Dir. 2017:32
Utkontraktering av säkerhetskänslig verksamhet, sanktioner och tillsyn – tre frågor om säkerhetsskydd
Kommittédirektiv
Utkontraktering av säkerhetskänslig verksamhet, sanktioner och tillsyn – tre frågor om säkerhetsskydd
Beslut vid regeringssammanträde den 23 mars 2017
Sammanfattning
En särskild utredare ska överväga vissa frågor i säkerhetsskyddslagstiftningen. Förslagen ska komplettera de förslag som lämnats i betänkandet En ny säkerhetsskyddslag (SOU 2015:25). Syftet är att i linje med slutsatserna i den nationella säkerhetsstrategin stärka förmågan att effektivt och samordnat förebygga och möta omedelbara hot mot och utmaningar för Sveriges säkerhet.
Utredaren ska bl.a.
- kartlägga behovet av att förebygga att säkerhetsskyddsklassificerade uppgifter eller i övrigt säkerhetskänslig verksamhet utsätts för risker i samband med utkontraktering, upplåtelse och överlåtelse av sådan verksamhet, och föreslå olika förebyggande åtgärder, t.ex. tillståndsprövning,
- föreslå ett system med sanktioner i säkerhetsskyddslagstiftningen,
- föreslå hur en ändamålsenlig tillsyn enligt säkerhetsskyddslagstiftningen ska vara utformad, och
- lämna nödvändiga författningsförslag. Det ingår inte i uppdraget att överväga ändringar i grundlag. Uppdraget ska redovisas senast den 1 maj 2018.
Säkerhetsskyddslagstiftningen
Säkerhetsskyddslagen (1996:627) och säkerhetsskyddsförordningen (1996:633) innehåller bestämmelser om skydd av säkerhetskänslig verksamhet. Med sådan avses enligt 4 § säkerhetsskyddsförordningen verksamhet av betydelse för rikets säkerhet. Begreppet rikets säkerhet är inte definierat i lag men regeringen har i förarbetena till gällande säkerhetsskyddslag förklarat att begreppet omfattar såväl den yttre säkerheten till skydd för Sveriges försvarsförmåga, politiska oberoende och territoriella suveränitet som den inre säkerheten till skydd för Sveriges demokratiska statsskick (se prop. 1995/96:129 s. 22 f.). I det sammanhanget anförde regeringen att skyddet för den yttre säkerheten i första hand tar sikte på totalförsvaret, dvs. den verksamhet som behövs för att förbereda Sverige för krig. Ett hot mot rikets yttre säkerhet anses dock kunna förekomma, även om det inte hotar totalförsvaret. Skyddet av rikets yttre säkerhet anses omfatta uppgifter och förhållanden av rent militär betydelse eller av betydelse för totalförsvaret i övrigt och andra uppgifter som har betydelse för rikets nationella oberoende. Också rikets inre säkerhet kan vara hotad utan att totalförsvaret berörs. Angrepp på det demokratiska statsskicket kan förekomma från grupperingar utan förbindelse med främmande makt. Det kan också vara fråga om försök att ta över den politiska makten genom våld eller att använda våld, hot eller tvång mot statsledningen i syfte att påverka politikens utformning. Försök att systematiskt hindra medborgarna från att utnyttja sina demokratiska fri- och rättigheter räknas också till hoten mot rikets inre säkerhet.
Säkerhetsskyddslagstiftningen gäller för verksamhet hos staten, kommunerna och landstingen, i aktiebolag, handelsbolag, föreningar och stiftelser över vilka staten, kommuner eller landsting utövar ett rättsligt bestämmande inflytande och för enskilda, om verksamheten är av betydelse för rikets säkerhet eller särskilt behöver skyddas mot terrorism. Myndigheter och andra som bestämmelserna om säkerhetsskydd gäller för ska bl.a. undersöka vilka uppgifter i verk-
samheten som ska hållas hemliga med hänsyn till rikets säkerhet. Resultatet ska dokumenteras i en säkerhetsanalys.
