighet
5 § Regeringen eller den myndighet som regeringen bestämmer meddelar de närmare föreskrifter som behövs för lagens tillämpning.
1. Denna lag träder i kraft den 1 januari 2017.
2. Genom lagen upphävs säkerhetsskyddslagen (1996:627).
3. En anställning eller annat deltagande som enligt säkerhetsskyddslagen (1996:627) placerats i säkerhetsklass 1-3 ska motsvara en placering enligt 3 kap. 4 § i säkerhetsklass 1-3. En registerkontroll med stöd av 14 § säkerhetsskyddslagen ska i den utsträckning regeringen föreskriver motsvara ett beslut om placering i säkerhetsklass 3.
2 Förslag till lag om ändring i polislagen (1984:387)
Härigenom föreskrivs att 3 § polislagen (1984:387) ska ha följande lydelse
Nuvarande lydelse
Föreslagen lydelse
3 §
Till Säkerhetspolisens uppgifter hör att
1. förebygga, förhindra och upptäcka brottslig verksamhet som innefattar brott mot rikets säkerhet eller terrorbrott,
2. utreda och beivra sådana brott som anges i 1 eller som följer av 5,
3. fullgöra uppgifter i samband med personskydd av den centrala statsledningen och andra som regeringen eller Säkerhetspolisen bestämmer,
4. fullgöra uppgifter enligt säkerhetsskyddslagen (1996:627),
4. fullgöra uppgifter enligt säkerhetsskyddslagen
(2017:xx),
5. leda annan polisverksamhet om regeringen föreskriver det och i övrigt bedriva sådan verksamhet som framgår av lag eller förordning eller som regeringen uppdragit åt Säkerhetspolisen att i särskilda hänseenden ansvara för.
När Säkerhetspolisen leder polisverksamhet enligt första stycket ska det som i lag eller annan författning föreskrivs om Polismyndigheten i tillämpliga delar gälla Säkerhetspolisen.
Denna lag träder i kraft den 1 januari 2017.
3 Förslag till lag om ändring i elberedskapslagen (1997:288)
Härigenom föreskrivs att 2 § elberedskapslagen (1997:288) ska ha följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
2 §
Beredskapslagring av bränsle som används för elproduktion omfattas av lagen endast i fråga om rätt till ersättning enligt 10 §. Särskilda bestämmelser om beredskapslagring finns i lagen (2012:806) om beredskapslagring av olja.
I skyddslagen (2010:305) och i säkerhetsskyddslagen (1996:627) finns bestämmelser om tillträdesbegränsning.
I skyddslagen (2010:305) och i säkerhetsskyddslagen (2017:xx) finns bestämmelser om tillträdesbegränsning och fysisk säkerhet.
Denna lag träder i kraft den 1 januari 2017.
4 Förslag till lag om ändring i lagen (1998:938) om behandling av personuppgifter om totalförsvarspliktiga
Härigenom föreskrivs att 9 § lagen (1998:938) om behandling av personuppgifter om totalförsvarspliktiga ska ha följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
9 §
I automatiserat register över totalförsvarspliktiga får endast följande personuppgifter föras in:
1. personnummer eller samordningsnummer, namn, adress, telefonnummer och folkbokföringsort,
2. hinder för genomförande av utredning som avses i 3 § första stycket, för utbildning eller för krigsplacering eller annat ianspråktagande av den registrerade för totalförsvarets räkning,
3. boende- och familjeförhållanden samt försörjning, om uppgiften behövs för att Totalförsvarets rekryteringsmyndighet ska kunna fullgöra sina åligganden i fråga om förmåner till totalförsvarspliktiga,
4. utbildning, anställning, kunskaper, färdigheter, anlag och intressen som har betydelse för bedömningen av den registrerades användbarhet inom totalförsvaret,
5. fysisk och psykisk hälsa och förmåga jämte de uppgifter som ligger till grund för bedömningen härav,
6. om den registrerade är svensk medborgare eller inte,
7. utgången i mål om ansvar för brott mot totalförsvarsplikten,
8. att den registrerade har dömts till påföljd för brott som framgår av uppgift ur belastningsregistret som Totalförsvarets rekryterings-myndighet fått del av,
9. att den registrerade genomgått säkerhetsprövning enligt säkerhetsskyddslagen (1996:627), vilken säkerhetsklass prövningen avsett och resultatet av denna,
9. att den registrerade genomgått säkerhetsprövning enligt säkerhetsskyddslagen (2017:xx), vilken säkerhetsklass prövningen avsett och resultatet av denna,
10. vad som bestämts vid inskrivningen enligt lagen (1994:1809) om totalförsvarsplikt eller lagen (1994:1810) om möjlighet för kvinnor att fullgöra värnplikt eller civilplikt med längre grundutbildning,
11. krigsplacering, annat ianspråktagande av den registrerade för totalförsvaret eller särskild uppgift som han eller hon ska utföra vid höjd beredskap,
12. tjänstgöring inom totalförsvaret samt betyg, vitsord, förordnanden och utmärkelser som är att hänföra till denna, samt
13. personliga förhållanden i övrigt som åberopas av den registrerade, om de rör hans eller hennes tjänstgöring inom totalförsvaret.
Andra känsliga personuppgifter än sådana uppgifter som rör hälsa eller religiös övertygelse får inte föras in i ett automatiserat register över totalförsvarspliktiga. Uppgifter om religiös övertygelse får endast registreras om den registrerade har lämnat sitt uttryckliga samtycke till att uppgifterna behandlas i registret och de rör hans eller hennes tjänstgöring inom totalförsvaret.
Denna lag träder i kraft den 1 januari 2017.
5 Förslag till lag om ändring i lagen (2006:128) om säkerhetsskydd i riksdagen och dess myndigheter
Härigenom föreskrivs att 7, 8 och 10 §§ lagen (2006:128) om säkerhetsskydd i riksdagen och dess myndigheter ska ha följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
7 §
För riksdagen och de myndig-heter som avses i 1 § finns bestämmelser om säkerhetsprövning i säkerhetsskyddslagen (1996:627).
För riksdagen och de myndig-heter som avses i 1 § finns bestämmelser om informations-säkerhetsklass, säkerhetsprövning och säkerhetsintyg i säkerhetsskyddslagen (2017:xx).
8 §
När en myndighet som lagen gäller för avser att begära in anbud eller träffa avtal om upphandling där det förekommer uppgifter som med hänsyn till rikets säkerhet omfattas av sekretess, skall myndigheten träffa ett skriftligt avtal (säkerhetsskyddsavtal) med anbudsgivaren eller leverantören om det säkerhetsskydd som behövs i det särskilda fallet.
Om säkerhetsskyddslagen (1996:627) gäller för anbuds-givaren eller leverantören på grund av 1 § 2 eller 3 i den lagen, kan anbudsgivarens eller leverantörens skyldigheter enligt lagen inte göras mindre långtgående genom villkoren i säkerhetsskyddsavtalet.
När en myndighet som lagen gäller för avser att begära in anbud eller träffa avtal om upphandling där det förekommer uppgifter som med hänsyn till rikets säkerhet omfattas av sekretess, ska myndigheten träffa ett skriftligt avtal (säkerhetsskyddsavtal) med anbudsgivaren eller leverantören om det säkerhetsskydd som behövs i det särskilda fallet.
Om säkerhetsskyddslagen (2017:xx) gäller för anbudsgivaren eller leverantören på grund av 1 kap. 1§ i den lagen, kan anbudsgivarens eller leverantörens skyldigheter enligt lagen inte göras mindre långtgående genom villkoren i säkerhetsskyddsavtalet.
10 §
Av 7 § lagen (2011:745) med instruktion för Riksdagsförvaltningen framgår att Riksdagsförvaltningen får meddela föreskrifter inom sitt verksamhetsområde.
Övriga myndigheter som avses i 1 § får meddela de närmare föreskrifter inom sitt verksamhetsområde som behövs för tillämpning av
1. denna lag och
2. säkerhetsskyddslagens (1996:627) bestämmelser om säkerhetsprövning.
2. säkerhetsskyddslagens (2017:xx) bestämmelser om informationssäkerhetsklass, säkerhetsprövning och säkerhetsintyg.
Denna lag träder i kraft den 1 januari 2017.
6 Förslag till lag om ändring i lagen (2007:258) om behandling av personuppgifter i Försvarsmaktens försvarsunderrättelse- verksamhet och militära säkerhetstjänst
Härigenom föreskrivs att 1 kap. 10 § lagen (2007:258) om behandling av personuppgifter i Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst ska ha följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
1 kap.
10 §
Uppgifter om en person får behandlas för de ändamål som anges i 9 § endast om
1. uppgifterna ger grundad anledning att anta att personen har utövat eller kan komma att utöva verksamhet som innefattar brott som kan hota rikets säkerhet eller terroristbrott enligt 2 § lagen (2003:148) om straff för terroristbrott eller motsvarande brottslighet enligt tidigare lagstiftning,
2. uppgifterna ger grundad anledning att anta att personen har utövat eller kan komma att utöva underrättelseverksamhet riktad mot Försvarsmakten och dess säkerhetsintressen,
3. uppgifterna ger grundad anledning att anta att personen utövar annan säkerhetshotande verksamhet än som avses i 1 och som innefattar brott eller åsidosättande av åligganden i anställning hos Försvarsmakten, och det finns särskilda skäl till att uppgiften skall behandlas,
3. uppgifterna ger grundad anledning att anta att personen utövar annan säkerhetshotande verksamhet än som avses i 1 och som innefattar brott eller åsidosättande av åligganden i anställning hos Försvarsmakten, och det finns särskilda skäl till att uppgiften ska behandlas,
4. personen har lämnat uppgifter om säkerhetshotande verksamhet och personuppgifterna är nödvändiga för att bedöma personens trovärdighet, eller
5. uppgifterna avser information som har framkommit i samband med att en person har genomgått registerkontroll eller särskild personutredning enligt säkerhetsskyddslagen (1996:627).
Uppgifter om en person skall förses med upplysning om på vilken av de i första stycket angivna grunderna uppgiften behandlas.
