Dir. 2011:94

En modern säkerhetsskyddslag

Kommittédirektiv

En modern säkerhetsskyddslag

Beslut vid regeringssammanträde den 8 december 2011

Sammanfattning

En särskild utredare ska göra en översyn av säkerhetsskyddslagstiftningen. Syftet är främst att bättre anpassa lagstiftningen till det som krävs för att skydda verksamhet som har betydelse för rikets säkerhet och till de krav det internationella samarbetet ställer.

Utredaren ska bl.a.

  • analysera vilka verksamheter som är av betydelse för rikets säkerhet eller som behöver skyddas mot terrorism och därför är i behov av säkerhetsskydd,
  • föreslå hur reglerna om informationssäkerhet, som en del av säkerhetsskyddet, bör vara utformade,
  • analysera vilka förändringar som kan behövas för att bättre anpassa lagstiftningen till de krav på säkerhetsskydd som ställs i det internationella samarbetet,
  • analysera hur ett system med säkerhetsklarering kan utformas för svenska förhållanden,
  • bedöma inom vilka verksamheter registerkontroll till skydd mot terrorism bör få ske,
  • analysera behovet av förändringar av bestämmelserna om säkerhetsskyddad upphandling,
  • ta ställning till om kravet på svenskt medborgarskap i säkerhetsskyddslagen bör förändras och
  • utarbeta nödvändiga författningsförslag.

Uppdraget ska redovisas senast den 30 april 2014.

Nuvarande reglering

Säkerhetsskyddslagen (1996:627) trädde i kraft den 1 juli 1996. I lagen finns bestämmelser om säkerhetsskydd. Med säkerhetsskydd menas dels skydd mot spioneri, sabotage och andra brott som kan hota rikets säkerhet, dels skydd i andra fall av uppgifter som omfattas av sekretess enligt offentlighets- och sekretesslagen (2009:400) och som rör rikets säkerhet och dels skydd mot terroristbrott, även om brotten inte hotar rikets säkerhet. Säkerhetsskydd ska, i behövlig omfattning, finnas vid verksamhet hos staten, kommunerna och landstingen, hos juridiska personer som staten, kommunerna eller landstingen utövar ett rättsligt bestämmande inflytande över samt hos enskilda om verksamheten är av betydelse för rikets säkerhet eller särskilt behöver skyddas mot terrorism. Säkerhetsskyddet ska förebygga att uppgifter som omfattas av sekretess och som rör rikets säkerhet obehörigen röjs, ändras eller förstörs (informationssäkerhet), att obehöriga får tillträde till platser där de kan få tillgång till sådana uppgifter eller där verksamhet som har betydelse för rikets säkerhet bedrivs (tillträdesbegränsning) samt att personer som inte är pålitliga från säkerhetssynpunkt deltar i verksamhet som har betydelse för rikets säkerhet (säkerhetsprövning). Säkerhetsskyddet ska även i övrigt förebygga terrorism. Lagen innehåller också bestämmelser om skyldighet att teckna säkerhetsskyddsavtal i vissa fall samt om utbildning, kontroll och tillsyn.

För riksdagen och dess myndigheter finns kompletterande bestämmelser om säkerhetsskydd i lagen (2006:128) om säkerhetsskydd i riksdagen och dess myndigheter.

Uppdraget att föreslå en modern lagstiftning för säkerhetsskydd

Säkerhetsskyddslagstiftningen har varit i kraft i mer än femton år. Under den tiden har förutsättningarna för säkerhetsskyddet förändrats på många sätt. Inte minst har utvecklingen inom informationstekniken och det internationella samarbetet medfört ett ökat fokus på säkerhetsskyddsfrågor. Även avregleringar av

offentlig verksamhet har påverkat förutsättningarna för säkerhetsskyddet. Till detta kommer de förändringar som hotbilden genomgått sedan det kalla krigets slut och som bl.a. inneburit ett ökat fokus på civila områden samt på internationell terrorism och andra typer av grov internationell brottslighet.

Säkerhetspolisen och andra berörda myndigheter har i olika sammanhang pekat på frågor som behöver ses över inom ramen för en översyn av säkerhetsskyddslagen. Behovet av en allmän översyn av säkerhetsskyddslagen togs också upp av den dåvarande regeringen i samband med vissa ändringar av säkerhetsskyddslagen år 2006, se propositionen Ändringar i säkerhetsskyddslagen m.m. (prop. 2005/06:137 s. 14). Säkerhetspolisen har även i en skrift till regeringen år 2005 tagit upp behovet av relativt omfattande förändringar och anpassningar av säkerhetsskyddsförordningen (1996:633) (Ju2005/5877/L4).

Mot denna bakgrund gjorde regeringen i juni 2009 bedömningen att det var lämpligt att inleda en allmän översyn av säkerhetsskyddslagstiftningen och det behov av säkerhetsskydd som kan finnas för olika slags verksamheter. För att få en bättre bild av de frågeställningar som bör behandlas i en sådan översyn gavs Säkerhetspolisen i uppdrag att genomföra en förstudie över de frågeställningar som myndigheten anser bör behandlas i översynen (Ju2009/5174/PO).