Det pågår för närvarande en översyn av säkerhetsskyddslagstiftningen med förslag om att bl.a. utvidga lagens tillämpningsområde för att uppnå ett bättre skydd för Sveriges säkerhet. I betänkandet En ny säkerhetsskyddslag (SOU 2015:25) föreslås bl.a. att säkerhetsskydd ska gälla för verksamhet som är av betydelse för Sveriges säkerhet eller som omfattas av ett för Sverige förpliktande internationellt åtagande om säkerhetsskydd. Säkerhetsskyddet ska enligt förslaget inriktas mot säkerhetsskyddsklassificerade uppgifter eller i övrigt säkerhetskänslig verksamhet vilket innebär att lagens tillämpningsområde utvidgas. Skyddet av säkerhetsskyddsklassificerade uppgifter föreslås gälla för sådana uppgifter som är av betydelse för Sveriges säkerhet och som omfattas av sekretess eller som skulle ha omfattats av sekretess om offentlighets- och sekretesslagen (2009:400) hade varit tillämplig. Härigenom tydliggörs att bestämmelsen även avses gälla för enskilda verksamhetsutövare. Genom införandet av uttrycket i övrigt säkerhetskänslig verksamhet föreslås det skyddsvärda området också omfatta verksamhet av annat slag, t.ex. hantering av it-system eller av sammanställningar av uppgifter som är av central betydelse för ett fungerande samhälle. Här ingår även sådant som i dag skyddas inom ramen för skydd mot terrorism, dvs. i huvudsak verksamhet vid skyddsobjekt och flygplatser och vissa andra aktiviteter. Utredningens förslag innebär alltså att uttrycket säkerhetskänslig verksamhet ges en vidare innebörd för att innefatta lagens skyddsintressen i dess helhet.
Behovet av säkerhetsskydd ska utredas i en säkerhetsskyddsanalys. Även i den nya lagstiftningen ska säkerhetsskyddsanalysen tjäna som underlag för val av säkerhetsskyddsåtgärder (informationssäkerhet, fysisk säkerhet och personalsäkerhet). Även i framtiden ska den som är ansvarig för en verksamhet också ansvara för att verksamheten har ett fullgott säkerhetsskydd. Utredningen föreslår också att bestämmelserna om säkerhetsskyddad upphandling ska över-
föras till den nya lagstiftningen. Tillämpningsområdet utökas dock något i linje med lagstiftningen i övrigt.
Uppdraget att förebygga risker vid utkontraktering, upplåtelse och överlåtelse av säkerhetskänslig verksamhet
Alla förvaltningsmyndigheter under regeringen ska enligt myndighetsförordningen (2007:515) bedriva sin verksamhet effektivt och hushålla väl med statens resurser. Detta är ett berättigat krav på all verksamhet i offentlig regi. I förlängningen innebär myndighetsförordningens krav i detta avseende att offentligt drivna verksamheter måste analysera om alla arbetsuppgifter bör utföras inom den egna organisationen eller om varor och tjänster i stället ska upphandlas externt från enskilda utförare. Motiven för att genom upphandling lägga ut viss verksamhet på en extern aktör kan t.ex. vara effektivitets- eller besparingsskäl. Ett annat skäl kan vara att få tillgång till ny kunskap och nya idéer, kunskap som myndigheterna annars inte hade haft möjlighet att få internt. Det kan också röra sig om större projekt där samverkan mellan offentlig och privat sektor är nödvändig.
Att lägga ut verksamhet på entreprenad kallas ibland för outsourcing. Detta begrepp har ingen legaldefinition och uttrycks på olika sätt i olika sammanhang. När outsourcing sker till en aktör i ett annat land används ibland begreppet offshoring men inte heller för det begreppet finns någon enhetlig tillämpning. Med hänsyn till avsaknaden av en tydlig begreppsbildning samlas begreppen fortsättningsvis under den övergripande termen utkontraktering av säkerhetskänslig verksamhet.
Hur kan säkerhetsrisker vid utkontraktering, upplåtelse och överlåtelse av säkerhetskänslig verksamhet förebyggas?