Om behandlingen av en personuppgift föranleds av något annat än antagande om att personen har utövat eller kommer att utöva brottslig verksamhet skall det särskilt anges att personen inte är misstänkt för brottslig verksamhet, om det inte på annat sätt klart framgår att sådan misstanke inte finns. Uppgifter om en person som inte heller kan antas ha utövat eller komma att utöva annan säkerhetshotande verksamhet skall förses med en särskild upplysning om detta, om det inte på annat sätt klart framgår att sådant antagande inte finns.
Uppgifter om en person som avses i första stycket 1-3 skall förses med en upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak.
5. uppgifterna avser information som har framkommit i samband med att en person har genomgått registerkontroll eller särskild personutredning enligt säkerhetsskyddslagen (2017:xx).
Uppgifter om en person ska förses med upplysning om på vilken av de i första stycket angivna grunderna uppgiften behandlas.
Om behandlingen av en personuppgift föranleds av något annat än antagande om att personen har utövat eller kommer att utöva brottslig verksamhet ska det särskilt anges att personen inte är misstänkt för brottslig verk-samhet, om det inte på annat sätt klart framgår att sådan misstanke inte finns. Uppgifter om en person som inte heller kan antas ha utövat eller komma att utöva annan säkerhetshotande verksamhet ska förses med en särskild upplysning om detta, om det inte på annat sätt klart framgår att sådant antagande inte finns.
Uppgifter om en person som avses i första stycket 1-3 ska förses med en upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak.
Denna lag träder i kraft den 1 januari 2017.
Föreskriften i 1 kap. 10 § första stycket 5 ska tillämpas även i fråga om registerkontroll eller särskild personutredning enligt säkerhetsskyddslagen (1996:627).
7 Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400)
Härigenom föreskrivs att 35 kap. 1, 3 och 10 §§ offentlighets- och sekretesslagen (2009:400) ska ha följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
35 kap.
1 §
Sekretess gäller för uppgift om en enskilds personliga och ekonomiska förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till honom eller henne lider skada eller men och uppgiften förekommer i
1. utredning enligt bestämmelserna om förundersökning i brottmål,
2. angelägenhet som avser användning av tvångsmedel i brottmål eller i annan verksamhet för att förebygga brott
3. angelägenhet som avser registerkontroll och särskild personutredning enligt säkerhetsskyddslagen (1996:627),
3. angelägenhet som avser säkerhetsprövning enligt säkerhetsskyddslagen (2017:xx),
4. annan verksamhet som syftar till att förebygga, uppdaga, utreda eller beivra brott och som bedrivs av en åklagarmyndighet, Polismyndigheten, Säkerhetspolisen, Skatteverket, Tullverket eller Kustbevakningen,
5. Statens medieråds verksamhet att biträda Justitiekanslern, allmän åklagare eller Polismyndigheten i brottmål,
6. register som förs av Polismyndigheten enligt 4 kap. polisdatalagen (2010:361) eller som annars behandlas med stöd av de bestämmelserna eller uppgifter som behandlas av Säkerhetspolisen med stöd av 5 kap. samma lag,
7. register som förs enligt lagen (1998:621) om misstankeregister,
8. register som förs av Skatteverket enligt lagen (1999:90) om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar eller som annars behandlas där med stöd av samma lag,
9. särskilt ärenderegister över brottmål som förs av åklagarmyndighet, om uppgiften inte hänför sig till registrering som avses i 5 kap. 1 §,
10. register som förs av Tullverket enligt lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet eller som annars behandlas där med stöd av samma lag, eller
11. register som förs enligt lagen (2010:362) om polisens allmänna spaningsregister.
Sekretessen enligt första stycket 2 gäller hos domstol i dess rättskipande eller rättsvårdande verksamhet endast om det kan antas att den enskilde eller någon närstående till honom eller henne lider skada eller men om uppgiften röjs. Vid förhandling om användning av tvångsmedel gäller sekretess för uppgift om vem som är misstänkt endast om det kan antas att fara uppkommer för att den misstänkte eller någon närstående till honom eller henne utsätts för våld eller lider annat allvarligt men om uppgiften röjs.
Första stycket gäller inte om annat följer av 2, 6 eller 7 §.
För uppgift i en allmän handling gäller sekretessen i högst sjuttio år.
3 §
Sekretess gäller i verksamhet som avser förande av eller uttag ur register enligt lagen (1998:620) om belastningsregister för uppgift i registret. I fråga om utlämnande av sådan uppgift gäller vad som är föreskrivet i den lagen och i säkerhetsskyddslagen (1996:627) samt i förordningar som har meddelats med stöd av dessa lagar.
Sekretess gäller i verksamhet som avser förande av eller uttag ur register enligt lagen (1998:620) om belastningsregister för uppgift i registret. I fråga om utlämnande av sådan uppgift gäller vad som är föreskrivet i den lagen och i säkerhetsskyddslagen (2017:xx) samt i förordningar som har meddelats med stöd av dessa lagar.
För uppgift i en allmän handling gäller sekretessen i högst sjuttio år.
Bestämmelserna i 10 och 12 kap. gäller inte i fråga om sekretessen enligt denna paragraf.
10 §
Sekretessen enligt 1 § hindrar inte att en uppgift lämnas ut
1. till en enskild enligt vad som föreskrivs i lagen (1964:167) med särskilda bestämmelser om unga lagöverträdare,
2. till en enskild enligt vad som föreskrivs i säkerhetsskyddslagen (1996:627) samt i förordning som har meddelats med stöd i den lagen,
2. till en enskild enligt vad som föreskrivs i säkerhetsskyddslagen (2017:xx) samt i förordning som har meddelats med stöd i den lagen,
3. enligt vad som föreskrivs i
- lagen (1998:621) om misstankeregister,
- polisdatalagen (2010:361),
- lagen (1999:90) om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar,
- lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet,
- kustbevakningsdatalagen (2012:145),
- förordningar som har stöd i dessa lagar, eller
4. till en enskild enligt vad som föreskrivs i 27 kap. 8 § rättegångsbalken.
Denna lag träder i kraft den 1 januari 2017.
För angelägenhet som avser registerkontroll och särskild personutredning enligt säkerhetsskyddslagen (1996:627) gäller 35 kap. 1 § första stycket 3 i sin äldre lydelse.
8 Förslag till lag om ändring i polisdatalagen (2010:361)
Härigenom föreskrivs att 5 kap. 2 § polisdatalagen (2010:361) ska ha följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
5 kap.
1 §
Personuppgifter får behandlas i Säkerhetspolisens brottsbekämpande verksamhet om det behövs för att
1. förebygga, förhindra eller upptäcka brottslig verksamhet
som innefattar
a) brott mot rikets säkerhet,
b) terroristbrott enligt 2 § lagen (2003:148) om straff för
terroristbrott,
c) brott enligt 3 § lagen (2002:444) om straff för finansiering av särskilt allvarlig brottslighet i vissa fall, eller
d) tryckfrihetsbrott och yttrandefrihetsbrott med rasistiska eller främlingsfientliga motiv,
2. utreda eller beivra sådana brott som avses i 1, eller, efter särskilt beslut, annat brott,
3. fullgöra uppgifter i samband med personskydd,
4. fullgöra uppgifter enligt säkerhetsskyddslagen (1996:627),
4. fullgöra uppgifter enligt säkerhetsskyddslagen (2017:xx),
5. fullgöra förpliktelser som följer av internationella åtaganden, eller
6. lämna tekniskt biträde till Polismyndigheten, Ekobrottsmyndigheten, Åklagarmyndigheten eller Tullverket.
Denna lag träder i kraft den 1 januari 2017.
9 Förslag till lag om ändring av lagen (2010:1767) om geografisk miljöinformation
Härigenom föreskrivs att 15 § lagen (2010:1767) om geografisk miljöinformation ska ha följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
15 §
Bestämmelser om
1. behandling av personuppgifter finns i personuppgiftslagen (1998:204),
2. behandling av personuppgifter i fastighetsregistret finns i lagen (2000:224) om fastighetsregister,
3. krav på tillstånd för upprättande av databaser med landskapsinformation samt för spridning av kartor och andra sammanställningar av landskapsinformation finns i lagen (1993:1742) om skydd för landskapsinformation,
4. säkerhetsskydd finns i säkerhetsskyddslagen (1996:627), och
4. säkerhetsskydd finns i säkerhetsskyddslagen (2017:xx), och
5. upphovsrätt finns i lagen (1960:729) om upphovsrätt till litterära och konstnärliga verk.
I fråga om behandling av personuppgifter enligt denna lag gäller inte 2 § personuppgiftslagen (1998:204).
Denna lag träder i kraft den 1 januari 2017.
10 Förslag till lag om ändring i lagen (2011:1029) om upphandling på försvars- och säkerhetsområdet
Härigenom föreskrivs att 2 kap. 22 § lagen (2011:1029) om upphandling på försvars- och säkerhetsområdet ska följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
2 kap.
22 §
Med säkerhetsskydds-klassificerade uppgifter avses information och material oavsett form, karaktär eller överföringsteknik som omfattas av krav på en viss säkerhetsnivå eller en viss skyddsnivå och som med hänsyn till rikets säkerhet enligt lagar och andra författningar måste skyddas mot intrång, förstörelse, avlägsnande, spridning, förlust eller åtkomst av någon obehörig person, eller någon annan typ av risk.
Med säkerhetsskydds-klassificerade uppgifter avses i denna lag information och material oavsett form, karaktär eller överföringsteknik som om-fattas av krav på en viss säkerhetsnivå eller en viss skyddsnivå och som med hänsyn till Sveriges säkerhet enligt lagar och andra författningar måste skyddas mot intrång, förstörelse, avlägsnande, spridning, förlust eller åtkomst av någon obehörig person, eller någon annan typ av risk.
För skydd av säkerhetsskyddsklassificerade uppgifter finns bestämmelser i säkerhetsskyddslagen (2017:xx).
Denna lag träder i kraft den 1 januari 2017.