Säkerhetspolisen redovisade uppdraget i oktober 2009 (Ju2009/8933/L4). I rapporten anger myndigheten ett antal större och mindre frågor som bör behandlas i en översyn av säkerhetsskyddslagstiftningen. Behovet av en översyn har därefter tagits upp av regeringen i propositionen Upphandling på försvars- och säkerhetsområdet (prop. 2010/11:150 del 1 s. 258).

Arbetet går nu vidare och en särskild utredare ges i uppdrag att göra en översyn av säkerhetsskyddslagstiftningen. Lagstiftningen ska utformas på ett sådant sätt att den är enkel och tydlig att följa och tillämpa.

I följande avsnitt anges ett antal områden som utredaren ska ägna särskild uppmärksamhet.

Säkerhetsskyddets syfte

Säkerhetsskyddslagen är i första hand inriktad på att skydda rikets säkerhet. I förarbetena till lagen anges att det visserligen inte finns någon legaldefinition av begreppet rikets säkerhet, men att begreppet kan sägas avse såväl den yttre säkerheten för det nationella oberoendet som den inre säkerheten för det demokratiska statsskicket (prop. 1995/96:129 s. 22 och 74).

Skyddet för den yttre säkerheten tar framför allt sikte på totalförsvaret, dvs. den verksamhet som behövs för att förbereda Sverige för krig. Ett hot mot rikets yttre säkerhet anses dock kunna förekomma även om det inte hotar totalförsvaret. Skyddet av rikets yttre säkerhet anses omfatta uppgifter och förhållanden av rent militär betydelse eller av betydelse för totalförsvaret i övrigt och andra uppgifter som har betydelse för rikets nationella oberoende (prop. s. 23).

Också rikets inre säkerhet kan vara hotad utan att totalförsvaret berörs. Angrepp på det demokratiska statsskicket kan förekomma från grupperingar utan förbindelse med främmande makt. Det kan vara fråga om försök att ta över den politiska makten genom våld eller att använda våld, hot eller tvång mot statsledningen i syfte att påverka politikens utformning. Försök att systematiskt hindra medborgarna från att utnyttja sina demokratiska fri- och rättigheter räknas också till hoten mot rikets inre säkerhet (prop. s. 23).

Även om begreppet rikets säkerhet inte är reserverat för förhållanden som har betydelse för totalförsvaret har det i hög grad kommit att förknippas med framför allt militära förhållanden. Samtidigt har utvecklingen gått mot att andra samhälleliga verksamheter fått en allt större betydelse från säkerhetsskyddssynpunkt, något som bl.a. lyfts fram i Säkerhetspolisens förstudie. Ett uttryck för detta är den förändring som hotbilden genomgått under de senaste tio åren.

I förarbetena till säkerhetsskyddslagen konstaterades att hotbilden mot Sverige förändrats efter det kalla krigets slut. Trots det gjordes bedömningen att det nya säkerhetspolitiska läget inte hade inneburit några radikala förändringar av förutsättningarna för en ny säkerhetsskyddsreglering, se Säkerhets-

skyddsutredningens betänkande Säkerhetsskydd (SOU 1994:149 s. 14 f.). Det nya regelverket utarbetades mot den bakgrunden.

Sedan säkerhetsskyddslagen trädde i kraft har hoten mot rikets säkerhet ytterligare förändrats. Ett enskilt militärt angrepp direkt mot Sverige bedöms som osannolikt under överskådlig tid. Kriser eller incidenter, som även inbegriper militära maktmedel kan dock uppstå i vår region, och på längre sikt kan militära angreppshot aldrig uteslutas, se propositionen Ett användbart försvar (prop. 2008/09:140 s. 28). Dagens säkerhetspolitiska hot, eller hot som är av sådan karaktär att de kan få säkerhetspolitiska konsekvenser, är ofta gränsöverskridande, icke-militära och utgår inte sällan från icke-statliga aktörer. Som exempel kan nämnas internationell terrorism och andra typer av grov internationell brottslighet, spridning av massförstörelsevapen samt framställning och transport av vapen, komponenter och teknologi, jfr propositionen En anpassad försvarsunderrättelseverksamhet (prop. 2006/07:63 s. 17). Säkerhetspolisen har också noterat att främmande staters underrättelseverksamhet de senaste decennierna har breddats mot forskning och utveckling inom civila områden samt mot politiska frågor och information som rör samhällsviktiga system, jfr regeringens direktiv till Utredningen om förstärkt skydd mot främmande makts underrättelseverksamhet (dir. 2010:35). Vidare betraktar Säkerhetspolisen elektroniska angrepp i olika former som ett av de allvarligaste hoten. Även den ökade internationaliseringen innebär nya förutsättningar för säkerhetsskyddet. En särskild fråga är de svårigheter som kan uppstå från säkerhetsskyddssynpunkt vid utflyttning av verksamheter till utlandet, bl.a. inom energiförsörjningen.

