Ds 2020:11
Säkerhetsskyddsreglering för Regeringskansliet, utlandsmyndigheterna och kommittéväsendet
Sammanfattning
Uppdraget
Med säkerhetsskydd avses skydd av säkerhetskänslig verksamhet mot spioneri, sabotage, terroristbrott och andra brott som kan hota verksamheten samt skydd i andra fall av säkerhetsskyddsklassificerade uppgifter. Med säkerhetskänslig verksamhet avses verksamhet som är av betydelse för Sveriges säkerhet eller verksamhet som omfattas av ett för Sverige förpliktande internationellt åtagande om säkerhetsskydd.
Den 16 maj 2018 antog riksdagen en ny säkerhetsskyddslag, som trädde i kraft den 1 april 2019 (2018:585). Samtidigt trädde en ny säkerhetsskyddsförordning (2018:658) i kraft. Lagen och förordningen ersatte den tidigare säkerhetsskyddslagen (1996:627) och säkerhetsskyddsförordningen (1996:633). Den nya säkerhetsskyddslagen, liksom 1996 års säkerhetsskyddslag, gäller endast i viss utsträckning för riksdagen och dess myndigheter samt för Regeringskansliet, utlandsmyndigheterna och kommittéväsendet. Det framgår av 1 kap. 3 § nya säkerhetsskyddslagen. Regleringen innebär att den nya lagen gäller för Regeringskansliet, utlandsmyndigheterna och kommittéväsendet men att regeringen får besluta om undantag från andra bestämmelser än de som gäller säkerhetsskyddsklasser, säkerhetsprövning och säkerhetsintyg. I den nya säkerhetsskyddsförordningen regleras närmare i vilken utsträckning säkerhetsskyddslagen och säkerhetsskyddsförordningen gäller för dessa myndigheter. Utöver denna reglering gäller Regeringskansliets föreskrifter och kompletterande riktlinjer om säkerhet för Regeringskansliet och kommittéväsendet. Det finns också föreskrifter och vägledning om säkerhet och skydd för utlandsmyndigheterna.
Sammanfattning Ds 2020:11
Utredningen som arbetade fram förslaget till en ny säkerhetsskyddslag och säkerhetsskyddsförordning hade inte i uppdrag att närmare se över lagens tillämplighet för Regeringskansliet. I betänkandet En ny säkerhetsskyddslag (SOU 2015:25) föreslogs att stora delar av gällande bestämmelser om lagens tillämplighet för bl.a. Regeringskansliet skulle föras över till den nya säkerhetsskyddslagen. I propositionen till den nya säkerhetsskyddslagen (prop. 2017/18:89 s. 122) konstaterades att man i och för sig kunde ifrågasätta lämpligheten av att det inte ställs likvärdiga krav på säkerhetsskydd i alla verksamheter men att regleringen för Regeringskansliet och utlandsmyndigheterna, bl.a. genom föreskrifter, ändå var tillräcklig.
Vid riksdagens behandling av förslaget till ny säkerhetsskyddslag framfördes i justitieutskottets betänkande (bet. 2017/18:JuU21) att lämpligheten av undantaget beträffande Regeringskansliet ifrågasattes med tanke på vikten av dess förmåga att hantera säkerhetskänslig verksamhet. Konstitutionsutskottet, som getts tillfälle att yttra sig över frågan, anförde dock att en ordning som skulle innebära att Regeringskansliet omfattas av samtliga bestämmelser i den nya säkerhetsskyddslagen väcker vissa frågor av konstitutionellt slag. En ordning där en, eller möjligen flera, statliga tillsynsmyndigheter har tillsyn över Regeringskansliet var enligt konstitutionsutskottet mot bakgrund av bestämmelserna i regeringsformen inte självklar. Konstitutionsutskottet konstaterade också att det inom Regeringskansliet hanteras en typ av i detta sammanhang känsliga uppgifter som knappast förekommer i annan offentlig verksamhet, vilket naturligtvis ställer särskilda krav på regelverk och organisation. Vidare anmärkte konstitutionsutskottet att det även kunde finnas andra aspekter att beakta ur ett konstitutionellt perspektiv. Justitieutskottet instämde i detta, men ansåg att frågan borde utredas närmare och att så många bestämmelser som möjligt i säkerhetsskyddslagen borde omfatta Regeringskansliet. Justitieutskottet föreslog därför att riksdagen skulle ställa sig bakom utskottets förslag om att det bör utredas om säkerhetsskyddslagen i större omfattning än vad som föreslås i propositionen ska gälla för Regeringskansliet och tillkännage det för regeringen. Riksdagen beslutade den 16 maj 2018 att bifalla utskottets förslag (rskr. 2017/18:289).
Ds 2020:11 Sammanfattning
I uppdragsbeskrivningen anges att det inom Regeringskansliet hanteras information och uppgifter med högt skyddsvärde. I utformningen av säkerhetsskyddsregleringen måste hänsyn tas till verksamheternas särskilda karaktär. Undantagen för Regeringskansliet, utlandsmyndigheterna och kommittéväsendet från säkerhetsskyddslagen och säkerhetsskyddsförordningen kan i flera fall motiveras av att det varken i den tidigare eller i den nya säkerhetsskyddsregleringen finns någon myndighet som utövar tillsyn över dessa myndigheter. I stället ska Säkerhetspolisen och Försvarsmakten lämna råd till bl.a. Regeringskansliet om säkerhetsskydd. Den ordningen har att göra med Regeringskansliets särskilda ställning i förhållande till andra förvaltningsmyndigheter. Regeringskansliet finns för att bereda regeringsärenden och för att biträda regeringen och statsråden i deras verksamhet i övrigt (7 kap. 1 § regeringsformen, RF). Enligt 12 kap. 1 § RF lyder de statliga förvaltningsmyndigheterna, som inte är myndigheter under riksdagen, under regeringen. En ordning där en eller flera statliga förvaltningsmyndigheter utövar tillsyn över Regeringskansliet kan därför ifrågasättas från ett konstitutionellt perspektiv.
Vidare anges i uppdragsbeskrivningen att i den nya säkerhetsskyddsförordningen har fler av lagens och förordningens bestämmelser gjorts tillämpliga för Regeringskansliet än vad som gällde enligt tidigare reglering. Redan härigenom har riksdagens tillkännagivande i väsentlig utsträckning tillgodosetts. Trots det finns, mot bakgrund av tillkännagivandet och av att säkerhetsskyddslagens tillämplighet för bl.a. Regeringskansliet inte närmare analyserades i den tidigare översynen av lagen, nu anledning att utreda om någon eller några ytterligare bestämmelser i lagen eller förordningen borde träffa Regeringskansliet, utlandsmyndigheterna och kommittéväsendet.
Avslutningsvis anges att en utredare ges i uppdrag att analysera regleringen om säkerhetsskydd i Regeringskansliet, utlandsmyndigheterna och kommittéväsendet och ta ställning till om det finns behov av att ytterligare bestämmelser i säkerhetsskyddslagen (2018:585) och säkerhetsskyddsförordningen (2018:658) ska omfatta även dessa myndigheter. Utredaren ska lämna förslag på de författningsändringar som bedöms nödvändiga.
Sammanfattning Ds 2020:11
Förslag
Regeringskansliet, utlandsmyndigheterna och kommittéväsendet bedriver i vissa delar verksamhet som är säkerhetskänslig och innehåller säkerhetsskyddsklassificerade uppgifter. Det bör vara tydligt att kraven på Regeringskansliet, utlandsmyndigheterna och kommittéväsendet är i grunden desamma som på andra myndigheter. Regeringskansliet, utlandsmyndigheterna och kommittéväsendet har genom de interna föreskrifterna höga krav på säkerhetsskydd redan i dag men reglerna bör, så långt som möjligt, vara lika som för andra säkerhetskänsliga verksamheter. I interna föreskrifter bör finnas endast det som behöver regleras i särskild ordning eller som utgör förtydliganden till lagen och förordningen.
Samtliga bestämmelser i säkerhetsskyddslagen och säkerhetsskyddsförordningen har analyserats i uppdraget. När det gäller kommittéväsendet så är kommittéerna undantagna från de flesta av bestämmelserna i lagen och förordningen. För de kommittéer som bedriver säkerhetskänslig verksamhet bör det vara tydligt att samma krav gäller för dessa verksamheter som för andra säkerhetskänsliga verksamheter. Kommittéväsendet bör därför träffas av samma bestämmelser som gäller för Regeringskansliet och utlandsmyndigheterna. Kommittéerna har en särställning jämfört med andra myndigheter, dels är kommittéerna tillfälliga myndigheter, dels tillhandahåller Regeringskansliet administrativt stöd och bl.a. lokaler. En kommitté påbörjar sitt arbete efter det att regeringen beslutat om kommittédirektiv. Fram till det att kommittén i praktiken påbörjar sitt arbete hanterar Regeringskansliet frågor rörande säkerhetsskydd, bl.a. säkerhetsprövning av utredare och sekreterare. En översyn bör göras avseende gränsdragningen av ansvaret för säkerhetsskyddet mellan Regeringskansliet och kommittéerna.
Samtliga bestämmelser i säkerhetsskyddslagen bör gälla för Regeringskansliet, utlandsmyndigheterna och kommittéväsendet. De bestämmelser som nu är undantagna i lagen är bestämmelser som är eller har karaktären av upplysningsbestämmelser, dvs. bestämmelserna innebär inte några krav i sig. I bestämmelserna anges hänvisning till annan närliggande lagstiftning, bemyndiganden respektive upplysning om tystnadsplikt. Med hänsyn till att det är i säkerhetsskyddsförordningen som det anges vilka bestämmelser i
Ds 2020:11 Sammanfattning
lagen och förordningen som gäller för Regeringskansliet, utlandsmyndigheterna och kommittéväsendet krävs ingen ändring i säkerhetsskyddslagen. De ändringar som föreslås i denna promemoria medför endast ändringar i säkerhetsskyddsförordningen.
När det gäller säkerhetsskyddsförordningen finns det skäl att undanta bestämmelser om tillsyn. Av 12 kap 1 § RF framgår att förvaltningsmyndigheterna lyder under regeringen. Det föreligger således ett lydnadsförhållande mellan regeringen och myndigheterna. Regeringskansliet är ett beredningsorgan till regeringen. Det framstår som att det inte är en lämplig ordning att en förvaltningsmyndighet ska utöva tillsyn över Regeringskansliet, utlandsmyndigheterna och kommittéväsendet. Det föreligger därför inte skäl att ändra den ordning som gäller i dag, dvs. att Regeringskansliet, utlandsmyndigheterna och kommittéväsendet är undantagna från bestämmelserna om tillsyn i säkerhetsskyddsförordningen. I vissa bestämmelser anges att samråd ska ske med tillsynsmyndighet, att tillsynsmyndighet ska informeras eller att tillsynsmyndigheten får meddela föreskrifter om bl.a. undantag. Då Regeringskansliet, utlandsmyndigheterna och kommittéväsendet inte ska vara underkastade tillsyn bör myndigheterna även undantas från krav på samråd och informationsplikt med tillsynsmyndighet och Regeringskansliet, i stället för tillsynsmyndighet, bör ges rätt att meddela föreskrifter. I stället för extern tillsyn bör den interna granskningen över säkerhetsskyddet i Regeringskansliet, utlandsmyndigheterna och kommittéväsendet utvecklas. En översyn bör göras och det bör säkerställas att det finns en intern granskning av alla delar av säkerhetsskyddsarbetet.
Regeringskansliet, utlandsmyndigheterna och kommittéväsendet bör även delvis undantas från bestämmelsen i säkerhetsskyddsförordningen om krav på säkerhetsskyddschef. Myndigheterna bör omfattas av kravet att det ska finnas en säkerhetsskyddschef vid verksamheten men bör inte träffas av kravet att säkerhetsskyddschefen ska vara direkt underställd myndighetens chef. Det är endast ett fåtal bestämmelser i regeringsformen som rör regeringens arbetsformer och hur Regeringskansliet ska vara utformat. Det framstår som tveksamt att i säkerhetsskyddsförordningen ange krav på Regeringskansliets organisation. Det bör dock göras en översyn av den interna regleringen avseende säkerhetsskyddschefens roll och
Sammanfattning Ds 2020:11
ansvar för säkerhetsskyddet och gränsdragningen mellan Regeringskansliet, utlandsmyndigheterna och kommittéväsendet.
Övriga bestämmelser i säkerhetsskyddsförordningen om tillämpningsområde, anmälan om säkerhetsskyddsavtal till Säkerhetspolisen, säkerhetskrav för informationssystem som används i säkerhetskänslig verksamhet, krav rörande hantering av säkerhetsskyddsklassificerade handlingar, krav på fysisk säkerhet, föreskriftsrätt, rådgivningsskyldighet för Säkerhetspolisen och Försvarsmakten och att beslut enligt förordningen inte får överklagas bör gälla för Regeringskansliet, utlandsmyndigheterna och kommittéväsendet.
Endast de bestämmelser som inte ska gälla för Regeringskansliet, utlandsmyndigheterna och kommittéväsendet, dvs. undantagen, bör anges i säkerhetsskyddsförordningen.
Förslagen i denna promemoria bör hanteras i den fortsatta beredningen i Regeringskansliet av betänkandet Kompletteringar till den nya säkerhetsskyddslagen (SOU 2018:82). I betänkandet föreslås ett flertal ändringar i säkerhetsskyddslagen och säkerhetsskyddsförordningen. I denna promemoria har förslagen i betänkandet beaktats.
1. Författningsförslag
1.1. Förslag till förordning om ändring i säkerhetsskyddsförordningen (2018:658)
Härigenom föreskrivs i fråga om säkerhetsskyddsförordningen (2018:658) att 1 kap. 2 §, 3 kap. 6–8 och 10 §§ samt 7 kap. 1, 4 och 9 §§ ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
1 kap.
2 §
För Regeringskansliet och
utlandsmyndigheterna gäller endast 1 kap.1–3 §§, 2 kap.1–6 §§, 3 kap., 4 kap. och 5 kap.3 och 5 §§säkerhetsskyddslagen (2018:585) samt 1 kap. 4 och 5 §§, 2 kap. 1, 3 och 4 §§, 2 kap. 6 § första stycket och 2 kap. 6 § andra stycket 1, 3 kap. 1, 3 och 10 §§, 5 kap. och 6 kap. denna
förordning.
För sådana kommittéer och särskilda utredare som avses i kommittéförordningen (1976:119) gäller endast 2 kap. 5 §, 3 kap. och 4 kap.
För Regeringskansliet,
utlandsmyndigheterna och sådana kommittéer och särskilda utredare som avses i kommittéförordningen (1998:1474) gäller inte 2 kap. 2 § andra stycket, 6 § andra stycket 2 och tredje stycket och 9–11 §§ samt 3 kap. 2 och 9 §§ denna förordning.
Författningsförslag Ds 2020:11
säkerhetsskyddslagen samt 5 kap. och 6 kap. denna förordning.
3 kap.
6 §
Säkerhetspolisen och Försvarsmakten får inom respektive myndighets tillsynsområde meddela föreskrifter om undantag från kraven i 4 § första stycket.
Säkerhetspolisen och Försvarsmakten får inom respektive myndighets tillsynsområde meddela föreskrifter om undantag från kraven i 4 § första stycket. Regeringskansliet
får meddela föreskrifter om undantag i fråga om Regeringskansliet, utlandsmyndigheterna och sådana kommittéer och särskilda utredare som avses i kommittéförordningen (1998:1474) .
Försvarsmakten får om det finns särskilda skäl också besluta om undantag från kraven i 5 § andra stycket. Försvarsmakten ska samråda med Säkerhetspolisen innan ett beslut om undantag meddelas om det gäller verksamhet som hör till Säkerhetspolisens tillsynsområde och med Regeringskansliet (Utrikesdepartementet) om kravet följer av ett internationellt säkerhetsskyddsåtagande.
7 §
En säkerhetsskyddsklassificerad handling ska förses med en anteckning om vilken säkerhetsskyddsklass uppgifterna i handlingen har. Om handlingen innehåller uppgifter med olika säkerhetsskyddsklass ska den högsta säkerhetsskyddsklassen avgöra vilken anteckning handlingen ska ha. Säkerhetspolisen och Försvarsmakten får inom respektive myndighets tillsynsområde
En säkerhetsskyddsklassificerad handling ska förses med en anteckning om vilken säkerhetsskyddsklass uppgifterna i handlingen har. Om handlingen innehåller uppgifter med olika säkerhetsskyddsklass ska den högsta säkerhetsskyddsklassen avgöra vilken anteckning handlingen ska ha. Säkerhetspolisen och Försvarsmakten får inom respektive myndighets tillsynsområde
Ds 2020:11 Författningsförslag
meddela föreskrifter om undantag från kravet på anteckning om säkerhetsskyddsklass.
meddela föreskrifter om undantag från kravet på anteckning om säkerhetsskyddsklass. Regeringskansliet
får meddela föreskrifter om undantag i fråga om Regeringskansliet, utlandsmyndigheterna och sådana kommittéer och särskilda utredare som avses i kommittéförordningen (1998:1474) .
Om en säkerhetsskyddsklassificerad handling kan antas komma att lämnas över till utländska myndigheter eller leverantörer, ska den förses med en anteckning om ursprungsland om det inte är olämpligt.
8 §
Säkerhetsskyddsklassificerade handlingar som innehåller uppgifter i säkerhetsskyddsklassen kvalificerat hemlig ska inventeras minst en gång per år. Säkerhetsskyddsklassificerade handlingar som innehåller uppgifter i säkerhetsskyddsklassen hemlig eller konfidentiell ska inventeras i den omfattning som anges i Säkerhetspolisens föreskrifter eller, om det gäller verksamhet som hör till Försvarsmaktens tillsynsområde, Försvarsmaktens föreskrifter. För arkiverade handlingar gäller kravet på inventering enbart för handlingar i säkerhetsskyddsklassen kvalificerat hemlig.
Säkerhetsskyddsklassificerade handlingar som innehåller uppgifter i säkerhetsskyddsklassen kvalificerat hemlig ska inventeras minst en gång per år. Säkerhetsskyddsklassificerade handlingar som innehåller uppgifter i säkerhetsskyddsklassen hemlig eller konfidentiell ska inventeras i den omfattning som anges i Säkerhetspolisens föreskrifter eller, om det gäller verksamhet som hör till Försvarsmaktens tillsynsområde, Försvarsmaktens föreskrifter.
Regeringskansliet får meddela föreskrifter i fråga om Regeringskansliet, utlandsmyndigheterna och sådana kommittéer och särskilda utredare som avses i kommittéförordningen (1998:1474). För arkiverade
Författningsförslag Ds 2020:11
handlingar gäller kravet på inventering enbart för handlingar i säkerhetsskyddsklassen kvalificerat hemlig.
Hos myndigheter och annan verksamhet som offentlighets- och sekretesslagen (2009:400) är tillämplig på gäller kravet på inventering endast för allmänna handlingar.
10 §
För försändelser till och från utlandet med säkerhetsskyddsklassificerade handlingar och som inte skyddas av kryptografiska funktioner enligt 5 §, ska Utrikesdepartementets kurirförbindelser anlitas.
Säkerhetspolisen och Försvarsmakten får inom respektive myndighets tillsynsområde meddela föreskrifter om undantag från kravet i första stycket.
Säkerhetspolisen och Försvarsmakten får inom respektive myndighets tillsynsområde meddela föreskrifter om undantag från kravet i första stycket.
Regerings-
kansliet får meddela föreskrifter om undantag i fråga om Regeringskansliet, utlandsmyndigheterna och sådana kommittéer och särskilda utredare som avses i kommittéförordningen (1998:1474) .
7 kap.
1 §1
Tillsyn över säkerhetsskyddet ska utövas av
1. Försvarsmakten när det gäller Fortifikationsverket och Försvarshögskolan samt de myndigheter som hör till Försvarsdepartementet,
2. Säkerhetspolisen när det gäller övriga myndigheter, utom Justitiekanslern, samt kommuner och regioner,
3. Affärsverket svenska kraftnät när det gäller enskilda verksamhetsutövare som bedriver elförsörjningsverksamhet,
4. Transportstyrelsen när det gäller enskilda verksamhetsutövare
1 Senaste lydelse 2019:1179.
Ds 2020:11 Författningsförslag
som bedriver flygtrafiktjänst för civil luftfart, flygtrafikledningstjänst för militär luftfart och verksamhet som är av betydelse inom luftfartsskydd, sjöfartsskydd eller hamnskydd,
5. Post- och telestyrelsen när det gäller enskilda verksamhetsutövare som bedriver verksamhet som avser elektronisk kommunikation och posttjänst, och
6. länsstyrelserna när det gäller enskilda verksamhetsutövare som bedriver andra säkerhetskänsliga verksamheter än sådana som anges i 3-5.
De myndigheter som anges i första stycket får inom sitt tillsynsområde utöva tillsyn över säkerhetsskyddet hos leverantörer som omfattas av ett säkerhetsskyddsavtal enligt 2 kap. 6 § säkerhetsskyddslagen (2018:585). Sådan tillsyn får också utövas över underleverantörer som leverantören har anlitat inom ramen för säkerhetsskyddsavtalet.
Regeringskansliet, utlandsmyndigheterna och sådana kommittéer och särskilda utredare som avses i kommittéförordningen (1998:1474) är inte underkastade tillsyn. [För dessa verksamheter finns särskilda bestämmelser om intern kontroll.] 2
4 §
Säkerhetspolisen får meddela föreskrifter om
1. säkerhetsskyddsanalys, anmälnings- och rapporteringsskyldighet, säkerhetsskyddsåtgärder, säkerhetsskyddsklassificering och säkerhetsskyddsavtal enligt säkerhetsskyddslagen (2018:585) och denna förordning med undantag av Försvarsmaktens tillsynsområde,
1. säkerhetsskyddsanalys, anmälnings- och rapporteringsskyldighet, säkerhetsskyddsåtgärder, säkerhetsskyddsklassificering och säkerhetsskyddsavtal enligt säkerhetsskyddslagen (2018:585) och denna förordning med undantag av Försvarsmaktens tillsynsområde
samt
Regeringskansliet, utlands-
2 Förslag till bestämmelse efter det att särskilda bestämmelser införts.
Författningsförslag Ds 2020:11
2. verkställigheten av säkerhetsskyddslagen i fråga om förfarandet vid registerkontroll, och 3. verkställigheten av säkerhetsskyddslagen i övrigt med undantag av Försvarsmaktens tillsynsområde och det som följer av 6 och 7 §§.
myndigheterna och sådana kommittéer och särskilda utredare som avses i kommittéförordningen (1998:1474),
2. verkställigheten av säkerhetsskyddslagen i fråga om förfarandet vid registerkontroll, och 3. verkställigheten av säkerhetsskyddslagen i övrigt med undantag av Försvarsmaktens tillsynsområde och det som följer av 6 och 7 §§ samt 9 §
andra stycket.
Innan föreskrifter meddelas ska Säkerhetspolisen ge Försvarsmakten tillfälle att yttra sig. Detsamma gäller i fråga om föreskrifter enligt 3 kap. 6 § första stycket samt 3 kap. 7 och 10 §§. Regeringskansliet (Utrikesdepartementet) ska underrättas om innehållet i föreskrifterna.
9 §
Myndigheter som omfattas av säkerhetsskyddslagen (2018:585) får meddela ytterligare föreskrifter om verkställigheten av den lagen i fråga om säkerhetsskyddet för sin egen verksamhet. Om det behövs ska en myndighet innan sådana föreskrifter meddelas ge Säkerhetspolisen och Försvarsmakten tillfälle att yttra sig.
Regeringskansliet får meddela föreskrifter om säkerhetsskyddsanalys, anmälnings- och rapporteringsskyldighet, säkerhetsskyddsåtgärder, säkerhetsskyddsklassificering och säkerhetsskyddsavtal enligt säkerhetsskyddslagen och denna förordning samt verkställigheten av säkerhetsskyddslagen i övrigt för Regeringskansliet, utlandsmyndigheterna och sådana kommittéer och särskilda
Ds 2020:11 Författningsförslag
utredare som avses i kommittéförordningen (1998:1474) .
Denna förordning träder i kraft den 1 januari 2021.
2. Inledning
2.1. Bakgrund
Säkerhetsskydd innebär förebyggande åtgärder för att skydda verksamhet av betydelse för Sveriges säkerhet mot spioneri, sabotage, terroristbrott och andra brott.
Den 1 april 2019 trädde en ny säkerhetsskyddslag (2018:585) och säkerhetsskyddsförordning (2018:658) i kraft. Den nya lagen och förordningen har ersatt 1996 års säkerhetsskyddslag och tillhörande säkerhetsskyddsförordning.
Den nya säkerhetsskyddslagen, liksom 1996 års säkerhetsskyddslag, gäller endast i viss utsträckning för riksdagen och dess myndigheter samt för Regeringskansliet, utlandsmyndigheterna och kommittéväsendet. Det framgår av 1 kap. 3 § nya säkerhetsskyddslagen. Regleringen innebär att den nya lagen gäller för Regeringskansliet, utlandsmyndigheterna och kommittéväsendet men att regeringen får besluta om undantag från andra bestämmelser i säkerhetsskyddslagen än de som gäller säkerhetsskyddsklasser, säkerhetsprövning och säkerhetsintyg. I den nya säkerhetsskyddsförordningen regleras närmare i vilken utsträckning säkerhetsskyddslagen och säkerhetsskyddsförordningen gäller för dessa myndigheter. Utöver denna reglering gäller Regeringskansliets föreskrifter och kompletterande riktlinjer om säkerhet för Regeringskansliet och kommittéväsendet. Föreskrifterna innehåller en reglering som i stor utsträckning svarar mot den nya säkerhetsskyddslagen och säkerhetsskyddsförordningen, i den mån regelverket inte gäller för Regeringskansliet. Det finns också föreskrifter och vägledning om säkerhet och skydd för utlandsmyndigheterna för att uppnå en enhetlig hantering inom utrikesförvaltningen.