11 Förslag till lag om ändring i lagen (2014:514) om ansvar för vissa säkerhetsfrågor vid statsministerns tjänstebostäder
Härigenom föreskrivs att 1, 2, 4 och 5 §§ lagen (2014:514) om ansvar för vissa säkerhetsfrågor vid statsministerns tjänstebostäder ska följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
1 §
Denna lag innehåller särskilda bestämmelser som rör verksamheten vid och skyddet för egendom som används som tjänstebostad för statsministern. Bestämmelserna utgör kompletteringar till och undantag från säkerhetsskyddslagen (1996:627) och skyddslagen (2010:305).
Denna lag innehåller särskilda bestämmelser som rör verksamheten vid och skyddet för egendom som används som tjänstebostad för statsministern. Bestämmelserna utgör kompletteringar till och undantag från säkerhetsskyddslagen (2017:xx) och skyddslagen (2010:305).
2 §
Säkerhetspolisen har det ansvar för tillträdesbegränsning som anges i 7 § 2 säkerhetsskyddslagen (1996:627) vid egendom som används som tjänstebostad för statsministern.
Inför att tillträdesbegränsande åtgärder vidtas ska Säkerhetspolisen samråda med den eller de myndigheter som förvaltar egen-domen och som berörs av åtgärden. När det gäller tillträdes-begränsande åtgärder som är av större betydelse ska Säkerhetspolisen även samråda med Regeringskansliet.
Säkerhetspolisen har det ansvar för fysisk säkerhet som anges i 2 kap. 1 § 2 säkerhetsskyddslagen (2017:xx) vid egendom som används som tjänstebostad för statsministern.
Inför att åtgärder avseende fysisk säkerhet vidtas ska Säkerhetspolisen samråda med den eller de myndigheter som förvaltar egendomen och som berörs av åtgärden. När det gäller åtgärder avseende fysisk säkerhet som är av större betydelse ska Säkerhetspolisen även samråda med Regeringskansliet.
4 §
Inför att säkerhetsskyddsavtal ska träffas enligt 8 § säkerhetsskyddslagen (1996:627) med anledning av upphandling till egendom som används som tjänstebostad för statsministern ska den upphandlande myndigheten samråda med Säkerhetspolisen.
Inför att säkerhetsskyddsavtal ska träffas enligt 2 kap. 4 § säkerhetsskyddslagen (2017:xx) med anledning av upphandling till egendom som används som tjänstebostad för statsministern ska den upphandlande myndigheten samråda med Säkerhetspolisen.
5 §
Inför beslut om placering i säkerhetsklass enligt 17 § säkerhetsskyddslagen (1996:627) av anställningar eller annat deltagande i verksamheten vid egendom som används som tjänstebostad för statsministern ska den som bedriver verksamheten samråda med Säkerhetspolisen.
Inför beslut om placering i säkerhetsklass enligt 3 kap. 4 § säkerhetsskyddslagen (2017:xx) av anställningar eller annat deltagande i verksamheten vid egendom som används som tjänstebostad för statsministern ska den som bedriver verksamheten samråda med Säkerhetspolisen.
Denna lag träder i kraft den 1 januari 2017.
Förteckning över remissinstanserna
Remissvar har lämnats av Sveriges Riksbank, Riksdagens ombudsmän, Riksrevisionen, Svea hovrätt, Göteborgs tingsrätt, Kammarrätten i Stockholm, Förvaltningsrätten i Stockholm, Justitiekanslern, Domstolsverket, Åklagarmyndigheten, Polismyndigheten, Säkerhetspolisen, Säkerhets- och integritetsskyddsnämnden, Kriminalvården, Brottsförebyggande rådet, Myndigheten för samhällsskydd och beredskap, Kustbevakningen, Statens haverikommission, Migrationsverket, Datainspektionen, Folke Bernadotteakademin, Styrelsen för internationellt utvecklingssamarbete, Inspektionen för strategiska produkter, Försvarsmakten, Försvarets materielverk, Försvarets radioanstalt, Totalförsvarets forskningsinstitut, Totalförsvarets rekryteringsmyndighet, Försvarsexportmyndigheten, Statens inspektion för försvarsunderrättelseverksamheten, Försvarsunderrättelsedomstolen, Försäkringskassan, Socialstyrelsen, Folkhälsomyndigheten, Pensionsmyndigheten, E-hälsomyndigheten, Riksgäldskontoret, Tullverket, Finansinspektionen, Ekonomistyrningsverket, Skatteverket, Arbetsgivarverket, Länsstyrelsen i Stockholms län, Länsstyrelsen i Västra Götalands län, Länsstyrelsen i Skåne län, Länsstyrelsen i Blekinge län, Statens överklagandenämnd, Statens servicecenter, Statskontoret, Statens fastighetsverk, Fortifikationsverket, Karolinska institutet, Kungliga tekniska högskolan, Stockholms universitet (Juridiska fakulteten), Uppsala universitet (Juridiska fakulteten), Rymdstyrelsen, Centrala studiestödsnämnden, Kemikalieinspektionen, Strålsäkerhetsmyndigheten, Affärsverket Svenska kraftnät, Statens energimyndighet, Post- och telestyrelsen, Trafikverket, Sjöfartsverket, Luftfartsverket, Transportstyrelsen, Konkurrensverket, Regelrådet, Statens jordbruksverk, Sveriges lantbruksuniversitet, Statens veterinärmedicinska anstalt, Livsmedelsverket, Lantmäteriet, Riksarkivet, Diskrimineringsombudsmannen, Försvarshögskolan, Arbetsförmedlingen, Arbetsmiljöverket, Arbetsdomstolen, Sveriges Kommuner och Landsting (SKL), Stockholms läns landsting, Skåne läns landsting, Västra Götalands läns landsting, Jönköpings läns landsting, Kalmar läns landsting, Kronobergs läns landsting, Södermanlands läns landsting, Östergötlands läns landsting, Norrbottens läns landsting, Stockholms kommun, Malmö kommun, Göteborgs kommun, Norrköpings kommun, Eskilstuna kommun, Vänersborgs kommun, Kiruna kommun, Gotlands kommun, Karlskrona kommun, Nynäshamns kommun, Linköpings kommun, Halmstads kommun, Svedala kommun, Västerås kommun, Östhammars kommun, Forsmark Kraftgrupp AB, Journalistförbundet, Postnord AB, SME-D, Svensk Energi - Swedenergy - AB, Sveriges advokatsamfund, Sveriges hamnar, Sveriges Radio AB, Sveriges Television AB, Swedavia, Säkerhetsbranschen, Säkerhets- och Försvarsföretagen, Teknikföretagen, TeliaSonera AB och Vattenfall AB.
Synpunkter har även lämnats av Ekobrottsmyndigheten, Statistiska Centralbyrån, Chalmers Tekniska Högskola, Ringhals AB och Dataskydd.net.
Myndigheten för tillväxtpolitiska utvärderingar och analyser, Karlstads kommun, Arvidsjaurs kommun, Helsingborgs kommun, Flens kommun, Luleå kommun, Karlsborgs kommun, Leksands kommun, Älvsbyns kommun, Gävle kommun, Bodens kommun, Sigtuna kommun, Business Sweden, Civil Rights Defenders, Eon AB, Fortum AB, Företagarna, Försvarsförbundet, It och telekomföretagen, Landsorganisationen i Sverige, OKG Aktiebolag, SSC Group AB, Sveriges Akademikers Centralorganisation, Svenskt Näringsliv, Sveriges Domareförbund, Sveriges Offentliga Inköpare, Tele 2 Sverige AB, Telenor AB, Teracom, Boxer Group AB och Tjänstemännens Centralorganisation har avstått från att lämna synpunkter eller inte svarat på remissen.
Lagrådsremissens lagförslag
Regeringen har följande förslag till lagtext.
1 Förslag till säkerhetsskyddslag (0000:00)
1 kap. Lagens tillämpningsområde
Lagen gäller för utövare av säkerhetskänslig verksamhet
1 § Denna lag gäller för den som till någon del bedriver säkerhetskänslig verksamhet. Med säkerhetskänslig verksamhet avses verksamhet som är av betydelse för Sveriges säkerhet eller som omfattas av ett för Sverige förpliktande internationellt åtagande om säkerhetsskydd.
I lagen finns också bestämmelser om internationell samverkan i övrigt på säkerhetsskyddsområdet.
Vad som avses med säkerhetsskydd
2 § Med säkerhetsskydd avses skydd av säkerhetskänslig verksamhet mot spioneri, sabotage, terroristbrott och andra brott som kan hota verksamheten samt skydd i andra fall av säkerhetsskyddsklassificerade uppgifter. Med säkerhetsskyddsklassificerade uppgifter avses uppgifter som rör säkerhetskänslig verksamhet och som därför omfattas av sekretess enligt offentlighets- och sekretesslagen (2009:400) eller som skulle ha omfattats av sekretess enligt den lagen, om den hade varit tillämplig.
Undantag från bestämmelserna om säkerhetsskydd
3 § För riksdagen och dess myndigheter gäller endast bestämmelserna om säkerhetsskyddsklasser i 2 kap. 2 §, säkerhetsprövning i 3 kap. och säkerhetsintyg i 4 kap. I övrigt gäller lagen (2006:128) om säkerhetsskydd för riksdagen och dess myndigheter.
Regeringen får i fråga om Regeringskansliet, utlandsmyndigheterna och kommittéväsendet meddela föreskrifter om undantag från andra bestämmelser i lagen än de som anges i första stycket.
Särskilda bestämmelser om statsministerns tjänstebostäder och skyddsobjekt
4 § I lagen (2014:514) om ansvar för vissa säkerhetsfrågor vid stats-ministerns tjänstebostäder finns bestämmelser om ansvar för fysisk säkerhet och om samrådsskyldighet inför att säkerhetsskyddsavtal ska träffas och inför beslut om placering i säkerhetsklass.
5 § I skyddslagen (2010:305) finns bestämmelser om förbud mot tillträde till vissa byggnader, andra anläggningar, områden och andra objekt.