Det är alltså angeläget att lagstiftningen är utformad på ett sådant sätt att den ger utrymme för att vidta de åtgärder som krävs för att möta de förändringar som skett när det gäller hoten mot rikets säkerhet. Lagstiftningen måste också vara utformad så att den har förutsättningar att stå sig över tid. Det är därför viktigt att reglerna inte får ett allt för snävt tillämpningsområde. Säkerhetsskyddslagen bör även i fortsättningen kunna omfatta vissa andra nationella skyddsändamål än rikets säkerhet, bl.a. skydd mot terroristbrott som saknar koppling till rikets säkerhet.

Säkerhetsskyddsåtgärder bör också kunna vidtas för att skydda samhällsviktig verksamhet vars funktionalitet är av betydelse för rikets säkerhet mot andra brottsliga angrepp, även om angreppet i det konkreta fallet inte anses kunna hota rikets säkerhet. Exempel som Säkerhetspolisen nämner i förstudien är kritisk infrastruktur såsom verksamhet för produktion eller distribution av dricksvatten och elektricitet.

Säkerhetsskyddslagens koppling till rikets säkerhet innebär att säkerhetsskyddsåtgärder endast i begränsad omfattning kan vidtas för att tillgodose skyddsintressen med anknytning till andra länder eller mellanfolkliga organisationer i fall där det saknas en koppling till svenska säkerhetsintressen.

Enligt Säkerhetspolisens förstudie och tidigare översyner, bl.a. promemorian Några frågor om säkerhetsprövning inför utlandsverksamhet, m.m. (Ds 2006:20), bör säkerhetsskyddsåtgärder i högre grad än vad som är möjligt med nuvarande regler kunna vidtas här i landet, bl.a. när det gäller svenskar eller svenska företag som ska delta i säkerhetskänslig verksamhet utomlands. Samma sak gäller för att skydda viss säkerhetskänslig information som tagits emot av svenska myndigheter och andra organ inom ramen för internationellt samarbete, t.ex. inom EU-arbetet och samarbetet med Nato. En given utgångspunkt i detta sammanhang är att lagstiftningen ska uppfylla de krav som ställs enligt de folkrättsliga åtaganden som Sverige gjort på säkerhetsskyddsområdet, vilket berörs närmare nedan. En framtida reglering av säkerhetsskyddsfrågorna bör alltså tydligt göra klart att även vissa berättigade säkerhetsskyddsintressen med anknytning till andra länder eller mellanfolkliga organisationer kan vara ett ändamål för lagstiftningen, även i fall där det saknas en koppling till svenska säkerhetsintressen.

Utredaren ska därför

  • analysera vilka verksamheter som är av betydelse för rikets säkerhet eller som behöver skyddas mot terrorism och därför är i behov av säkerhetsskydd,
  • ta ställning till vilka säkerhetsskyddsintressen med anknytning till andra länder eller mellanfolkliga

organisationer som bör kunna bli föremål för säkerhetsskyddsåtgärder här i landet,

  • i övrigt föreslå hur tillämpningsområdet för lagstiftningen bör avgränsas och
  • utarbeta nödvändiga författningsförslag.

Informationssäkerhet

En viktig del i säkerhetsskyddet är informationssäkerheten. Med det avses åtgärder för att förebygga att uppgifter som omfattas av sekretess och som rör rikets säkerhet obehörigen röjs, ändras eller förstörs (7 § första stycket 1 säkerhetsskyddslagen). Därutöver finns i 9 § säkerhetsskyddslagen en bestämmelse som uttryckligen anger att behovet av skydd vid automatisk informationsbehandling ska beaktas särskilt vid utformningen av informationssäkerheten.

Termen informationssäkerhet infördes i samband med säkerhetsskyddslagen och ersatte den äldre termen sekretessskydd. Skälet till ändringen var att markera att utvecklingen på informationsteknikens område medfört att skyddet av sekretessbelagd information fått en annan dimension än tidigare (prop. 1995/96:129 s. 27).

Sedan säkerhetsskyddslagen trädde i kraft 1996 har informationstekniken och användningen av den genomgått en betydande utveckling. Bland annat internet, som fick sitt egentliga genomslag i mitten på 1990-talet, har i grunden förändrat förutsättningarna för informationssäkerhetsarbetet. Mycket stora informationsmängder, såväl öppen som hemlig, hanteras i it-system. En rad verksamheter, både hos det allmänna och inom näringslivet, är helt beroende av digitala system för bl.a. styrning, reglering och övervakning. Även internationaliseringen har påverkat förutsättningarna för informationssäkerheten. Det gäller exempelvis i samband med utflyttning av verksamhet till utlandet, bl.a. inom energiförsörjningen. Denna utveckling har även inneburit att hotbilden förändrats. Som tidigare nämnts anser Säkerhetspolisen att angrepp i form av elektroniska attacker på samhällsviktiga informationssystem är ett av de allvarligaste hoten mot rikets säkerhet. Säkerhets-

skyddslagstiftningen måste vara utformad på ett sådant sätt att den ger utrymme för att vidta de åtgärder som krävs för att möta utvecklingen på it-området. Lagstiftningen bör vidare vara så utformad att den har förutsättningar att stå sig över tid.