Inledning Ds 2020:11
Utredningen om den nya säkerhetsskyddslagen hade inte i uppdrag att närmare se över lagens tillämplighet för Regeringskansliet. I betänkandet (SOU 2015:25) föreslogs att stora delar av gällande bestämmelser om lagens tillämplighet för bl.a. Regeringskansliet skulle föras över till den nya säkerhetsskyddslagen. I propositionen till den nya säkerhetsskyddslagen (prop. 2017/18:89 s. 122) konstaterades att man i och för sig kunde ifrågasätta lämpligheten av att det inte ställs likvärdiga krav på säkerhetsskydd i alla verksamheter men att regleringen för Regeringskansliet och utlandsmyndigheterna, bl.a. genom föreskrifter, ändå var tillräcklig.
I justitieutskottets betänkande (bet. 2017/18:JuU21) ifrågasattes lämpligheten av undantaget beträffande Regeringskansliet med tanke på vikten av dess förmåga att hantera säkerhetskänslig verksamhet. Konstitutionsutskottet, som getts tillfälle att yttra sig över frågan, anförde dock att en ordning som skulle innebära att Regeringskansliet omfattas av samtliga bestämmelser i den nya säkerhetsskyddslagen väcker vissa frågor av konstitutionellt slag. En ordning där en, eller möjligen flera, statliga tillsynsmyndigheter har tillsyn över Regeringskansliet var enligt konstitutionsutskottet mot bakgrund av bestämmelserna i regeringsformen inte självklar. Konstitutionsutskottet konstaterade också att det inom Regeringskansliet hanteras en typ av i detta sammanhang känsliga uppgifter som knappast förekommer i annan offentlig verksamhet, vilket naturligtvis ställer särskilda krav på regelverk och organisation. Vidare anmärkte konstitutionsutskottet att det även kunde finnas andra aspekter att beakta ur ett konstitutionellt perspektiv. Justitieutskottet instämde i detta, men ansåg att frågan borde utredas närmare och att så många bestämmelser som möjligt i säkerhetsskyddslagen borde omfatta Regeringskansliet. Justitieutskottet föreslog därför att riksdagen skulle ställa sig bakom utskottets förslag om att det bör utredas om säkerhetsskyddslagen i större omfattning än vad som föreslås i propositionen ska gälla för Regeringskansliet och tillkännage det för regeringen. Riksdagen beslutade den 16 maj 2018 att bifalla utskottets förslag (rskr. 2017/18:289).
Inledning
Behovet av en utredning
Inom Regeringskansliet hanteras information och uppgifter med högt skyddsvärde. I utformningen av säkerhetsskyddsregleringen måste hänsyn tas till verksamheternas särskilda karaktär. Undantagen för Regeringskansliet, utlandsmyndigheterna och kommittéväsendet från säkerhetsskyddslagen och säkerhetsskyddsförordningen kan i flera fall motiveras av att det varken i den tidigare eller i den nya säkerhetsskyddsregleringen finns någon myndighet som utövar tillsyn över dessa myndigheter. I stället ska Säkerhetspolisen och Försvarsmakten lämna råd till bl.a. Regeringskansliet om säkerhetsskydd. Den ordningen har att göra med Regeringskansliets särskilda ställning i förhållande till andra förvaltningsmyndigheter. Regeringskansliet finns för att bereda regeringsärenden och för att biträda regeringen och statsråden i deras verksamhet i övrigt (7 kap. 1 § RF). Enligt 12 kap. 1 § RF lyder de statliga förvaltningsmyndigheterna, som inte är myndigheter under riksdagen, under regeringen. En ordning där en eller flera statliga förvaltningsmyndigheter utövar tillsyn över Regeringskansliet kan därför ifrågasättas från ett konstitutionellt perspektiv.
I den nya säkerhetsskyddsförordningen har fler av lagens och förordningens bestämmelser gjorts tillämpliga för Regeringskansliet än vad som gällde enligt tidigare reglering. Redan härigenom har riksdagens tillkännagivande i väsentlig utsträckning tillgodosetts. Trots det finns, mot bakgrund av tillkännagivandet och av att säkerhetsskyddslagens tillämplighet för bl.a. Regeringskansliet inte närmare analyserades i den tidigare översynen av lagen, anledning att utreda om någon eller några ytterligare bestämmelser i lagen eller förordningen borde träffa Regeringskansliet, utlandsmyndigheterna och kommittéväsendet.
Uppdraget
I uppdragsbeskrivningen anges att en utredare ges i uppdrag att analysera regleringen om säkerhetsskydd i Regeringskansliet, utlandsmyndigheterna och kommittéväsendet och att ta ställning till om det finns behov av att ytterligare bestämmelser i säkerhetsskyddslagen och säkerhetsskyddsförordningen ska omfatta även
Inledning Ds 2020:11
dessa myndigheter. I uppdraget ingår inte att överväga någon förändring när det gäller tillsynens omfattning.
Uppdraget (JU 2019:B) i dess helhet framgår av bilaga 1.
2.2. Arbetets bedrivande
Utredningsarbetet i uppdraget har bedrivits på sedvanligt sätt. Utredaren och sekreteraren har haft regelbunden kontakt för planering, genomgång av texter, överläggningar, m.m.
Av uppdragsbeskrivningen framgår att utredaren, i den utsträckning som bedöms lämplig, ska samråda med och inhämta upplysningar från myndigheter som kan beröras av aktuella frågor. Utredaren har till sitt förfogande haft en referensgrupp med representanter från Regeringskansliet (Statsrådsberedningen, Justitiedepartementet, Utrikesdepartementet Försvarsdepartementet och Förvaltningsavdelningen). Utredaren och sekreteraren har vid tre tillfällen haft möten med hela referensgruppen. Det har även varit bilaterala möten med representanter från referensgruppen och även andra aktörer från Regeringskansliet. Särskilda möten och kontakter av annat slag har hållits med aktörer utanför Regeringskansliet, såsom Försvarsmakten, Riksdagsförvaltningen och Säkerhetspolisen.
2.3. Uttryck
I säkerhetsskyddslagen anges uttrycken kommittéväsendet och utlandsmyndigheter. Dessa uttryck används även i den fortsatta texten. Med kommittéväsendet menas sådana kommittéer och särskilda utredare som avses i kommittéförordningen (1998:1474) och med utlandsmyndigheter menas, i enlighet med definitionen i 1 kap. 2 § förordningen (2014:115) med instruktion för utrikesrepresentationen, beskickningar, delegationer vid internationella organisationer och karriärkonsulat. Bestämmelser som gäller utlandsmyndigheterna borde även i tillämpliga delar kunna omfatta Svenska dialoginstitutet för Mellanöstern och Nordafrika men institutet anges inte i förordningen som en utlandsmyndighet.
3. Säkerhetsskyddsregleringen
3.1. Bakgrund
Åren efter andra världskriget diskuterades frågor om behandling av säkerhetsärenden i ett flertal utredningar, bl.a. parlamentariska undersökningskommissionen angående flyktingärenden och säkerhetstjänst, Sandlerkommissionen (SOU 1948:7). Sedan mitten av 60-talet har begreppet säkerhetsskydd, åtminstone avseende åtgärderna, haft en liknande betydelse som i dag och säkerhetsskyddet i statsförvaltningen reglerades från 1966 i säkerhetsskyddskungörelsen (1966:273) där säkerhetsskyddsåtgärderna indelas i infiltrationsskydd, sekretesskydd och tillträdesskydd. Inom åtgärden infiltrationsskydd reglerades den s.k. personalkontrollen i personalkontrollkungörelsen (1969:446). Personalkontrollkungörelsen (1969:446) kom till efter förslag av den parlamentariska nämnden med anledning av Wennerströmaffären (SOU 1968:4). Reglerna i personalkontrollkungörelsen innebar i huvudsak att personalkontroll fick göras avseende vissa befattningshavare vid de organ som angavs i kungörelsen, företrädesvis statliga myndigheter med uppgifter av betydelse för totalförsvaret men också vissa företag.
Säkerhetsskyddskungörelsen ersattes 1981 av förordningen (1981:421) om säkerhetsskyddet vid statliga myndigheter. Syftet med förordningen var att åstadkomma ett skydd inom statliga myndigheter i syfte att förhindra att obehöriga fick del av information av betydelse för totalförsvaret eller landets säkerhet i övrigt. Det var enligt förordningen varje statlig myndighets ansvar att se till att det fanns ett tillfredsställande säkerhetsskydd inom myndighetens verksamhetsområde. Säkerhetsskyddet omfattade enligt förordningen sekretesskydd, tillträdesskydd, infiltrationsskydd, information och kontroll. Förordningen innehöll inte några
Säkerhetsskyddsregleringen Ds 2020:11
detaljerade regler för hur säkerhetsskyddet skulle vara utformat. Rikspolisstyrelsen och myndigheten Överbefälhavaren hade till uppgift att utfärda närmare bestämmelser och att kontrollera att bestämmelserna följdes. Förordningen var inte tillämplig på kommuner och landsting och inte heller för riksdagen och dess myndigheter eller för Regeringskansliet. För att skapa motsvarande skydd för riksdagens verksamhet tillkom, efter mönster från förordningen om säkerhetsskyddet för statliga myndigheter, lagen (1983:953) om säkerhetsskydd i riksdagen. För Regeringskansliet, som i princip inte omfattades av förordningen om säkerhetsskyddet vid statliga myndigheter, beslutades särskilda föreskrifter.
1987 tillkallades en parlamentarisk kommitté, SÄPOkommittén, som hade till uppgift att bl.a. se över personalkontrollförfarandet. Kommittén lade i sitt slutbetänkande Säkerhetspolisens arbetsmetoder, personalkontroll och meddelarfrihet (SOU 1990:51) fram förslag till en lag om personalkontroll. Det framfördes viss remisskritik och det beslutades om en översyn av personalkontrollförfarandet (dir. 1993:81). Det beslutades även tilläggsdirektiv (dir. 1993:123) innehållandes ett särskilt uppdrag att se över frågan om att lagreglera säkerhetsskyddet hos myndigheter m.m. Säkerhetsskyddsutredningen, lämnade i sitt betänkande Säkerhetsskydd (SOU 1994:149) förslag till en säkerhetsskyddslag och en säkerhetsskyddsförordning. Säkerhetsskyddsutredningens förslag kom i allt väsentligt att läggas till grund för regeringens förslag till säkerhetsskyddslag (prop. 1995/95:129) som senare antogs av riksdagen. Också bestämmelserna i säkerhetsskyddsförordningen utgår i allt väsentligt från utredningens förslag. Säkerhetsskyddslagen (1996:627) och säkerhetsskyddsförordningen (1996:633) trädde i kraft den 1 juli 1996. Författningarna ersatte därmed personalkontrollkungörelsen och förordningen om säkerhetsskyddet vid statliga myndigheter.
Hoten mot Sveriges säkerhet har förändrats sedan 1996 års säkerhetsskyddslag trädde i kraft. Främmande staters underrättelseverksamhet har de senaste decennierna breddats mot forskning och utveckling inom civila områden samt mot politiska frågor och information som rör samhällsviktiga system. It-angrepp i olika former betraktas som ett av de allvarligaste hoten. Samtidigt kvarstår underrättelsehoten mot militär verksamhet och mot information av betydelse för försvaret av Sverige. Dagens säkerhetspolitiska hot,
Ds 2020:11 Säkerhetsskyddsregleringen
eller hot som är av sådan karaktär att de kan få säkerhetspolitiska konsekvenser, är ofta gränsöverskridande, icke-militära och utgår inte sällan från icke-statliga aktörer. Exempel på sådana hot är internationell terrorism och andra typer av grov gränsöverskridande brottslighet, informations- och cybersäkerhetshot, spridning av massförstörelsevapen samt framställning och transport av vapen, komponenter och teknologi. Vidare innebär samhällsutvecklingen nya krav på och förutsättningar för säkerhetsskyddet. Den gamla lagen gav främst ett skydd för hemliga uppgifter, dvs. uppgifter som omfattas av sekretess enligt offentlighets- och sekretessregleringen till skydd för rikets säkerhet. Informationstekniken genomsyrar i dag i stort sett alla aspekter av samhällsviktiga verksamheter. En rad verksamheter, både hos det allmänna och inom näringslivet, är helt beroende av digitala system för bl.a. styrning, reglering och övervakning. En storskalig it-incident bedöms i dag kunna få allvarliga konsekvenser för samhällsviktig verksamhet och kritisk infrastruktur. En annan viktig förändring är den omfattande avregleringen och konkurrensutsättningen av samhällsviktig verksamhet. Med tiden har allt mer samhällsviktig verksamhet kommit att hamna utanför gamla säkerhetsskyddslagens direkta tillämpningsområde. En stor del av de verksamheter som är viktiga för det svenska samhällets funktionalitet står i dag inte under direkt statligt inflytande. Sådana verksamheter bedrivs och förvaltas i stället i stor utsträckning av enskilda aktörer. Även utländskt ägande eller inflytande är numera en realitet inom samhällsviktiga verksamheter. Utkontraktering av verksamhet ger upphov till särskilda utmaningar avseende säkerhetsskyddet. Globaliseringen och det ökade internationella samarbetet har medfört att gränserna för vad som är att hänföra till rikets inre respektive yttre säkerhet har ändrats. Sverige deltar i stor omfattning i internationella samarbeten för fred och säkerhet där känsliga uppgifter utbyts med andra länder och mellanfolkliga organisationer. Den ökade samverkan med andra länder har inneburit ett växande behov av att skydda uppgifter och att anpassa säkerhetsskyddet till åtaganden som följer av folkrättsliga förpliktelser.3
Mot bakgrund av de förändrade kraven utarbetades den nya säkerhetsskyddslagen fram. Det nya regelverket bygger till stora
3 En utförlig redogörelse för de nya hoten och de huvudsakliga förändringsfaktorerna finns i SOU 2015:25 (s. 221–242)
Säkerhetsskyddsregleringen Ds 2020:11
delar på förslag som lades fram i betänkandet En ny säkerhetsskyddslag (SOU 2015:25). Den nya lagen har moderniserats för att svara mot nya hot och övriga förändringar i omvärlden. Säkerhetsskydd innebär enligt lagen förebyggande åtgärder för att skydda Sveriges säkerhet mot spioneri, sabotage, terroristbrott och andra brott samt skydd i andra fall av säkerhetsskyddsklassificerade uppgifter. Lagen innehåller krav på säkerhetsskyddsåtgärder som syftar till att skydda uppgifter som är av betydelse för Sveriges säkerhet eller som ska skyddas enligt ett internationellt åtagande om säkerhetsskydd. Även skyddet av annan säkerhetskänslig verksamhet, t.ex. samhällsviktiga informationssystem, har förbättrats. Det har förtydligats att säkerhetsskyddsbestämmelserna inte bara gäller i allmän utan också i enskilt bedriven verksamhet, såsom bolag och föreningar. Den nya lagen tydliggör skyldigheterna för den som bedriver säkerhetskänslig verksamhet och vikten av att verksamhetsutövarna genomför säkerhetsskyddsanalyser för sina verksamheter. Delar av 1996 års säkerhetsskyddslag behålls i den nya lagen och den grundläggande principen är fortsatt att skyddet för det skyddsvärda bör vara detsamma oavsett i vilken verksamhet det förekommer, vilket också förtydligas i den nya lagen. Regleringen ska säkerställa ett tillräckligt skydd för det som är mest skyddsvärt för nationen, vara verksamhetsorienterad, ge ett förebyggande skydd mot antagonistiska hot, omfatta samverkande säkerhetsskyddsåtgärder för information, personer och verksamhet och utgå från samma ansvarsfördelning som i 1996 års säkerhetsskyddslag när det gäller verkställighetsföreskrifter och tillsyn.
Under framtagandet av den nya säkerhetsskyddsregleringen har uppmärksammats att det finns behov av även andra åtgärder än de som föreslagits. Regeringen beslutade i mars 2017 ett uppdrag om att överväga vissa frågor i säkerhetsskyddslagstiftningen.
I november 2018 överlämnades betänkandet Kompletteringar till den nya säkerhetsskyddslagen (SOU 2018:82). Utredningen föreslår bl.a. att skyldigheten att ingå säkerhetsskyddsavtal utvidgas, förebyggande åtgärder i samband med utkontraktering, upplåtelse och vissa andra förfaranden, förebyggande åtgärder i samband med överlåtelse av säkerhetskänslig verksamhet och egendom av betydelse för Sveriges säkerhet, en förbättrad tillsyn med utökade befogenheter, anmälningsplikt samt ett system med sanktioner.
Ds 2020:11 Säkerhetsskyddsregleringen
Betänkandet har remitterats och bereds för närvarande i Regeringskansliet.
3.2. Säkerhetsskyddslagen och säkerhetsskyddsförordningen
Bestämmelser om säkerhetsskydd finns i säkerhetsskyddslagen (2018:585) och säkerhetsskyddsförordningen (2018:658). Lagen och förordningen trädde i kraft den 1 april 2019 och ersatte den tidigare säkerhetsskyddslagen (1996:627) och säkerhetsskyddsförordningen (1996:633).4
Nedan följer en översiktlig genomgång av bestämmelserna i den nya säkerhetsskyddsregleringen.5
3.2.1. Verksamhet som ska omfattas av säkerhetsskydd
Av 1 kap.1 och 2 §§säkerhetsskyddslagen framgår att med säkerhetsskydd avses skydd av säkerhetskänslig verksamhet mot spioneri, sabotage, terroristbrott och andra brott som kan hota verksamheten samt skydd i andra fall av säkerhetsskyddsklassificerade uppgifter och med säkerhetskänslig verksamhet avses verksamhet som är av betydelse för Sveriges säkerhet eller verksamhet som omfattas av ett för Sverige förpliktande internationellt åtagande om säkerhetsskydd.
Skydd av säkerhetskänslig verksamhet
Med säkerhetsskydd avses således för det första skydd av säkerhetskänslig verksamhet mot spioneri, sabotage, terroristbrott och andra brott som kan hota verksamheten. En verksamhet är säkerhetskänslig om den är av betydelse för Sveriges säkerhet (se mer nedan om uttrycket Sveriges säkerhet) eller om den omfattas av
4 Till säkerhetsskyddslagen och säkerhetsskyddsförordningen finns tillämpningsföreskrifter meddelade av Säkerhetspolisen (PMFS 2019:2) och Försvarsmakten (FFS 2019:2). Säkerhetspolisen har också gett ut ett antal vägledningar om säkerhetsskydd (www.sakerhetspolisen.se/sakerhetsskydd.html) och Försvarsmakten, Militära underrättelse- och säkerhetstjänsten (Must), har utarbetat kommentarer till Försvarsmaktens föreskrifter (www.forsvarsmakten.se/must). 5 Redogörelsen bygger på uppgifter från prop. 2017/18:89 och SOU 2018:82.
Säkerhetsskyddsregleringen Ds 2020:11
ett internationellt åtagande om säkerhetsskydd som är förpliktande för Sverige.
Även verksamhet som inte i och för sig har betydelse för Sveriges säkerhet kan vara säkerhetskänslig, om den omfattas av ett bindande internationellt säkerhetsskyddsåtagande. Med det avses uppgifter som är säkerhetskänsliga för andra stater och mellanfolkliga organisationer och som Sverige genom säkerhetsskyddsöverenskommelser har åtagit sig att skydda. Sådana överenskommelser gäller i dag i förhållande till ett trettiotal stater och vissa mellanfolkliga organisationer, däribland EU och Nato. Bestämmelsen ger även stöd för säkerhetsskyddsåtgärder som följer av folkrättsliga förpliktelser i övrigt, bl.a. EU-rättsliga bestämmelser inom t.ex. luftfartsområdet.
Vidare när det gäller tillämpningsområdet för säkerhetsskyddet så ska detta även fortsättningsvis endast gälla sådana verksamheter som har ett kvalificerat skyddsbehov (Förstärkt skydd mot främmande makts underrättelseverksamhet, prop. 2017/18:89 s. 39). Säkerhetsskydd kan innebära omfattande krav på åtgärder varför tillämpningsområdet begränsas. Säkerhetsskydd kan t.ex. innebära att en verksamhetsutövare måste vidta relativt långtgående åtgärder för att skydda hemliga uppgifter eller annan säkerhetskänslig verksamhet. Säkerhetsskyddsåtgärderna kan vara kostsamma och medföra en extra administrativ påfrestning inom en organisation. Säkerhetsskyddsåtgärderna kan även innebära intrång i enskildas integritet. Personal som ska ha tillgång till säkerhetsskyddsklassificerad information behöver t.ex. genomgå säkerhetsprövning och tillträde till vissa områden och byggnader kan vara begränsat till endast en del av de anställda.
För verksamhet som inte bedöms ha ett kvalificerat skyddsbehov men som ändå anses samhällsviktig finns reglering om behovet av skydd i annan kris- och skyddslagstiftning som t.ex. lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster och förordningen (2015:1052) om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap.
Ds 2020:11 Säkerhetsskyddsregleringen
Sveriges säkerhet
Säkerhetsskydd har traditionellt uttryckts som olika åtgärder för att skydda totalförsvaret eller rikets säkerhet i övrigt. I förarbetena till den tidigare säkerhetsskyddslagen (1996:627) angavs att uttrycket rikets säkerhet omfattar såväl den yttre säkerheten till skydd för Sveriges försvarsförmåga, politiska oberoende och territoriella suveränitet som den inre säkerheten till skydd för Sveriges demokratiska statsskick (prop. 1995/96:129 s. 22 f.). I propositionen Förstärkt skydd mot främmande makts underrättelseverksamhet (prop. 2013/14:51 s. 20) uttalas att uttrycket rikets säkerhet kan sammanfattas som skyddet för Sveriges oberoende – i betydelsen självständighet och suveränitet – och bestånd. Det innefattar en rätt till okränkta landsgränser, ett bevarande av det svenska självstyret och det demokratiska statsskicket samt av nationens grundläggande funktionalitet. Rikets säkerhet tar inte enbart sikte på skyddet av det fysiska territoriet. Det avser också hävdandet av Sveriges suveränitet, vilket innebär att Sverige ska kunna bruka sin exklusiva frihet under det folkrättsliga regelverket, för att på det egna territoriet självständigt utöva statens funktioner, såväl vad avser statens inre som yttre förbindelser.
I den nya säkerhetsskyddslagen har begreppet rikets säkerhet ändrats till Sveriges säkerhet. I förarbetena till nya säkerhetsskyddslagen (prop. 2017/18:89 s. 44 f.) anges att utgångspunkten för bedömningen om en verksamhet har betydelse för Sveriges säkerhet bör även fortsättningsvis vara uppdelningen i Sveriges yttre och inre säkerhet. En verksamhetsutövare måste därför inledningsvis fråga sig om verksamheten till någon del ryms inom dessa områden. Sveriges yttre säkerhet kan delas in i territoriell suveränitet och politisk självständighet. Enligt försvarsinriktningsbeslutet 2015 (prop. 2014/15:109, bet. 2014/15:FöU11, rskr. 2014/15:251) syftar Sveriges säkerhetspolitik ytterst till att garantera landets oberoende och självständighet. Vi måste kunna värna vår suveränitet, svenska rättigheter och intressen, våra grundläggande värderingar samt skydda svensk handlingsfrihet inför politisk, militär eller annan påtryckning. En viktig beståndsdel är den nationella försvarsförmågan av Sveriges territorium där Försvarsmakten har huvudansvaret. I den uppgiften ligger att kunna försvara Sverige och främja svensk säkerhet, upptäcka och avvisa kränkningar av det
Säkerhetsskyddsregleringen Ds 2020:11
svenska territoriet samt värna om Sveriges suveräna rättigheter och nationella intressen inom Försvarsmaktens verksamhet i sin helhet. Förutsättningarna för att värna Sveriges oberoende, handlingsfrihet och politisk självständighet ges i Försvarsberedningens promemoria Värnkraft – inriktningen av säkerhetspolitiken och utformningen av det militära försvaret 2021-2025 (Ds 2019:8, sid 101 ff). Att motverka säkerhetshot mot denna förmåga handlar enligt förarbetena till nya säkerhetsskyddslagen (prop. 2017/18:89 s. 44 f.) om att upprätthålla förmågan att förebygga och avvärja brott enligt framför allt spionerilagstiftningen i 19 kap. brottsbalken. Säkerhetspolisen har huvudansvaret för denna uppgift. Sveriges inre säkerhet rör påverkan av förmågan att upprätthålla och säkerställa Sveriges statsidé avseende funktion, handlingsfrihet och oberoende. Säkerhetsskyddet för Sveriges inre säkerhet handlar till stor del om att skydda särskilt kritiska anläggningar, funktioner och informationssystem för Sveriges demokratiska statsskick, rättsväsende eller brottsbekämpande förmåga. Även så kallad samhällsviktig verksamhet kan bedömas röra Sveriges säkerhet. Verksamheter som både nationellt och internationellt definieras som samhällsviktiga finns ofta inom sektorerna energiförsörjning, livsmedelsförsörjning, elektroniska kommunikationer, vattenförsörjning, transporter och finansiella tjänster. Avgörande för om sådan verksamhet kan anses röra Sveriges säkerhet bör vara om en antagonistisk handling (exempelvis spioneri, sabotage eller terroristbrott) skulle kunna medföra skadekonsekvenser på nationell nivå. Trådlös digital infrastruktur som t.ex. 5G-nät väntas få stor betydelse eftersom många kritiska tjänster kommer att vara beroende av trådlös digital infrastruktur. Angrepp på trådlös infrastruktur kan därmed påverka Sveriges säkerhet (prop. 2019/20:15 Skydd av Sveriges säkerhet vid radioanvändning, s. 24 ff).