2 kap. Allmänna bestämmelser om säkerhetsskydd
Skyldigheter för den som bedriver säkerhetskänslig verksamhet
1 § Den som bedriver säkerhetskänslig verksamhet ska utreda behovet av säkerhetsskydd (säkerhetsskyddsanalys). Säkerhetsskyddsanalysen ska dokumenteras. Med utgångspunkt i analysen ska verksamhets-utövaren planera och vidta de säkerhetsskyddsåtgärder som behövs med hänsyn till verksamhetens art och omfattning, förekomst av säkerhetsskyddsklassificerade uppgifter och övriga omständigheter. Verksamhetsutövaren ska även kontrollera säkerhetsskyddet i den egna verksamheten och i övrigt vidta de åtgärder som krävs enligt denna lag.
Så långt det är möjligt ska säkerhetsskyddsåtgärderna utformas så att de inte medför någon skada eller annan olägenhet för andra allmänna eller enskilda intressen.
Säkerhetsskyddsklassificering
2 § Säkerhetsskyddsklassificerade uppgifter ska delas in i säkerhetsskyddsklasser utifrån den skada som ett röjande av uppgiften kan medföra för Sveriges säkerhet. Indelningen i säkerhetsskyddsklasser ska göras enligt följande:
1. kvalificerat hemlig vid en synnerligen allvarlig skada,
2. hemlig vid en allvarlig skada,
3. konfidentiell vid en inte obetydlig skada, eller
4. begränsat hemlig vid endast ringa skada.
Säkerhetsskyddsklassificerade uppgifter som omfattas av ett internationellt åtagande om säkerhetsskydd ska på motsvarande sätt delas in i säkerhetsskyddsklass, om de inte redan har klassificerats av en annan stat eller en mellanfolklig organisation. Indelningen i säkerhetsskyddsklass ska i sådant fall göras utifrån den skada som ett röjande av uppgiften kan medföra för Sveriges förhållande till annan stat eller mellanfolklig organisation.
Säkerhetsskyddsåtgärder
3 § Informationssäkerhet ska
1. förebygga att säkerhetsskyddsklassificerade uppgifter obehörigen röjs, ändras, görs otillgängliga eller förstörs, och
2. förebygga skadlig inverkan i övrigt på uppgifter och informationssystem som gäller säkerhetskänslig verksamhet.
4 § Fysisk säkerhet ska
1. förebygga att obehöriga får tillträde till områden, byggnader och andra anläggningar eller objekt där de kan få tillgång till säkerhetsskyddsklassificerade uppgifter eller där säkerhetskänslig verksamhet i övrigt bedrivs, och
2. förebygga skadlig inverkan på sådana områden, byggnader, anläggningar eller objekt som avses i 1.
5 § Personalsäkerhet ska
1. förebygga att personer som inte är pålitliga från säkerhetssynpunkt deltar i en verksamhet där de kan få tillgång till säkerhetsskyddsklassificerade uppgifter eller i en verksamhet som av någon annan anledning är säkerhetskänslig, och
2. säkerställa att de som deltar i säkerhetskänslig verksamhet har tillräcklig kunskap om säkerhetsskydd.
Säkerhetsskyddsavtal
6 § Statliga myndigheter, kommuner och landsting som avser att genomföra en upphandling och ingå ett avtal om varor, tjänster eller byggentreprenader ska se till att det i ett säkerhetsskyddsavtal anges hur kraven på säkerhetsskydd enligt 1 § ska tillgodoses av leverantören om
1. det i upphandlingen förekommer säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller över, eller
2. upphandlingen i övrigt avser eller ger leverantören tillgång till säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet.
Det som anges i första stycket gäller även för enskilda verksamhetsutövare som ingår avtal om varor, tjänster och byggentreprenader med utomstående leverantörer.
Verksamhetsutövaren ska kontrollera att leverantören följer säkerhetsskyddsavtalet.
Bemyndigande
7 § Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om anmälnings- och rapporteringsskyldighet och även i övrigt om vad som krävs för att uppfylla bestämmelserna i detta kapitel.
3 kap. Säkerhetsprövning
Vem som ska säkerhetsprövas
1 § Den som genom en anställning eller på något annat sätt ska delta i säkerhetskänslig verksamhet ska säkerhetsprövas. Säkerhetsprövning ska dock inte göras när det gäller
1. uppdrag som statsråd, ledamot av Europaparlamentet, riksdagen eller kommun- och landstingsfullmäktige, eller
2. annat uppdrag som offentlig försvarare eller ombud inför domstol än sådant som avser offentligt ombud enligt 27 kap. 27 § rättegångsbalken eller integritetsskyddsombud enligt 6 § lagen (2009:966) om Försvarsunderrättelsedomstol.
Säkerhetsprövningens syfte och innehåll
2 § Säkerhetsprövningen syftar till att klarlägga om en person kan antas vara lojal mot de intressen som skyddas i denna lag och i övrigt pålitlig från säkerhetssynpunkt. Vid säkerhetsprövningen ska sådana omständlig-heter beaktas som kan antas innebära sårbarheter i säkerhetshänseende.
3 § Säkerhetsprövningen ska göras innan deltagandet i den säkerhetskänsliga verksamheten påbörjas och ska innefatta en grundutredning samt registerkontroll och särskild personutredning i den omfattning som anges i 13, 14 och 17 §§. Om det finns särskilda skäl får säkerhetsprövningen göras mindre omfattande.
Säkerhetsprövningen ska följas upp under den tid som deltagandet i den säkerhetskänsliga verksamheten pågår.
Ansvar för säkerhetsprövningen
4 § Säkerhetsprövningen ska utgå från uppgifter som kommit fram när grundutredningen gjordes och den kännedom som i övrigt finns om den som ska prövas, uppgifter som har lämnats ut efter registerkontroll och särskild personutredning, arten av den verksamhet som prövningen gäller samt omständigheterna i övrigt.
Bedömningen görs av den som beslutar om anställning eller annat deltagande i den säkerhetskänsliga verksamheten. Om en myndighet har det avgörande inflytandet över den prövades lämplighet att delta i säkerhetskänslig verksamhet hos en enskild verksamhetsutövare, gör myndigheten den slutliga bedömningen.
Om det finns anledning till det, ska en tidigare gjord bedömning av en persons lämplighet att delta i den säkerhetskänsliga verksamheten omprövas.
Placering i säkerhetsklass
5 § En anställning eller ett annat deltagande i säkerhetskänslig verksamhet ska placeras i säkerhetsklass enligt vad som följer av
6-10 §§.
6 § En anställning eller ett annat deltagande i säkerhetskänslig verksamhet ska placeras i säkerhetsklass 1, om den anställde eller den som på annat sätt deltar i verksamheten
1. i en omfattning som inte är ringa får del av uppgifter i säkerhetsskyddsklassen kvalificerat hemlig, eller
2. till följd av sitt deltagande i verksamheten har möjlighet att orsaka synnerligen allvarlig skada för Sveriges säkerhet.
7 § En anställning eller ett annat deltagande i säkerhetskänslig verksamhet ska placeras i säkerhetsklass 2, om den anställde eller den som på annat sätt deltar i verksamheten
1. i en omfattning som inte är ringa får del av uppgifter i säkerhetsskyddsklassen hemlig,
2. i ringa omfattning får del av uppgifter i säkerhetsskyddsklassen kvalificerat hemlig, eller
3. till följd av sitt deltagande i verksamheten har möjlighet att orsaka allvarlig skada för Sveriges säkerhet.
8 § En anställning eller ett annat deltagande i säkerhetskänslig verksamhet ska placeras i säkerhetsklass 3, om den anställde eller den som på annat sätt deltar i verksamheten
1. får del av uppgifter i säkerhetsskyddsklassen konfidentiell,
2. i ringa omfattning får del av uppgifter i säkerhetsskyddsklassen hemlig, eller
3. till följd av sitt deltagande i verksamheten har möjlighet att orsaka en inte obetydlig skada för Sveriges säkerhet.
9 § En anställning eller ett annat deltagande i säkerhetskänslig verksamhet ska också i andra fall än sådana som följer av 6-8 §§ placeras i en säkerhetsklass som motsvarar de krav på säkerhetsprövning som följer av ett internationellt åtagande om säkerhetsskydd.
10 § En anställning eller ett annat deltagande får placeras i säkerhetsklass endast om behovet av säkerhetsskydd inte kan tillgodoses på annat sätt.
11 § En anställning i staten, en kommun eller ett landsting som är placerad i säkerhetsklass 1 eller 2 får endast innehas av den som är svensk medborgare.
Om det finns särskilda skäl får regeringen i enskilda fall medge undantag från kravet på svenskt medborgarskap.
Beslut om placering i säkerhetsklass
12 § Riksdagen och dess myndigheter beslutar om placering i säkerhetsklass när det gäller riksdagens förvaltningsområde.
I övrigt beslutar regeringen om placering i säkerhetsklass. Regeringen får meddela föreskrifter om att myndigheter och andra får besluta om placering i säkerhetsklass. Sådan beslutanderätt får överlåtas till enskilda endast om det finns särskilda skäl.
Registerkontroll
13 § Med registerkontroll avses i denna lag att uppgifter hämtas från register som omfattas av lagen (1998:620) om belastningsregister eller lagen (1998:621) om misstankeregister. Med registerkontroll avses också att uppgifter som behandlas med stöd av polisdatalagen (2010:361) hämtas.
14 § Registerkontroll ska göras om anställningen eller deltagandet i verksamheten har placerats i säkerhetsklass. Uppgifter ska löpande hämtas under den tid deltagandet i den säkerhetskänsliga verksamheten pågår.
För säkerhetsklass 1 eller 2 får uppgifter om den kontrollerade som finns i belastningsregistret, misstankeregistret eller som behandlas med stöd av polisdatalagen (2010:361) hämtas. Motsvarande uppgifter får även hämtas om den kontrollerades make eller sambo.
För säkerhetsklass 3 får sådana uppgifter om den kontrollerade som finns i belastningsregistret, misstankeregistret eller som behandlas hos Säkerhetspolisen med stöd av polisdatalagen hämtas.