Även om utkontraktering av säkerhetskänslig verksamhet i många sammanhang kan innebära stora kostnadsbesparingar eller andra fördelar för den utkontrakterande verksamheten, kan det också innebära säkerhetsrisker om verksamheten är av be-
tydelse för rikets säkerhet. En närbesläktad situation där det kan uppstå liknande problematik är när verksamhetsutövare står i begrepp att upplåta eller överlåta säkerhetskänslig verksamhet eller delar av en sådan verksamhet.
Säkerhetspolisen har under senare år uppmärksammat flera händelser där olika verksamhetsutövare anlitat externa aktörer för arbete som berört säkerhetskänslig verksamhet och där säkerhetsskyddet varit bristfälligt. I vissa fall har avtalsförhållanden reglerats genom säkerhetsskyddsavtal som varit otillräckligt utformade. Det finns också exempel på att bestämmelser i säkerhetsskyddsavtal inte har följts. Säkerhetspolisen har vidare framhållit att utkontraktering ofta kan innebära att flera kunders system och information samlas i samma lagringsmedium, t.ex. en molntjänst, vilket innebär en ökad riskexponering för bl.a. säkerhetskänsliga uppgifter. Myndigheten har vidare konstaterat att leverantören därigenom riskerar att bli ett attraktivt mål för bl.a. andra länders underrättelseinhämtning.
I förslaget till ny säkerhetsskyddslag föreslås flera ändringar som innebär ett förstärkt skydd för säkerhetskänslig verksamhet. En sådan förändring är att Säkerhetpolisen och Försvarsmakten ska ha möjlighet att inrikta tillsynen mot sådana leverantörer som har uppdrag för flera myndigheter, kommuner eller landsting och där leverantörens samlade uppdrag är av stor betydelse för Sveriges säkerhet. Utredningen föreslår även att vissa bestämmelser som rör överlåtelse av säkerhetskänslig verksamhet ska förtydligas. I dag är myndigheter som överlåter verksamhet som är av betydelse för rikets säkerhet eller som särskilt behöver skyddas mot terrorism skyldiga att upplysa en enskild förvärvare om att säkerhetsskyddslagen gäller för verksamheten. Enligt förslaget ska den som planerar att i en betydande omfattning överlåta säkerhetskänslig verksamhet också anmäla det till tillsynsmyndigheten. Bestämmelsen föreslås även gälla i fall då den som överlåter verksamheten är en enskild aktör.
De föreslagna åtgärderna omhändertar emellertid inte nu aktuell problemställning fullt ut. Det behöver därför utredas vilka ytterligare åtgärder som skulle kunna vidtas för att komma
till rätta med de risker för Sveriges säkerhet som utkontraktering av säkerhetskänslig verksamhet kan innebära. Ett tänkbart sätt att minska riskerna med denna verksamhet skulle kunna vara införandet av bestämmelser om förhandskontroll vid ingående av säkerhetsskyddsavtal i samband med upphandling eller annat avtalsingående. En sådan möjlighet skulle exempelvis kunna innebära en tillståndsprövning som ger Säkerhetspolisen och Försvarsmakten möjlighet att, inom respektive myndighets ansvarsområde, hindra eller ställa ytterligare villkor för utkontraktering när det är nödvändigt för att upprätthålla verksamhetens skyddsvärde eller i fall då tänkta eller vidtagna säkerhetsskyddsåtgärder är bristfälliga.