Ett annat skäl till att en verksamhet kan anses vara av betydelse för Sveriges säkerhet är om det där hanteras säkerhetsskyddsklassificerade uppgifter (se mer om säkerhetsskyddsklassificerade uppgifter nedan). Så kan också vara fallet om verksamheten hanterar stora mängder information som inte är säkerhetsskyddsklassificerad, men som av andra skäl kan betraktas som säkerhetskänslig. Det kan vara fråga om uppgifter som samlats från olika allmänt tillgängliga källor men där den samlade uppgiftsmängden är nödvändig för andra aktörer i en klart
Ds 2020:11 Säkerhetsskyddsregleringen
säkerhetskänslig verksamhet. Sammanställningar av uppgifter från olika källor kan också göra att den sammanställda informationen kan anses utgöra säkerhetsskyddsklassificerade uppgifter även om informationen härrör från öppna källor. En större mängd av personuppgifter kan också utgöra en sådan ansamling av information som sett i dess sammanhang kan medföra att säkerhetsskyddslagens krav på informationssäkerhet ska tillämpas. Gemensamt för dessa exempel är att de innebär att den verksamhet där uppgifterna hanteras ska bedömas vara av betydelse för Sveriges säkerhet. Oftast torde det krävas en viss kritisk massa av uppgifter för att ansamlingen ska anses som säkerhetskänslig. Hur stor mängd uppgifter som ska anses utgöra sådan skyddsvärd verksamhet måste avgöras från fall till fall mot bakgrund av bl.a. vilken typ av uppgifter och verksamhet det är fråga om och vilken konsekvens det skulle kunna innebära om ansamlingen gjordes tillgänglig för utomstående.
Skydd av säkerhetsskyddsklassificerade uppgifter
Med säkerhetsskydd avses för det andra skydd av säkerhetsskyddsklassificerade uppgifter. Till skillnad från skyddet av säkerhetskänslig verksamhet gäller skyddet för uppgifter inte bara mot brott, utan också mot andra händelser. Det kan exempelvis handla om att uppgifterna på grund av misstag, bristande rutiner eller olyckshändelse sprids, förstörs eller förvanskas utan att det är fråga om ett brott. Säkerhetsskyddet innebär då t.ex. att handlingar ska förvaras på ett betryggande sätt och att spridningen av uppgifter i handlingarna så långt det är möjligt ska begränsas till personer som behöver dem för sin tjänsteutövning. Med säkerhetsskyddsklassificerade uppgifter avses dels uppgifter som rör säkerhetskänslig verksamhet och som därför omfattas av sekretess enligt offentlighets- och sekretesslagen (2009:400, OSL), dels uppgifter som skulle ha omfattats av sekretess enligt den lagen om den hade varit tillämplig. Andra ledet i bestämmelsen tar sikte på verksamheter som inte omfattas av bestämmelserna i OSL, t.ex. företag och andra enskilda aktörer. Av bestämmelsen följer att även uppgifter som finns hos sådana aktörer är säkerhetsskyddsklassificerade fastän OSL inte gäller för aktören, förutsatt att uppgiften skulle ha omfattats av sekretess om OSL hade varit
Säkerhetsskyddsregleringen Ds 2020:11
tillämplig. Det är alltså tillräckligt att uppgiften till sin natur är sådan att den materiellt sett kan hänföras till en bestämmelse om sekretess med hänsyn till antingen Sveriges säkerhet eller Sveriges förbindelser med en annan stat eller mellanfolklig organisation.
I propositionen (prop. 2017/18:89 s. 52) anges att särskilt relevant för vägledning i fråga om vilka uppgifter som till sin natur medför krav på säkerhetsskydd är den s.k. försvarssekretessen i 15 kap. 2 § OSL. Enligt bestämmelsen gäller sekretess för uppgift som rör verksamhet för att försvara landet eller planläggning eller annan förberedelse av sådan verksamhet eller som i övrigt rör totalförsvaret, om det kan antas att det skadar landets försvar eller på annat sätt vållar fara för rikets säkerhet om uppgiften röjs. Enligt lagen (1992:1403) om totalförsvar och höjd beredskap är totalförsvar verksamhet som behövs för att förbereda Sverige för krig. Till totalförsvaret räknas bl.a. befolkningsskyddet, försörjningsberedskap och det psykologiska försvaret men även t.ex. polisverksamhet samt hälso- och sjukvård. Bestämmelsen aktualiseras främst i fråga om säkerhetspolitiken och sådana uppgifter som avser det militära försvaret. Uppgifter rörande verksamheten inom Försvarsmakten, allt från de första förberedelserna till verkställigheten, täcks av bestämmelsen. Föremål för sekretessen är exempelvis uppgifter rörande vapen och annan försvarsmateriel, befästningar, kommunikationsanläggningar och andra anläggningar hos Försvarsmakten. Också uppgifter om förhållanden i naturen som är av betydelse från försvarssynpunkt kan vara föremål för sekretess enligt denna bestämmelse. Inom bestämmelsens tillämpningsområde faller vidare uppgifter om planläggning och annan förberedelse av landets försvar, uppgifter om organisation av försvaret, underrättelsetjänsten m.m. Också uppgifter som rör områden som ligger vid sidan om det militära försvaret kan omfattas av bestämmelsen. Uppgifterna måste dock på något sätt röra totalförsvaret för att sekretess ska kunna föreligga. Bestämmelsen är utformad med ett rakt skaderekvisit. Detta innebär att sekretessen gäller bara om det kan antas att ett röjande av uppgifter skadar landets försvar eller på annat sätt vållar fara för rikets säkerhet. Detta innebär dock att det inte bara är antagna skador mot landets försvar i vedertagen mening som medger sekretess, utan också ett sådant röjande av uppgifter som vållar fara för Sveriges säkerhet på annat sätt än genom skador för de
Ds 2020:11 Säkerhetsskyddsregleringen
traditionella försvarsintressena. Så kan t.ex. ett röjande av uppgifter om den civila säkerhetstjänsten vålla fara för Sveriges säkerhet trots att någon skada för försvaret egentligen inte har inträffat.6
Även andra sekretessbestämmelser som delvis överlappar försvarssekretessen bör kunna tjäna som vägledning till vilka förhållanden som är av betydelse för Sveriges säkerhet. Känsliga uppgifter som rör internationella samarbeten eller relationer samt uppgifter som ska skyddas enligt ett internationellt säkerhetsskyddsåtagande omfattas i regel av bestämmelser om sekretess i förhållande till annan stat eller mellanfolklig organisation, den s.k. utrikessekretessen i 15 kap. 1 § OSL. Även andra bestämmelser om sekretess kan vara tillämpliga på denna typ av uppgifter, t.ex. bestämmelsen i 15 kap. 1 a § OSL om sekretess i det internationella samarbetet och, i vissa fall, bestämmelsen om förundersökningssekretess i 18 kap. 1 §, om underrättelseverksamhet i 18 kap. 2 §, om bevaknings och säkerhetsåtgärder i vissa fall enligt 18 kap. 8 § och om incidentrapportering i 18 kap. 8 a § OSL. Samma sak kan gälla sådan sekretess som enligt 18 kap. 13 § gäller för viss beredskapsplanering för fredstida kriser. Enligt huvudregeln i 2 kap. 17 § tryckfrihetsförordningen (TF) ska en enskilds begäran att få ta del av en allmän handling prövas av den myndighet som förvarar handlingen. I fråga om allmänna handlingar som är av synnerlig betydelse för rikets säkerhet, s.k. kvalificerat hemliga handlingar, får regeringen enligt 2 kap. 17 § andra stycket TF i förordning föreskriva att bara viss myndighet får pröva frågan om utlämnande. Regeringsföreskrifter på området finns i 1 § offentlighets- och sekretessförordningen (2009:641) (OSF).
3.2.2. Säkerhetsskyddsklassificering
Enligt 2 kap. 5 § säkerhetsskyddslagen ska säkerhetsskyddsklassificerade uppgifter delas in i säkerhetsskyddsklasser utifrån den skada för Sveriges säkerhet som kan uppstå om uppgifterna röjs. Grunden för klassificering av skyddsvärda uppgifter är således endast konfidentialitet. Vilken skyddsnivå som en uppgift ska ha ska avgöras genom en hypotetisk skadebedömning. De fyra klasserna
6 I artikeln Sekretess inom det civila försvaret – en kartläggning av Rikard Karlsson, Förvaltningsrättslig tidskrift 2016, s 206-232, redogörs utförligt för relevant praxis rörande försvarssekretessen.
Säkerhetsskyddsregleringen Ds 2020:11
benämnas kvalificerat hemlig, hemlig, konfidentiell och begränsat hemlig. Den högsta klassen är kvalificerat hemlig. En uppgift hör till denna nivå om skadan för Sveriges säkerhet vid ett röjande kan bli synnerligen allvarlig. Den näst högsta klassen är hemlig. En uppgift hör till denna nivå om skadan för Sveriges säkerhet kan bli allvarlig. De två lägre nivåerna är konfidentiell och därefter begränsat hemlig. Uppgiften hör till nivån konfidentiell om den potentiella skadan för Sveriges säkerhet bedöms som inte obetydlig. Om den potentiella skadan bedöms som endast ringa är uppgiften begränsat hemlig. Om en viss handling innehåller skyddsvärd information på olika nivåer ska den uppgift som kan orsaka störst skada om den röjs styra valet av säkerhetsskyddsklass. Regleringen är teknikneutral och det spelar därför ingen roll om uppgiften finns i fysisk eller digital form. I förordning eller myndighetsföreskrifter konkretiseras det vilka specifika åtgärder som ska vidtas för att skydda de säkerhetsskyddsklassificerade uppgifterna. Indelningen i säkerhetsskyddsklasser är grunden för utformningen av den del av säkerhetsskyddsåtgärderna informationssäkerhet, fysisk säkerhet och personalsäkerhet som tar sikte på skyddet av säkerhetsskyddsklassificerade uppgifter. Klassificeringen ska ske enligt ett system som är fristående från hur verksamhetsutövaren klassificerar annan information i sin organisation (prop. 2017/18:89 s. 64).
Verksamhetsutövaren måste också bedöma om en samling av uppgifter i en viss säkerhetsskyddsklass medför att en högre säkerhetsskyddsklass ska tillämpas. Samtidigt måste beaktas klassificeringens påverkan på tillkommande skyddsåtgärder. För att begränsa onödiga administrativa kostnader och onödiga ingrepp i enskildas integritet m.m., bör klassificeringen inte göras i större utsträckning och med indelning i högre klass än vad som är nödvändigt.
Säkerhetsskyddsklassificerade uppgifter som omfattas av ett internationellt säkerhetsskyddsåtagande ska, om de inte redan av en annan stat eller mellanfolklig organisation har klassificerats, på motsvarande sätt delas in i en säkerhetsskyddsklass utifrån den skada som ett röjande kan medföra för Sveriges förhållande till en annan stat eller mellanfolklig organisation.
Ds 2020:11 Säkerhetsskyddsregleringen
3.2.3. Undantag
Säkerhetsskyddslagen gäller endast i viss utsträckning för riksdagen och dess myndigheter samt Regeringskansliet, utlandsmyndigheterna och kommittéväsendet (1 kap. 3 §
För riksdagen och dess myndigheter gäller endast bestämmelserna om säkerhetsskyddsklasser, säkerhetsprövning och säkerhetsintyg. I övrigt gäller lagen (2019:109) om säkerhetsskydd i riksdagen och dess myndigheter.7 Lagen har ersatt den tidigare lagen (2006:128) om säkerhetsskydd i riksdagen och dess myndigheter. Riksdagen och dess myndigheter omfattades endast i begränsad omfattning även av 1996 år säkerhetsskyddslag. Den ordningen har förts över till den nya lagen. Den nya lagen om säkerhetsskydd i riksdagen och dess myndigheter innehåller de ändringar som är nödvändiga med anledning av den nya säkerhetsskyddslagen. Det är främst fråga om införande av begrepp som är centrala för säkerhetsskyddslagstiftningen; säkerhetskänslig verksamhet, säkerhetsskyddsklassificerade uppgifter, säkerhetsskyddsåtgärder och säkerhetsskyddsanalys, men också anpassningar till bestämmelserna i den nya säkerhetsskyddslagen om säkerhetsskyddsklasser, säkerhetsprövning och säkerhetsintyg.
För Regeringskansliet, utlandsmyndigheterna och kommittéväsendet anges att regeringen får besluta om undantag från andra bestämmelser i säkerhetsskyddslagen än de som gäller säkerhetsskyddsklasser, säkerhetsprövning och säkerhetsintyg. I säkerhetsskyddsförordningen anges vilka bestämmelser som gäller för Regeringskansliet, utlandsmyndigheterna och sådana kommittéer och särskilda utredare som avses i kommittéförordningen (1998:1474) (1 kap. 2 § säkerhetsskyddsförordningen).
3.2.4. Särskilda bestämmelser rörande fysisk säkerhet
1 kap.4 och 5 §§säkerhetsskyddslagen anges upplysningsvis att det finns särskilda bestämmelser rörande fysisk säkerhet i lagen (2014:514) om ansvar för vissa säkerhetsfrågor vid statsministerns
7 Förarbeten till lagen finns i framställan till riksdagen 2018/19:RS6.
Säkerhetsskyddsregleringen Ds 2020:11
tjänstebostäder8 och skyddslagen (2010:305). Skyddslagen kompletterar säkerhetsskyddslagen och innehåller bestämmelser bl.a. om att obehöriga inte har tillträde till skyddsobjekt och bevakning av skyddsobjekt. Ändringar i skyddslagen har nyligen trätt i kraft, den 1 januari 2020, som innebär att fler byggnader, andra anläggningar och områden beslutas vara skyddsobjekt samt att skyddsvakter får en förstärkt möjlighet att ingripa mot obemannade farkoster och i särskilda fall använda våld (prop. 2018/19:127 Skyddsobjekt och obemannade farkoster).
3.2.5. Skyldigheter för verksamhetsutövare
I 2 kap. 1 § säkerhetsskyddslagen anges grundläggande skyldigheter för den som bedriver säkerhetskänslig verksamhet.
Säkerhetsskyddsanalys
I 2 kap. 1 § första stycket säkerhetsskyddslagen anges att den som bedriver säkerhetskänslig verksamhet är skyldig att göra en säkerhetsskyddsanalys. Med utgångspunkt i analysen ska verksamhetsutövaren bl.a. planera och vidta säkerhetsskyddsåtgärder.
I propositionen (prop. 2017/18:89 s. 56) anges att säkerhetsskyddsanalysen är kärnan i ett väl anpassat säkerhetsskydd, för att identifiera skyddsvärde, hot och sårbarheter i en säkerhetskänslig verksamhet. Det är bedömningarna i säkerhetsskyddsanalysen som motiverar de säkerhetsskyddsåtgärder (se mer om säkerhetsskyddsåtgärder nedan) som vidtas och säkerställer att de hänger ihop i ett väl fungerande säkerhetsskyddssystem. Syftet med säkerhetsskyddsanalysen är vidare att tydliggöra vilka typer av hot och sårbarheter de föreslagna säkerhetsskyddsåtgärderna ska skydda mot och vilka negativa konsekvenser ett angrepp kan medföra. I säkerhetsskyddsanalysen bör det identifieras vilka säkerhetsskyddsklassificerade uppgifter som finns i verksamheten och vad som i övrigt behöver ett säkerhetsskydd. Det bör därefter göras en bedömning av säkerhetshot, potentiella konsekvenser och
8 Förarbeten i prop. 2013/14:203 Ansvaret för vissa säkerhetsfrågor vid statsministerns tjänstebostäder.
Ds 2020:11 Säkerhetsskyddsregleringen
sårbarheter. Analysen ska dokumenteras och mynna ut i en bedömning av behovet av säkerhetsskyddsåtgärder. Arbetet med säkerhetsskyddsanalysen bör vara en kontinuerligt pågående process och analysen bör hållas uppdaterad. I arbetet med säkerhetsskyddsanalysen bör den information som redan finns i organisationen på risk- och sårbarhetsområdet tas till vara. Samordning bör ske med andra risk- och sårbarhetsanalyser i verksamheten.
Kontrollera säkerhetsskyddet i den egna verksamheten
I 2 kap. 1 § tredje stycket säkerhetsskyddslagen anges att verksamhetsutövaren ska kontrollera säkerhetsskyddet samt anmäla och rapportera sådant som är av vikt för säkerhetsskyddet och i övrigt vidta de åtgärder som krävs enligt säkerhetsskyddslagen. Syftet med kontrollen är att utröna om bestämmelserna om säkerhetsskydd efterlevs vid den egna myndigheten och att skyddsnivån är jämn och tillräckligt hög. I 2 kap. 2 § säkerhetsskyddsförordningen finns en bestämmelse om skyldigheten att utse en säkerhetsskyddschef som ska kontrollera att verksamheten bedrivs enligt lagen och förordningen.
Skyldigheten för verksamhetsutövaren att anmäla och rapportera det som är av vikt för säkerhetsskyddet preciseras i säkerhetsskyddsförordningen. Den som tar del av säkerhetsskyddsklassificerade uppgifter ska upplysas om räckvidden och innebörden av bestämmelserna om sekretess och tystnadsplikt (2 kap. 4 §). En enskild verksamhetsutövare som avser ingå säkerhetsskyddsavtal ska anmäla detta till tillsynsmyndigheten för att göra tillsynsmyndigheten uppmärksam på behovet av bl.a. placering i säkerhetsklass (2 kap. 5 §). En verksamhetsutövare ska anmäla till Säkerhetspolisen när de ingått ett säkerhetsskyddsavtal samt när avtalet har upphört (2 kap. 7 §). Försvarets materielverk ska anmäla när ett säkerhetsskyddsavtal har ingåtts vid internationellt samarbete (2 kap. 8 §). Överlåtelse av säkerhetskänslig verksamhet till en enskild ska anmälas till Säkerhetspolisen eller Försvarsmakten. Vidare ska verksamhetsutövaren upplysa den enskilde om att lagen gäller (2 kap. 9 §). Verksamhetsutövaren ska också anmäla när en säkerhetsskyddsklassificerade uppgift kan ha röjts, om det inträffat
Säkerhetsskyddsregleringen Ds 2020:11
en allvarlig it-incident eller om verksamhetsutövaren får kännedom om allvarligt säkerhetshotande verksamhet (2 kap. 10–11 §§).
Verksamhetsutövaren ska även i övrigt vidta de åtgärder som krävs enligt säkerhetsskyddslagen. Det gäller bl.a. de olika säkerhetsskyddsåtgärderna (2 kap. 2–4 §§), att uppgifter ska säkerhetsskyddsklassificeras (2 kap. 5 §) och skyldigheten att ingå säkerhetsskyddsavtal (2 kap. 6 §).
3.2.6. Säkerhetsskyddsåtgärder
Det finns tre olika typer av säkerhetsskyddsåtgärder; informationssäkerhet, fysisk säkerhet och personalsäkerhet (2 kap.2–4 §§säkerhetsskyddslagen).
Informationssäkerhet
Informationssäkerhet kan delas upp i två delar. Den första delen handlar om skydd för säkerhetsskyddsklassificerade uppgifter. Säkerhetsskyddsåtgärderna ska förebygga att sådana uppgifter obehörigen röjs, ändras, görs otillgängliga eller förstörs. Det kan t.ex. vara fråga om att anpassa ett informationssystems säkerhetsfunktioner så att uppgifterna får ett tillräckligt skydd. Den andra delen handlar om att förebygga skadlig inverkan i övrigt på uppgifter och informationssystem som avser säkerhetskänslig verksamhet. Det handlar då framför allt om skyddsåtgärder för att tillgodose behov av tillgänglighet och riktighet i fråga om uppgifter och informationssystem som inte utgör eller innehåller säkerhetsskyddsklassificerade uppgifter, men som har avgörande betydelse för viktiga samhällsfunktioner. Det kan t.ex. vara fråga om skydd för uppgifter och informationssystem som har en avgörande betydelse för styrning, reglering och övervakning av el- och vattenförsörjning och digital infrastruktur eller sådana sammanställningar av uppgifter, t.ex. folkbokföringsregistret, som är av grundläggande betydelse för ett fungerande samhälle. Med uppgifter och informationssystem avses i detta sammanhang både själva uppgifterna och de tekniska system som används för att i olika avseenden elektroniskt behandla uppgifter. Informationssystem definieras i 1 kap. 5 § säkerhets-
Ds 2020:11 Säkerhetsskyddsregleringen
skyddsförordningen som ett system av sammansatt mjuk- och hårdvara som behandlar information.
Av 3 kap.1–3 §§säkerhetsskyddsförordningen framgår att innan informationssystem som har betydelse för säkerhetskänslig verksamhet tas i drift ska en särskild säkerhetsbedömning genomföras. Bedömningen ska dokumenteras. I vissa fall ska verksamhetsutövaren skriftligen samråda med Säkerhetspolisen och Försvarsmakten. Samrådet gäller även i de fall systemet väsentligen har förändrats. Vidare ska verksamhetsutövaren godkänna informationssystemet från säkerhetsskyddssynpunkt innan det får tas i drift. Godkännandet ska dokumenteras.
I 3 kap.4–6 §§säkerhetsskyddsförordningen regleras säkerhetskrav för informationssystem som används i säkerhetskänslig verksamhet. Lämpliga skyddsåtgärder ska vidtas och det ska finnas spårbarhet av händelser som är av betydelse för säkerheten i systemet. Verksamhetsutövaren ska också beakta risken för röjande signaler. Säkerhetsskyddet för uppgifterna ska vara tillräckligt när säkerhetsskyddsklassificerade uppgifter hanteras i ett informationssystem utanför verksamhetsutövarens kontroll. När det gäller kommunikationssäkerhet anges krav på kryptografiska funktioner som godkänts av Försvarsmakten. Med kryptografiska funktioner avses ett av Försvarsmaktens godkänt kryptosystem tillsammans med kryptonycklar, utbildning och regelverk. Samlingsbegreppet för detta är signalskydd. Försvarsmakten och Säkerhetspolisen kan i vissa fall besluta om undantag från säkerhetskraven. Försvarsmakten får även meddela föreskrifter om kryptografiska funktioner. I Försvarsmaktens föreskrifter om signalskyddstjänst (FFS 2019:9) regleras hur signalskydd ska bedrivas.
Av 3 kap.7–10 §§säkerhetsskyddsförordningen framgår hur säkerhetsskyddsklassificerade handlingar ska hanteras och inventeras. Handlingar ska förses med en anteckning om säkerhetsskyddsklass. Handlingar som är kvalificerat hemliga ska inventeras minst en gång per år och övriga handlingar i säkerhetsskyddsklassen hemlig och konfidentiell i den omfattning som anges i myndighetsföreskrifter. Enligt övergångsbestämmelsen i p. 3 säkerhetsskyddsförordningen ska 3 kap. 7 § säkerhetsskyddsförordningen inte tillämpas på handlingar som är arkiverade vid ikraftträdandet. För andra handlingar som märkts enligt 1996 års
Säkerhetsskyddsregleringen Ds 2020:11
säkerhetsskyddslag ska 3 kap. 7 § tillämpas från och med den 1 januari 2020. Särskilda bestämmelser gäller för säkerhetsskyddsklassificerade uppgifter som lämnas över till utländsk aktör. Vidare finns bestämmelser om UD:s kurirförbindelser. Enligt övergångsbestämmelse p. 6 i säkerhetsskyddsförordningen behöver 3 kap. 9 § säkerhetsskyddsförordningen inte tillämpas förrän den 1 januari 2022.
Fysisk säkerhet
Fysisk säkerhet handlar bl.a. om att förebygga att obehöriga personer får tillträde till områden, byggnader och andra anläggningar eller objekt där de kan få tillgång till säkerhetsskyddsklassificerade uppgifter eller där säkerhetskänslig verksamhet i övrigt bedrivs (4 kap. 1 § säkerhetsskyddsförordningen). En viktig del i skyddet är att förhindra skadlig påverkan mot sådana områden, byggnader, anläggningar eller objekt. Exempel på denna typ av hot kan vara direkta angrepp med sprängmedel eller sjukdomsalstrande organismer eller situationer där någon med tekniska hjälpmedel obehörigen får insyn i verksamheten. Sådan påverkan kan t.ex. utgöras av obemannade luftfartyg, s.k. drönare. Exempel på åtgärder avseende fysiskt skydd är skalskydd, påkörningsskydd eller andra barriärer som fysiskt hindrar en bil att t.ex. forcera en vägg, ballistiskt skydd och skyddsåtgärder mot anlagd brand eller påverkan med hjälp av kemikalier. Åtgärden kan också avse skydd mot skadlig inverkan som orsakas utan ett obehörigt tillträde.
Personalsäkerhet
Personalsäkerhet handlar bl.a. om att förebygga att personer som inte är pålitliga från säkerhetssynpunkt deltar i vissa verksamheter. Det som avses är verksamhet där de kan få tillgång till säkerhetsskyddsklassificerade uppgifter eller en verksamhet som är säkerhetskänslig av någon annan anledning, t.ex. deltagande i verksamhet vid ett skyddsobjekt enligt skyddslagen (2010:305). Personalsäkerhet inkluderar också en skyldighet för verksamhetsutövaren att säkerställa att de som deltar i säkerhetskänslig verksamhet har en tillräcklig kunskap om
Ds 2020:11 Säkerhetsskyddsregleringen
säkerhetsskydd. I propositionen lyfts utbildningens betydelse för säkerhetsskyddet fram. Det anges (prop. 2017/18:89 s. 74 f.) att för att förebygga sådana sårbarheter som den s.k. mänskliga faktorn kan utgöra i en verksamhet är information och utbildning om säkerhetsskydd viktiga delar av säkerhetsskyddet. Sårbarheter vid t.ex. myndigheter kan inte sällan direkt kopplas samman med anställda som av okunskap, obetänksamhet eller bekvämlighet inte följer de krav på säkerhetsskydd som gäller för verksamheten. Säkerhetsskyddsåtgärder uppfattas inte sällan som krångliga, tidsödande och begränsande. En viktig del av säkerhetsskyddet är alltså att det görs utbildnings- och informationsinsatser för att höja kunskapen om verksamhetens säkerhetsskydd och för att öka förståelsen och acceptansen för det. Enligt 5 kap. 1 § säkerhetsskyddsförordningen ska den som är ansvarig för en säkerhetskänslig verksamhet se till att den som anställs eller på annat sätt deltar i verksamheten får utbildning i säkerhetsskydd. Behovet av utbildning ska följas upp under den tid deltagandet i den säkerhetskänsliga verksamheten pågår. I Säkerhetspolisens föreskrifter om säkerhetsskydd (PMFS 2019:2) anges (18 §) att verksamhetsutövaren ska ge den som deltar i säkerhetskänslig verksamhet relevant utbildning i säkerhetsskydd innan personen får åtkomst till verksamheten. Sådan utbildning ska därefter ges regelbundet i den omfattning som behövs. Verksamhetsutövaren ska utifrån säkerhetsskyddsanalysen se till att innehållet i de utbildningar som genomförs anpassas efter deltagarnas funktioner och ansvar i verksamheten. Utbildningarna ska framgå av en utbildningsplan.