Om det finns synnerliga skäl får även andra uppgifter än sådana som anges i andra och tredje stycket hämtas.
15 § Om det finns särskilda skäl, får registerkontroll av någon som ska delta i säkerhetskänslig verksamhet göras utan föregående placering i säkerhetsklass. Vid en sådan kontroll får de uppgifter om den kontrollerade som anges i 14 § tredje stycket hämtas.
Regeringen får meddela föreskrifter om sådan registerkontroll som avses i första stycket. Föreskrifterna får dock inte gälla för riksdagen och dess myndigheter.
16 § Bestämmelser om registerkontroll finns också i 4 kap. om internationell säkerhetsskyddssamverkan och säkerhetsintyg.
Särskild personutredning
17 § En särskild personutredning ska göras vid en registerkontroll som avser sådan anställning eller annat deltagande i verksamhet som har placerats i säkerhetsklass 1 eller 2. Utredningen ska omfatta en undersökning av den kontrollerades ekonomiska förhållanden. I övrigt ska utredningen ha den omfattning som behövs.
Krav på samtycke
18 § Registerkontroll och särskild personutredning får göras endast om den som säkerhetsprövningen gäller har lämnat sitt samtycke. Samtycket ska anses gälla också kontroller och utredningar under den tid som deltagandet i den säkerhetskänsliga verksamheten pågår.
Utlämnande av uppgifter för säkerhetsprövning
19 § En uppgift som har kommit fram vid en registerkontroll eller särskild personutredning får lämnas ut för säkerhetsprövning endast om uppgiften i det enskilda fallet kan antas ha betydelse för prövningen enligt 3 kap. 2 §. För att en uppgift som gäller den kontrollerades make eller sambo ska lämnas ut krävs därutöver att utlämnandet är absolut nödvändigt.
Den myndighet som regeringen bestämmer beslutar om huruvida uppgifter som kommit fram vid registerkontroll och särskild personutredning ska lämnas ut för säkerhetsprövning.
20 § Innan en uppgift lämnas ut för säkerhetsprövning ska den som uppgiften gäller ges tillfälle att yttra sig över uppgiften. Detta gäller dock inte om uppgiften omfattas av sekretess i förhållande till den enskilde enligt någon annan bestämmelse i offentlighets- och sekretesslagen (2009:400) än 35 kap. 3 §.
Även om uppgiften omfattas av sådan sekretess ska den som uppgiften gäller ges tillfälle att yttra sig innan uppgiften lämnas ut, om hans eller hennes intresse av att få yttra sig skäligen bör ha företräde framför det intresse som sekretessen ska skydda.
21 § Sedan ett beslut har fattats med anledning av en säkerhetsprövning ska de handlingar som överlämnats snarast återställas till den överlämnande myndigheten, om inte den har beslutat något annat.
4 kap. Internationell säkerhetsskyddssamverkan och säkerhetsintyg
Säkerhetsintyg
1 § Ett säkerhetsintyg får utfärdas för personer som har hemvist i Sverige och leverantörer med säte i Sverige när en annan stat eller en mellanfolklig organisation har ansökt om ett sådant intyg, om
1. behov av ett sådant intyg finns vid internationell samverkan om säkerhetskänslig verksamhet enligt denna lag, eller
2. intyget, utöver vad som följer av 1, kan underlätta för en person eller för en leverantör att delta i en verksamhet som en annan stat eller en mellanfolklig organisation bedömer vara i behov av säkerhetsskydd.
Ett intyg enligt första stycket får utfärdas endast om deltagandet avser verksamhet i eller för en stat eller en mellanfolklig organisation som omfattas av ett internationellt åtagande om säkerhetsskydd. Om det finns särskilda skäl får regeringen besluta att ett intyg får utfärdas trots att det inte finns något internationellt åtagande om säkerhetsskydd.
2 § Om det behövs för att ett säkerhetsintyg ska kunna utfärdas får det göras en säkerhetsprövning som innefattar registerkontroll enligt 3 kap. 13 §. Vid en sådan registerkontroll får också en särskild personutredning enligt 3 kap. 17 § göras.
3 § För ärenden om säkerhetsintyg gäller bestämmelserna om säkerhetsprövning i 3 kap. 2 §, 4 § första stycket, 13 §, 14 § andra-fjärde styckena och 17-21 §§.
Registerkontroll på ansökan av en annan stat eller en mellanfolklig organisation
4 § Registerkontroll enligt 3 kap. 13 § får göras när en annan stat eller en mellanfolklig organisation har ansökt om ett sådant underlag, om
1. den person som ansökan gäller har eller har haft hemvist i Sverige, och
2. personen genom anställning eller på annat sätt ska delta i en verksamhet där det för deltagandet ställs krav som motsvarar bestämmelserna i denna lag om registerkontroll vid säkerhetsprövning.
Vid registerkontroll enligt första stycket får också en särskild personutredning enligt 3 kap. 17 § göras.
5 § Vid ärenden enligt 4 § gäller bestämmelserna om registerkontroll, särskild personutredning och samtycke i 3 kap. 13 §, 14 § andra-fjärde styckena och 17-21 §§.
Vem som beslutar om registerkontroll och utfärdar intyg
6 § Den myndighet som regeringen bestämmer beslutar om register-kontroll enligt 2 och 4 §§, utfärdar intyg enligt 1 § och lämnar underlag enligt 4 §.
5 kap. Övriga bestämmelser
Tystnadsplikt
1 § Den som med stöd av denna lag har fått del av uppgifter som förekommer i angelägenhet som avser säkerhetsprövning får inte obehörigen röja eller utnyttja dessa uppgifter.
I det allmännas verksamhet tillämpas i stället bestämmelserna i offentlighets- och sekretesslagen (2009:400).
2 § Den som på grund av anställning eller på annat sätt deltar eller har deltagit i säkerhetskänslig verksamhet får inte obehörigen röja eller utnyttja säkerhetsskyddsklassificerade uppgifter.
I det allmännas verksamhet tillämpas i stället bestämmelserna i offentlighets- och sekretesslagen (2009:400).
Sekretessbrytande bestämmelse
3 § Sekretess hindrar inte att den myndighet som avses i 4 kap. 6 § i ett ärende om underlag för säkerhetsprövning enligt 4 kap. 4 § lämnar ut en uppgift som har kommit fram vid registerkontroll eller särskild personutredning till en utländsk myndighet eller en mellanfolklig organisation, om det står klart att ett sådant utlämnande är förenligt med svenska intressen.
Tillsyn
4 § Den myndighet som regeringen bestämmer ska utöva tillsyn över säkerhetsskyddet hos myndigheter och andra som lagen gäller för.
Den myndighet som regeringen bestämmer får utöva tillsyn hos leverantörer som har träffat säkerhetsskyddsavtal.
Föreskrifter om verkställighet
5 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om verkställighet av denna lag.
1. Denna lag träder i kraft den 1 januari 2019.
2. Genom lagen upphävs säkerhetsskyddslagen (1996:627).
3. Den upphävda lagen gäller dock fortfarande för beslut om placering i säkerhetsklass som har meddelats före ikraftträdandet, dock längst till dess att ett motsvarande beslut om placering i säkerhetsklass meddelas enligt denna lag. Ett sådant beslut ska meddelas senast vid utgången av 2024.
4. Beslut om registerkontroll enligt 14 § i den upphävda lagen ska i den utsträckning som regeringen föreskriver motsvara ett beslut om placering i säkerhetsklass 3 enligt denna lag, dock längst till dess att ett nytt beslut om säkerhetsklass meddelas enligt denna lag. Ett sådant beslut ska meddelas senast vid utgången av 2024.
2 Förslag till lag om ändring i polislagen (1984:387)
Härigenom föreskrivs att 3 § polislagen (1984:387) ska ha följande lydelse
Nuvarande lydelse
Föreslagen lydelse
3 §
Till Säkerhetspolisens uppgifter hör att
1. förebygga, förhindra och upptäcka brottslig verksamhet som innefattar brott mot rikets säkerhet eller terrorbrott,
2. utreda och beivra sådana brott som anges i 1 eller som följer av 5,
3. fullgöra uppgifter i samband med personskydd av den centrala statsledningen och andra som regeringen eller Säkerhetspolisen bestämmer,
4. fullgöra uppgifter enligt säkerhetsskyddslagen (1996:627),
4. fullgöra uppgifter enligt säkerhetsskyddslagen (2017:xx),
5. leda annan polisverksamhet om regeringen föreskriver det och i övrigt bedriva sådan verksamhet som framgår av lag eller förordning eller som regeringen uppdragit åt Säkerhetspolisen att i särskilda hänseenden ansvara för.
När Säkerhetspolisen leder polisverksamhet enligt första stycket ska det som i lag eller annan författning föreskrivs om Polismyndigheten i tillämpliga delar gälla Säkerhetspolisen.
Denna lag träder i kraft den 1 januari 2019.
3 Förslag till lag om ändring i elberedskapslagen (1997:288)
Härigenom föreskrivs att 2 § elberedskapslagen (1997:288) ska ha följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
2 §
Beredskapslagring av bränsle som används för elproduktion omfattas av lagen endast i fråga om rätt till ersättning enligt 10 §. Särskilda bestämmelser om beredskapslagring finns i lagen (2012:806) om beredskapslagring av olja.
I skyddslagen (2010:305) och i säkerhetsskyddslagen (1996:627) finns bestämmelser om tillträdesbegränsning.
I skyddslagen (2010:305) och i säkerhetsskyddslagen (2017:xx) finns bestämmelser om tillträdesbegränsning och fysisk säkerhet.
Denna lag träder i kraft den 1 januari 2019.