Även i de situationer när en verksamhetsutövare överväger att upplåta eller överlåta säkerhetskänslig verksamhet kan det finnas behov av åtgärder för att förebygga risker för Sveriges säkerhet. I säkerhetsskyddslagstiftningen finns i dag en grundläggande struktur för hur överlåtelse av säkerhetskänslig verksamhet ska hanteras. I förslaget till ny säkerhetsskyddslag förtydligas kraven på verksamhetsutövare i dessa sammanhang. Bestämmelserna behöver dock ses över ytterligare bl.a. ur perspektivet att säkerhetskänslig verksamhet även måste kunna skyddas vid upplåtelse av viss funktion eller del av verksamhet. Det kan t.ex. innebära krav på en särskild bedömning av verksamhetens betydelse för annan skyddsvärd verksamhet och möjlighet för staten att ingripa om upplåtelsen eller överlåtelsen kan antas inverka negativt på Sveriges säkerhet. Säkerhetskänslig verksamhet bör i detta sammanhang ges en vid tolkning. Både överlåtelse och upplåtelse av såväl hela eller delar av verksamheter som viss egendom bör omfattas.
De åtgärder som bör övervägas väcker flera svåra frågor och behöver därför analyseras noggrant. Frågorna knyter t.ex. nära an till vilka befogenheter som tillsynsmyndigheterna bör ha för att ingripa vid ett bristande säkerhetsskyddsarbete. Vid utformningen av sådana förslag måste andra närliggande regelverk beaktas, t.ex. lagstiftningen om offentlig upphandling.
Utredaren ska därför
- kartlägga behovet av att förebygga att säkerhetskyddsklassificerade uppgifter eller i övrigt säkerhetskänslig verk-
samhet utsätts för risker i samband med utkontraktering, upplåtelse och överlåtelse av sådan verksamhet,
- utifrån kartläggningen föreslå olika förebyggande åtgärder, t.ex. tillståndsprövning, och
- utarbeta nödvändiga författningsförslag.
Ett system för sanktioner i säkerhetsskyddslagen?
Säkerhetsskyddslagen syftar till att säkerställa skydd för det allra mest skyddsvärda i samhället. I lagen finns bestämmelser om åtgärder som ska vidtas för att skydda säkerhetskänslig verksamhet, tillträdesbegränsning till känsliga byggnader och områden, säkerhetsprövning av personal och informationssäkerhet. Dagens lagstiftning innehåller inga bestämmelser om sanktioner mot den som åsidosatt sitt säkerhetsskyddsarbete. I betänkandet En ny säkerhetsskyddslag föreslås inte heller att sanktioner ska införas i lagen. Utredningen öppnar dock för att frågan kan komma att behöva analyseras ytterligare i framtiden. Flera remissinstanser har också framfört att sanktioner bör införas i säkerhetsskyddslagen.
Krav på sanktioner finns däremot i Europaparlamentets och rådets direktiv (EU) 2016/1148 av den 6 juli 2016 om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen, det s.k. NIS-direktivet. Direktivet innebär bl.a. krav på åtgärder för att förbättra informationssäkerheten i samhällsviktig verksamhet inom vissa särskilt utpekade sektorer. Enligt direktivet ska medlemsstaterna se till att sanktioner ska kunna beslutas för överträdelser av nationella bestämmelser som har antagits med stöd av direktivet. NIS-direktivet påverkar inte medlemsstaternas åtgärder för att skydda nationell säkerhet. Den verksamhet som omfattas av säkerhetsskyddslagen kommer därför inte att regleras när NIS-direktivet genomförs i svensk rätt.
Avsaknaden av sanktioner i säkerhetsskyddslagen mot den verksamhetsutövare som brustit i sitt säkerhetsskyddsarbete riskerar att medföra mindre följsamhet hos de aktörer som omfattas av lagstiftningen. Den risken gör sig inte minst gällande eftersom den nya lagstiftningen i viss mån kommer att
innebära hårdare krav på förebyggande åtgärder och på ett tydligare sätt rikta sig mot enskilda aktörer. En situation där avsaknaden av sanktioner i säkerhetsskyddslagen resulterar i att verksamhetsutövare inte vidtar nödvändiga säkerhetsskyddsåtgärder skulle vara skadlig för Sveriges säkerhet. Vidare vore det djupt otillfredsställande om den som bedriver verksamhet med betydelse för Sveriges säkerhet, och som åsidosatt sitt säkerhetsskyddsarbete, inte skulle kunna åläggas sanktioner när en sådan möjlighet finns för vissa aktörer som omfattas av NISdirektivet och som brustit i sitt arbete med informationssäkerhet. Införandet av sanktioner skulle också ligga i linje med de rekommendationer som Riksrevisionen lämnat i rapporten Informationssäkerheten i den civila statsförvaltningen (RiR 2014:23). Regeringens slutsats är därför att en ny säkerhetsskyddslag bör kompletteras med en möjlighet att utfärda sanktioner mot aktörer som brister i sitt säkerhetsskyddsarbete.