Som beskrivits i det föregående är ett av ändamålen med säkerhetsskyddslagen att skydda uppgifter som omfattas av sekretess enligt offentlighets- och sekretesslagen och som rör rikets säkerhet. Det gäller bl.a. bestämmelserna om informationssäkerhet, som uteslutande är inriktade på att skydda uppgifter som omfattas av sekretess och som rör rikets säkerhet. Lagen ger därför små möjligheter att vidta åtgärder för att skydda itsystemen som sådana. Samtidigt har utvecklingen på it-området inneburit att vissa informationssystem för bl.a. styrning, reglering och övervakning, t.ex. inom energiförsörjningen, fått en allt större betydelse för rikets säkerhet. Det gäller oavsett om det i systemen hanteras uppgifter som omfattas av sekretess som rör rikets säkerhet. Avgränsningen av säkerhetsskyddslagens bestämmelser om informationssäkerhet till åtgärder som behövs för att skydda uppgifter som omfattas av sekretess och som rör rikets säkerhet framstår alltså inte längre som ändamålsenlig.

Vid sidan av Säkerhetspolisens arbete med informationssäkerhet enligt säkerhetsskyddslagen finns flera myndigheter som är verksamma inom informationssäkerhetsområdet med stöd av andra författningar. Bland annat har Myndigheten för samhällsskydd och beredskap i uppdrag att stödja och samordna arbetet med samhällets informationssäkerhet. Det är angeläget att den samlade kompetens som finns vid de myndigheter som utför uppgifter på informationssäkerhetsområdet kan utnyttjas på ett effektivt och ändamålsenligt sätt.

Utredaren ska därför

  • föreslå hur reglerna om informationssäkerhet, som en del av säkerhetsskyddet, bör vara utformade och
  • med beaktande av övrig rättslig reglering på informationssäkerhetsområdet, utarbeta nödvändiga författningsförslag.

Ett nytt system för säkerhetsprövning?

Av 17 § säkerhetsskyddslagen följer bl.a. att en anställning ska placeras i säkerhetsklass om den anställde i viss omfattning får del av uppgifter som omfattas av sekretess och är av betydelse för rikets säkerhet. Att en anställning har placerats i säkerhetsklass har betydelse bl.a. för möjligheterna till och omfattningen av registerkontroll av den enskilde. Bestämmelserna om placering i säkerhetsklass och kopplingen till skyddet av sekretessbelagda uppgifter innebär att verksamheter där det hanteras sekretessbelagda uppgifter som har betydelse för rikets säkerhet intar en särställning i säkerhetsskyddshänseende.

I det föregående har det redogjorts för att hoten mot rikets säkerhet har förändrats och dessutom kommit att rikta sig mot fler områden än tidigare. Exempel som Säkerhetspolisen nämner är vissa samhällsviktiga system som endast i mindre omfattning, eller inte alls, hanterar sekretessbelagda uppgifter som har betydelse för rikets säkerhet. Kopplingen till skyddet av sekretessbelagda uppgifter har också medfört vissa oklarheter när det gäller att bedöma hur bestämmelserna om placering i säkerhetsklass ska tillämpas på privaträttsliga subjekt. I takt med de avregleringar av offentlig verksamhet som skett har frågorna fått allt större aktualitet.

Säkerhetsskyddslagens bestämmelser om placering i säkerhetsklass och säkerhetsprövning innebär att omfattningen av de kontroller som görs av en person som ska delta i säkerhetskänslig verksamhet styrs av den mängd säkerhetskänsliga uppgifter som personen får del av. Exempelvis gäller för placering i säkerhetsklass 1 att personen i stor omfattning får del av uppgifter som omfattas av sekretess och är av synnerlig betydelse för rikets säkerhet (17 § 1 säkerhetsskyddslagen). Härigenom skiljer sig den svenska säkerhetsskyddsregleringen från vad som gäller för flertalet länder i vår närhet.

Gemensamt för lagstiftningen i dessa länder är att regelverken är uppbyggda kring ett system med säkerhetsklarering (eng: personal security clearance). Med säkerhetsklarering avses i princip att den person som ska kontrolleras godkänns – klareras – i en viss skyddsklass, som ger honom eller henne

behörighet att befatta sig med säkerhetskänsliga uppgifter upp till och med en viss skyddsnivå. Systemen med säkerhetsklarering innebär vidare att varje handling som bedöms skyddsvärd förses med en särskild markering som anger vilken skyddsnivå som gäller för handlingen.