Säkerhetsskyddsåtgärder kan potentiellt vara kostsamma och medföra en risk för negativ påverkan på en verksamhets funktionalitet, effektivitet och tillgänglighet. Åtgärderna kan även vara mycket ingripande för enskilda. Som ett exempel kan nämnas inhämtande av känsliga uppgifter om en enskilds personliga förhållanden inom ramen för personalsäkerhetsåtgärder. Med hänsyn till detta finns det i nya säkerhetsskyddslagen ett uttryckligt krav på att säkerhetsskyddsåtgärderna så långt det är möjligt ska utformas så att de inte medför skada eller annan olägenhet för andra allmänna eller enskilda intressen (2 kap. 1 § fjärde stycket).
Säkerhetsskyddsregleringen Ds 2020:11
Säkerhetsprövning
Bestämmelser om säkerhetsprövning finns i 3 kap. säkerhetsskyddslagen. Syftet med en säkerhetsprövning är att klarlägga dels om en person kan antas vara lojal mot de intressen som ska skyddas och i övrigt pålitlig ur säkerhetssynpunkt, dels om det föreligger sårbarheter som skulle kunna göra att personen hamnar i en utsatt situation och blir sårbar för påtryckningar (3 kap. 2 § säkerhetsskyddslagen). Säkerhetsprövning ska göras innan en person, genom anställning eller på något annat sätt, deltar i säkerhetskänslig verksamhet (3 kap. 3 § säkerhetsskyddslagen). I Säkerhetspolisens Vägledning i säkerhetsskydd Personalsäkerhet, juni 2019, (s. 7) exemplifieras att ett deltagande kan vara att personer ges tillträde till lokaler där verksamhetsutövaren bedriver säkerhetskänslig verksamhet för att exempelvis utföra arbete eller delta i utbildningar eller föreläsningar. Ett deltagande kan också bestå i att personer har åtkomst till information, system eller processer och genom deltagande kan orsaka skada för Sveriges säkerhet.
Kravet på säkerhetsprövning gäller även vid ändrade arbetsuppgifter. Säkerhetsprövningen ska sedan följas upp under den tid deltagandet i den säkerhetskänsliga verksamheten pågår.
Säkerhetsprövningen ska göras av den som beslutar om anställningen eller annat deltagande i den säkerhetskänsliga verksamheten (3 kap. 4 § andra stycket säkerhetsskyddslagen).
Säkerhetsprövningens omfattning beror på om och i vilken omfattning en anställning eller befattning är placerad i säkerhetsklass (se nedan om säkerhetsklass). I samtliga fall ska säkerhetsprövningen innefatta en grundutredning. Med grundutredning avses en utredning om personliga förhållanden av betydelse för säkerhetsprövningen (5 kap. 2 § säkerhetsskyddsförordningen). En grundutredning innefattar ofta dels en intervju, dels uppgifter från betyg, intyg och referenser. Identitetskontroll ska göras vid behov. Vid en intervju kan frågor behöva ställas om t.ex. den sökandens nuvarande anställning, utbildning och tidigare anställningar, andra uppdrag av relevans, ekonomisk situation, familj, fritidsintressen och vänner, utlandsresor, kontakter, exponering på internet, brottslig belastning, personlig status och
Ds 2020:11 Säkerhetsskyddsregleringen
hälsa, intressekonflikter och sårbarheter.9 Om det efter en grundutredning står klart att den som prövningen gäller inte uppfyller kraven för en godkänd säkerhetsprövning ska inga ytterligare kontroller eller utredningar göras (5 kap. 3 § säkerhetsskyddsförordningen).
Om anställningen eller befattningen är placerad i säkerhetsklass ska även en registerkontroll göras (3 kap. 14 § säkerhetsskyddslagen). Med registerkontroll avses att Säkerhetspolisen kontrollerar personen mot vissa register, bl.a. belastnings- och misstankeregistret (3 kap. 13 § säkerhetsskyddslagen). Uppgifter får även hämtas om den kontrollerades make och sambo. En ansökan om registerkontroll får göras endast om personen i fråga kan antas komma att anställas eller på annat sätt delta i den aktuella verksamheten (5 kap. 14 § säkerhetsskyddsförordningen).
I 5 kap. 15 § säkerhetsskyddsförordningen anges vem som ska ansöka om registerkontroll hos Säkerhetspolisen. Huvudregeln är att ansökan ska göras av den som beslutat om placering i säkerhetsklass. I andra stycket anges att om regeringen beslutat om placering i säkerhetsklass ska ansökan göras av den som beslutar om placering i säkerhetsklass 2 och 3.
Om det vid en registerkontroll visar sig att personen i fråga förekommer i registren är det Säkerhets- och integritetsskyddsnämnden som gör en relevansprövning och beslutar om uppgiften ska lämnas ut till den arbets- eller uppdragsgivare som har ansökt om kontrollen (3 kap. 19 § säkerhetsskyddslagen). Om uppgifter lämnas ut blir dessa en del av underlaget i arbets- eller uppdragsgivarens säkerhetsprövning.
Om anställningen eller befattningen är placerad i säkerhetsklass 1 eller 2 ska även en särskild personutredning göras (3 kap. 17 § säkerhetsskyddslagen). Vid en sådan utredning ska även ekonomiska förhållanden kontrolleras. Det är Säkerhetspolisen som genomför den särskilda personutredningen och om det rör en befattning placerad i säkerhetsklass 1, ska Säkerhetspolisen även hålla ett personligt samtal med den som prövningen gäller, om det inte står klart att ett sådant samtal inte behövs (5 kap. 19 § säkerhetsskyddsförordningen).
9 Se mer om säkerhetsprövningsintervju i Säkerhetspolisens Vägledning i säkerhetsskydd, Personalsäkerhet, juni 2019, s. 12-15.
Säkerhetsskyddsregleringen Ds 2020:11
En registerkontroll och särskild personutredning får göras endast om den som säkerhetsprövningen gäller har lämnat sitt samtycke (3 kap. 18 § säkerhetsskyddslagen). Samtycket ska avse även kontroller och utredningar som görs efter den inledande säkerhetsprövningen.
Resultatet av säkerhetsprövningen ska dokumenteras i de fall en person har bedömts vara pålitlig ur säkerhetssynpunkt och beslut har fattats om anställning eller annat deltagande i verksamheten (5 kap. 5 § säkerhetsskyddsförordningen).
Syftet med den uppföljande säkerhetsprövningen är att behålla och fördjupa personkännedomen. I Säkerhetspolisens Vägledning i säkerhetsskydd, Personalsäkerhet, juni 2019 (s. 17), anges att den som träffar personen i fråga ofta, till exempel närmaste chef, genom regelbundna medarbetarsamtal och utvecklingssamtal kan få en fördjupad personkännedom. Samtalet kan innehålla exempelvis frågor och diskussioner om livssituation, trivsel på arbetsplatsen samt sociala och ekonomiska förhållanden. Uppföljningsansvaret innebär även att information av betydelse för registerkontrollen fångas upp och meddelas Säkerhetspolisen. Det kan exempelvis handla om att personen byter tjänst och inte längre är aktuell för registerkontroll, att personen ändrar civilstånd eller att boendeformen ändras. Av 5 kap. 1 § säkerhetsskyddsförordningen följer även att utbildning i säkerhetsskydd ska följas upp under hela den tid som deltagandet i den säkerhetskänsliga verksamheten pågår.
Ett beslut att efter säkerhetsprövning inte godkänna en person för säkerhetsklassat arbete får inte överklagas särskilt. Som skäl för detta anges i förarbetena (prop. 1995/96:129 s. 64 f.) att beslut att skilja arbetstagaren från en anställning redan nu på talan av arbetstagaren kan bli föremål för prövning av domstol och att det därför saknas skäl att införa särskilda bestämmelser om rätt att överklaga. Om en arbetstagare, efter säkerhetsprövning, bedöms olämplig ur säkerhetssynpunkt kan det således utgöra ett sådant rättsligt hinder som arbetsgivaren kan föra fram till stöd för att inte anställa eller, i förekommande fall, inleda åtgärder för att avsluta anställningen. Arbetsdomstolen har nyligen (AD 2019 nr 39) prövat om det förelegat saklig grund för uppsägning av en polis som efter säkerhetsprövning enligt säkerhetsskyddslagen inte godkänts för säkerhetsklassat arbete och därefter sagts upp av Polismyndigheten. Arbetsdomstolen bedömde att Polismyndighetens säkerhetsbeslut i
Ds 2020:11 Säkerhetsskyddsregleringen
sig inte utgjort saklig grund för uppsägningen, men att de faktiska omständigheter som till del legat till grund för säkerhetsbeslutet utgjort saklig grund för uppsägningen. De faktiska omständigheterna har utgjorts av bl.a. polisens relation till en kriminellt belastad person och åtgärder polisen vidtagit för honom. Frågan om ett beslut enligt säkerhetsskyddslagen kan utgöra saklig grund för uppsägning har även tidigare prövats av Arbetsdomstolen, se bl.a. AD 2018 nr 28, AD 2000 nr 17, AD 1989 nr 42 och AD 1986 nr 28.
Sekretess gäller enligt 35 kap. 1 § första stycket 3 OSL för de uppgifter som framkommit vid säkerhetsprövningen. Sekretess gäller hos alla myndigheter som tar befattning med en sådan fråga. Punkten 3 ändrades vid införandet av den nya säkerhetsskyddslagen. Ändringen innebär en viss utvidgning av det sekretesskyddade området. Tidigare gällde skyddet uppgifter som förekommer i angelägenhet som avser registerkontroll och särskild personutredning enligt säkerhetsskyddslagen. Ändringen till att i stället omfatta angelägenhet som avser säkerhetsprövning innebär att sekretess också kan gälla för andra uppgifter som kommer fram vid säkerhetsprövningen, exempelvis uppgifter som kommer fram vid en intervju med den kontrollerade eller vid kontakter med dennes tidigare arbetsgivare. För enskild verksamhet finns en motsvarande bestämmelse om tystnadsplikt i 5 kap. 1 § säkerhetsskyddslagen.
Säkerhetsklass
I vissa fall ska en anställning eller ett annat deltagande i verksamheten placeras i säkerhetsklass. Detta får ske endast om behovet av säkerhetsskydd inte kan tillgodoses på något annat sätt. Det finns tre säkerhetsklasser. Vilken säkerhetsklass en anställning eller befattning ska placeras i beror på i vilken utsträckning som personen får del av säkerhetsskyddsklassificerade uppgifter eller vilken skada för Sveriges säkerhet personen kan orsaka (3 kap.5–9 §§säkerhetsskyddslagen).
- I säkerhetsklass 1 placeras den som i en omfattning som inte är ringa får del av uppgifter i säkerhetsskyddsklassen kvalificerat hemlig eller som till följd av sitt deltagande i verksamheten har
Säkerhetsskyddsregleringen Ds 2020:11
möjlighet att orsaka synnerligen allvarlig skada för Sveriges säkerhet.
- I säkerhetsklass 2 placeras den som i en omfattning som inte är ringa får del av uppgifter i säkerhetsskyddsklassen hemlig, i ringa omfattning får del av uppgifter i säkerhetsskyddsklassen kvalificerat hemlig, eller som till följd av sitt deltagande i verksamheten har möjlighet att orsaka allvarlig skada för Sveriges säkerhet.
- I säkerhetsklass 3 placeras den som får del av uppgifter i säkerhetsskyddsklassen konfidentiell, i ringa omfattning får del av uppgifter i säkerhetsskyddsklassen hemlig, eller som till följd av sitt deltagande i verksamheten har möjlighet att orsaka skada som inte är obetydlig för Sveriges säkerhet.
Vissa anställningar som är placerade i säkerhetsklass 1 eller 2 får som huvudregel endast innehas av den som är svensk medborgare (3 kap. 11 § säkerhetsskyddslagen).
Förutom när det gäller Riksdagens förvaltningsområde beslutar regeringen om placeringen i säkerhetsklass (3 kap. 12 § säkerhetsskyddslagen). Regeringen får även delegera beslutanderätten till myndigheter och andra genom föreskrifter. I säkerhetsskyddsförordningen anges vem som får fatta beslut om placering i säkerhetsklass (5 kap. 6–11 §§).
- Regeringen beslutar om placering i säkerhetsklass 1.
- Myndigheter som anges i bilagan till förordningen beslutar om placering i säkerhetsklass 2 och 3 i fråga om anställning eller deltagande i den egna verksamheten.
- Regeringskansliet beslutar om placering i säkerhetsklass 2 och 3 när det gäller övriga anställningar, uppdrag eller annat deltagande i verksamhet som regeringen beslutar om.
I Regeringskansliets föreskrifter om säkerhet (RKF 2019:2) finns bestämmelser om beslut om placering i säkerhetsklass och säkerhetsprövning. Av 5 kap. 1 § framgår att för anställningar som regeringen beslutar om enligt 5 kap. 10 § säkerhetsskyddsförordningen ansvarar det departement med ansvar för anställningen för att säkerhetsprövning har gjorts. Departementet ansvarar även,
Ds 2020:11 Säkerhetsskyddsregleringen
enligt 5 kap. 2 och 3 §§, för den uppföljande säkerhetsprövningen och att avslutande samtal genomförs. Av 5 kap. 5 § framgår vidare att regeringen beslutar om placering i säkerhetsklass 1 och att säkerhetschefen i Regeringskansliet beslutar om placering i säkerhetsklass 2 och 3. Säkerhetschefen kan överlåta till en expeditionschef eller annan tjänsteman inom departementet att besluta om placering i säkerhetsklass 3.
3.2.7. Säkerhetsskyddsavtal
Ett säkerhetsskyddsavtal är ett avtal där det klargörs för en leverantör hur denne ska tillgodose kraven på säkerhetsskydd, när sådana krav gäller. För statliga myndigheter, kommuner och landsting gäller skyldigheten att ingå säkerhetskyddssavtal med leverantören när verksamhetsutövaren avser att genomföra en upphandling och ingå ett avtal om varor, tjänster eller byggentreprenad (2 kap. 6 § första stycket säkerhetsskyddslagen). Förutsättningen för att det ska gälla en skyldighet att teckna säkerhetsskyddsavtal är
- att det i upphandlingen förekommer säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller
- att upphandlingen i övrigt avser eller ger leverantören tillgång till säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet.
En motsvarande skyldighet att teckna säkerhetsskyddsavtal gäller för enskilda verksamhetsutövare som ingår avtal om varor, tjänster eller byggentreprenader med utomstående leverantörer (2 kap. 6 § andra stycket säkerhetsskyddslagen). Reglerna om säkerhetsskyddsavtal förutsätter att verksamhetsutövaren utreder behovet av säkerhetsskyddsåtgärder så att dessa kan preciseras i avtalet. Säkerhetsskyddet får inte göras mindre långtgående än vad som följer av lagen. En leverantör som omfattas av säkerhetsskyddslagen kan alltså inte genom ett säkerhetsskyddsavtal åläggas mindre omfattande säkerhetsskyddsåtgärder än som redan gäller för verksamheten enligt lagen. Däremot kan ett säkerhetsskyddsavtal fylla funktionen att det preciserar säkerhetsskyddet hos
Säkerhetsskyddsregleringen Ds 2020:11
leverantören för att passa den aktuella upphandlingen. Skyldigheten att se till att det ingås ett säkerhetsskyddsavtal gäller även om leverantören har sin juridiska hemvist i ett annat land. Den som har ingått ett säkerhetsskyddsavtal med en leverantör är skyldig att kontrollera att leverantören följer avtalet. Kontrollskyldigheten gäller för såväl offentliga som enskilda verksamhetsutövare och innebär en skyldighet att se till att avtalsvillkoren följs.
Den 1 april 2018 skärptes kraven på statliga myndigheter som avser att inleda en säkerhetsskyddad upphandling. Numera gäller enligt 2 kap. 6 § säkerhetsskyddsförordningen att en statlig myndighet som avser att inleda en upphandling som innebär krav på säkerhetsskyddsavtal i vissa fall måste använda ett särskilt förfarande.
3.2.8. Bemyndigande
I 2 kap. 7 § säkerhetsskyddslagen finns ett bemyndigande för regeringen, eller den myndighet som regeringen bestämmer, att meddela föreskrifter om vad som krävs för att uppfylla bestämmelserna i 2 kap. säkerhetsskyddslagen. Regeringen har bl.a. meddelat föreskrifter om vilka åtgärder en verksamhetsutövare ska vidta för att identifiera och värdera skyddsvärden inom ramen för arbetet med sin säkerhetsskyddsanalys (2 kap. 1 § säkerhetsskyddsförordningen), hur man ska uppfylla kraven på informationssäkerhet, fysisk säkerhet och personalsäkerhet (3–5 kap. säkerhetsskyddsförordningen) samt om ingående av säkerhetsskyddsavtal (2 kap.5–8 §§säkerhetsskyddsförordningen). I 2 kap.10–11 §§säkerhetsskyddsförordningen finns föreskrifter om anmälnings- och rapporteringsskyldighet avseende skyldighet att anmäla röjande av säkerhetsskyddsklassificerad uppgift, allvarlig säkerhetshotande verksamhet, brister i säkerhetsskyddet samt rapportering av it-incidenter. I 7 kap.4–9 §§säkerhetsskyddsförordningen ges bemyndigande för vissa myndigheter att meddela föreskrifter.
Regeringen eller den myndighet som regeringen bestämmer kan vidare med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om verkställighet av nya säkerhetsskyddslagen.
Ds 2020:11 Säkerhetsskyddsregleringen
3.2.9. Internationell säkerhetsskyddssamverkan och säkerhetsintyg
Av de internationella överenskommelser som Sverige har ingått framgår att en behörig svensk myndighet ska kunna utfärda säkerhetsintyg för personer och leverantörer på begäran av en stat eller mellanfolklig organisation. Intyget syftar till att visa att en behörig myndighet i ett land har genomfört en utredning och i denna kommit fram till att en person eller en leverantör kan anses pålitlig att hantera säkerhetsskyddsklassificerade uppgifter upp till en viss nivå. Bestämmelser om internationell säkerhetsskyddssamverkan och säkerhetsintyg finns i 4 kap. säkerhetsskyddslagen. Regeringen meddelar föreskrifter bl.a. om vilken myndighet som ska göra säkerhetsprövningen. Av 6 kap. 3 § säkerhetsskyddsförordningen framgår att Regeringskansliet beslutar om registerkontroll, utfärdar intyg och lämnar underlag enligt 4 kap.1, 2 och 4 §§säkerhetsskyddslagen. Regeringskansliet får besluta att även andra myndigheter som anges i bilagan till förordningen ska utföra dessa uppgifter för personer som deltar i myndigheternas egen verksamhet. Om en registerkontroll föranleds av ett ärende om säkerhetsintyg för en leverantör, beslutar i stället Försvarets materielverk om registerkontrollen och utfärdar intyg. Av 7 kap.6 och 7 §§säkerhetsskyddsförordningen framgår att Regeringskansliet (Utrikesdepartementet) och Försvarets materielverk får meddela föreskrifter om utfärdande av säkerhetsintyg för personer respektive leverantörer.
3.2.10. Tystnadsplikt
Den som har fått del av uppgifter som förekommer i en angelägenhet som gäller säkerhetsprövning har tystnadsplikt om uppgifterna. I det allmännas verksamhet gäller i stället bestämmelserna i OSL. Motsvarande bestämmelser om tystnadsplikt gäller också för den som på grund av en anställning eller på annat liknande sätt deltar eller har deltagit i en säkerhetskänslig verksamhet. Han eller hon får inte obehörigen röja eller utnyttja säkerhetsskyddsklassificerade uppgifter (5 kap. 1 och 2 §§ nya säkerhetsskyddslagen).
Säkerhetsskyddsregleringen Ds 2020:11
3.2.11. Sekretessbrytande bestämmelse
I 5 kap. 3 § säkerhetsskyddslagen finns en sekretessbrytande bestämmelse. Det har tidigare uppmärksammats att det befintliga författningsstödet för att möjliggöra att uppgifter från en registerkontroll lämnas till en utländsk myndighet är oklart (jfr Ds 2006:20 s. 66). Det har därför införts en sekretessbrytande bestämmelse i lagen som innebär att uppgifter som omfattas av sekretess enligt OSL och som har kommit fram vid registerkontroll eller särskild personutredning i ett ärende om underlag för säkerhetsprövning kan lämnas ut till en annan stat eller mellanfolklig organisation. Bestämmelsen utgör en sådan föreskrift som avses i 8 kap. 3 § OSL. Utgångspunkten är att en uppgift, för vilken sekretess gäller enligt OSL, inte får röjas för en utländsk myndighet eller en mellanfolklig organisation. Av nämnda bestämmelse framgår att undantag kan medges för det fall uppgiftslämnandet har reglerats i särskild lag eller förordning. Uppgifter får dock bara lämnas ut om utlämnandet är förenligt med svenska intressen.
3.2.12. Tillsyn, råd och stöd
I 5 kap. 4 § säkerhetsskyddslagen finns det vissa bestämmelser om tillsyn av säkerhetsskyddet. I första stycket anges att den myndighet som regeringen bestämmer ska utöva tillsyn över säkerhetsskyddet hos myndigheter och andra som lagen gäller för. I andra stycket anges att den myndighet som regeringen bestämmer får utöva tillsyn hos leverantörer som har träffat säkerhetsskyddsavtal. Utgångspunkten är, som tidigare framgått, att det är den som har uppställt krav på säkerhetsskydd i ett säkerhetsskyddsavtal som i första hand ska kontrollera att motparten följer de angivna villkoren om säkerhetsskydd. Men bestämmelsen i andra stycket gör det möjligt också för en myndighet som regeringen väljer att utöva tillsyn.
I 7 kap. säkerhetsskyddsförordningen anges vilka myndigheter som utövar tillsyn över säkerhetsskyddet hos myndigheter och andra som lagen gäller för. Av 10 och 11 §§ framgår vidare att tillsynsmyndigheterna även ska lämna råd om säkerhetsskydd, bl.a. ska Säkerhetspolisen och Försvarsmakten på begäran lämna råd till Regeringskansliet, riksdagen och dess myndigheter samt Justitiekanslern.
Ds 2020:11 Säkerhetsskyddsregleringen
I betänkandet Kompletteringar till den nya säkerhetsskyddslagen (SOU 2018:82) föreslås ett flertal förändringar när det gäller tillsynsverksamheten på säkerhetsskyddsområdet. Det föreslås bl.a. utökade befogenheter för tillsynsmyndigheterna. Det föreslås även att det ska införas ett system med sanktioner och att tillsynsmyndigheterna ska kunna besluta om sanktionsavgift. Ändringarna föreslås träda i kraft den 1 januari 2021. Betänkandet har remitterats och bereds för närvarande i Regeringskansliet.
4. Säkerhetsskydd i Regeringskansliet, utlandsmyndigheterna och kommittéväsendet
4.1. Regeringen och Regeringskansliet
Regeringens funktion och ärenden
Av 1 kap. 6 § regeringsformen (RF) framgår att regeringens funktion är att styra riket. Regeringens uppgift är att styra riket under ansvar inför riksdagen. I utövningen av den styrande makten är regeringen enligt 1 kap. 1 § tredje stycket RF bunden av lagarna, däribland RF själv. Särskilt två kapitel av RF rör regeringen; 6 kap. avser regeringsbildningen och 7 kap. avser regeringsarbetet. Även i övriga kapitel finns bestämmelser som rör regeringen. Enligt 8 kap. har regeringen ett eget normgivningsområde (8:7) och kan här utfärda förordningar. Enligt 9 kap. avger regeringen förslag till statsbudget till riksdagen (9:2). Statens medel och dess övriga tillgångar står till regeringens disposition att användas i enlighet med vad riksdagen bestämt (9:8–9). Av 10 kap. RF kan man utläsa att regeringen har omfattande befogenheter i fråga om utrikespolitiken. Regeringen ingår överenskommelser med andra stater och mellanfolkliga organisationer (10:1) och får ge en förvaltningsmyndighet i uppdrag att ingå en internationell överenskommelse (10:2). Av 12 kap. RF framgår att under regeringen lyder de statliga förvaltningsmyndigheterna utom riksdagens myndigheter (12:1). Olika bestämmelser i 11 kap. och 12 kap. ger regeringen utnämningsmakten (11:6, 12:5), dispensrätt (12:8), nåderätt (12:9 st. 1) och abolitionsrätt (12:9 st. 2). 15 kap. RF ger regeringen särskilda befogenheter under krig och krigsfara, bl.a. får regeringen sätta in
Säkerhetsskydd i Regeringskansliet, utlandsmyndigheterna och kommittéväsendet Ds 2020:11
försvarsmakten för att möta ett väpnat angrepp eller för att hindra en kränkning av svenskt territorium (15:13).
Regeringen styr riket genom att avgöra styrelseärenden. Dit hör t.ex. propositioner, internationella överenskommelser, förordningar och utfärdandet av lagar. Men regeringen är samtidigt högsta myndighet, under vilken samtliga andra statliga förvaltningsmyndigheter (med undantag av riksdagens myndigheter) lyder. Som högsta myndighet för förvaltningsärenden avgör regeringen en rad ärenden, t.ex. utnämningar, dispenser, tillstånd och överklaganden. Gränsen mellan styrelseärenden och de förvaltningsärenden som regeringen avgör är inte helt klar. Men båda ärendetyperna är regeringsärenden i RF:s mening.