Utredaren ska därför
- analysera vilka brister i arbetet med säkerhetsskydd som bör beläggas med sanktioner och föreslå ett system med lämpliga sanktioner för att uppnå säkerhetsskyddslagstiftningens ändamål,
- föreslå vilken eller vilka myndigheter som ska få befogenhet att besluta om sanktioner, och
- utarbeta nödvändiga författningsförslag.
Hur ska tillsynen enligt säkerhetsskyddslagen vara utformad?
Enligt nuvarande säkerhetsskyddslag är framför allt Säkerhetspolisen och Försvarsmakten ansvariga för tillsyn av säkerhetsskyddet hos myndigheter och andra verksamheter som lagstiftningen gäller för. Affärsverket svenska kraftnät, Transportstyrelsen, Post- och telestyrelsen och länsstyrelserna har ett särskilt ansvar för tillsyn av säkerhetsskyddet hos bolag, föreningar och stiftelser samt enskilda. En grundläggande förutsättning för tillsynen är att de som omfattas av säkerhetsskyddslagen samarbetar med tillsynsmyndigheterna och rättar sig efter de anvisningar och rekommendationer som lämnas inom ramen för tillsynsverksamheten. Tillsynen enligt nuvar-
ande säkerhetsskyddslag är huvudsakligen av rådgivande och stödjande karaktär. Från verksamhetshåll uttrycks ofta att det finns ett stort behov av vägledning och utbildning från tillsynsmyndigheterna.
Utredningen om säkerhetsskyddslagen konstaterar att formerna för tillsynen av säkerhetsskyddet i väsentliga avseenden avviker från hur offentlig tillsyn normalt är ordnad. Samtidigt framhålls att tillsynen på området har ett stort inslag av råd och stöd till verksamhetsutövarna. Utredningen stannar därför vid bedömningen att det inte finns tillräckliga skäl för att förändra tillsynens inriktning och genomförande. Däremot föreslår utredningen att Myndigheten för samhällsskydd och beredskap (MSB) ska ta över tillsynsansvaret för kommuner och landsting från Säkerhetspolisen och även länsstyrelsernas ansvar för enskilda verksamheter som inte hör till övriga säkerhetsskyddsstödjande myndigheters tillsynsområden.
Förslaget att göra MSB till en s.k. säkerhetsskyddsstödjande myndighet har fått ett blandat mottagande i samband med remitteringen av betänkandet. Flera remissinstanser avstyrker helt eller har invändningar mot förslaget medan andra ställer sig positiva till förslaget. Skälen som anförs mot MSB som säkerhetsskyddsstödjande myndighet är bl.a. att den stödjande roll som MSB har på informationssäkerhetsområdet kan försvagas om den styrande rollen ska förstärkas i form av nytt ansvar för tillsyn. Från flera remissinstanser framförs också att även andra myndigheter bör utses till säkerhetsskyddsstödjande myndigheter. I remissvaren nämns särskilt Finansinspektionen inom den finansiella sektorn, Strålsäkerhetsmyndigheten för kärnteknisk verksamhet och Statens energimyndighet i fråga om fjärrvärme-, naturgas- samt olje- och drivmedelsförsörjning.
För närvarande pågår också genomförandet av NISdirektivet. Den utredning som ser över hur direktivet ska genomföras i Sverige behöver bl.a. överväga hur tillsyn enligt direktivet ska gå till. Liksom i säkerhetsskyddslagen måste frågan om hur tillsynen ska organiseras bland flera myndigheter analyseras.