4 Förslag till lag om ändring i lagen (1998:938) om behandling av personuppgifter om totalförsvarspliktiga
Härigenom föreskrivs att 9 § lagen (1998:938) om behandling av personuppgifter om totalförsvarspliktiga ska ha följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
9 §
I automatiserat register över totalförsvarspliktiga får endast följande personuppgifter föras in:
1. personnummer eller samordningsnummer, namn, adress, telefonnummer och folkbokföringsort,
2. hinder för genomförande av utredning som avses i 3 § första stycket, för utbildning eller för krigsplacering eller annat ianspråktagande av den registrerade för totalförsvarets räkning,
3. boende- och familjeförhållanden samt försörjning, om uppgiften behövs för att Totalförsvarets rekryteringsmyndighet ska kunna fullgöra sina åligganden i fråga om förmåner till totalförsvarspliktiga,
4. utbildning, anställning, kunskaper, färdigheter, anlag och intressen som har betydelse för bedömningen av den registrerades användbarhet inom totalförsvaret,
5. fysisk och psykisk hälsa och förmåga jämte de uppgifter som ligger till grund för bedömningen härav,
6. om den registrerade är svensk medborgare eller inte,
7. utgången i mål om ansvar för brott mot totalförsvarsplikten,
8. att den registrerade har dömts till påföljd för brott som framgår av uppgift ur belastningsregistret som Totalförsvarets rekryterings-myndighet fått del av,
9. att den registrerade genomgått säkerhetsprövning enligt säkerhetsskyddslagen (1996:627), vilken säkerhetsklass prövningen avsett och resultatet av denna,
9. att den registrerade genomgått säkerhetsprövning enligt säkerhetsskyddslagen (2017:xx), vilken säkerhetsklass prövningen avsett och resultatet av denna,
10. vad som bestämts vid inskrivningen enligt lagen (1994:1809) om totalförsvarsplikt eller lagen (1994:1810) om möjlighet för kvinnor att fullgöra värnplikt eller civilplikt med längre grundutbildning,
11. krigsplacering, annat ianspråktagande av den registrerade för totalförsvaret eller särskild uppgift som han eller hon ska utföra vid höjd beredskap,
12. tjänstgöring inom totalförsvaret samt betyg, vitsord, förordnanden och utmärkelser som är att hänföra till denna, samt
13. personliga förhållanden i övrigt som åberopas av den registrerade, om de rör hans eller hennes tjänstgöring inom totalförsvaret.
Andra känsliga personuppgifter än sådana uppgifter som rör hälsa eller religiös övertygelse får inte föras in i ett automatiserat register över totalförsvarspliktiga. Uppgifter om religiös övertygelse får endast registreras om den registrerade har lämnat sitt uttryckliga samtycke till att uppgifterna behandlas i registret och de rör hans eller hennes tjänstgöring inom totalförsvaret.
Denna lag träder i kraft den 1 januari 2019.
5 Förslag till lag om ändring i lagen (2006:128) om säkerhetsskydd i riksdagen och dess myndigheter
Härigenom föreskrivs att 7, 8 och 10 §§ lagen (2006:128) om säkerhetsskydd i riksdagen och dess myndigheter ska ha följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
7 §
För riksdagen och de myndig-heter som avses i 1 § finns bestämmelser om säkerhetsprövning i säkerhetsskyddslagen (1996:627).
För riksdagen och de myndig-heter som avses i 1 § finns bestämmelser om säkerhetsskyddsklass, säkerhetsprövning och säkerhetsintyg i säkerhetsskyddslagen (2017:xx).
8 §
När en myndighet som lagen gäller för avser att begära in anbud eller träffa avtal om upphandling där det förekommer uppgifter som med hänsyn till rikets säkerhet omfattas av sekretess, skall myndigheten träffa ett skriftligt avtal (säkerhetsskyddsavtal) med anbudsgivaren eller leverantören om det säkerhetsskydd som behövs i det särskilda fallet.
Om säkerhetsskyddslagen (1996:627) gäller för anbuds-givaren eller leverantören på grund av 1 § 2 eller 3 i den lagen, kan anbudsgivarens eller leverantörens skyldigheter enligt lagen inte göras mindre långtgående genom villkoren i säkerhetsskyddsavtalet.
När en myndighet som lagen gäller för avser att begära in anbud eller träffa avtal om upphandling där det förekommer uppgifter som med hänsyn till rikets säkerhet omfattas av sekretess, ska myndigheten träffa ett skriftligt avtal (säkerhetsskyddsavtal) med anbudsgivaren eller leverantören om det säkerhetsskydd som behövs i det särskilda fallet.
Om säkerhetsskyddslagen (2017:xx) gäller för anbudsgivaren eller leverantören på grund av 1 kap. 1 § i den lagen, kan anbudsgivarens eller leverantörens skyldigheter enligt lagen inte göras mindre långtgående genom villkoren i säkerhetsskyddsavtalet.
10 §
Av 7 § lagen (2011:745) med instruktion för Riksdagsförvaltningen framgår att Riksdagsförvaltningen får meddela föreskrifter inom sitt verksamhetsområde.
Övriga myndigheter som avses i 1 § får meddela de närmare föreskrifter inom sitt verksamhetsområde som behövs för tillämpning av
1. denna lag och
2. säkerhetsskyddslagens (1996:627) bestämmelser om säkerhetsprövning.
2. säkerhetsskyddslagens (2017:xx) bestämmelser om säkerhetsskyddsklass, säkerhetsprövning och säkerhetsintyg.
Denna lag träder i kraft den 1 januari 2019.
6 Förslag till lag om ändring i lagen (2007:258) om behandling av personuppgifter i Försvarsmaktens försvarsunderrättelse- verksamhet och militära säkerhetstjänst
Härigenom föreskrivs att 1 kap. 10 § lagen (2007:258) om behandling av personuppgifter i Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst ska ha följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
1 kap.
10 §
Uppgifter om en person får behandlas för de ändamål som anges i 9 § endast om
1. uppgifterna ger grundad anledning att anta att personen har utövat eller kan komma att utöva verksamhet som innefattar brott som kan hota rikets säkerhet eller terroristbrott enligt 2 § lagen (2003:148) om straff för terroristbrott eller motsvarande brottslighet enligt tidigare lagstiftning,
2. uppgifterna ger grundad anledning att anta att personen har utövat eller kan komma att utöva underrättelseverksamhet riktad mot Försvarsmakten och dess säkerhetsintressen,
3. uppgifterna ger grundad anledning att anta att personen utövar annan säkerhetshotande verksamhet än som avses i 1 och som innefattar brott eller åsidosättande av åligganden i anställning hos Försvarsmakten, och det finns särskilda skäl till att uppgiften skall behandlas,
3. uppgifterna ger grundad anledning att anta att personen utövar annan säkerhetshotande verksamhet än som avses i 1 och som innefattar brott eller åsidosättande av åligganden i anställning hos Försvarsmakten, och det finns särskilda skäl till att uppgifterna ska behandlas,
4. personen har lämnat uppgifter om säkerhetshotande verksamhet och personuppgifterna är nödvändiga för att bedöma personens trovärdighet, eller
5. uppgifterna avser information som har framkommit i samband med att en person har genomgått registerkontroll eller särskild personutredning enligt säkerhetsskyddslagen (1996:627).
Uppgifter om en person skall förses med upplysning om på vilken av de i första stycket angivna grunderna uppgiften behandlas. Om behandlingen av en personuppgift föranleds av något annat än antagande om att personen har utövat eller kommer att utöva brottslig verksamhet skall det särskilt anges att personen inte är misstänkt för brottslig verksamhet, om det inte på annat sätt klart framgår att sådan misstanke inte finns. Uppgifter om en person som inte heller kan antas ha utövat eller komma att utöva annan säkerhetshotande verksamhet skall förses med en särskild upplysning om detta, om det inte på annat sätt klart framgår att sådant antagande inte finns.
Uppgifter om en person som avses i första stycket 1-3 skall förses med en upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak.
5. uppgifterna avser information som har framkommit i samband med att en person har genomgått registerkontroll eller särskild personutredning enligt säkerhetsskyddslagen (2017:xx).
Uppgifter om en person ska förses med upplysning om på vilken av de i första stycket angivna grunderna uppgiften behandlas. Om behandlingen av en personuppgift föranleds av något annat än antagande om att personen har utövat eller kommer att utöva brottslig verksamhet ska det särskilt anges att personen inte är misstänkt för brottslig verk-samhet, om det inte på annat sätt klart framgår att sådan misstanke inte finns. Uppgifter om en person som inte heller kan antas ha utövat eller komma att utöva annan säkerhetshotande verksamhet ska förses med en särskild upplysning om detta, om det inte på annat sätt klart framgår att sådant antagande inte finns.
Uppgifter om en person som avses i första stycket 1-3 ska förses med en upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak.
1. Denna lag träder i kraft den 1 januari 2019.
2 Äldre föreskrifter gäller fortfarande i fråga om registerkontroll eller särskild personutredning som har genomförts enligt säkerhetsskyddslagen (1996:627) före ikraftträdandet.
7 Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400)
Härigenom föreskrivs att 35 kap. 1, 3 och 10 §§ offentlighets- och sekretesslagen (2009:400) ska ha följande lydelse.
Lydelse enligt betänkande 2017/18:KU3 Några frågor om offentlighet och sekretess
Föreslagen lydelse
35 kap.
1 §
Sekretess gäller för uppgift om en enskilds personliga och ekonomiska förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till honom eller henne lider skada eller men och uppgiften förekommer i
1. utredning enligt bestämmelserna om förundersökning i brottmål,
2. angelägenhet som avser användning av tvångsmedel i brottmål eller i annan verksamhet för att förebygga brott
3. angelägenhet som avser registerkontroll och särskild personutredning enligt säkerhetsskyddslagen (1996:627),
3. angelägenhet som avser säkerhetsprövning enligt säkerhetsskyddslagen (2017:xx),
4. annan verksamhet som syftar till att förebygga, uppdaga, utreda eller beivra brott och som bedrivs av en åklagarmyndighet, Polismyndigheten, Säkerhetspolisen, Skatteverket, Tullverket eller Kustbevakningen,
5. register som förs av Polismyndigheten enligt 4 kap. polisdatalagen (2010:361) eller som annars behandlas med stöd av de bestämmelserna eller uppgifter som behandlas av Säkerhetspolisen med stöd av 5 kap. samma lag,
6. register som förs enligt lagen (1998:621) om misstankeregister,
7. register som förs av Skatteverket enligt lagen (1999:90) om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar eller som annars behandlas där med stöd av samma lag,
8. särskilt ärenderegister över brottmål som förs av åklagarmyndighet, om uppgiften inte hänför sig till registrering som avses i 5 kap. 1 §,
9. register som förs av Tullverket enligt lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet eller som annars behandlas där med stöd av samma lag, eller
10. register som förs enligt lagen (2010:362) om polisens allmänna spaningsregister.