Systemet med säkerhetsklarering har sin grund i Natosamarbetet och förekommer i flera länder och mellanfolkliga organisationer. Ett sådant system tillämpas även i EU enligt vad som föreskrivs i rådets beslut av den 31 mars 2011 om säkerhetsbestämmelser för skydd av säkerhetsskyddsklassificerade EU-uppgifter (2011/292/EU). Vidare har nyligen ett multilateralt säkerhetsskyddsavtal undertecknats mellan EU:s medlemsländer, som även det utgår från systemet med säkerhetsklarering (EUT 2011/C 202/05). Avtalet har ännu inte trätt i kraft. På det nordiska området träffades 2010 ett generellt säkerhetsskyddsavtal om ömsesidigt skydd och utbyte av säkerhetsskyddsklassificerade uppgifter (traktat nr 06893) som också grundas på systemet med säkerhetsklarering.

Den avgörande skillnaden mellan ett system med säkerhetsklarering och säkerhetsskyddslagens systematik har allmänt ansetts vara att den svenska säkerhetsprövningen är knuten till anställningen medan kontrollen i ett system med säkerhetsklarering hänför sig till den anställde.

Frågor om säkerhetsklarering togs upp 2001 i en skrivelse från Säkerhetspolisen till Justitiedepartementet (Ju2001/8231/L4). Enligt Säkerhetspolisen var olägenheterna med det svenska systemet bl.a. förknippade med möjligheterna att utfärda intyg över en utförd säkerhetsprövning. Säkerhetspolisen ansåg därför att grunderna för säkerhetsprövning och registerkontroll behövde ändras. Frågorna har också behandlats i promemorian Några frågor om säkerhetsprövning inför utlandsverksamhet, m.m. (Ds 2006:20). Promemorians förslag har inte lett till några lagändringar.

Sedan säkerhetsskyddslagen trädde i kraft har det internationella samarbetet intensifierats. Det gäller dels stater emellan, dels inom näringslivet. Samarbetet inom EU har utvecklats och blivit tätare. I näringslivet ställs allt oftare krav på säkerhetsskyddsåtgärder som villkor för att delta i olika

internationella affärssamarbeten. Sammantaget innebär det att säkerhetsskyddsfrågorna fått en allt större betydelse. Denna utveckling har gjort det tydligt att skillnaderna mellan systemen i den praktiska tillämpningen blivit allt svårare att överbrygga. Säkerhetsskyddslagen innehåller exempelvis inte någon reglering om utfärdande av intyg över en utförd säkerhetsprövning – vilket kan göra det svårare för svenskar att delta i säkerhetskänslig verksamhet utomlands. Ett annat problem utgör de svårigheter som finns när det gäller att jämföra de säkerhetsskyddsåtgärder som genomförs enligt de olika systemen. Dessa omständigheter kan innebära en risk för att det svenska systemet uppfattas som inte fullt likvärdigt med systemen med säkerhetsklarering. Dessutom är det förenat med svårigheter i den praktiska tillämpningen. Det är angeläget att framtidens regler om säkerhetsskydd utformas så att de är bättre anpassade till de system för säkerhetsskydd som tillämpas såväl i flertalet länder i vår närhet som i de internationella organisationer som Sverige är medlem i eller samarbetar med. Mycket talar därför för att tiden nu är mogen för Sverige att gå över till ett system med säkerhetsklarering.

En sådan reform förutsätter noggranna överväganden på en rad områden. Till att börja med får regelverket inte innebära att medborgarnas möjligheter att ta del av allmänna handlingar enligt offentlighetsprincipen begränsas. En ytterligare förutsättning är att det är rättssäkert och godtagbart från integritetsskyddssynpunkt. Bland annat krävs noggranna överväganden av omfattningen av de kontroller som bör ligga till grund för ett beslut om säkerhetsklarering. Även de praktiska konsekvenserna av en reform måste analyseras.

En annan fråga som måste analyseras är vilken eller vilka myndigheter som ska kunna besluta om säkerhetsklarering och hur godkännandeprocessen ska gå till. I det internationella arbetet med säkerhetsskydd spelar den Nationella säkerhetsmyndigheten (eng. National Security Authority, NSA) inom respektive stat en central roll. I Sverige är denna funktion fördelad på ett flertal myndigheter, bl.a. Försvarsmakten och Försvarets materielverk, och innebär ansvar för bl.a. tillsyn samt att företräda Sverige i arbetet med säkerhetsskyddsfrågor

inom EU, Nato och den europeiska rymdorganisationen (eng:

European Space Agency, ESA).

Oavsett om Sverige går över till ett system med säkerhetsklarering eller inte måste lagstiftningen uppfylla de krav som ställs enligt de internationella åtaganden som Sverige gjort på säkerhetsskyddsområdet. Det gäller bl.a. att här i landet skydda viss säkerhetskänslig information som tagits emot av svenska myndigheter och andra organ inom ramen för internationellt samarbete, exempelvis inom EU-arbetet.