Det finns vissa ärenden som är undantagna från det kollektiva beslutsfattandet i regeringen. Det finns dels regeringsärenden som avgörs av endast ett statsråd, de särskilda regeringsärendena, dels regeringskansliärenden. Enligt 7 kap. 3 § andra stycket RF kan regeringsärenden som gäller verkställighet inom försvarsmakten av författningar eller särskilda regeringsbeslut avgöras av chefen för det departement till vilket ärendena hör, dvs. försvarsministern. Detta beslutsfattande ska ske i den omfattning som anges i lag och under statsministerns överinseende. Vilka typer av ärenden som får avgöras på detta sätt anges i lagen (2014:341) om beslut i särskilda regeringsärenden.
När det gäller regeringskansliärenden anges i motiven till RF (prop. 1973:90 s. 184– 185) att även om principen måste vara att alla frågor som anses kräva ett ställningstagande från någon i regeringskretsen ska behandlas som regeringsärenden, bör det dock i ett fåtal speciella fall vara möjligt att i särskild författning förlägga den formella beslutanderätten hos en departementschef. I regeringskansliärendena agerar Regeringskansliet som en egen myndighet. Som huvudprincip gäller att myndighetschefen, dvs. statsministern, beslutar i regeringskansliärenden. Genom föreskrifter i förordningen (1996:1515) med instruktion för Regeringskansliet (RKI) och i arbetsordningar för Regeringskansliet och för de enheter som ingår i Regeringskansliet (departement m.m.) har beslutanderätten delegerats till andra statsråd och tjänstemän i Regeringskansliet. Därutöver finns i olika författningar beslutsbefogenheter för vissa departementschefer och statsråd med ansvar för vissa frågor. Förvaltningslagen är tillämplig i regeringskansli-
Ds 2020:11 Säkerhetsskydd i Regeringskansliet, utlandsmyndigheterna och kommittéväsendet
ärenden (se vid 7:3 RF). Myndighetsförordningen (2007:515) ska dock inte tillämpas på Regeringskansliet enligt ett uttryckligt undantag i RKI (1 §).
Regeringskansliet, utlandsmyndigheterna och kommittéväsendet
I 7 kap. RF regleras regeringsarbetet; den institutionella ramen och förfarandet. Bestämmelserna om regeringens arbetsformer är knapphändigt utformade för att ge regeringen stort handlingsutrymme. I förarbetena till regeringsformen (prop. 1973:90 s. 179) anges att arbetsformerna inte bör göras till föremål för en ingående grundlagsreglering som tynger regeringsarbetet med formaliteter och hindrar anpassning av arbetet till växlande förhållanden. En allmän utgångspunkt bör vara att man visar återhållsamhet med att binda regeringens arbetsformer i grundlag. Konstitutionsutskottet har vid ett flertal tillfällen framhållit att riksdagen inte har till uppgift att fatta beslut i frågor som rör Regeringskansliets organisation, se bl.a. motiveringen till avslag av motionsyrkande om Regeringskansliets organisation i betänkande 2017/18:KU1.
Av 7 kap. 1 § RF framgår att för att bereda regeringsärenden och för att biträda regeringen och statsråden i deras verksamhet i övrigt ska det finnas ett regeringskansli. Den enda bestämmelse som RF innehåller beträffande organisationen av Regeringskansliet är att i detta ska ingå departement för olika verksamhetsgrenar. Vad som i övrigt hör till Regeringskansliet regleras av RKI. I förordningen anges att förutom departementen ingår även Statsrådsberedningen (SB) och Regeringskansliets förvaltningsavdelning (FA) (2 §). Utrikesrepresentationen lyder under Regeringskansliet men räknas alltså inte dit (4 §). För utrikesrepresentationen finns en särskild instruktion (2014:115).
Sedan 1997 utgör Regeringskansliet en enda myndighet med statsministern som chef. Statsministern utser bland statsråden en ersättare som tjänstgör som Regeringskansliets chef när statsministern har förfall (5 §). Från och med 2002 har även Utrikesdepartementets (UD) och utrikesrepresentationens budget förts in under anslaget till Regeringskansliet.
SB leds av statsministern och biträder statsministern och övriga statsråd som är knutna till SB. SB har till uppgift att leda och
Säkerhetsskydd i Regeringskansliet, utlandsmyndigheterna och kommittéväsendet Ds 2020:11
samordna arbetet i Regeringskansliet samt ansvara för samordning av den svenska EU-politiken. I ledningen av Regeringskansliets arbete biträds statsministern av en av statssekreterarna i SB, av förvaltningschefen samt av rättschefen i SB. Förvaltningschefen ansvarar för Regeringskansliets övergripande planering samt för budget och uppföljning.
FA bildades 1983 under namnet Regeringskansliets förvaltningskontor. Det har till uppgift att ge stöd och service åt departementen (inkl. SB), utrikesrepresentationen och kommittéerna i administrativa frågor (RKI 46 §). När den sammanslagna myndigheten tillkom 1997 anställdes en förvaltningschef i Regeringskansliet. Förvaltningschefen leder förvaltningsavdelningens arbete och har ställning som chefstjänsteman i SB (RKI 9 §).
Utrikesförvaltningen består av UD och utrikesrepresentationen (RKI 3 §). I utrikesrepresentationen ingår 1. beskickningar, delegationer vid internationella organisationer och karriärkonsulat (utlandsmyndigheter), 2. Svenska dialoginstitutet för Mellanöstern och Nordafrika, samt 3. honorärkonsulat. Utrikesrepresentationen lyder under Regeringskansliet (4 §). I förordningen (2014:115) med instruktion för utrikesrepresentationen anges vidare att utlandsmyndigheterna i administrativt hänseende är direkt underställda Regeringskansliet (1 kap. 6 §). I praktiken innebär det att UD bl.a. beslutar om utlandsmyndigheternas budget, den utsända personalen vid utlandsmyndigheterna, fastighetsfrågor och säkerhetsskydd. Utlandsmyndighetschefernas ansvar och uppgifter framgår av utrikesrepresentationens instruktion och i UD:s föreskrifter.
För arbetet inom de statliga kommittéerna finns en särskild förordning, kommittéförordningen (1998:1474). Inom SB har utarbetats en kommittéhandbok (Ds 2000:1). En kommitté är en tillfällig myndighet som regeringen tillsätter, vanligtvis för att utföra ett tidsbestämt utredningsuppdrag. I direktiven till kommittén drar regeringen upp ramarna för kommitténs arbete. Inom dessa ramar har kommittén frihet att bestämma inriktningen av sitt arbete. I administrativt och ekonomiskt hänseende är en kommitté en del av Regeringskansliet. En kommitté utgörs antingen av en ordförande och ett antal ledamöter eller av en särskild utredare (ofta kallad enmansutredning). Till kommittén kan knytas sakkunniga och
Ds 2020:11 Säkerhetsskydd i Regeringskansliet, utlandsmyndigheterna och kommittéväsendet
experter. Sakkunniga har rätt att delta i kommitténs överläggningar och ska i samma utsträckning som ledamöterna få del av handlingar som är avsedda för kommittén. De har också rätt att lämna särskilda yttranden till kommitténs betänkande (5 och 20 §§). Experter biträder kommittén i den omfattning som kommittén eller ordföranden bestämmer. I frågor som omfattas av expertuppdraget får en expert lämna särskilda yttranden men bara om kommittén går med på det (6 och 21 §§). Kommittén biträds av ett sekretariat. Samtliga som ska medverka i kommitténs arbete förordnas genom beslut av det statsråd som föredragit ärendet om kommitténs tillsättande i regeringen.
4.2. Säkerhetsskyddsreglering för Regeringskansliet, utlandsmyndigheterna och kommittéväsendet
Säkerhetsskyddslagen och säkerhetsskyddsförordningen
Av 1 kap. 3 § säkerhetsskyddslagen framgår att säkerhetsskyddslagen gäller i viss utsträckning för riksdagen och dess myndigheter samt Regeringskansliet, utlandsmyndigheterna och kommittéväsendet.
För riksdagen och dess myndigheter gäller endast bestämmelserna om säkerhetsskyddsklasser, säkerhetsprövning och säkerhetsintyg. I övrigt gäller lagen (2019:109) om säkerhetsskydd i riksdagen och dess myndigheter.
För Regeringskansliet, utlandsmyndigheterna och kommittéväsendet anges att regeringen får besluta om undantag från andra bestämmelser i säkerhetsskyddslagen än de som gäller säkerhetsskyddsklasser, säkerhetsprövning och säkerhetsintyg. Av 1 kap. 2 § säkerhetsskyddsförordningen framgår att för Regeringskansliet och utlandsmyndigheterna gäller endast 1 kap.1–3 §§, 2 kap.1–6 §§, 3 kap, 4 kap. och 5 kap.3 och 5 §§säkerhetsskyddslagen samt 1 kap. 4 och 5 §§, 2 kap. 1, 3 och 4 §§, 2 kap. 6 § första stycket och 2 kap. 6 § andra stycket 1, 3 kap.1, 3 och 10 §§, 5 kap. och 6 kap.säkerhetsskyddsförordningen och för kommittéer och särskilda utredare gäller endast 2 kap. 5 §, 3 kap. och
Säkerhetsskydd i Regeringskansliet, utlandsmyndigheterna och kommittéväsendet Ds 2020:11
4 kap. säkerhetsskyddslagen samt 5 kap. och 6 kap.säkerhetsskyddsförordningen.
Se avsnitt 3 för översiktlig genomgång av säkerhetsskyddsregleringen.
Föreskrifter
För Regeringskansliet och kommittéväsendet finns reglering om säkerhetsskyddet i Regeringskansliets föreskrifter om säkerhet (RKF 2019:2). I föreskrifterna finns bestämmelser om bland annat organisation, informationsklassificering, utbildning i säkerhetsskydd, säkerhetsrapportering, granskning och kontroll, informationssäkerhet, informationssystem, fysisk säkerhet, säkerhetsprövning och upphandling med säkerhetsskyddsavtal. Som komplement till föreskrifterna finns även Regeringskansliets riktlinjer om säkerhet (FA 2019/01057/SÄK).
För utlandsmyndigheterna finns Regeringskansliets föreskrifter om säkerhet och skydd vid utlandsmyndigheterna (UF 2011:16, ändringar t.o.m. UF 2017:3). I föreskrifterna finns bestämmelser om bland annat personskydd, informationsskydd, tillträdesskydd, infiltrationsskydd, utbildning och kontroll, säkerhetsplanering samt stängning och evakuering av utlandsmyndighetens kansli. Det finns även en Vägledning om säkerhetsärenden vid utlandsmyndigheterna (UD2017/09128/SÄK). Av inledningen framgår att vägledningen styr arbetet med säkerhetsärenden vid utlandsmyndigheterna förutom när det gäller it- och informationssäkerhetsärenden.
4.3. Säkerhetsorganisation
Regeringskansliet och kommittéväsendet
Av Regeringskansliets föreskrifter med arbetsordning för Regeringskansliet (RKF 2019:20) framgår att Förvaltningschefen ska föreskriva eller för särskilda fall besluta om sådant som rör flera departement eller kommittéer inom flera departements verksamhetsområden och som gäller bland annat säkerhet (8 §). Av 16 § framgår att i Regeringskansliets förvaltningsavdelning finns
Ds 2020:11 Säkerhetsskydd i Regeringskansliet, utlandsmyndigheterna och kommittéväsendet
Regeringskansliets säkerhetschef. Regeringskansliets säkerhetschef ansvarar för säkerheten i Regeringskansliet. Närmare bestämmelser finns i Regeringskansliets föreskrifter om säkerhet (RKF 2019:2) och i Regeringskansliets föreskrifter om brandskydd (RKF 2017:12).
Av Regeringskansliets föreskrifter med arbetsordning för Regeringskansliets förvaltningsavdelning (RKF 2019:22) framgår dels att det inom Förvaltningsavdelningen finns tio enheter varav en är RK Säkerhet (8 §), dels att Regeringskansliets säkerhetschef är chefen för RK Säkerhet och att säkerhetschefen ansvarar för säkerhetsarbetet i Regeringskansliet (20 §). Av bilagan till arbetsordningen anges att RK Säkerhet ger stöd till Regeringskansliets säkerhetschef i dennes ansvar för utveckling, samordning och uppföljning av säkerhet och signalskyddsverksamheten i enlighet med Regeringskansliets föreskrifter om säkerhet. Enheten ger stöd till säkerhetschefen i övriga säkerhetsfrågor. Enheten ger stöd till säkerhetschefen i dennes ansvar för brandskyddet i Regeringskansliet i enlighet med Regeringskansliets föreskrifter om brandskydd.
Av Regeringskansliets föreskrifter om säkerhet (RKF 2019:2) framgår att med säkerhetschef avses Regeringskansliets säkerhetschef som även är myndighetens säkerhetsskyddschef (5 §). Säkerhetschefen ansvarar för säkerheten i Regeringskansliet och säkerhetschefen beslutar, leder, samordnar och följer upp arbetet med säkerheten inklusive signalskyddsverksamheten i Regeringskansliet (10 §). Säkerhetschefen ansvarar för bevakning och skyddsnivå i Regeringskansliet och beslutar vid behov om förstärkt säkerhet. Säkerhetschefen ansvarar för att det finns en säkerhetscentral som är bemannad dygnet runt. Säkerhetschefen ska fortlöpande samråda med och informera expeditionscheferna i säkerhetsfrågor av betydelse för departementens verksamhet. Vidare anges att Säkerhetschefen får utse biträdande säkerhetschef och säkerhetschef i beredskap (11 §) och att säkerhetschefen utser säkerhetssamordnare som stödjer departementen i säkerhetsfrågor (12 §).
När det gäller kommittéväsendet framgår av Regeringskansliets föreskrifter om säkerhet (RKF 2019:2) att kommittéordföranden eller den särskilda utredaren har ansvar för säkerheten inom respektive kommitté eller utredning (19 §). Det anges vidare att i
Säkerhetsskydd i Regeringskansliet, utlandsmyndigheterna och kommittéväsendet Ds 2020:11
frågor som rör säkerheten ska samråd ske med det departement som ansvarar för kommittén eller utredaren. Säkerhetssamordnaren för departementet bistår i säkerhetsfrågor.
Utrikesrepresentationen
I Regeringskansliets föreskrifter med arbetsordning för Utrikesdepartementet (UF 2019:3) anges att det finns en Säkerhetsenhet (SÄK) som svarar för bl.a. kravspecifikationer för och tillsyn av säkerheten inom utrikesförvaltningen och frågor som avser Utrikesdepartementets beredskap, informationssäkerheten i utrikesförvaltningen och säkerhetsskyddet vid utlandsmyndigheterna (37 §). Vidare anges att expeditionschefen ansvarar för beredskapsplaneringen inom utrikesförvaltningen samt är säkerhetschef och ansvarar för säkerhetsskyddet för utlandsmyndigheterna (45 §). Vid expeditionschefens utevaro svarar chefen för säkerhetsenheten (47 §). I förordningen (2014:115) med instruktion för utrikesrepresentationen anges att chefen för en utlandsmyndighet ansvarar för myndighetens inre och yttre säkerhet inom ramen för de föreskrifter som Regeringskansliet meddelar och det säkerhetsskydd som Regeringskansliet beslutar om (2 kap. 10 §).
5. Överväganden och förslag
5.1. Uppdraget
Den nya säkerhetsskyddslagen, liksom 1996 års säkerhetsskyddslag, gäller endast i viss utsträckning för riksdagen och dess myndigheter samt för Regeringskansliet, utlandsmyndigheterna och kommittéväsendet. Säkerhetsskyddslagen innehåller, på samma sätt som i den gamla lagen, ett bemyndigande för regeringen att meddela föreskrifter om undantag för Regeringskansliet, utlandsmyndigheterna och kommittéväsendet i viss utsträckning. Undantag får inte avse bestämmelserna i säkerhetsskyddslagen om säkerhetsskyddsklasser, säkerhetsprövning och säkerhetsintyg. I säkerhetsskyddsförordningen regleras närmare i vilken utsträckning säkerhetsskyddslagen och säkerhetsskyddsförordningen gäller för Regeringskansliet, utlandsmyndigheterna och kommittéväsendet. Utöver denna reglering finns Regeringskansliets interna föreskrifter och kompletterande riktlinjer om säkerhet. Det finns även föreskrifter och vägledning gällandes utlandsmyndigheterna.
I uppdragsbeskrivningen anges att det finns anledning att utreda om någon eller några ytterligare bestämmelser i lagen eller förordningen borde träffa Regeringskansliet, utlandsmyndigheterna och kommittéväsendet. I uppdragsbeskrivningen redovisas att utredningen om säkerhetsskyddslagen inte hade i uppdrag att närmare se över lagens tillämplighet för Regeringskansliet. I utredningens betänkande (SOU 2015:25) föreslogs att stora delar av gällande bestämmelser om lagens tillämplighet för bl.a. Regeringskansliet skulle föras över till den nya säkerhetsskyddslagen. I betänkandet (s. 504 f) anges bl.a. att vid en översiktlig genomgång av de särskilda regleringarna om säkerhetsskyddet för riksdagen och för Regeringskansliet kan konstateras att det där i stor utsträckning finns reglering som svarar mot den som finns i säkerhetsskyddslagen
Överväganden och förslag Ds 2020:11
och att de särskilda regleringarna stämmer överens med de grundprinciper som säkerhetsskyddslagen ger uttryck för. Det innebär dock inte att det i alla avseenden finns en konformitet i fråga om kraven på säkerhetsskydd. Några närmare skäl till den gällande ordningen – där säkerhetsskyddslagen endast delvis gäller för riksdagen och Regeringskansliet – redovisas inte i förarbetena till säkerhetsskyddslagen.
I propositionen till den nya säkerhetsskyddslagen (prop. 2017/18:89 s. 122) konstateras att man i och för sig kan ifrågasätta lämpligheten av att det inte ställs likvärdiga krav på säkerhetsskydd i alla verksamheter men att regleringen för Regeringskansliet och utlandsmyndigheterna, bl.a. genom föreskrifter, ändå var tillräcklig.
Justitieutskottet har ifrågasatt lämpligheten av undantaget beträffande Regeringskansliet med tanke på vikten av dess förmåga att hantera säkerhetskänslig verksamhet (bet. 2017/18:JuU21). Konstitutionsutskottet, som getts tillfälle att yttra sig över frågan, har dock påpekat att en ordning som skulle innebära att Regeringskansliet omfattas av samtliga bestämmelser i den nya säkerhetsskyddslagen väcker vissa frågor av konstitutionellt slag. En ordning där en, eller möjligen flera, statliga tillsynsmyndigheter har tillsyn över Regeringskansliet är mot bakgrund av bestämmelserna i regeringsformen inte självklar. Konstitutionsutskottet konstaterade också att det inom Regeringskansliet hanteras en typ av i detta sammanhang känsliga uppgifter som knappast förekommer i annan offentlig verksamhet, vilket naturligtvis ställer särskilda krav på regelverk och organisation. Vidare anmärkte konstitutionsutskottet att det även kunde finnas andra aspekter att beakta ur ett konstitutionellt perspektiv. Justitieutskottet instämde i detta, men ansåg att frågan borde utredas närmare och att så många bestämmelser som möjligt i säkerhetsskyddslagen borde omfatta Regeringskansliet. Justitieutskottet föreslog därför att riksdagen skulle ställa sig bakom utskottets förslag om att det bör utredas om säkerhetsskyddslagen i större omfattning än vad som föreslås i propositionen ska gälla för Regeringskansliet och tillkännage det för regeringen. Riksdagen beslutade den 16 maj 2018 att bifalla utskottets förslag (rskr. 2017/18:289).
Vidare anges i uppdragsbeskrivningen att det inom Regeringskansliet hanteras information och uppgifter med högt skyddsvärde. I utformningen av säkerhetsskyddsregleringen måste
Ds 2020:11 Överväganden och förslag
hänsyn tas till verksamheternas särskilda karaktär. Undantagen för Regeringskansliet, utlandsmyndigheterna och kommittéväsendet från säkerhetsskyddslagen och säkerhetsskyddsförordningen kan i flera fall motiveras av att det varken i den tidigare eller i den nya säkerhetsskyddsregleringen finns någon myndighet som utövar tillsyn över dessa myndigheter. I stället ska Säkerhetspolisen och Försvarsmakten lämna råd till bl.a. Regeringskansliet om säkerhetsskydd. Den ordningen har att göra med Regeringskansliets särskilda ställning i förhållande till andra förvaltningsmyndigheter. Regeringskansliet finns för att bereda regeringsärenden och för att biträda regeringen och statsråden i deras verksamhet i övrigt (7 kap. 1 § RF). Enligt 12 kap. 1 § RF lyder de statliga förvaltningsmyndigheterna, som inte är myndigheter under riksdagen, under regeringen. En ordning där en eller flera statliga förvaltningsmyndigheter utövar tillsyn över Regeringskansliet kan därför ifrågasättas från ett konstitutionellt perspektiv.
I uppdragsbeskrivningen anges avslutningsvis att i den nya säkerhetsskyddsförordningen har fler av lagens och förordningens bestämmelser gjorts tillämpliga för Regeringskansliet än vad som gällde enligt tidigare reglering. Redan härigenom har riksdagens tillkännagivande i väsentlig utsträckning tillgodosetts. Trots det finns, mot bakgrund av tillkännagivandet och av att säkerhetsskyddslagens tillämplighet för bl.a. Regeringskansliet inte närmare analyserades i den tidigare översynen av lagen, anledning att utreda om någon eller några ytterligare bestämmelser i lagen eller förordningen borde träffa Regeringskansliet, utlandsmyndigheterna och kommittéväsendet.
5.2. Samma krav bör gälla som för andra säkerhetskänsliga verksamheter
Bedömning: Regeringskansliet, utlandsmyndigheterna och
kommittéväsendet bör omfattas av samma krav på säkerhetsskydd som andra liknande verksamheter.
Regeringskansliet, utlandsmyndigheterna och kommittéväsendet bedriver i vissa delar verksamhet som är säkerhetskänslig och innehåller säkerhetsskyddsklassificerade uppgifter. Exempelvis
Överväganden och förslag Ds 2020:11
ansvarar Regeringskansliet för de förberedelser som behövs för att riksdagen, statschefen och regeringen ska kunna fullgöra sina uppgifter när de yttre omständigheterna gör det omöjligt eller olämpligt att använda ordinarie verksamhetsformer. Försvarsmakten lyfter fram som exempel i sitt remissvar10 till den nya säkerhetsskyddslagen att det i Regeringskansliet hanteras uppgifter om totalförsvaret som omfattas av sekretess enligt 15 kap. 2 § offentlighets- och sekretesslagen, s.k. försvarssekretess, bl.a. om det militära försvarets uppgifter, förmågor och brister, samt att Regeringskansliet och utlandsmyndigheterna är mottagare av en stor mängd underrättelseinformation. Det är av yttersta vikt att dessa myndigheter tillämpar samma höga krav på säkerhetsskydd som andra säkerhetskänsliga verksamheter.
Säkerhetsskyddet för Regeringskansliet, utlandsmyndigheterna och kommittéväsendet har historiskt sätt varit reglerat i särskild ordning (se redogörelse i avsnitt 3.1). En del av bestämmelserna i säkerhetsskyddslagen och förordningen har gällt för myndigheterna men i övrigt har reglering funnits i interna föreskrifter. Denna särskilda ordning grundar sig i att dessa myndigheter har en särställning i förhållande till andra förvaltningsmyndigheter. Regeringskansliet är beredningsorgan till regeringen. Statsministern är regeringschef och chef för Regeringskansliet. Ett tiotal statsråd i regeringen är tillika departementschefer i Regeringskansliet. Bestämmelser i lag och förordning som inte omfattat Regeringskansliet har därför i stället tillämpats med stöd av interna föreskrifter i den utsträckning det funnits behov och varit lämpligt. När det gäller den nya säkerhetsskyddslagen finns, på samma sätt som i den gamla lagen, ett bemyndigande för regeringen att meddela föreskrifter om undantag i viss utsträckning. Undantag får inte avse bestämmelserna i säkerhetsskyddslagen om säkerhetsskyddsklasser, säkerhetsprövning och säkerhetsintyg.
Som anges ovan har Regeringskansliet, utlandsmyndigheterna och kommittéväsendet en särställning i förhållande till andra förvaltningsmyndigheter av bl.a. konstitutionella skäl. Det finns även annan reglering där inte alla bestämmelser gäller för Regeringskansliet t.ex. förordningen (2015:1053) om totalförsvar och höjd beredskap. Som utvecklas nedan bör Regeringskansliet, utlandsmyndigheterna och kommittéväsendet även fortsatt vara
10 Remissvar i ärende Ju2015/02740/L4.
Ds 2020:11 Överväganden och förslag
undantagna från vissa bestämmelser, t.ex. om tillsyn. Det är inte lämpligt att andra myndigheterna har full insyn i Regeringskansliets säkerhetskänsliga verksamhet, t.ex. i frågor som rör rikets högsta ledning och viss internationell samverkan.
Samtliga bestämmelser i säkerhetsskyddslagen och säkerhetsskyddsförordningen har analyserats i uppdraget. Dialog har hållits dels med Riksdagsförvaltningen, eftersom riksdagen har en liknande särställning som Regeringskansliet, dels med expertmyndigheterna Säkerhetspolisen och Försvarsmakten. Utgångspunkten har varit att så många bestämmelser som möjligt bör vara i lag och förordning och inte i interna föreskrifter. Det bör vara tydligt att kraven på Regeringskansliet, utlandsmyndigheterna och kommittéväsendet är i grunden densamma som på andra myndigheter. Regeringskansliet, utlandsmyndigheterna och kommittéväsendet har genom de interna föreskrifterna höga krav på säkerhetsskydd redan i dag men reglerna bör, så långt som möjligt, vara lika som för andra säkerhetskänsliga verksamheter. I interna föreskrifter bör finnas endast det som behöver regleras i särskild ordning eller som utgör förtydliganden till lagen och förordningen.
5.3. Samma bestämmelser bör gälla för kommittéväsendet som för Regeringskansliet och utlandsmyndigheterna
Förslag och bedömning: Bestämmelserna som gäller för
Regeringskansliet och utlandsmyndigheterna bör även gälla för kommittéväsendet.