Sekretessen enligt första stycket 2 gäller hos domstol i dess rättskipande eller rättsvårdande verksamhet endast om det kan antas att den enskilde eller någon närstående till honom eller henne lider skada eller men om uppgiften röjs. Vid förhandling om användning av tvångsmedel gäller sekretess för uppgift om vem som är misstänkt endast om det kan antas att fara uppkommer för att den misstänkte eller någon närstående till honom eller henne utsätts för våld eller lider annat allvarligt men om uppgiften röjs.
Första stycket gäller inte om annat följer av 2, 6 eller 7 §.
För uppgift i en allmän handling gäller sekretessen i högst sjuttio år.
Nuvarande lydelse
Föreslagen lydelse
3 §
Sekretess gäller i verksamhet som avser förande av eller uttag ur register enligt lagen (1998:620) om belastningsregister för uppgift i registret. I fråga om utlämnande av sådan uppgift gäller vad som är föreskrivet i den lagen och i säkerhetsskyddslagen (1996:627) samt i förordningar som har meddelats med stöd av dessa lagar.
Sekretess gäller i verksamhet som avser förande av eller uttag ur register enligt lagen (1998:620) om belastningsregister för uppgift i registret. I fråga om utlämnande av sådan uppgift gäller vad som är föreskrivet i den lagen och i säkerhetsskyddslagen (2017:xx) samt i förordningar som har meddelats med stöd av dessa lagar.
För uppgift i en allmän handling gäller sekretessen i högst sjuttio år.
Bestämmelserna i 10 och 12 kap. gäller inte i fråga om sekretessen enligt denna paragraf.
10 §
Sekretessen enligt 1 § hindrar inte att en uppgift lämnas ut
1. till en enskild enligt vad som föreskrivs i lagen (1964:167) med särskilda bestämmelser om unga lagöverträdare,
2. till en enskild enligt vad som föreskrivs i säkerhetsskyddslagen (1996:627) samt i förordning som har meddelats med stöd i den lagen,
2. till en enskild enligt vad som föreskrivs i säkerhetsskyddslagen (2017:xx) samt i förordning som har meddelats med stöd i den lagen,
3. enligt vad som föreskrivs i
- lagen (1998:621) om misstankeregister,
- polisdatalagen (2010:361),
- lagen (1999:90) om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar,
- lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet,
- kustbevakningsdatalagen (2012:145),
- åklagardatalagen (2015:433),
- förordningar som har stöd i dessa lagar, eller
4. till en enskild enligt vad som föreskrivs i 27 kap. 8 § rättegångsbalken.
1. Denna lag träder i kraft den 1 januari 2019.
2. Äldre föreskrifter gäller fortfarande i fråga om registerkontroll eller särskild personutredning som har genomförts enligt säkerhetsskyddslagen (1996:627) före ikraftträdandet.
8 Förslag till lag om ändring i polisdatalagen (2010:361)
Härigenom föreskrivs att 6 kap. 1 § polisdatalagen (2010:361) ska ha följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
6 kap.
1 §
Personuppgifter får behandlas i Säkerhetspolisens brottsbekämpande verksamhet om det behövs för att
1. förebygga, förhindra eller upptäcka brottslig verksamhet som innefattar
a) brott mot rikets säkerhet,
b) terrorbrott, eller
c) tryckfrihetsbrott och yttrandefrihetsbrott med rasistiska eller främlingsfientliga motiv
2. utreda eller beivra sådana brott som avses i 1, eller, efter särskilt beslut, annat brott,
3. fullgöra uppgifter i samband med personskydd av den centrala statsledningen och andra som regeringen eller Säkerhetspolisen bestämmer,
4. fullgöra uppgifter enligt säkerhetsskyddslagen (1996:627),
4. fullgöra uppgifter enligt säkerhetsskyddslagen (2017:xx),
5. fullgöra förpliktelser som följer av internationella åtaganden,
6. lämna tekniskt biträde till Polismyndigheten, Ekobrottsmyndigheten, Åklagarmyndigheten eller Tullverket, eller
7. fullgöra annan verksamhet som anges i lag eller förordning eller särskilt beslut av regeringen.
Denna lag träder i kraft den 1 januari 2019.
9 Förslag till lag om ändring av lagen (2010:1767) om geografisk miljöinformation
Härigenom föreskrivs att 15 § lagen (2010:1767) om geografisk miljöinformation ska ha följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
15 §
Bestämmelser om
1. behandling av personuppgifter finns i personuppgiftslagen (1998:204),
2. behandling av personuppgifter i fastighetsregistret finns i lagen (2000:224) om fastighetsregister,
3. krav på tillstånd för spridning av en sammanställning av geografisk information finns i lagen (2016:319) om skydd för geografisk information,
4. säkerhetsskydd finns i säkerhetsskyddslagen (1996:627), och
4. säkerhetsskydd finns i säkerhetsskyddslagen (2017:xx), och
5. upphovsrätt finns i lagen (1960:729) om upphovsrätt till litterära och konstnärliga verk.
I fråga om behandling av personuppgifter enligt denna lag gäller inte 2 § personuppgiftslagen (1998:204).
Denna lag träder i kraft den 1 januari 2019.
10 Förslag till lag om ändring i lagen (2011:1029) om upphandling på försvars- och säkerhetsområdet
Härigenom föreskrivs att 1 kap. 9-10 §§, 2 kap. 22 § och 11 kap. 2 § lagen (2011:1029) om upphandling på försvars- och säkerhetsområdet ska ha följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
1 kap.
9 §
I fråga om upphandling som avser sådan tillverkning av eller handel med vapen, ammunition och krigsmateriel som omfattas av artikel 346.1 b i EUF-fördraget och där 7 eller 8 § eller 10 § första stycket 2-4 eller 10 inte är tillämpliga får regeringen i enskilda fall besluta om de undantag från bestämmelserna i denna lag som är nödvändiga med hänsyn till rikets väsentliga säkerhetsintressen.
I fråga om upphandling som avser sådan tillverkning av eller handel med vapen, ammunition och krigsmateriel som omfattas av artikel 346.1 b i EUF-fördraget och där 7 eller 8 § eller 10 § första stycket 2-4 eller 10 inte är til-lämpliga får regeringen i enskilda fall besluta om de undantag från bestämmelserna i denna lag som är nödvändiga med hänsyn till Sveriges väsentliga säkerhetsintressen.
Försvarets materielverk får besluta om sådana undantag som avses i första stycket om upphandlingen
1. avser tillägg till en upphandling där regeringen tidigare beslutat om undantag med stöd av första stycket,
2. avser varor, tjänster eller byggentreprenader inom ramen för en av Sverige träffad internationell överenskommelse om mellanstatlig samverkan i fråga om försörjning av varor, tjänster eller byggentreprenader, eller
3. har ett värde som understiger 25 000 000 kronor.
Försvarsmakten och Försvarets radioanstalt får besluta om sådana undantag som avses i första stycket om upphandlingens värde understiger 5 000 000 kronor.
10 §
Denna lag gäller inte för kontrakt
1. för vilka tillämpningen av denna lag skulle kräva att en upphandlande myndighet eller enhet tillhandahåller information vars avslöjande strider mot rikets väsentliga säkerhetsintressen,
Denna lag gäller inte för kontrakt
1. för vilka tillämpningen av denna lag skulle kräva att en upphandlande myndighet eller enhet tillhandahåller information vars avslöjande strider mot Sveriges väsentliga säkerhetsintressen,
2. som avser underrättelseverksamhet,
3. som tilldelas inom ramen för ett samarbetsprogram som gäller forskning och utveckling mellan minst två stater inom EES avseende utvecklandet av en ny produkt och, i förekommande fall, de senare skedena av hela eller delar av produktens livslängd,
4. som, av operativa skäl, måste tilldelas en leverantör i ett område utanför EES territorium där operationen genomförs,
5. som avser förvärv av fastighet, arrenderätt, hyresrätt, bostadsrätt, tomträtt, servitutsrätt eller någon annan rättighet till fastighet,
6. som en regering tilldelas av en annan regering och som avser
a) tillhandahållande av militär utrustning eller utrustning av känslig karaktär,
b) byggentreprenader och tjänster med direkt anknytning till sådan utrustning som avses i a, eller
c) byggentreprenader och tjänster särskilt avsedda för militära syften eller av känslig karaktär,
7. som avser skiljemanna- eller förlikningsuppdrag,
8. som avser finansiella tjänster, utom försäkringstjänster,
9. som avser anställningar, eller
10. som avser forsknings- och utvecklingstjänster, med undantag för sådana vilkas resultat endast tillkommer en upphandlande myndighet eller enhet i den egna verksamheten och betalas av myndigheten eller enheten.
Första stycket 4 avser även civila inköp.
Med fastighet enligt första stycket 5 avses det som enligt jordabalken utgör eller tillhör en fastighet. Befintlig byggnad som tillhör någon annan än ägaren till jorden ska också anses utgöra en fastighet. Detsamma gäller sådana tillbehör till byggnaden som avses i 2 kap. 2 och 3 §§ jordabalken, om de tillhör byggnadens ägare.
2 kap.
22 §
Med säkerhetsskydds-klassificerade uppgifter avses information och material oavsett form, karaktär eller överföringsteknik som omfattas av krav på en viss säkerhetsnivå eller en viss skyddsnivå och som med hänsyn till rikets säkerhet enligt lagar och andra författningar måste skyddas mot intrång, förstörelse, avlägsnande, spridning, förlust eller åtkomst av någon obehörig person, eller någon annan typ av risk.