Utredaren ska därför

  • översiktligt redovisa de regler och förfaranden som gäller i länder som är jämförbara med Sverige och som tillämpar ett system med säkerhetsklarering, särskilt de nordiska länderna och länderna inom EU,
  • analysera vilka förändringar som kan behövas för att bättre anpassa säkerhetsskyddslagstiftningen till de krav på säkerhetsskydd som ställs i det internationella samarbetet,
  • analysera hur ett system med säkerhetsklarering kan utformas för svenska förhållanden,
  • föreslå hur behovet av säkerhetsskydd ska tillgodoses i verksamheter som är av betydelse för rikets säkerhet men som i begränsad omfattning eller inte alls hanterar uppgifter som omfattas av sekretess och som rör rikets säkerhet,
  • bedöma vilka organisatoriska förändringar som en övergång till ett system med säkerhetsklarering skulle kräva och vilka praktiska konsekvenser en sådan övergång skulle medföra och
  • utarbeta nödvändiga författningsförslag.

Registerkontroll till skydd mot terrorism

Vid anställning eller annat deltagande i verksamhet som har placerats i säkerhetsklass ska en registerkontroll göras. Av 14 § säkerhetsskyddslagen följer att en registerkontroll får ske även i andra fall om det behövs för skyddet mot terrorism och det finns särskilda skäl. Närmare bestämmelser om registerkontroll till skydd mot terrorism finns i säkerhetsskyddsförordningen. Bestämmelserna innebär bl.a. att en registerkontroll får göras

beträffande den som ska delta vid vissa närmare angivna verksamheter, t.ex. vid civila flygplatser, anläggningar inom elförsörjningen som är skyddsobjekt samt vissa andra skyddsobjekt (26 och 27 §§säkerhetsskyddsförordningen).

Vid registerkontroll som görs till skydd mot terrorism får samtliga uppgifter om den kontrollerade som finns i belastningsregistret, misstankeregistret, SÄPO-registret och som annars behandlas hos Säkerhetspolisen lämnas ut (22 § säkerhetsskyddslagen). En viktig begränsning är dock att endast sådana uppgifter får lämnas ut som kan antas ha betydelse för prövningen av den kontrollerades pålitlighet från säkerhetssynpunkt (24 § säkerhetsskyddslagen). Det är Säkerhets- och integritetsskyddsnämnden som i varje enskilt fall beslutar vilka uppgifter som får lämnas ut. Registernämnden, vars verksamhet den 1 januari 2008 övertogs av Säkerhets- och integritetsskyddsnämnden, har i verksamhetsberättelsen för år 2007 ifrågasatt om bestämmelserna om utlämnande i 24 § fått en alltför restriktiv utformning när det gäller personal som är verksam vid flygplatser eller kärnkraftverk (Ju2008/1653/L4). Även Säkerhetspolisen har framfört invändningar mot regelverket i denna del.

Enligt Säkerhetspolisen kan det i vissa fall finnas anledning att utvidga möjligheterna till registerkontroll till skydd mot terrorism. Exempel som Säkerhetspolisen nämner är transporter av kärnämnen och kärnavfall. Behov av säkerhetsskyddsåtgärder vid transporter av farligt gods har även tagits upp av Riksrevisionen i rapporten Skyddet för farligt gods, RiR 2008:29 (Ju2008/10750/L4, N2008/8857/TE, Fö2008/3701/SSK).

Det finns alltså anledning att överväga hur bestämmelserna om registerkontroll till skydd mot terrorism bör vara utformade. Utredaren ska därför

  • bedöma inom vilka verksamheter registerkontroll till skydd mot terrorism bör få ske,
  • ta ställning till om reglerna om utlämnande av uppgifter bör ändras när det gäller registerkontroll till skydd mot terrorism och
  • utarbeta nödvändiga författningsförslag.

Säkerhetsskyddad upphandling och industrisäkerhetsskydd

Av 1 § säkerhetsskyddslagen följer att lagen gäller även hos enskilda om verksamheten är av betydelse för rikets säkerhet eller särskilt behöver skyddas mot terrorism. Exempel på enskilda som omfattas av säkerhetsskyddslagen är företag inom försvarsindustrin och vissa privata energiproducenter, bl.a. inom kärnkraftsindustrin. Härutöver kan krav på säkerhetsskyddsåtgärder i vissa fall komma att gälla även för enskilda som normalt sett inte omfattas av lagens bestämmelser. Av reglerna om s.k. säkerhetsskyddad upphandling följer nämligen att en statlig myndighet, en kommun eller ett landsting som avser träffa avtal om upphandling eller begära in anbud ska träffa ett säkerhetsskyddsavtal med anbudsgivaren eller leverantören om det säkerhetsskydd som behövs i det aktuella fallet (8 § säkerhetsskyddslagen). Säkerhetsskyddsavtal förekommer även vid internationellt samarbete om utveckling eller produktion av försvarsmateriel (17 § säkerhetsskyddsförordningen).