En översyn bör göras avseende gränsdragningen av ansvaret för säkerhetsskyddet mellan Regeringskansliet och kommittéerna.
Kommittéväsendet 11
Det statliga kommittéväsendet har lång tradition i Sverige. Regeringen ger uppdrag till kommittéer och särskilda utredare för att bl.a. förbereda reformer.
11 Stora delar av texten är hämtad från Kommittéhandboken, Ds 2000:1
Överväganden och förslag Ds 2020:11
Kommittéväsendets roll bör ses mot bakgrund av regeringens roll. Regeringen styr riket (1 kap. 6 § RF). I detta ligger att regeringen leder den offentliga verksamheten, planerar för utvecklingen och tar de initiativ som kan behövas. Som ett led i denna verksamhet lägger regeringen fram förslag till riksdagsbeslut (om t.ex. nya lagar och användningen av statens medel) och förser riksdagen med det nödvändiga beslutsunderlaget. Regeringen har till sin hjälp Regeringskansliet, som består av departement för olika verksamhetsgrenar, av Statsrådsberedningen och av Regeringskansliets förvaltningsavdelning. De svenska departementen är små jämfört med sina motsvarigheter i andra länder. Huvuddelen av arbetet med att förbereda större reformer görs inom kommittéväsendet. En kommitté är en grupp personer som tillkallats på grund av ett regeringsbeslut och som har ett utredningsuppdrag. Man kan också beskriva kommittén som en myndighet som tillfälligt har bildats för att skaffa underlag för ett politiskt ställningstagande. Det förekommer också att ett utredningsuppdrag lämnas till en enda person som arbetar under samma regler som kommittéerna. En sådan person kallas ”särskild utredare”. Kommittéerna lyder under regeringen.
Det är regeringen som ger kommittéerna deras uppdrag. Uppdraget anges i direktiv för kommittén. Direktiven beslutas vid ett regeringssammanträde. Samtidigt bemyndigar regeringen det föredragande statsrådet att bestämma vilka personer som ska medverka i kommittén. Regeringen beslutar i direktiven också om de närmare formerna för utredningsarbetet: om det ska utföras av en kommitté eller av en särskild utredare, om kommittén ska innehålla parlamentariker eller inte, om utredningen ska avrapporteras i ett sammanhang eller genom delrapporter osv. Kommittén arbetar och lägger fram resultatet av sitt arbete i eget namn. När uppdraget är fullgjort avvecklas kommittén. I detta ligger att kommittéuppdraget för de flesta av de medverkande är en bisyssla.
I kommittéförordningen (1998:1474) anges regler om de medverkande (2–6 §§), kommitténs namn (7 §), planering och budgetering (8–10 §§), redovisning av utredningsarbetet (11–13 §§), kostnadsberäkningar och andra konsekvensbeskrivningar (14– 16 §§), betänkandenas utformning (17 och 18 §§), reservationer och särskilda yttranden (19–21 §§), publicering av betänkanden (22 §), förvaltningslagens tillämpning (23 §), förordnanden (24 §) och
Ds 2020:11 Överväganden och förslag
ersättning till de medverkande (25–32 §§). En kommitté består av en ordförande och en eller flera andra ledamöter. Kommittén kan biträdas av bl.a. sakkunniga, experter och sekreterare (2 och 4 §§kommittéförordningen). Ordföranden leder kommitténs arbete (3 § kommittéförordningen). Det betyder bl.a. att han eller hon svarar för att sekretariatets arbete bedrivs effektivt. Ordföranden har också ansvar för vissa ekonomiska frågor
Kommittéerna finansieras normalt över Regeringskansliets anslag på statsbudgeten. Regeringskansliet ger administrativt stöd åt kommittéerna. I Regeringskansliet finns det vid sidan av departementen en särskild enhet (Kommittéservice) för detta. Enligt 23 § kommittéförordningen tillämpas förvaltningslagen (1986:223) hos kommittéer endast vid deras handläggning av administrativa ärenden och ärenden om utlämnande av allmänna handlingar. Normalt arbetar ungefär 120 utredningar samtidigt.12
Säkerhetsskyddsreglering för kommittéväsendet
Enligt nuvarande säkerhetsskyddslag och förordning är det endast ett fåtal bestämmelser som gäller för kommittéväsendet. De enda bestämmelser som gäller i säkerhetsskyddslagen är 2 kap. 5 § om säkerhetsskyddsklassificering, 3 kap. om säkerhetsprövning och 4 kap. om säkerhetsintyg och i säkerhetsskyddsförordningen 5 kap. om personalsäkerhet och 6 kap. om internationell samverkan och säkerhetsintyg. I t.ex. 5 kap. 10 § första stycket 1 säkerhetsskyddsförordningen anges att Regeringskansliet beslutar om placering i säkerhetsklass 2 och 3 när det gäller kommittéer och särskilda utredare. Regeringen beslutar alltid om placering i säkerhetsklass 1.
I Regeringskansliets föreskrifter om säkerhet (RKF 2019:2) anges (1 kap. 1 §) att föreskrifterna gäller hos sådana kommittéer och särskilda utredare som avses i kommittéförordningen (1998:1474) om inte särskilt anges. Vidare anges (1 kap. 19 §) att kommittéordföranden eller den särskilda utredaren har ansvar för säkerheten inom respektive kommitté eller utredning. I frågor som rör säkerheten ska samråd ske med det departement som ansvarar
12 Uppgift från www.regeringen.se/sa-styrs-sverige/lagstiftningsprocessen/utredningar-ochkommitteer/
Överväganden och förslag Ds 2020:11
för kommittén eller utredaren. Säkerhetssamordnaren för departementet bistår i säkerhetsfrågor.
Kommittéväsendet bör omfattas av samma krav på säkerhetsskydd som Regeringskansliet och utlandsmyndigheterna
Som anges ovan gäller för sådana kommittéer och särskilda utredare som avses i kommittéförordningen (1998:1474) Regeringskansliets föreskrifter om säkerhet. Det har vid analys av bestämmelserna i säkerhetsskyddslagen och säkerhetsskyddsförordningen inte framkommit skäl till varför kommittéväsendet inte omfattas av samma bestämmelser och krav som Regeringskansliet och utlandsmyndigheterna. Att kommittéerna omfattas av kraven i de interna föreskrifterna talar även för att det inte finns anledning att göra skillnad när det gäller kraven på säkerhetsskydd. Kommittéväsendet borde därför omfattas av samma bestämmelser i säkerhetsskyddslagen och förordningen som Regeringskansliet och utlandsmyndigheterna.
Kommittéerna har en särställning jämfört med andra myndigheter, dels är kommittéerna tillfälliga myndigheter, dels tillhandahåller Regeringskansliet administrativt stöd och bl.a. lokaler. I 2 kap. 1 § säkerhetsskyddslagen regleras skyldigheterna för den som bedriver säkerhetskänslig verksamhet. I bestämmelsen anges att det är den som bedriver säkerhetskänslig verksamhet som bl.a. ska göra en säkerhetsskyddsanalys och vidta säkerhetsskyddsåtgärder, dvs. åtgärder rörande informationssäkerhet, fysisk säkerhet och personalsäkerhet. Verksamhetsutövaren ska även kontrollera säkerhetsskyddet i den egna verksamheten, anmäla och rapportera sådant som är av vikt för säkerhetsskyddet och i övrigt vidta de åtgärder som krävs. En kommitté påbörjar sitt arbete efter det att regeringen beslutat om kommittédirektiv. Fram till det att kommittén påbörjar sitt arbete hanterar Regeringskansliet frågor rörande säkerhetsskydd, bl.a. säkerhetsprövning av utredare och sekreterare. En översyn bör göras avseende gränsdragningen av ansvaret för säkerhetsskyddet mellan Regeringskansliet och kommittéerna. Det bör regleras i interna föreskrifter att Regeringskansliet ansvarar för säkerhetsskyddet fram till det att kommittén påbörjar sitt arbete i praktiken. När kommittén påbörjat sitt arbete och bedriver egen verksamhet bör
Ds 2020:11 Överväganden och förslag
kommittén ansvara för säkerhetsskyddet. Under arbetets bedrivande är det kommittén som har kunskap om den verksamhet som bedrivs och vilka eventuella uppgifter som förkommer i uppdraget. Kommittén får även vända sig till Regeringskansliet om det krävs åtgärder i de delar som Regeringskansliet tillhandahåller, t.ex. lokaler eller it-system.
Kommittéernas resurser är oftast mycket begränsade. Som angetts ovan får kommittéerna stöd från Regeringskansliet i olika delar, bl.a. ger Regeringskansliet administrativt stöd. Det är även Regeringskansliet som besitter särskild kompetens i säkerhetsskyddsfrågor. Vid en översyn av ansvaret för säkerhetsskyddet bör tillses att kommittéerna tillförs erforderliga resurser.
Det kan tilläggas att den text som anges i Kommittéhandboken om säkerhetsskydd (s. 158) är obsolet och bör ändras.
5.4. Fler bestämmelser bör gälla för Regeringskansliet, utlandsmyndigheterna och kommittéväsendet
Förslag och bedömning: De bestämmelser som gäller i
säkerhetsskyddsförordningen för Regeringskansliet och utlandsmyndigheterna bör fortsatt gälla och även gälla för kommittéväsendet.
Samtliga bestämmelser i säkerhetsskyddslagen bör gälla för Regeringskansliet, utlandsmyndigheterna och kommittéväsendet.
I säkerhetsskyddsförordningen bör även bestämmelser om tillämpningsområde, anmälan av säkerhetsskyddsavtal till Säkerhetspolisen, säkerhetskrav för informationssystem som används i säkerhetskänslig verksamhet, krav rörande hantering av säkerhetsskyddsklassificerade handlingar, krav på fysisk säkerhet, föreskriftsrätt, rådgivningsskyldighet för Säkerhetspolisen och Försvarsmakten och att beslut enligt förordningen inte får överklagas gälla för Regeringskansliet, utlandsmyndigheterna och kommittéväsendet.
Regeringskansliet, i stället för tillsynsmyndighet, bör ges rätt att meddela föreskrifter för Regeringskansliet, utlandsmyndigheterna och kommittéväsendet om undantag dels rörande
Överväganden och förslag Ds 2020:11
säkerhetsskyddsklassificerade handlingar, från krav på anteckning om säkerhetsskyddsklass och inventering samt att Utrikesdepartementets kurirförbindelse ska användas, dels från säkerhetskrav på informationssystem.
Vissa bestämmelser i säkerhetsskyddsförordningen om anmälningsplikt och samråd med tillsynsmyndighet bör fortsatt undantas. Detsamma gäller bestämmelsen om krav på internationellt säkerhetsskyddsavtal inför överlämnande av säkerhetsskyddsklassificerade uppgifter till utländsk myndighet eller mellanfolklig organisation.
5.4.1. Bestämmelser i lag och förordning som gäller i dag bör fortsatt gälla och även för kommittéväsendet
Redan i dag gäller för Regeringskansliet, utlandsmyndigheterna och kommittéväsendet, på samma sätt som för riksdagen och dess myndigheter, bestämmelserna i säkerhetsskyddslagen om säkerhetsskyddsklasser (2 kap. 5 §), säkerhetsprövning (3 kap.) och säkerhetsintyg (4 kap.). I förordningen finns bestämmelser rörande samma delar. Bestämmelser om personalsäkerhet (5 kap.) samt internationell samverkan och rättsintyg (6 kap.) i säkerhetsskyddsförordningen gäller också för Regeringskansliet, utlandsmyndigheterna och kommittéväsendet.
För Regeringskansliet och utlandsmyndigheterna gäller även bestämmelser i säkerhetsskyddslagen om tillämpningsområde (1 kap. 1–3 §§), skyldigheter för den som bedriver säkerhetskänslig verksamhet, säkerhetsskyddsåtgärder och säkerhetsskyddsavtal (2 kap. 1–6 §§), sekretessbrytande bestämmelse och föreskrifter om verkställighet (5 kap. 3 och 5 §§). I säkerhetsskyddsförordningen gäller bestämmelser om definitioner (1 kap. 4 och 5 §§), säkerhetsskyddsanalys, behörighet att delta i säkerhetskänslig verksamhet och säkerhetsskyddsavtal i vissa delar (2 kap. 1, 3 och 4 §§, 6 § första stycket och 6 § andra stycket 1) samt vissa bestämmelser om informationssäkerhet (3 kap. 1, 3 och 10 §§).
Det har vid analys av bestämmelserna inte framkommit att några bestämmelser som gäller i dag bör undantas. Således bör de bestämmelser som nu gäller även fortsätta att gälla. Vidare, som anges i tidigare avsnitt, har det inte framkommit skäl till varför
Ds 2020:11 Överväganden och förslag
kommittéväsendet inte skulle omfattas av samma bestämmelser och krav på säkerhetsskydd som Regeringskansliet och utlandsmyndigheterna. Därför bör de bestämmelser som angivits i detta stycke även gälla för kommittéväsendet.
5.4.2. Samtliga bestämmelser i säkerhetsskyddslagen bör gälla för Regeringskansliet, utlandsmyndigheterna och kommittéväsendet
De bestämmelser i säkerhetsskyddslagen som i dag är undantagna för Regeringskansliet, utlandsmyndigheterna och kommittéväsendet är bestämmelser i lagen om hänvisning till annan närliggande lagstiftning om statsministerns tjänstebostäder och skyddsobjekt (1 kap. 4 och 5 §§), bemyndigande till regeringen eller den myndighet som regeringen bestämmer att meddela föreskrifter om säkerhetsskyddsanalys, anmälnings- och rapporteringsskyldighet, säkerhetsskyddsåtgärder, säkerhetsskyddsklassificering och säkerhetsskyddsavtal (2 kap. 7 §) samt tystnadsplikt och bemyndigande till regeringen att bestämma vilka myndigheter som ska utöva tillsyn (5 kap. 1, 2 och 4 §§).
Det har vid analys av bestämmelserna inte framkommit skäl till varför dessa bestämmelser är undantagna. Bestämmelserna har karaktären av upplysningsbestämmelser, dvs. bestämmelserna innebär inte några krav i sig. Som föreslås nedan bör Regeringskansliet, utlandsmyndigheterna och kommittéväsendet undantas från vissa bestämmelser i säkerhetsskyddsförordningen, t.ex. när det gäller tillsyn. Det kan diskuteras om redan bestämmelsen i säkerhetsskyddslagen som bemyndigar regeringen att bestämma vilka myndigheter som ska utöva tillsyn borde undantas. Det framstår dock som mer lämpligt att i bestämmelserna i förordningen där de olika tillsynsmyndigheterna pekas ut tydliggöra att Regeringskansliet, utlandsmyndigheterna och kommittéväsendet inte är underkastade tillsyn. Detsamma gäller bemyndigandet till regeringen att meddela vilka myndigheter som får meddela föreskrifter. I stället för att undanta Regeringskansliet, utlandsmyndigheterna och kommittéerna från bestämmelsen i lagen med bemyndigandet bör i respektive bestämmelse i förordningen anges vilka myndigheter som får meddela föreskrifter och att Regerings-
Överväganden och förslag Ds 2020:11
kansliet i vissa fall får meddela föreskrifter för Regeringskansliet, utlandsmyndigheterna och kommittéväsendet.
Förslaget innebär att samtliga bestämmelser i säkerhetsskyddslagen kommer gälla för Regeringskansliet, utlandsmyndigheterna och kommittéväsendet.
5.4.3. Bestämmelser om tillämpningsområde, undantag och säkerhetsskyddsavtal som ingås av enskilda eller nationella industrisäkerhetsmyndigheten bör gälla
I säkerhetsskyddsförordningen finns bestämmelser om tillämpningsområde och undantag (1 kap. 1-3 §§) samt säkerhetsskyddsavtal som ingås av enskilda eller nationella industrisäkerhetsmyndigheten (2 kap. 5 och 8 §§). Dessa bestämmelser är antingen upplysningsbestämmelser eller bestämmelser som inte särskilt rör verksamhet vid Regeringskansliet, utlandsmyndigheterna eller kommittéväsendet. Det har vid analys av bestämmelserna inte framkommit skäl till varför dessa bestämmelser är undantagna. Även dessa bestämmelser bör därför gälla för Regeringskansliet, utlandsmyndigheterna och kommittéväsendet.
5.4.4. Bestämmelse om fysisk säkerhet bör gälla
I 4 kap. 1 § säkerhetsskyddsförordningen anges krav rörande säkerhetsskyddsåtgärden fysisk säkerhet. Områden, byggnader och andra anläggningar eller objekt där säkerhetsskyddsklassificerade uppgifter förvaras eller behandlas, eller där säkerhetskänslig verksamhet i övrigt bedrivs, ska vara försedda med funktioner för att upptäcka, försvåra och hantera obehörigt tillträde eller skadlig inverkan utifrån ett identifierat säkerhetsskyddsbehov. Motsvarande krav anges i Regeringskansliets föreskrift om säkerhet (4 kap. RKF). Det har inte framkommit skäl till varför Regeringskansliet, utlandsmyndigheterna och kommittéerna inte ska omfattas av bestämmelsen i förordningen. Som angetts ovan är det en mer lämplig ordning att så många bestämmelser som möjligt bör vara i lag och förordning och inte i interna föreskrifter. Det bör vara tydligt att kraven på Regeringskansliet, kommittéväsendet och utlandsmyndigheterna är i grunden desamma som på andra
Ds 2020:11 Överväganden och förslag
myndigheter. Bestämmelsen bör gälla för Regeringskansliet, utlandsmyndigheterna och kommittéväsendet.
5.4.5. Vissa bestämmelser om anmälningsplikt och samråd bör undantas
Säkerhetsskyddsavtal
Av 2 kap. 6 § säkerhetsskyddsförordningen framgår att en statlig myndighet som avser att genomföra en upphandling som innebär krav på säkerhetsskyddsavtal enligt 2 kap. 6 § säkerhetsskyddslagen ska vidta vissa åtgärder om vissa särskilda förhållanden föreligger. En grundtanke inom säkerhetsskydd är att säkerhetskänslig verksamhet ska ha samma skydd oavsett om den bedrivs av myndigheter eller privata aktörer. Om det i en upphandling förekommer säkerhetsskyddsklassificerade uppgifter eller ges åtkomst till i övrigt säkerhetskänslig verksamhet, är den upphandlande myndigheten ansvarig för att se till att det finns ett fullgott säkerhetsskydd hos leverantören. Myndigheten ska alltså ställa krav på samma nivå på säkerhetsskydd hos leverantörer som den ställer i sin egen verksamhet. Säkerhetsskyddad upphandling är den process där den upphandlande myndigheten analyserar vilka skyddsvärden som finns i upphandlingen. Myndigheten tecknar sedan ett säkerhetsskyddsavtal med leverantören för att säkerställa säkerhetsskyddet i upphandlingen.
Bestämmelsen gäller delvis, första stycket och andra stycket 1, redan i dag för Regeringskansliet och utlandsmyndigheterna. Som anges ovan bör samma bestämmelser i säkerhetsskyddslagen och förordningen som gäller för Regeringskansliet och utlandsmyndigheterna även gälla för kommittéväsendet. Bestämmelsen i fösta och andra stycket 1 bör därför även gälla för kommittéväsendet.
Av andra stycket 2 framgår att samråd ska ske med den myndighet som är tillsynsmyndighet över verksamheten. Som utvecklas nedan finns det skäl för att Regeringskansliet, utlandsmyndigheterna och kommittéerna inte ska omfattas av en annan förvaltningsmyndighets tillsyn. Myndigheterna bör därför inte heller ha en skyldighet att samråda med en annan förvaltnings-
Överväganden och förslag Ds 2020:11
myndighet. Med samråd avses överläggning för att enas om gemensamt handlande.13 Man överlägger i syfte att komma överens. Detta innebär att tillsynsmyndigheten kan säga nej till ett avtal. I stället för samråd bör Regeringskansliet, utlandsmyndigheterna och kommittéerna se till att Säkerhetspolisen får vetskap om avtalet. Myndigheterna bör därför träffas av bestämmelsen i 2 kap. 7 § säkerhetsskyddsförordningen om skyldighet att anmäla säkerhetsskyddsavtal till Säkerhetspolisen. Det kan tilläggas att detta avser avtal som träffas av myndigheten Regeringskansliet och inte av regeringen. Genom underrättelsen får expertmyndigheten en möjlighet att överblicka de avtal som finns på säkerhetsskyddsområdet. Säkerhetsskyddsavtalet utgör också en grund för att besluta om vilka anställningar och annat deltagande hos leverantören som ska placeras i säkerhetsklass. Att Säkerhetspolisen får information om säkerhetsskyddsavtal är en förutsättning för att Säkerhetspolisen ska kunna genomföra registerkontroll på personer som kommer att ha säkerhetsklassade befattningar kopplade till avtalet. Det måste framgå att kraven för att genomföra en registerkontroll är uppfyllda, t.ex. att den enskilde har lämnat sitt samtycke.
Det är även lämpligt om Regeringskansliet, utlandsmyndigheterna och kommittéerna inför träffandet av säkerhetsskyddsavtal rådgör med Säkerhetspolisen och Försvarsmakten inom den skyldighet som expertmyndigheterna, enligt 7 kap. 10 § säkerhetsskyddsförordningen, har att lämna råd. Expertmyndigheterna kan bidra med information rörande lämpligheten i att träffa det aktuella avtalet.
Det kan tilläggas att i betänkandet Kompletteringar till den nya säkerhetsskyddslagen (SOU 2018:82) föreslås att bestämmelsen (2 kap. 6 §) utvidgas till att gälla även andra förfaranden än upphandlingar och andra anskaffningar (s. 129). Den utvidgade skyldigheten innebär att den som bedriver säkerhetskänslig verksamhet ska ingå ett säkerhetsskyddsavtal så snart verksamhetsutövaren avser att genomföra en upphandling, ingå ett avtal eller inleda någon annan form av samverkan eller samarbete med en utomstående part, om förfarandet 1. innebär att den utomstående parten kan få tillgång till säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller 2. i övrigt
13 Enligt Svensk ordbok utgiven av Svenska Akademien.
Ds 2020:11 Överväganden och förslag
avser eller kan ge den utomstående parten tillgång till säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet. Skyldigheten att ingå säkerhetsskyddsavtal gäller inte samarbeten och samverkan mellan två eller flera statliga myndigheter som avser något annat än en anskaffning av varor, tjänster och byggentreprenader. Regeringen bemyndigas att föreskriva om undantag från skyldigheten att ingå säkerhetsskyddsavtal och får även besluta om undantag i enskilda fall. Som anges i avsnitt 5.8 bör i det fortsatta beredningsarbetet i Regeringskansliet av betänkandet SOU 2018:82 beaktas om den föreslagna utvidgningen av bestämmelsen bör gälla för Regeringskansliet, utlandsmyndigheterna och kommittéväsendet.
Överlåtelse av säkerhetskänslig verksamhet
Av 2 kap. 9 § säkerhetsskyddsförordningen framgår att den som avser att överlåta en säkerhetskänslig verksamhet till en enskild ska, innan förfarandet inleds, anmäla det till tillsynsmyndigheten. Som redan angetts så bör inte Regeringskansliet, utlandsmyndigheterna och kommittéerna omfattas av en annan förvaltningsmyndighets tillsyn. Myndigheterna kan därför inte heller ges en anmälningsskyldighet till en tillsynsmyndighet. Bestämmelsen i förordningen bör därför inte gälla för Regeringskansliet, utlandsmyndigheterna och kommittéväsendet. Inför en överlåtelse bör i stället dialog hållas med expertmyndigheterna Säkerhetspolisen och Försvarsmakten inom ramen för deras rådgivningsskyldighet.
Anmälan vid säkerhetshotande händelser och verksamhet
Enligt 2 kap. 10 § säkerhetsskyddsförordningen ska en verksamhetsutövare skyndsamt anmäla till tillsynsmyndigheten om 1. en säkerhetsskyddsklassificerad uppgift kan ha röjts, 2. det inträffat en it-incident i ett informationssystem som verksamhetsutövaren är ansvarig för och som har betydelse för säkerhetskänslig verksamhet och där incidenten allvarligt kan påverka säkerheten i systemet, eller
3. verksamhetsutövaren får kännedom eller misstanke om någon annan för denne allvarlig säkerhetshotande verksamhet.
Överväganden och förslag Ds 2020:11
För statliga myndigheter föreligger skyldigheter att anmäla incidenter även enligt annan reglering. Exempelvis är statliga myndigheter enligt förordningen (2015:1052) om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap skyldiga att till Myndigheten för samhällsskydd och beredskap (MSB) skyndsamt rapportera incidenter som inträffat i myndighetens informationssystem och som allvarligt kan påverka säkerheten i den informationshantering som myndigheten ansvarar för (20 §). Förordningskravet gäller för statliga myndigheter under regeringen med undantag av bl.a. Regeringskansliet och kommittéväsendet. För utlandsmyndigheterna tillämpas bestämmelserna endast i den utsträckning som bestäms i föreskrifter som meddelas av Regeringskansliet (Utrikesdepartementet). MSB är också mottagare av incidentrapportering som ska ske enligt lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster. Vidare ska enligt EU:s dataskyddsförordningen (GDPR)14 s.k. personuppgiftsincidenter, dvs. en säkerhetsincident som oavsiktligt påverkar behandlingen av personuppgifter, anmälas till Datainspektionen (artikel 33). I båda dessa regleringar omfattar dock rapporteringsskyldigheten inte incidenter som ska rapporteras enligt säkerhetsskyddsregleringen.
Regeringskansliet, utlandsmyndigheterna och kommittéerna bör av samma skäl som anges i föregående avsnitt, dvs. att myndigheterna inte ska omfattas av en annan förvaltningsmyndighets tillsyn, inte omfattas av denna anmälningsskyldighet till tillsynsmyndighet. Det är dock angeläget att expertmyndigheterna ändå informeras om incidenter inom ramen för deras rådgivningsskyldighet. Expertmyndigheterna kan då få en förbättrad lägesbild över förhållanden hos alla myndigheter och det skapar förutsättningar för att vidta rätt skyddsåtgärder samt att utveckla förmågan att förebygga, upptäcka och hantera incidenter.