Med säkerhetsskydds-klassificerade uppgifter avses i denna lag information och material oavsett form, karaktär eller överföringsteknik som om-fattas av krav på en viss säkerhetsnivå eller en viss skyddsnivå och som med hänsyn till Sveriges säkerhet enligt lagar och andra författningar måste skyddas mot intrång, förstörelse, avlägsnande, spridning, förlust eller åtkomst av någon obehörig person, eller någon annan typ av risk.
För skydd av säkerhetsskyddsklassificerade uppgifter finns bestämmelser i säkerhetsskyddslagen (2017:xx).
11 kap.
2 §
En leverantör får uteslutas från att delta i en upphandling, om leverantören
1. är i konkurs eller likvidation, är under tvångsförvaltning eller är föremål för ackord eller tills vidare har inställt sina betalningar eller är underkastad näringsförbud,
2. är föremål för ansökan om konkurs, tvångslikvidation, tvångsförvaltning, ackord eller annat liknande förfarande,
3. genom lagakraftvunnen dom är dömd för brott avseende yrkesutövningen, såsom till följd av en överträdelse av befintlig lagstiftning om export av försvars- och säkerhetsutrustning,
4. har gjort sig skyldig till allvarligt fel i yrkesutövningen, såsom genom att inte ha iakttagit sina skyldigheter i fråga om informationssäkerhet eller försörjningstrygghet vid ett tidigare kontrakt, och den upphandlande myndigheten eller enheten kan visa detta,
5. har, på grundval av någon form av bevis som även kan bestå av skyddade uppgiftskällor, kunnat konstaterats inte vara så tillförlitlig som krävs för att inte riskera rikets säkerhet,
5. på grundval av någon form av bevis som även kan bestå av skyddade uppgiftskällor, har kunnat konstaterats inte vara så tillförlitlig som krävs för att inte riskera Sveriges säkerhet,
6. inte har fullgjort sina åligganden avseende socialförsäkringsavgifter eller skatt i det egna landet eller i det land där upphandlingen sker, eller
7. i något väsentligt hänseende har låtit bli att lämna begärda upplysningar eller lämnat felaktiga upplysningar som begärts med stöd av bestämmelserna i 11 eller 12 kap.
Är leverantören en juridisk person, får leverantören uteslutas om en företrädare för den juridiska personen har dömts för brott som avses i första stycket 3 eller gjort sig skyldig till sådant fel som avses i första stycket 4.
Myndigheten eller enheten får, utom i de fall som avses i 4 §, begära att en leverantör visar att det inte finns någon grund för att utesluta leverantören med stöd av första stycket 1, 2, 3 eller 6.
Denna lag träder i kraft den 1 januari 2019.
11 Förslag till lag om ändring i lagen (2014:514) om ansvar för vissa säkerhetsfrågor vid statsministerns tjänstebostäder
Härigenom föreskrivs att 1, 2, 4 och 5 §§ lagen (2014:514) om ansvar för vissa säkerhetsfrågor vid statsministerns tjänstebostäder ska ha följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
1 §
Denna lag innehåller särskilda bestämmelser som rör verksamheten vid och skyddet för egendom som används som tjänstebostad för statsministern. Bestämmelserna utgör kompletteringar till och undantag från säkerhetsskyddslagen (1996:627) och skyddslagen (2010:305).
Denna lag innehåller särskilda bestämmelser som rör verksamheten vid och skyddet för egendom som används som tjänstebostad för statsministern. Bestämmelserna utgör kompletteringar till och undantag från säkerhetsskyddslagen (2017:xx) och skyddslagen (2010:305).
2 §
Säkerhetspolisen har det ansvar för tillträdesbegränsning som anges i 7 § 2 säkerhetsskyddslagen (1996:627) vid egendom som används som tjänstebostad för statsministern.
Inför att tillträdesbegränsande åtgärder vidtas ska Säkerhetspolisen samråda med den eller de myndigheter som förvaltar egen-domen och som berörs av åtgärden. När det gäller tillträdes-begränsande åtgärder som är av större betydelse ska Säkerhetspolisen även samråda med Regeringskansliet.
Säkerhetspolisen har det ansvar för fysisk säkerhet som anges i 2 kap. 4 § säkerhetsskyddslagen (2017:xx) vid egendom som används som tjänstebostad för statsministern.
Inför att åtgärder som rör fysisk säkerhet vidtas ska Säkerhetspolisen samråda med den eller de myndigheter som förvaltar egendomen och som berörs av åtgärden. När det gäller åtgärder som rör fysisk säkerhet som är av större betydelse ska Säkerhetspolisen även samråda med Regeringskansliet.
4 §
Inför att säkerhetsskyddsavtal ska träffas enligt 8 § säkerhetsskyddslagen (1996:627) med anledning av upphandling till egendom som används som tjänstebostad för statsministern ska den upphandlande myndigheten samråda med Säkerhetspolisen.
Inför att säkerhetsskyddsavtal ska träffas enligt 2 kap. 6 § säkerhetsskyddslagen (2017:xx) med anledning av upphandling till egendom som används som tjänstebostad för statsministern ska den upphandlande myndigheten samråda med Säkerhetspolisen.
5 §
Inför beslut om placering i säkerhetsklass enligt 17 § säkerhetsskyddslagen (1996:627) av anställningar eller annat deltagande i verksamheten vid egendom som används som tjänstebostad för statsministern ska den som bedriver verksamheten samråda med Säkerhetspolisen.
Inför beslut om placering i säkerhetsklass enligt 3 kap. 5 § säkerhetsskyddslagen (2017:xx) av anställningar eller annat deltagande i verksamheten vid egendom som används som tjänstebostad för statsministern ska den som bedriver verksamheten samråda med Säkerhetspolisen.
Denna lag träder i kraft den 1 januari 2019.
Lagrådets yttrande
Utdrag ur protokoll vid sammanträde 2017-11-24
Närvarande: F.d. justitieråden Leif Thorsson och Lennart Hamberg samt justitierådet Erik Nymansson.
Ett modernt och stärkt skydd för Sveriges säkerhet - ny säkerhetsskyddslag
Enligt en lagrådsremiss den 16 november 2017 har regeringen (Justitiedepartementet) beslutat inhämta Lagrådets yttrande över förslag till
1. säkerhetsskyddslag,
2. lag om ändring i polislagen (1984:387),
3. lag om ändring i elberedskapslagen (1997:288),
4. lag om ändring i lagen (1998:938) om behandling av
personuppgifter om totalförsvarspliktiga,
5. lag om ändring i lagen (2006:128) om säkerhetsskydd i riksdagen
och dess myndigheter,
6. lag om ändring i lagen (2007:258) om behandling av
personuppgifter i Försvarsmaktens försvarsunderrättelse-
verksamhet och militära säkerhetstjänst,
7. lag om ändring i offentlighets- och sekretesslagen (2009:400),
8. lag om ändring i polisdatalagen (2010:361),
9. lag om ändring i lagen (2010:1767) om geografisk miljö-
information,
10. lag om ändring i lagen (2011:1029) om upphandling på försvars-
och säkerhetsområdet,
11. lag om ändring i lagen (2014:514) om ansvar för vissa
säkerhetsfrågor vid statsministerns tjänstebostäder.
Förslagen har inför Lagrådet föredragits av kanslirådet Emma Degerfeldt och rättssakkunnige Dan Leeman.
Förslagen föranleder följande yttrande av Lagrådet:
Förslaget till säkerhetsskyddslag
2 kap. 7 §§
Enligt den föreslagna paragrafen ska regeringen eller den myndighet som regeringen bestämmer få meddela föreskrifter om anmälnings- och rapporteringsskyldighet och även i övrigt om vad som krävs för att uppfylla bestämmelserna i 2 kap. Åtminstone det senare ledet, och skrivningar i författningskommentaren till bestämmelsen, för tanken till att det rör sig om verkställighetsföreskrifter, och det borde då anges att regeringen eller myndigheten "kan" meddela sådana föreskrifter. I föreslagna 5 kap. 5 § finns emellertid en upplysningsbestämmelse som generellt avser hela den nya lagen, och detta led framstår då som överflödigt. Om det å andra sidan avses vara ett materiellt delegationsbeslut bör detta tydliggöras i författningskommentaren. Samtidigt bör övervägas om bemyndigandet kan preciseras och formuleras på ett tydligare sätt.
3 kap. 19 §
I paragrafens andra stycke anges att den myndighet som regeringen bestämmer beslutar om huruvida uppgifter som kommit fram vid registerkontroll och särskild personutredning ska lämnas ut för säkerhetsprövning.
Bestämmelsen motsvarar 23 § andra stycket 1996 års säkerhetsskyddslag med den skillnaden att det där anges att det är Säkerhets- och integritetsskyddsnämnden som beslutar om utlämnande av uppgifter. Säkerhets- och integritetsskyddsnämnden har tagit över uppgifterna från den dåvarande Registernämnden.
I förarbetena till införandet av bestämmelsen i 23 § andra stycket 1996 års säkerhetsskyddslag angavs att det framstod som en ändamålsenlig och lämplig ordning att placera beslutanderätten hos Registernämnden, som inrättats just för att stärka rättssäkerheten och den enskildes integritetsskydd vid utlämnande av uppgifter för säkerhetsprövning (prop. 2005/06:137 s. 21).
Enligt Lagrådets mening bör det i propositionen anges vilka skäl som ligger bakom den föreslagna ändringen.
Övriga lagförslag
Lagrådet lämnar förslagen utan erinran.
Justitiedepartementet
Utdrag ur protokoll vid regeringssammanträde den 15 februari 2018
Närvarande: statsminister Löfven, ordförande, och statsråden Lövin,
Y Johansson, M Johansson, Baylan, Bucht, Hultqvist, Regnér, Andersson, Hellmark Knutsson, Bolund, Damberg, Bah Kuhnke, Strandhäll, Shekarabi, Fridolin, Eriksson, Linde, Skog, Ekström, Fritzon, Eneroth
Föredragande: statsrådet Morgan Johansson
Regeringen beslutar proposition Ett modernt och stärkt skydd för Sveriges säkerhet - ny säkerhetsskyddslag