Skyldigheten att upprätta säkerhetsskyddsavtal är dock begränsad i flera avseenden. Den gäller t.ex. inte för enskilda eller rättssubjekt över vilka staten, kommunerna eller landstingen utövar ett rättsligt bestämmande inflytande, även om dessa bedriver verksamhet som är av betydelse för rikets säkerhet eller som särskilt behöver skyddas mot terrorism. Inte heller gäller den för myndigheter, kommuner och landsting vid en upphandling som inte innehåller uppgifter om rikets säkerhet men däremot uppgifter som är betydelsefulla för skyddet mot terrorism.

Numera är det, i långt större utsträckning än när säkerhetsskyddslagen trädde i kraft, vanligt att myndigheter och enskilda i stora projekt tar hjälp av externa leverantörer, som i sin tur kan komma att anlita underleverantörer. Det är också vanligt att utländska leverantörer och entreprenörer deltar i säkerhetsskyddade upphandlingar här i landet samt att svenska företag deltar i motsvarande verksamhet utomlands. I andra länder och mellanfolkliga organisationer förekommer dessutom att krav ställs på s.k. säkerhetsgodkännande av verksamhetsställe (eng:

Facility Security Clearance, FSC) som villkor för att delta i viss verksamhet, vilket kan innebära att företaget ska visa upp ett godtagbart säkerhetsskydd i fler avseenden än vad som gäller enligt säkerhetsskyddslagen eller ett svenskt säkerhetsskyddsavtal. Bestämmelser om säkerhetsgodkännande av verksamhetsställe finns bl.a. i rådets säkerhetsbestämmelser.

Säkerhetspolisen har pekat på att det nuvarande systemet med säkerhetsskyddsavtal är komplicerat samt tids- och kostnadskrävande att tillämpa för företagen, vilket kan innebära en risk för att reglerna inte får det genomslag som lagstiftningen förutsätter.

Säkerhetsskyddslagstiftningen bygger på grundtanken att de intressen lagstiftningen slår vakt om ska ha samma skydd oavsett om verksamheten bedrivs av det allmänna eller av enskilda (jfr prop. 1995/96:129 s. 35). Det är angeläget att reglerna är utformade så att detta kommer till utryck på ett tydligt sätt. Lagstiftningen bör även göra det möjligt för svenska företag att delta på likvärdiga villkor vid upphandlingar och anbudsförfaranden som rör säkerhetskänslig verksamhet utomlands, jfr propositionen Upphandling på försvars- och säkerhetsområdet (prop. 2010/11:150 del 1 s. 258). Den utveckling som har skett ställer nya krav på det säkerhetsskydd som kan behövas för svenska företag som deltar i säkerhetskänslig verksamhet, här såväl som i utlandet, och för utländska företag som får del av säkerhetskänslig information som rör svenska förhållanden.

Utredaren ska därför

  • analysera behovet av förändringar av säkerhetsskyddslagens bestämmelser om säkerhetsskyddad upphandling, bl.a. möjligheterna att träffa säkerhetsskyddsavtal,
  • bedöma vilka förändringar i övrigt som kan behövas för att bättre anpassa reglerna till de krav som ställs i det internationella samarbetet, bl.a. när det gäller systemen med säkerhetsgodkännande av verksamhetsställe och
  • utarbeta nödvändiga författningsförslag.

Medborgarskapskravet

Bestämmelser om krav på svenskt medborgarskap för vissa anställningar finns bl.a. i 11 kap. 11 § och 12 kap. 6 §regeringsformen, 5 och 6 §§ lagen (1994:260) om offentlig anställning och 29 § säkerhetsskyddslagen.

Enligt 29 § första stycket säkerhetsskyddslagen får en säkerhetsklassad anställning vid staten, en kommun eller ett landsting innehas endast av den som är svensk medborgare. Regeringen får i enskilda fall medge undantag från kravet på svenskt medborgarskap (29 § tredje stycket säkerhetsskyddslagen).

Det finns anställningar inom totalförsvaret där medborgarskapet är av väsentlig betydelse. Enligt Säkerhetspolisen kan dock de nuvarande reglerna försvåra möjligheterna att rekrytera kompetent personal inom verksamheter som har behov av specialistkompetens som inte finns att tillgå här i landet. Reglerna kan även innebära att personer med utländsk bakgrund i onödan utestängs från delar av arbetsmarknaden. Vidare kan de innebära svårigheter att åstadkomma en jämnare personalsammansättning med avseende på etnisk bakgrund, vilket bedömts angeläget för vissa verksamheter. Ett sådant exempel är Kriminalvården som arbetar aktivt för att öka andelen anställda med utländsk bakgrund samtidigt som en stor del av anställningarna är placerade i säkerhetsklass.

Mot denna bakgrund finns det skäl att överväga om kravet på svenskt medborgarskap för innehav av en säkerhetsklassad anställning bör förändras.

Utredaren ska därför

  • ta ställning till om, och i så fall hur, kravet på svenskt medborgarskap i säkerhetsskyddslagen bör förändras, i vart fall för de lägre säkerhetsklasserna, och
  • utarbeta nödvändiga författningsförslag.

