Dir. 2018:2

Tilläggsdirektiv till Utredningen om vissa säkerhetsskyddsfrågor (Ju 2017:08)

Kommittédirektiv

Tilläggsdirektiv till Utredningen om vissa säkerhetsskyddsfrågor (Ju 2017:08)

Beslut vid regeringssammanträde den 18 januari 2018

Utvidgning av och förlängd tid för uppdraget

Regeringen beslutade den 23 mars 2017 kommittédirektiv om utkontraktering av säkerhetskänslig verksamhet, sanktioner och tillsyn (dir. 2017:32). Enligt utredningens direktiv ska uppdraget slutredovisas senast den 1 maj 2018.

Den särskilda utredaren får nu i uppdrag att analysera och föreslå i vilken utsträckning verksamhetsutövare som bedriver säkerhetskänslig verksamhet ska vara skyldiga att ingå säkerhetsskyddsavtal vid överenskommelser med utomstående som berör den säkerhetskänsliga verksamheten. Utredningstiden förlängs och uppdraget ska i stället slutredovisas senast den 31 oktober 2018.

En utvidning av skyldigheten att ingå säkerhetsskyddsavtal

Gällande krav på säkerhetsskyddsavtal

Enligt säkerhetsskyddslagen gäller att om staten, en kommun eller ett landsting avser att begära in anbud eller träffa avtal om upphandling där det förekommer uppgifter som med hänsyn till rikets säkerhet omfattas av sekretess, ska ett säkerhetsskyddsavtal ingås med anbudsgivaren eller leverantören om det säkerhetsskydd som behövs i det särskilda fallet. Av 7 kap. 8 § Säkerhetspolisens föreskrifter och allmänna råd om säkerhetsskydd (PMFS 2015:3) och 8 kap. 7 § Försvarsmaktens föreskrifter om säkerhetsskydd (FFS 2015:2) följer att en myndighet utan dröjsmål ska underrätta Säkerhetspolisen om säkerhetsskyddsavtal som har ingåtts och om säkerhetsskyddsavtal som upphört att gälla.

Regeringen har den 16 november 2017 beslutat lagrådsremissen Ett modernt och stärkt skydd för Sveriges säkerhet – ny säkerhetsskyddslag. I lagrådsremissen föreslås att säkerhetsskyddslagen ska ersättas av en ny lag som ska svara mot de förändrade kraven på säkerhetsskyddet som samhällsutvecklingen har medfört. Den nya säkerhetsskyddslagen föreslås gälla för både offentliga och enskilda verksamhetsutövare som till någon del bedriver säkerhetskänslig verksamhet. Uttrycket säkerhetskänslig verksamhet innebär verksamhet som är av betydelse för Sveriges säkerhet eller som omfattas av ett för Sverige förpliktande internationellt åtagande om säkerhetsskydd. Med säkerhetsskydd avses enligt lagen dels skydd av säkerhetskänslig verksamhet mot brott, dels skydd av uppgifter som rör sådan verksamhet om uppgifterna omfattas av sekretess eller skulle ha gjort det om offentlighets- och sekretesslagen (2009:400) hade gällt hos verksamhetsutövaren.

Förslaget innehåller även förändringar av bestämmelsen om när säkerhetsskyddsavtal ska ingås. Statliga myndigheter, kommuner och landsting som avser att genomföra en upphandling och ingå ett avtal om varor, tjänster eller byggentreprenader föreslås bli skyldiga att se till att det i ett säkerhetsskyddsavtal anges hur kraven på säkerhetsskydd ska tillgodoses

av leverantören. Ett säkerhetsskyddsavtal ska enligt förslaget ingås om det i upphandlingen förekommer säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller om upphandlingen i övrigt avser eller ger leverantören tillgång till säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet. Enligt lagrådsremissen ska samma krav gälla även för enskilda verksamhetsutövare som ingår avtal om varor, tjänster eller byggentreprenader med utomstående leverantörer.

Kravet på säkerhetsskyddsavtal behöver utvidgas även till andra samarbeten

Trots att kravet på att ingå säkerhetsskyddsavtal utvidgas i förslaget till ny säkerhetsskyddslag kommer det även fortsättningsvis i princip enbart att gälla för upphandlingssituationer. I den nyligen beslutade lagrådsremissen har det inte varit möjligt att vidga kravet ytterligare eftersom beredningsunderlag saknas. Offentliga och enskilda aktörer samverkar i dag på många fler sätt än vid regelrätta upphandlingar. Sådan samverkan finns t.ex. inom informations- och cybersäkerhetsområdet vilket bl.a. berörts i regeringens skrivelse Nationell strategi för samhällets informations- och cybersäkerhet (skr. 2016/17:213). Sådana samarbeten kan även förekomma när statliga myndigheter i andra fall levererar tjänster till utomstående eller vid olika typer av forskningsprojekt där offentliga och enskilda aktörer deltar och delar information. Om ett sådant samarbetsprojekt skulle beröra säkerhetskänslig verksamhet skulle det varken enligt den gällande eller den nya säkerhetsskyddslagen medföra krav på att ingå säkerhetsskyddsavtal.

En grundläggande princip inom säkerhetsskyddet är att de intressen som lagstiftningen slår vakt om bör ha samma skydd oavsett om verksamheten bedrivs av det allmänna eller av enskilda. En naturlig konsekvens av denna princip bör vara att när en aktör som bedriver säkerhetskänslig verksamhet avser att dela information med någon utomstående, eller ge den utomstående tillgång till säkerhetskänslig verksamhet, ska informationens eller verksamhetens skyddsvärde upprätthållas. I

vissa sådana samarbetssituationer, t.ex. inom försvars- och säkerhetsområdet, omhändertas skyddsvärdet genom att förtroendet mellan parterna bygger på ett ömsesidigt skydd av den information som utbyts. I andra situationer är det dock rimligt att, på samma sätt som i upphandlingssituationer, ställa krav på att ingå säkerhetsskyddsavtal.

Eftersom kravet på att ingå säkerhetsskyddsavtal i förslaget till ny säkerhetsskyddslag är begränsat till att i princip gälla för upphandlingssituationer finns nu skäl att utreda hur lagstiftningen kan kompletteras. Uppdraget bör omfatta samarbetssituationer som inte träffas av kravet på säkerhetsskyddsavtal i förslaget till ny säkerhetsskyddslag, med undantag för sådant samarbete som en myndighet bedriver i enlighet med författning eller regeringsbeslut och som förutsätter ett utbyte av säkerhetskänsliga uppgifter och där förtroendet mellan parterna bygger på ett ömsesidigt intresse av att säkerheten för uppgifterna upprätthålls.

Utredaren ska därför

analysera och föreslå i vilken utsträckning verksamhetsutövare som bedriver säkerhetskänslig verksamhet ska vara skyldiga att ingå säkerhetsskyddsavtal vid överenskommelser som träffas med utomstående och som berör den säkerhetskänsliga verksamheten,

  • lämna nödvändiga författningsförslag.

Kontakter och redovisning av uppdraget

Utredaren ska hålla Regeringskansliet (Justitiedepartementet) informerat om det löpande arbetet.

Uppdraget ska redovisas senast den 31 oktober 2018.

(Justitiedepartementet)