Enligt 2 kap. 11 § säkerhetsskyddsförordningen ska en verksamhetsutövare som är skyldig att anmäla säkerhetshotande händelser och som tillhandahåller tjänster åt en annan verksamhetsutövare även samråda med de uppdragsgivare som berörs. Om anmälan rör säkerhetsskyddsklassificerade uppgifter som omfattas
14 Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning)
Ds 2020:11 Överväganden och förslag
av ett internationellt åtagande ska Säkerhetspolisen underrätta den nationella säkerhetsmyndigheten enligt det internationella säkerhetsskyddsåtagandet. Då det föreslås att Regeringskansliet, utlandsmyndigheterna och kommittéväsendet ska undantas från skyldigheten att anmäla säkerhetshotande händelser bör myndigheterna även undantas från skyldigheten att samråda med berörda uppdragsgivare.
Samråd inför nytt informationssystem
Av 3 kap. 2 § säkerhetsskyddsförordningen framgår att innan ett informationssystem som kan förutses komma att behandla uppgifter i säkerhetsskyddsklassen konfidentiell eller högre tas i drift eller i väsentliga avseenden förändras ska verksamhetsutövaren samråda med Säkerhetspolisen. Om myndigheten tillhör Försvarsmaktens tillsynsområde ska samråd i stället ske med Försvarsmakten. Regeringskansliet, utlandsmyndigheterna och kommittéerna bör av samma skäl som anges i föregående avsnitt, dvs. att myndigheterna inte ska omfattas av en annan förvaltningsmyndighets tillsyn, inte omfattas av denna samrådsskyldighet med tillsynsmyndighet. Bestämmelsen bör fortsatt undantas för Regeringskansliet, utlandsmyndigheterna och kommittéväsendet. Innan ett informationssystem tas i drift eller i väsentliga avseenden förändras bör dock i stället dialog hållas med expertmyndigheterna inom ramen för deras rådgivningsskyldighet. Det är angeläget att Regeringskansliet, utlandsmyndigheterna och kommittéerna tar del av den expertkompetens som finns hos andra myndigheter för att säkerställa att de informationssystem som används uppfyller de höga krav som ställs.
Säkerhetskrav för informationssystem
I 3 kap. 4 § säkerhetsskyddsförordningen anges att en verksamhetsutövare ska vidta olika åtgärder om ett informationssystem ska användas i säkerhetskänslig verksamhet. Det har inte framkommit skäl till varför Regeringskansliet, utlandsmyndigheterna och kommittéväsendet inte ska omfattas av bestämmelsen i förordningen. Det framgår redan av 3 kap. 1 §
Överväganden och förslag Ds 2020:11
säkerhetsskyddsförordningen att verksamhetsutövare är skyldiga att vidta olika åtgärder när det gäller informationssystem och den bestämmelsen gäller redan i dag. Vidare finns redan intern reglering i Regeringskansliets föreskrifter om säkerhet (3 kap. 10 § RKF) som motsvarar de krav som anges i säkerhetsskyddsförordningen. Som angetts ovan är det en mer lämplig ordning att så många bestämmelser som möjligt bör vara i lag och förordning och inte i interna föreskrifter. Det bör vara tydligt att kraven på Regeringskansliet, utlandsmyndigheterna och kommittéväsendet är i grunden desamma som på andra myndigheter. Bestämmelsen bör gälla för Regeringskansliet, utlandsmyndigheterna och kommittéväsendet.
I 3 kap. 5 § säkerhetsskyddsförordningen anges olika krav som gäller om säkerhetsklassificerade uppgifter ska behandlas i ett informationssystem utanför verksamhetsutövarens kontroll. Verksamhetsutövaren ska försäkra sig om att säkerhetsskyddet för uppgifterna i ett system är tillräckligt. Vidare gäller att om säkerhetsskyddsklassificerade uppgifter ska kommuniceras till ett informationssystem utanför verksamhetsutövarens kontroll ska uppgifterna skyddas med hjälp av kryptografiska funktioner som godkänts av Försvarsmakten. Med kryptografiska funktioner avses ett av Försvarsmaktens godkänt kryptosystem tillsammans med kryptonycklar, utbildning och regelverk. Samlingsbegreppet för detta är signalskydd. Det har inte framkommit skäl till varför Regeringskansliet, utlandsmyndigheterna och kommittéväsendet inte bör omfattas av bestämmelsen. Det framstår snarare som angeläget att samma höga krav gäller för dessa myndigheter som andra säkerhetskänsliga verksamheter. Vidare så är Regeringskansliet, utlandsmyndigheterna och kommittéer redan indirekt bundna av motsvarande krav genom EU:s säkerhetsbestämmelser15 då det i stor utsträckning är samma system som används för kommunikation av internationellt som svenskt klassificerade uppgifter.
Av 3 kap. 6 § säkerhetsskyddsförordningen framgår i första stycket att tillsynsmyndigheterna får meddela undantag från kraven i 4 § första stycket. Då Regeringskansliet, utlandsmyndigheterna och kommittéväsendet föreslås fortsatt vara undantagna från tillsyn
15 Rådets beslut av den 23 september 2013 om säkerhetsbestämmelser för skydd av säkerhetsskyddsklassificerade EU-uppgifter.
Ds 2020:11 Överväganden och förslag
bör de undantas av bestämmelsen som innebär att tillsynsmyndigheterna får besluta undantag. Det bör i stället införas en möjlighet för Regeringskansliet att meddela undantag för Regeringskansliet, utlandsmyndigheterna och kommittéväsendet.
Av 3 kap. 6 § andra stycket säkerhetsskyddsförordningen framgår att Försvarsmakten får meddela undantag från kraven i 5 § andra stycket om krav på kryptografiska funktioner som godkänts av Försvarsmakten. Som anges ovan föreslås att bestämmelsen om krav på kryptografiska funktioner som godkänts av Försvarsmakten även ska gälla för Regeringskansliet, utlandsmyndigheterna och kommittéerna. Regeringskansliet, utlandsmyndigheterna och kommittéerna bör då även ha möjlighet att begära och meddelas undantag från kravet. Därför bör 3 kap. 6 § andra stycket gälla för Regeringskansliet, utlandsmyndigheterna och kommittéväsendet.
5.4.6. Bestämmelser om hantering av säkerhetsskyddsklassificerade handlingar bör gälla men med undantagsmöjlighet
I 3 kap.7 och 8 §§säkerhetsskyddsförordningen anges krav rörande hantering av säkerhetsskyddsklassificerade handlingar. I 7 § anges att en säkerhetsskyddsklassificerad handling ska förses med en anteckning om vilken säkerhetsskyddsklass uppgifterna i handlingen har. Om en sådan handling kan antas komma att lämnas över till utländska myndigheter eller leverantörer ska den förses med en anteckning om ursprungsland om det inte är olämpligt. I 8 § anges krav på inventering av säkerhetsskyddsklassificerade handlingar.
Det har inte framkommit skäl till varför Regeringskansliet, utlandsmyndigheterna och kommittéväsendet inte ska omfattas av bestämmelserna i förordningen. Det finns redan till största del motsvarande krav i Regeringskansliets föreskrifter om säkerhet (2 kap. 3–7 §§ och 17 § RKF). Även dessa bestämmelser bör därför gälla för Regeringskansliet, utlandsmyndigheterna och kommittéväsendet.
I bestämmelserna, 3 kap. 7 och 8 §§ anges att tillsynsmyndigheterna, dvs. Säkerhetspolisen och Försvarsmakten, får meddela föreskrifter om dels undantag från kravet på anteckning om säkerhetsskyddsklass respektive, dels i vilken omfattning som säkerhetsskyddsklassificerade handlingar som innehåller uppgifter i
Överväganden och förslag Ds 2020:11
säkerhetsskyddsklassen hemlig eller konfidentiell ska inventeras. Som utvecklas nedan finns det skäl för att Regeringskansliet, utlandsmyndigheterna och kommittéväsendet inte ska omfattas av en annan förvaltningsmyndighets tillsyn och att myndigheterna därför ska undantas från tillsyn. Eftersom det nu anges i bestämmelserna att tillsynsmyndigheterna ska meddela föreskrifter bör det särskilt regleras vad som ska gälla för Regeringskansliet, utlandsmyndigheterna och kommittéväsendet. Det är mer lämpligt att Regeringskansliet får meddela föreskrifter om undantag samt i vilken omfattning inventering ska ske och därför bör en ändring göras i respektive bestämmelse där detta framgår.
5.4.7. Bestämmelser om krav när uppgifter lämnas till utländska aktörer
I 3 kap. 9 § säkerhetsskyddsförordningen anges att säkerhetsskyddsklassificerade uppgifter som lämnas till en utländsk myndighet eller en mellanfolklig organisation ska omfattas av ett internationellt säkerhetsskyddsåtagande om det inte finns särskilda skäl för att sådana uppgifter ändå kan lämnas. Vidare anges att säkerhetsskyddsklassificerade uppgifter inte får lämnas till en utländsk leverantör om inte Sverige har ingått ett internationellt säkerhetsskyddsåtagande med den andra staten och leverantören har godkänts genom en kontroll enligt den andra statens säkerhetsskyddslagstiftning. Bestämmelsen gäller inte i dag för Regeringskansliet, utlandsmyndigheterna och kommittéväsendet.
Regeringen, Regeringskansliet och utlandsmyndigheterna ansvarar för utrikesfrågor och har ständigt dialog med utländska parter i frågor som rör nationell säkerhet, och detta även vid ett försämrat säkerhetspolitiskt läge. Det finns ett allt mer fördjupat samarbete både med bilaterala partners och organisationer. Möjlighet till informationsdelning är avgörande för att dessa ska fungera. Det framstår vid en analys som att det inte är lämpligt att för alla samarbeten och med alla länder ha krav på säkerhetsskyddsåtagande, även om Sverige redan i dag har säkerhetsskyddavtal med flera partners. Det finns i och för sig redan en möjlighet till undantag angiven i bestämmelsen; det anges att det ska finnas ett internationellt säkerhetsskyddsåtagande om det inte finns särskilda skäl för att säkerhetsskyddsklassificerade uppgifter
Ds 2020:11 Överväganden och förslag
ändå kan lämnas. Det är dock svårt att överblicka vilka eventuella konsekvenser som det skulle innebära om bestämmelsen ska tillämpas. Vid sådant förhållande bör bestämmelsen fortsatt undantas för Regeringskansliet, utlandsmyndigheterna och kommittéväsendet. Här bör också erinras om kravet enligt 8 kap. 3 § OSL om att det ska stå klart att ett överlämnande av sekretessbelagda uppgifter till en främmande makt ligger i Sveriges intresse.
I 3 kap. 10 § säkerhetsskyddsförordningen anges att för försändelser till och från utlandet med säkerhetsskyddsklassificerade handlingar och som inte skyddas av kryptografiska funktioner ska Utrikesdepartementets kurirförbindelser anlitas. Säkerhetspolisen och Försvarsmakten får inom respektive myndighets tillsynsområde meddela föreskrifter om undantag från kravet. Bestämmelsen gäller redan i dag för Regeringskansliet och utlandsmyndigheterna. Som redovisats ovan bör samma bestämmelser som gäller för Regeringskansliet och utlandsmyndigheterna även gälla för kommittéväsendet och således bör bestämmelsen även gälla för kommittéväsendet. Som angetts tidigare bör Regeringskansliet, utlandsmyndigheterna och kommittéväsendet undantas från tillsyn och därför bör inte heller tillsynsmyndigheternas föreskrifter gälla. Det bör i stället anges att Regeringskansliet får meddela föreskrifter för Regeringskansliet, utlandsmyndigheterna och kommittéväsendet om undantag från kravet på att Utrikesdepartementets kurirförbindelser ska anlitas.
5.5. Säkerhetsskyddschef
Förslag och bedömning: Bestämmelsen om att det ska finnas en
säkerhetsskyddschef vid verksamhet som säkerhetsskyddsförordningen gäller för bör gälla för Regeringskansliet, utlandsmyndigheterna och kommittéväsendet. Myndigheterna bör dock även fortsättningsvis undantas från kravet att säkerhetsskyddschefen ska vara direkt underställd myndighetens chef.
En översyn bör göras av den interna regleringen avseende säkerhetsskyddschefens roll och ansvar för säkerhetsskyddet och
Överväganden och förslag Ds 2020:11
gränsdragningen mellan Regeringskansliet, utlandsmyndigheterna och kommittéväsendet.
Av 2 kap. 2 § säkerhetsskyddsförordningen framgår att det vid verksamhet som förordningen gäller för ska det, om det inte är uppenbart obehövligt, finnas en säkerhetsskyddschef som kontrollerar att verksamhetens bedrivs i enlighet med vad som föreskrivs i säkerhetsskyddslagen och säkerhetsskyddsförordningen. Vid myndigheter ska säkerhetsskyddschefen vara direkt underställd myndighetens chef. Bestämmelsen gäller inte för Regeringskansliet, utlandsmyndigheterna och kommittéväsendet.
I betänkandet Kompletteringar till den nya säkerhetsskyddslagen (SOU 2018:82) föreslås att bestämmelsen om säkerhetsskyddschef ska anges i lag. I betänkandet (s. 197–200) framhålls att säkerhetsskyddschefens roll i organisationer bör stärkas. Det är av vikt att säkerhetsskyddschefen organisatoriskt finns nära verksamhetens chef som har det yttersta ansvaret för säkerhetsskyddet. Säkerhetsskyddschefen bör vara direkt underställd verksamhetens chef. En sådan ordning skapar förutsättningar för att säkerhetsskyddsfrågorna i allmänhet får en hög prioritering i organisationen. Säkerhetsskyddschefen bör rapportera till organisationens högsta chef och bör ingå i organisationens ledningsgrupp. Det ger förutsättningar för att säkerhetsskyddet uppmärksammas och beaktas i den dagliga styrningen av verksamheten. Säkerhetsskyddschefen bör i god tid involveras i alla frågor som aktualiserar säkerhetsskydd. Det kan röra frågor om säkerhetsskyddsavtal och driftsättning av nya informationssystem. I betänkandet anges vidare att det inte bör vara tillåtet att delegera ansvaret. Det bör alltid finnas en person som har ansvaret för att kontrollera att säkerhetsskyddsregleringen följs och som har en helhetsbild av verksamhetens skyddsvärden och säkerhetsskydd. Vid granskningen av Transportstyrelsens upphandling av it-drift (Ds 2018:6) konstateras att säkerhetsskyddschefen uppfattade att det var svårt att få genomslag för säkerhetsskyddsfrågorna både på ledningsnivå och i verksamheten samt att säkerhetsfrågorna kom in för sent i upphandlingarna av it-drift och stordatormigrering. Säkerhetskulturen vid Transportstyrelsen beskrivs som att säkerhetsskyddet uppfattades som något som primärt var säkerhetsskyddschefens ansvar och inte en del av verksamhetens ansvar. Vidare anges i
Ds 2020:11 Överväganden och förslag
betänkandet (SOU 2018:82) att regeln bör gälla för alla verksamhetsutövare, även enskilda verksamhetsutövare liksom kommuner och regioner, och bestämmelsen bör då anges i lag eftersom den innebär åligganden för kommuner och enskilda.
Att det finns en säkerhetsskyddschef och att denne är placerad högt upp i organisationen är en fråga av stor vikt inom säkerhetsskyddsarbetet. Det har inte framkommit skäl till varför Regeringskansliet, utlandsmyndigheterna och kommittéväsendet inte ska omfattas av kravet på att det ska finnas en säkerhetsskyddschef. Som anges nedan finns det redan i dag en säkerhetsskyddschef för de respektive myndigheterna. Det kan dock ifrågasättas om det är lämpligt att Regeringskansliet, utlandsmyndigheterna och kommittéväsendet ska träffas av en bestämmelse som anger att säkerhetsskyddschefen ska vara direkt underställd myndighetens chef. Som angetts i tidigare avsnitt (4.1) har Regeringskansliet en särställning som beredningsorgan till regeringen. Det är endast ett fåtal bestämmelser i regeringsformen som rör regeringens arbetsformer och hur Regeringskansliet ska vara utformat. Det framstår som att det är tveksamt att i säkerhetsskyddsförordningen ange krav på Regeringskansliets organisation och därför bör bestämmelsen om säkerhetsskyddschefens placering i organisationen även fortsatt undantas.
I Regeringskansliets föreskrifter om säkerhet (RKF 2019:2) anges att Regeringskansliets säkerhetschef även är myndighetens säkerhetsskyddschef (5 §). Säkerhetschefen beslutar, leder, samordnar och följer upp arbetet med säkerheten inklusive signalskyddsverksamheten i Regeringskansliet (10 §). I Regeringskansliets föreskrifter om arbetsordning för Regeringskansliet (RKF 2019:20) framgår att i Regeringskansliets förvaltningsavdelning finns Regeringskansliets säkerhetschef (16 §). I Regeringskansliets föreskrifter om arbetsordning för Regeringskansliets förvaltningsavdelning (RKF 2019:22) anges att Regeringskansliets säkerhetschef är chefen för enheten RK Säkerhet (20 §). Av förordningen (2014:115) med instruktion för utrikesrepresentationen framgår att chefen för en utlandsmyndighet ansvarar för myndighetens inre och yttre säkerhet inom ramen för de föreskrifter som Regeringskansliet meddelar och det säkerhetsskydd som Regeringskansliet beslutar om (2 kap. 10 §). I Regeringskansliets föreskrifter med arbetsordning för Utrikesdepartementet (UF 2019:3) anges att
Överväganden och förslag Ds 2020:11
Säkerhetsenheten (SÄK) svarar för bl.a. informationssäkerheten i utrikesförvaltningen och säkerhetsskyddet vid utlandsmyndigheterna (37 §). Vidare anges att expeditionschefen är säkerhetschef och ansvarar för säkerhetsskyddet vid utlandsmyndigheterna (45 §). När det gäller kommittéväsendet framgår av Regeringskansliets föreskrifter om säkerhet (RKF 2019:2) att kommittéordföranden eller den särskilda utredaren har ansvar för säkerheten inom respektive kommitté eller utredning (19 §).
Efter en analys av den interna regleringen för Regeringskansliet, utlandsmyndigheterna och kommittéväsendet kan noteras att benämningen säkerhetsskyddschef endast finns med i Regeringskansliets föreskrifter om säkerhet. Säkerhetsskyddschefen omnämns varken i övriga arbetsordningar eller i förordningen (1996:1515) med instruktion för Regeringskansliet (RKI). I RKI finns inget angivet om säkerhet eller säkerhetsskydd. Det kan jämföras med t.ex. chefstjänstemannen för krishantering. I 11 b § RKI anges att det i Justitiedepartementet finns en särskild chefstjänsteman för krishantering. I 11 c § anges att den särskilda chefstjänstemannen för krishantering ansvarar för utveckling, samordning och uppföljning av krishanteringen i Regeringskansliet samt nödvändiga förberedelser för detta.
Det bör övervägas om säkerhetsskyddschefens roll och mandat bör tydliggöras i den interna regleringen. Det bör finnas en säkerhetsskyddschef som är direkt underställd myndighetens ledning. Bestämmelse bör finns på förordningsnivå, lämpligen i RKI. Det bör också tydliggöras vilket ansvar säkerhetsskyddschefen har för de verksamhetsgemensamma delarna hos Regeringskansliet, utlandsmyndigheterna och kommittéerna, t.ex. för informationssystem. Det bör finnas en samordnad reglering för de olika aktörerna, t.ex. en gemensam föreskrift om säkerhetsskydd i dessa delar.
Ds 2020:11 Överväganden och förslag
5.6. Regeringskansliet, utlandsmyndigheterna och kommittéväsendet bör även fortsatt vara undantagna från tillsyn
Förslag och bedömning: Regeringskansliet, utlandsmyndig-
heterna och kommittéväsendet bör även fortsättningsvis undantas från bestämmelserna om tillsyn.
Bestämmelser om föreskriftsrätt, rådgivning och överklagande bör gälla.
Expertmyndigheterna Säkerhetspolisen och Försvarsmakten bör även fortsatt lämna råd till Regeringskansliet.
Det bör tydliggöras att Regeringskansliet, och inte en tillsynsmyndighet, meddelar föreskrifter för Regeringskansliet utlandsmyndigheterna och kommittéväsendet.
Den interna granskningen över säkerhetsskyddet i Regeringskansliet, utlandsmyndigheterna och kommittéväsendet bör utvecklas. Det bör finns en intern granskningsfunktion som granskar alla delar av säkerhetsskyddsarbetet.
5.6.1. Tillsynsbegreppet
Tillsyn kan ha många former och syfta till att kontrollera olika saker såsom resultat, effektivitet och regelefterlevnad. Tillsyn utgör en kontroll i efterhand av hur en verksamhet fungerar men kan också sägas ha en framåtblickande funktion eftersom de iakttagelser och erfarenheter som tillsynen ger upphov till kan användas som grund för planering, förbättring och effektivisering både av den granskande verksamheten och av andra verksamheter där liknande frågeställningar är aktuellt. I den s.k. tillsynsskrivelsen (En tydlig, rättssäker och effektiv tillsyn, skr. 2009/10:79) anges att begreppet tillsyn bör användas för ”verksamhet som avser självständig granskning för att kontrollera om tillsynsobjekt uppfyller krav som följer av lagar och andra bindande föreskrifter och vid behov kan leda till beslut om åtgärder som syftar till att åstadkomma rättelse av den objektsansvarige” (s. 14). I offentlig verksamhet avses med tillsyn oftast s.k. extern tillsyn, dvs. tillsyn som utförs av annat organ än den vars verksamhet ska granskas. Sedan finns även intern tillsyn, dvs. intern kontroll av den egna verksamheten. Den som utför sådan
Överväganden och förslag Ds 2020:11
tillsyn har då god kunskap om den verksamhet som ska kontrolleras och de särskilda risker som verksamheten kan innebära. Det anförs ofta att extern tillsyn inger ett större förtroende hos allmänheten, eftersom det organisatoriska oberoendet kan uppfattas som en garanti för större opartiskhet. De rollkonflikter som kan uppkomma inom en verksamhet vid intern kontroll har ansetts vara något som bör undvikas (prop. 2009/10: 175 Offentlig förvaltning för demokrati, delaktighet och tillväxt, s 72 f. och skr. 2013/14:155 Regeringens förvaltningspolitik, s. 26).
Tillsyn kan vara ordinär eller extraordinär. Ordinär tillsyn utövas av ett organ som i regel har som sin huvudsakliga uppgift att utöva kontroll över en viss verksamhet. Ett ordinärt tillsynsorgan kan ha befogenheter att ingripa i handläggningen av ett ärende vid ett tillsynsobjekt, ändra fattade beslut och besluta om sanktioner. Extraordinär tillsyn utövas av Riksdagens ombudsmän (Justitieombudsmannen, JO) och Justitiekanslern (JK), som saknar dessa befogenheter. Dessa myndigheters beslut i tillsynsärenden saknar därmed rättslig verkan och utgör enbart vägledande och ibland kritiska uttalanden. JO och JK får även som särskild åklagare väcka åtal mot befattningshavare samt göra anmälan till den som har befogenhet att besluta om disciplinpåföljd respektive avskedande eller avstängning från tjänsten.
I tillsynsskrivelsen (skr. 2009/10:79) redovisar regeringen generella bedömningar om hur en tillsynsreglering bör vara utformad. I skrivelsen anges bl.a. följande (s. 12–27).
- Begreppet tillsyn bör främst användas för verksamhet som avser självständig granskning för att kontrollera om tillsynsobjekt uppfyller krav som följer av lagar och andra bindande föreskrifter.
- Tillsyn bör vid behov kunna leda till beslut om åtgärder som syftar till att åstadkomma rättelse av den objektsansvarige.
- Tillsyn bör utföras av ett organ som är självständigt från den verksamhet som tillsynen riktas mot. Detta garanterar trovärdigheten i tillsynen. I de fall då statliga myndigheter eller kommuner ska ansvara för både drift och tillsyn av en verksamhet bör självständigheten garanteras genom en tydlig åtskillnad av ansvaret för drift och tillsyn inom organisationen.
Ds 2020:11 Överväganden och förslag
- Tillsynsorgan bör ha rätt att av den som är ansvarig för tillsynsobjektet få del av de upplysningar eller handlingar som behövs för tillsynen.
- Tillsynsorgan bör ha tillträdesrätt till alla utrymmen som används i den tillsynspliktiga verksamheten.
- Det är i allmänhet inte lämpligt att tillsynsmyndigheten uppträder som konsult och ger råd om hur tillsynsobjekten ska agera i specifika ärenden. Det kan t.ex. uppstå svårigheter om tillsynsmyndigheten tidigare lämnat mycket precisa råd i ärenden som sedan blir föremål för tillsyn. Tillsynsmyndigheten måste dock kunna lämna upplysningar om vad som utgör gällande rätt. Inom vissa tillsynsområden kan skäl tala för att även rekommendationer och vägledning ska vara en del av tillsynen.
- Samordning mellan tillsynsorgan är viktig, framför allt för att tillsynen ska vara effektiv, men även för att den tillsynspliktiga verksamheten inte ska störas mer än nödvändigt.
- Ett utökat informationsutbyte mellan tillsynsorgan bör främjas med beaktande av föreskrifter om sekretess och behandling av personuppgifter. Om det anses nödvändigt att införa en uppgiftsskyldighet bör denna utformas så precist som möjligt.
Ledningen för en myndighet ansvarar inför regeringen för verksamheten och ska se till att den bedrivs effektivt och enligt gällande rätt och de förpliktelser som följer av EU-medlemskapet, redovisas på ett tillförlitligt och rättvisande sätt och att myndigheten hushållar väl med statens medel. Dessa krav brukar kallas för verksamhetskraven och framgår av myndighetsförordningen (2007:515), av vilken även framgår att ledningen ska säkerställa en betryggande intern styrning och kontroll. Myndighetsförordningen gäller inte för Regeringskansliet (se 1 § förordningen [1996:1515] med instruktion för Regeringskansliet). Av förordningen (2007:603) om intern styrning och kontroll framgår att vissa myndigheter ska ha en internrevision. Dessa myndigheter ska också ha en process för att säkerställa att myndigheten med rimlig säkerhet fullgör sina uppgifter och mål enligt kraven i myndighetsförordningen. Processen omfattar riskanalys, kontrollåtgärder och uppföljning. Dessa moment ska dokumenteras. Ledningen ska också
Överväganden och förslag Ds 2020:11
lämna en bedömning i myndighetens årsredovisning om den interna styrningen och kontrollen är betryggande.