Mot bakgrund av bl.a. de synpunkter som har lämnats under remitteringen av betänkandet En ny säkerhetsskyddslag och den
pågående utredningen om genomförandet av NIS-direktivet finns det anledning att på nytt utreda vilka myndigheter som bör ha uppgifter för tillsyn enligt säkerhetsskyddslagstiftningen. En eventuellt ny tillsynsstruktur ska dock, som i dag, bygga på att det huvudsakliga ansvaret för tillsynen vilar på Säkerhetspolisen och Försvarsmakten inom respektive myndighets ansvarsområde. Vid ett införande av sanktionsmöjligheter i lagstiftningen kommer även tillsynens karaktär att behöva förändras. I dag har tillsyn enligt säkerhetsskyddslagen en vid bemärkelse och avser främst rådgivning och stöd på området. Om sanktioner införs i lagstiftningen blir det dock nödvändigt att tillsynen inriktas i mer traditionell mening (se regeringens skrivelse om tillsyn, skr. 2009/10:79). Utöver den renodlade tillsynen kommer det dock att finnas fortsatt behov av rådgivning och stöd. Hur tillsyn, rådgivning och stödverksamhet ska bedrivas behöver analyseras och kommer eventuellt att föranleda ändringar jämfört med i dag, t.ex. i fråga om tillsynsmyndigheternas befogenheter.
Utredaren ska därför
- föreslå hur en ändamålsenlig tillsyn enligt säkerhetsskyddslagen ska bedrivas, bl.a. mot bakgrund av införandet av sanktioner i säkerhetsskyddslagen,
- analysera och föreslå vilka myndigheter, utöver Säkerhetspolisen och Försvarsmakten, som ska ha ansvar för tillsyn enligt lagstiftningen, och
- utarbeta nödvändiga författningsförslag.
Konsekvensbeskrivningar
Utredaren ska bedöma de ekonomiska konsekvenserna av förslagen för enskilda och det allmänna, i synnerhet för de myndigheter som är eller föreslås bli tillsynsmyndigheter enligt säkerhetsskyddslagen, samt konsekvenserna i övrigt av förslagen. Om förslagen kan förväntas leda till kostnadsökningar för det allmänna, ska utredaren föreslå hur dessa ska finansieras.
I 14 kap. 3 § regeringsformen anges att en inskränkning av den kommunala självstyrelsen inte bör gå utöver vad som är nödvändigt med hänsyn till ändamålen. Det innebär att en proportionalitetsprövning ska göras under lagstiftningsprocessen. Om något av förslagen i betänkandet påverkar det kommunala självstyret ska därför, utöver dess konsekvenser, också de särskilda avvägningar som lett fram till förslagen särskilt redovisas. En sådan bedömning ska också göras om något av förslagen i betänkandet kan komma att påverka enskilda. I 2 kap.15 och 17 §§regeringsformen regleras egendomsskyddet och näringsfriheten. Dessa rättigheter får endast begränsas i syfte att skydda angelägna allmänna intressen. Om utredaren överväger förslag som kan påverka egendomsskyddet eller näringsfriheten ska förslagen därför analyseras i förhållande till dessa bestämmelser.
Samråd och redovisning av uppdraget
Utredaren ska hålla Regeringskansliet (Justitiedepartementet) informerat om det löpande arbetet.
Utredaren ska under arbetets gång ta hänsyn och förhålla sig till det fortsatta arbetet med en ny säkerhetsskyddslag och genomförandet av NIS-direktivet. Utredaren ska också hålla sig informerad om det arbete som bedrivs i Utredningen om förbättrat skydd för totalförsvarsverksamhet (Fö 2017:31) och beakta annat relevant arbete som pågår inom Regeringskansliet och kommittéväsendet.
Under genomförandet av uppdraget ska utredaren, i den utsträckning som bedöms lämplig, också samråda med och inhämta upplysningar från de myndigheter och andra organisationer som berörs av aktuella frågor.
Uppdraget ska redovisas senast den 1 maj 2018.
(Justitiedepartementet)