Tillsyn

Tillsynsansvaret enligt säkerhetsskyddslagen omfattar myndigheter och andra organ som säkerhetsskyddslagen gäller för samt

anbudsgivare och leverantörer som ingått säkerhetsskyddsavtal. Säkerhetspolisen och Försvarsmakten har huvudansvaret för tillsynen (jfr 39 § säkerhetsskyddsförordningen och 3 § 1 förordningen [2002:1050] med instruktion för Säkerhetspolisen).

När det gäller bolag, föreningar och stiftelser över vilka staten, kommuner eller landsting utövar ett rättsligt bestämmande inflytande samt i fråga om enskilda som lagen gäller för utövas kontrollen av den sektorsansvariga myndigheten, t.ex. Affärsverket svenska kraftnät för elförsörjningsverksamhet och Post- och telestyrelsen för telekommunikationsverksamhet. Säkerhetsskyddet hos anbudsgivare eller leverantörer som har träffat säkerhetsskyddsavtal kontrolleras av den avtalsslutande myndigheten, kommunen eller landstinget. Även på dessa områden kan dock säkerhetsskyddet kontrolleras av Säkerhetspolisen och Försvarsmakten. Kontrollen ska i så fall utföras i samråd med den primärt ansvariga myndigheten.

I tillsynsuppgifterna ligger bl.a. att kontrollera att myndigheterna och berörda organ följer reglerna om säkerhetsskydd och att säkerhetsskyddet är tillräckligt för den verksamhet som bedrivs. Särskilt i förhållande till enskilda är behovet av råd och stöd framträdande. Tillsynen utövas bl.a. genom besök, inspektioner och s.k. penetrationstester, varvid eventuella brister påpekas och förslag till förbättringar lämnas. Om brister inte rättas till ska tillsynsmyndigheten under vissa förutsättningar anmäla detta till regeringen (48 § säkerhetsskyddsförordningen). Några sanktionsmöjligheter finns emellertid inte. Inte heller finns någon skyldighet att anmäla inträffade säkerhetsincidenter till tillsynsmyndigheten i andra fall än där en hemlig uppgift har röjts, om röjandet kan antas medföra men för rikets säkerhet som inte är ringa (10 § säkerhetsskyddsförordningen).

Bland annat den ökade internationaliseringen och informationsteknikens utveckling ställer nya krav på säkerhetsskyddet och därmed även på tillsynen. Även avregleringar av offentlig verksamhet, som beskrivits ovan, innebär ökade krav på tillsynsmyndigheterna, framför allt för Säkerhetspolisen, men även för sektorsansvariga myndigheter. En förutsättning för att reglerna om säkerhetsskydd ska få det genomslag som är

avsett är att tillsynen kan ske på ett effektivt och ändamålsenligt sätt. Särskilt betydelsefull är tillsynsmyndigheternas stödjande och rådgivande verksamhet. Det är också viktigt att den samlade kompetens som finns hos de myndigheter som har tillsyns- och kontrollansvar på säkerhetsskyddsområdet kan utnyttjas på ett effektivt sätt.

Utredaren ska därför

  • analysera hur Säkerhetspolisens och Försvarsmaktens tillsyn över säkerhetsskyddet bör vara utformat, bl.a. i förhållande till de sektorsansvariga myndigheternas kontroll,
  • ta ställning till om ett system med sanktionsåtgärder bör införas och i sådant fall hur det bör utformas och
  • utarbeta nödvändiga författningsförslag.

Konsekvensbeskrivningar

Utredaren ska bedöma de ekonomiska konsekvenserna av förslagen för det allmänna och konsekvenserna i övrigt av förslagen. Om förslagen kan förväntas leda till kostnadsökningar för det allmänna, ska utredaren föreslå hur dessa ska finansieras. Utredaren ska även bedöma vilka konsekvenser förslagen får för företag. Kostnadsberäkningar och andra konsekvensbeskrivningar ska redovisas enligt bestämmelserna i 14-15 a §§kommittéförordningen (1998:1474).

Arbetsformer och redovisning av uppdraget

Utredaren ska hålla sig informerad om och beakta relevant arbete som pågår inom Regeringskansliet och utredningsväsendet, bl.a. Utredningen om förstärkt skydd mot främmande makts underrättelseverksamhet (Ju 2010:03) samt inom internationella organisationer, särskilt EU. Utredaren är oförhindrad att ta upp sådana närliggande frågor som har samband med de frågeställningar som ska utredas.

Under genomförandet av uppdraget ska utredaren samråda med och inhämta upplysningar från berörda myndigheter och

andra organ, särskilt Säkerhetspolisen, Säkerhets- och integritetsskyddsnämnden, Försvarsmakten, Försvarets materielverk, Försvarets radioanstalt, Post- och telestyrelsen, Affärsverket svenska kraftnät, Transportstyrelsen och Myndigheten för samhällsskydd och beredskap.

Uppdraget ska redovisas senast den 30 april 2014.

(Justitiedepartementet)