5.6.2. Granskning av regering och Regeringskansliet
Bestämmelser om regeringsansvarigheten finns i 13 kap. RF. Det politiska ansvaret utkrävs ytterst genom misstroendeförklaring (13:4 RF). Men riksdagen granskar på olika sätt regeringen fortlöpande. Det sker bl.a. genom konstitutionsutskottets (KU) granskning av statsrådens tjänsteutövning och regeringsärendenas handläggning (13:1–2 RF) och genom riksdagsledamöternas interpellationer och frågor (13:5 RF). Statsrådens juridiska ansvar utkrävs genom att åtal för brott i tjänsten beslutas av KU och prövas av HD (13:3 RF). Den under riksdagen lydande myndigheten Riksrevisionen granskar den verksamhet som bedrivs av staten (13:7–9 RF). Revisionens granskning ska bidra till god resursanvändning och effektiv förvaltning i staten. Granskningen genomförs genom effektivitetsrevision och årlig revision. Granskningsrapporter lämnas till riksdagen som lämnar dessa vidare till regeringen för ett yttrande innan rapporterna behandlas i riksdagen. Riksrevisionen lämnar som regel rekommendationer i granskningsrapporterna. De syftar till att främja effektiviteten i den granskade verksamheten genom att konsekvenserna av de slutsatser som lämnas i rapporterna konkretiseras. Riksrevisionen kan också enligt 4 § i lagen (2002:1022) om revision av statlig verksamhet m.m. lämna förslag om alternativa insatser för att avsedda resultat ska nås. De viktigaste iakttagelserna från både effektivitetsrevisionen och den årliga revisionen samlas i Riksrevisorernas årliga rapport, som lämnas till riksdagen. Därutöver redovisar Riksrevisionen åtgärder som har vidtagits med anledning av effektivitetsrevisionens granskningsrapporter i en årlig uppföljningsrapport.
5.6.3. Tillsyn enligt säkerhetsskyddsregleringen
Nuvarande säkerhetsskyddsreglering innehåller ett fåtal bestämmelser om tillsyn. I 5 kap. 4 § säkerhetsskyddslagen anges att regeringen bestämmer vilka myndigheter som ska utöva tillsyn över säkerhetsskyddet hos dels myndigheter och andra som lagen gäller
Ds 2020:11 Överväganden och förslag
för, dels leverantörer som har träffat säkerhetsskyddsavtal. I 7 kap. 1 § säkerhetsskyddsförordningen finns bestämmelserna om vilka myndigheter som utövar tillsynen. Strukturen överensstämmer i princip med vad som har gällt tidigare (jfr 39 och 40 §§ gamla säkerhetsskyddsförordningen). Av paragrafen framgår att tillsyn över säkerhetsskyddet ska utövas av 1. Försvarsmakten när det gäller Fortifikationsverket och Försvarshögskolan samt de myndigheter som hör till Försvarsdepartementet, 2. Säkerhetspolisen när det gäller övriga myndigheter, utom Justitiekanslern, samt kommuner och regioner, 3. Affärsverket svenska kraftnät när det gäller enskilda verksamhetsutövare som bedriver elförsörjningsverksamhet, 4. Transportstyrelsen när det gäller enskilda verksamhetsutövare som bedriver flygtrafiktjänst för civil luftfart, flygtrafikledningstjänst för militär luftfart och verksamhet som i övrigt är av betydelse för luftfartsskydd, hamnskydd och sjöfartsskydd, 5. Post- och telestyrelsen (PTS) när det gäller enskilda verksamhetsutövare som bedriver verksamhet som avser elektronisk kommunikation och posttjänst, och 6. länsstyrelserna när det gäller enskilda verksamhetsutövare som bedriver andra säkerhetskänsliga verksamheter än sådana som anges i 3–5. De angivna myndigheterna får inom sitt tillsynsområde utöva tillsyn över säkerhetsskyddet hos leverantörer som omfattas av ett säkerhetsskyddsavtal enligt 2 kap. 6 § säkerhetsskyddslagen. Sådan tillsyn får också avse enskilda verksamhetsutövare som leverantören har anlitat inom ramen för säkerhetsskyddsavtalet. Säkerhetspolisen och Försvarsmakten får även utöva tillsyn inom de andra tillsynsmyndigheternas ansvarsområden (7 kap. 2 § säkerhetsskyddsförordningen). När en sådan tillsynsåtgärd har vidtagits ska den ordinarie tillsynsmyndigheten underrättas. Säkerhetspolisen och Försvarsmakten får även utöva tillsyn över leverantörer som har uppdrag för flera verksamhetsutövare om leverantörens samlade uppdrag är av stor betydelse för Sveriges säkerhet.
I 7 kap. 3 § säkerhetsskyddsförordningen finns det bestämmelser om anmälan till regeringen i vissa fall. Om det vid utövande av tillsyn över säkerhetsskyddet konstateras allvarliga brister som trots påpekanden inte rättas till, ska Säkerhetspolisen eller Försvarsmakten anmäla förhållandet till regeringen. Det gäller dock inte brister hos sådana enskilda verksamhetsutövare där villkoren för säkerhetsskyddet angetts i ett säkerhetsskyddsavtal. Om sådana
Överväganden och förslag Ds 2020:11
allvarliga brister som nyss sagts konstateras av någon annan av tillsynsmyndigheterna, ska tillsynsmyndigheten i fråga informera Säkerhetspolisen och Försvarsmakten.
Begreppet tillsyn är inte definierat i säkerhetsskyddsregleringen. I propositionen Säkerhetsskydd (prop. 1995/96:129 s. 70) anges att det är fråga om utövande av kontroll över annans verksamhet. Någon uttrycklig avgränsning till närliggande verksamhet som vägledning, rådgivning och utbildning finns inte. I 47 § gamla säkerhetsskyddsförordningen framgår att Säkerhetspolisen och Försvarsmakten på begäran ska lämna råd om säkerhetsskydd till Regeringskansliet, riksdagen och dess myndigheter och till Justitiekanslern. Det är alltså fråga om rådgivning som lämnas till myndigheter som inte står under tillsyn enligt säkerhetsskyddsregleringen (se 1 och 2 §§ gamla säkerhetsskyddsförordningen). I övrigt finns inga bestämmelser om rådgivning eller vägledning i gamla säkerhetsskyddsregleringen. När det gäller den nya säkerhetsskyddsregleringen följer det av bestämmelser i 7 kap.10 och 11 §§säkerhetsskyddsförordningen att tillsynsmyndigheterna är skyldiga att bedriva rådgivande verksamhet. Enligt 7 kap. 11 § ska vidare de myndigheter som utövar tillsyn över enskilda verksamhetsutövare inom sina respektive ansvarsområden lämna råd om säkerhetsskydd. I förarbetena till den nya säkerhetsskyddslagen (prop. 2017/18:89 s. 130 och 131) anges att det kommer att föreligga ett ökat behov av rådgivning och stöd från Säkerhetspolisen och Försvarsmakten när det gäller bl.a. säkerhetsskyddsanalys, informationssäkerhet och säkerhetsskyddsklassificering av information. Där anges också att tillsynsmyndigheterna kommer att behöva vägleda enskilda verksamheter i fråga om säkerhetsskyddslagens tillämplighet. Sådan vägledning kan innebära framtagande av manualer eller liknande som kan vara ett stöd för att kunna identifiera vad som inom det aktuella området utgör säkerhetskänslig verksamhet. Begreppet rådgivning har alltså inte definierats i säkerhetsskyddslagstiftningen.
Utredningen om vissa säkerhetsskyddsfrågor anger i betänkandet Kompletteringar till den nya säkerhetsskyddslagen (SOU 2018:82) att de ställningstaganden som uttrycks i tillsynsskrivelsen (skr. 2009/10:79) är i högsta grad relevanta när det gäller tillsyn enligt säkerhetsskyddslagen. Tillsynen bör därför ordnas i enlighet med dessa ställningstaganden. En annan utgångspunkt bör vara att den
Ds 2020:11 Överväganden och förslag
granskning som sker inom ramen för tillsynen bör ha en kvalitativ inriktning. Det bör alltså inte handla enbart om att tillsynsmyndigheten ”bockar av” t.ex. att en viss dokumentation finns, utan det bör också göras en bedömning av hur det som granskas fungerar i praktiken (jfr Tillitsdelegationens delbetänkande En lärande tillsyn – Statlig granskning som bidrar till verksamhetsutveckling i vård, skola och omsorg, SOU 2018:48). Utredningen har identifierat ett antal brister när det gäller tillsynsverksamheten och regleringen av tillsynen på säkerhetsskyddsområdet. De konstaterar att tillsynen på säkerhetsskyddsområdet inte är definierat och avgränsat vad tillsynen syftar till och avser. Ingen myndighet har en samlad bild över tillsynen. Vidare saknas det reglering om hur tillsynsmyndigheterna ska utbyta hotinformation med Säkerhetspolisen och Försvarsmakten. När det gäller själva tillsynen konstateras att tillsyn hittills har bedrivits i alltför begränsad omfattning och att tillsynsmyndigheterna saknar de befogenheter som krävs för att de ska kunna genomföra en effektiv tillsyn och åstadkomma rättelse. Tillsynskompetensen behöver öka hos många tillsynsmyndigheter och det behöver skapas en överblick över vilka tillsynsobjekt som finns inom respektive tillsynsområde.
Utredningen föreslår att Säkerhetspolisen och Försvarsmakten blir samordningsmyndigheter. I rollen som samordningsmyndighet ligger att de ska ansvara för att följa upp, utvärdera och utveckla tillsynsarbetet, i samråd utveckla och tillhandahålla metodstöd för tillsyn, verka för erfarenhetsutbyte och förmedla relevant hotinformation till tillsynsmyndigheterna. Utredningen föreslår vidare en delvis ny tillsynsstruktur som bygger på att Säkerhetspolisens och Försvarsmaktens resurser i huvudsak ska läggas på ansvaret som samordningsmyndighet och tillsyn över de allra mest skyddsvärda verksamheterna. Det ska sedan finnas en tillsynsmyndighet för varje sakområde där det typiskt sett bedrivs säkerhetskänslig verksamhet. Säkerhetspolisen och Försvarsmakten ska kunna ta över tillsynsansvaret över tillsynsobjekt som tillhör en annan tillsynsmyndighets ansvarsområde om det finns särskilda skäl. Vidare föreslås att tillsynens syfte och innehåll förtydligas. I syfte att förstärka och effektivisera tillsynen föreslås även flera nya undersökningsbefogenheter och en informationsskyldighet för tillsynsobjekten. Tillsynsmyndigheten ges rätt att i den omfattning det behövs för tillsynen få tillträde till områden, lokaler och andra
Överväganden och förslag Ds 2020:11
utrymmen, begära handräckning av Kronofogdemyndigheten för att genomföra tillsynsåtgärder och förelägga den som står under tillsyn att tillhandahålla information och att ge tillträde till lokaler och liknande och att förena föreläggandet med vite. Den som står under tillsyn blir skyldig att på begäran ge tillsynsmyndigheten den information som behövs för tillsynen. Tillsynsmyndigheten får besluta de förelägganden som behövs för att de som omfattas av tillsyn enligt säkerhetsskyddslagen ska fullgöra skyldigheter enligt lagen eller föreskrifter som har meddelats i anslutning till den (åtgärdsföreläggande) och att sådana förelägganden ska få förenas med vite. De förelägganden som utfärdas i samband med tillsyn ska kunna överklagas till Förvaltningsrätten i Stockholm, varvid tillsynsmyndigheten bör vara motpart. Prövningstillstånd bör krävas vid överklagande till kammarrätten. Det föreslås vidare att den som bedriver säkerhetskänslig verksamhet åläggs en skyldighet att utan dröjsmål anmäla detta till tillsynsmyndigheten, och att även utan dröjsmål anmäla när den säkerhetskänsliga verksamheten upphör. Underlåtelse att fullgöra anmälningsplikten beläggs med sanktionsavgift. Tillsynsmyndigheten ska sedan genom en systematisk och regelbunden kartläggning identifiera de verksamheter inom tillsynsmyndighetens ansvarsområde som omfattas av säkerhetsskyddslagen och hålla en uppdaterad förteckning över dessa. Tillsynsmyndigheten ska ta ut en sanktionsavgift av den verksamhetsutövare som underlåter att anmäla att den säkerhetskänsliga verksamheten bedrivs eller har upphört, att utföra eller uppdatera en säkerhetsskyddsanalys, att vidta säkerhetsskyddsåtgärder, att säkerhetsskyddsklassificera uppgifter, att kontrollera säkerhetsskyddet i den egna verksamheten eller att fullgöra anmälnings- eller rapporteringsplikt, att ingå ett säkerhetsskyddsavtal eller som ingår ett säkerhetsskyddsavtal som är bristfälligt i väsentlig mån, samt att utse en säkerhetsskyddschef. Sanktionsavgift ska också kunna tas ut av en verksamhetsutövare som inleder ett förfarande eller genomför en samrådspliktig överlåtelse i strid med ett meddelat förbud eller utan att fullgöra samrådsskyldigheten. Detsamma föreslås gälla en verksamhetsutövare som genomför en överlåtelse i strid med villkor som meddelats i samband med att samrådet avslutades eller som lämnar oriktiga uppgifter i samband med tillsyn eller samråd ska kunna åläggas sanktionsavgift. Regleringen om sanktionsavgifter ska bygga
Ds 2020:11 Överväganden och förslag
på strikt ansvar och att det ska vara obligatoriskt att ta ut sanktionsavgift när en bestämmelse i säkerhetsskyddslagstiftningen som kan föranleda avgift har överträtts. Sanktionsavgiftens storlek föreslås till lägst 5 000 kronor och högst 10 miljoner kronor. När sanktionsavgiftens storlek bestäms i det enskilda fallet ska särskild hänsyn ska tas till den skada eller sårbarhet för Sveriges säkerhet som uppstått till följd av överträdelsen, till om den avgiftsskyldige tidigare begått en överträdelse och till de kostnader som den avgiftsskyldige undvikit till följd av överträdelsen. Sanktionsavgiften ska kunna efterges helt eller delvis om överträdelsen är ringa eller ursäktlig eller om det annars med hänsyn till omständigheterna skulle vara oskäligt att ta ut avgiften. Tillsynsmyndigheten ska inte få ingripa med sanktionsavgift om överträdelsen omfattas av ett föreläggande om vite och överträdelsen ligger till grund för en ansökan om utdömande av vitet.
5.6.4. Granskning av säkerhetsskyddet i Regeringskansliet
Av 62–65 §§ RKI framgår att Regeringskansliets internrevision ska utföra internrevision av all verksamhet inom Regeringskansliet, kommittéväsendet och utrikesrepresentationen. Internrevisionen ska självständigt granska hur Regeringskansliets interna styrning och kontroll samt hur de ekonomiska redovisningsskyldigheterna fullgörs. Iakttagelser och slutsatser ska redovisas till förvaltningschefen.
Av bilagan till Regeringskansliets föreskrifter (2019:2) om arbetsordning för Regeringskansliets förvaltningsavdelning framgår avseende RK Säkerhet att Regeringskansliets säkerhetschef ansvarar för utveckling, samordning och uppföljning av säkerhet och signalskyddsverksamheten i enlighet med Regeringskansliets föreskrifter om säkerhet.
Av 10 § Regeringskansliets föreskrifter (2019:2) om säkerhet framgår att Regeringskansliets säkerhetschef beslutar, leder, samordnar och följer upp arbetet med säkerheten inklusive signalskyddsverksamheten i Regeringskansliet. Av 22 och 23 §§ framgår att det i Regeringskansliet ska finnas en funktion som återkommande granskar att arbetet med informationssäkerheten bedrivs på ett ändamålsenligt sätt och att informationssäkerheten är
Överväganden och förslag Ds 2020:11
tillfredsställande. Säkerhetschefen ansvarar för att kontrollera säkerhetsskyddet inklusive signalskyddsverksamheten. I 3 kap. 3 § anges att säkerhetschefen ansvarar för att det finns dokumenterade rutiner som omfattar kravställning, godkännande och uppföljning av informationssystem ur säkerhetssynpunkt.
Av 4 kap. 1 § förordningen (2014:115) med instruktion för utrikesrepresentationen framgår att Regeringskansliet utövar tillsyn över utlandsmyndigheterna. Tillsynen utövas främst av UD:s inspektörer som årligen inspekterar ett antal utlandsmyndigheter. I Regeringskansliets föreskrifter med arbetsordning för Utrikesdepartementet (UF 2019:3) anges att det finns en Säkerhetsenhet (SÄK) som svarar för bl.a. kravspecifikationer för och tillsyn av säkerheten inom utrikesförvaltningen och frågor som avser Utrikesdepartementets beredskap, informationssäkerheten i utrikesförvaltningen och säkerhetsskyddet vid utlandsmyndigheterna (37 §). Vidare anges att expeditionschefen ansvarar för beredskapsplaneringen inom utrikesförvaltningen samt är säkerhetschef och ansvarar för säkerhetsskyddet för utlandsmyndigheterna (45 §). Vid expeditionschefens utevaro svarar chefen för säkerhetsenheten (47 §).
5.6.5. Regeringskansliet, utlandsmyndigheterna och kommittéväsendet bör fortsatt undantas från bestämmelser om tillsyn
Av 12 kap 1 § RF framgår att förvaltningsmyndigheterna lyder under regeringen. Det föreligger ett principiellt lydnadsförhållande mellan regeringen och myndigheterna. Det innebär att myndigheterna är skyldiga att följa de föreskrifter av allmän natur och direktiv för särskilda fall som regeringen meddelar (prop. 1973:90 s. 397). En viktig begränsning av regeringens direktivrätt finns i 12 kap. 2 § RF där förvaltningens självständighet vid myndighetsutövning och tillämpning av lag slås fast. Frågor om regeringens styrning av förvaltningen har behandlats i olika sammanhang. I den förvaltningspolitiska propositionen (prop. 2009/10:175) uttalade regeringen bl.a. att statsförvaltningen ska genomföra av riksdagen och regeringen fattade beslut. Regeringens styrning av statliga myndigheter syftar till att skapa bästa möjliga förutsättningar för statsförvaltningen att förverkliga regeringens
Ds 2020:11 Överväganden och förslag
politik, utföra sina uppgifter i övrigt och upprätthålla grundläggande värden som rättssäkerhet och effektivitet (s. 97 f.).
Mot bakgrund av det ovan anförda, att förvaltningsmyndigheterna lyder under regeringen och att det föreligger ett lydnadsförhållande mellan regeringen och myndigheterna, framstår det som att det inte är en lämplig ordning att en förvaltningsmyndighet ska utöva tillsyn över Regeringskansliet, utlandsmyndigheterna och kommittéväsendet. Av 7 kap. 1 § RF framgår att Regeringskansliet finns för att bereda regeringsärenden och för att biträda regeringen och statsråden i deras verksamhet i övrigt. Det föreligger därför inte skäl att ändra den ordning som gäller i dag, dvs. att Regeringskansliet, utlandsmyndigheterna och kommittéväsendet är undantagna från bestämmelserna om tillsyn i säkerhetsskyddsregleringen.
För att säkerställa att kraven enligt säkerhetsskyddsregleringen uppfylls bör ändå säkerhetsskyddet hos Regeringskansliet, utlandsmyndigheterna och kommittéväsendet granskas. Det bör ske internt inom myndigheterna. Det finns intern kontroll av säkerhetsskyddet redan i dag. Det framstår som att säkerhetsskyddsarbetet i Regeringskansliet har utvecklats mycket under de senaste åren. Det finns dock skäl att ifrågasätta om den interna kontroll som förekommer i dag är tillräcklig.
Av de interna föreskrifterna framgår att det är flera aktörer involverade när det gäller granskningen av säkerhetsskyddet i Regeringskansliet, utlandsmyndigheterna respektive kommittéväsendet. Det är inte tydligt var gränserna går för de olika aktörernas granskning och i vilken omfattning granskning görs.
Som det redovisas ovan så bör även tillsyn bedrivas av en självständig funktion. På så sätt säkerställs tillsynens oberoende i förhållande till myndighetens övriga verksamhet. I föreskrifterna om säkerhet anges att det i Regeringskansliet ska finnas en särskild funktion som granskar arbetet med informationssäkerheten. Vid dialog med Regeringskansliet har framkommit att denna funktion finns vid internrevisionen. Det har dock inte gått att utläsa från interna föreskrifter att internrevisionen har denna uppgift. Det kan även ifrågasätta varför det endast är informationssäkerheten som ska granskas. Alla delar i säkerhetsskyddet borde granska, t.ex. även personalsäkerhet och fysisk säkerhet.
Överväganden och förslag Ds 2020:11
Vidare är det av vikt att en granskningsfunktion tilldelas erforderliga resurser. Som anges ovan är en väl avvägd resursfördelning centralt för ett väl fungerande tillsynssystem. Enligt uppgift från Regeringskansliet är det i dag en person på internrevisionen som arbetar med kontrollen av informationssäkerheten och det kan ifrågasättas om detta är tillräckligt med beaktande av Regeringskansliets storlek som myndighet och de skyddsvärden som finns i organisationen.
Sammanfattningsvis bedöms att det bör göras en översyn över arbetet som avser granskning av säkerhetsskyddsarbetet i Regeringskansliet, utlandsmyndigheterna respektive kommittéväsendet och att det bör ankomma på Regeringskansliet att inrätta en granskningsfunktion. Funktionen bör granska att kraven i säkerhetsskyddsregleringen uppfylls, t.ex. att säkerhetsskyddsanalys genomförs, hålls uppdaterad och dokumenteras och att relevanta säkerhetsskyddsåtgärder, dvs. åtgärder inom fysisk säkerhet, personalsäkerhet och informationssäkerhet, vidtas. Funktionen bör även granska det gemensamma säkerhetsskyddet, dvs. oavsett om säkerhetsskyddsarbetet bedrivs i Regeringskansliet, vid en utlandsmyndighet eller en kommitté. Vid dessa olika myndigheter bedrivs arbetet i vissa delar på gemensamma plattformar, t.ex. i gemensamma informationssystem. Gränsdragning behöver ske mot den granskning som redan i dag görs av bl.a. utlandsmyndigheterna. Granskningsfunktionen arbete bör vara liknande det arbete som bedrivs av tillsynsmyndigheterna inom säkerhetsskyddet. Funktionen bör tilldelas ett starkt mandat och bör vid behov meddela beslut om åtgärder som syftar till att åstadkomma rättelse av den objektsansvarige. Vid granskning av säkerhetsskyddsverksamheten bör även tillses att kompetens vid expertmyndigheter såsom Säkerhetspolisen, Försvarsmakten och Försvarets radioanstalt (FRA) används i stor utsträckning. FRA har i uppdrag att vara statens resurs inom teknisk informationssäkerhet och signalskydd16.
Till granskningsfunktionen bör även anmälas den typ av incidenter som avses i 2 kap. 10 § säkerhetsskyddsförordningen, dvs. om en säkerhetsskyddsklassificerad uppgift kan ha röjts, det inträffat en it-incident i ett informationssystem som verksamhetsutövaren är ansvarig för och som har betydelse för säkerhetskänslig
16 Förordning (2007:937) med instruktion för Försvarets radioanstalt
Ds 2020:11 Överväganden och förslag
verksamhet och där incidenten allvarligt kan påverka säkerheten i systemet, eller om verksamhetsutövaren får kännedom eller misstanke om någon annan för denne allvarlig säkerhetshotande verksamhet. I promemorian föreslås att Regeringskansliet, utlandsmyndigheterna och kommittéväsendet ska undantas från skyldigheten att anmäla incidenter till Säkerhetspolisen och Försvarsmakten, se avsnitt 5.4.5, och därför bör det säkerställas att det ändå finns en samlad bild över inträffade incidenter och att uppföljning sker.
Den interna granskningsfunktionen ska granska det interna arbetet. När det gäller externa förhållanden kan diskuteras vilken eller vilka aktörer som är skyldiga att granska eller tillsyna aktörer som Regeringskansliet, utlandsmyndigheterna eller kommittéerna kommer i kontakt med. Det gäller framförallt aktörer som Regeringskansliet, utlandsmyndigheterna eller kommittéerna har tecknat säkerhetsskyddsavtal med. Nedan påpekas att förslagen i denna promemoria behöver anpassas till de ändringar i säkerhetsskyddslagen och säkerhetsskyddsförordningen som föreslås i betänkandet Kompletteringar till den nya säkerhetsskyddslagen (SOU 2018:82). Betänkandet bereds för närvarande i Regeringskansliet. Även frågan om tillsyn av leverantörer som tecknat säkerhetsskyddsavtal med Regeringskansliet, utlandsmyndigheterna eller kommittéerna bör tas med i den fortsatta beredningen av betänkandet. Det bör övervägas om bestämmelserna om tillsyn i säkerhetsskyddsförordningen bör tydliggöras så att det klart framgår vem som ska ansvara för tillsynen av dessa leverantörer.
5.6.6. Undantag bör regleras i bestämmelsen om tillsynsmyndigheter
Regeringskansliet, utlandsmyndigheterna och kommittéväsendet är redan i dag undantagna från tillsyn. Det framgår genom att bestämmelserna om tillsyn inte gäller för myndigheterna. I 1 kap. 2 § säkerhetsskyddsförordningen anges de bestämmelser som gäller. Nedan föreslås att endast de bestämmelser som inte ska gälla ska anges i förordningen, dvs. undantagen. När det gäller undantaget från tillsyn kan det dock ifrågasättas om det blir tillräckligt tydligt att endast ange att en viss bestämmelse inte gäller. Det borde i stället
Överväganden och förslag Ds 2020:11
i bestämmelsen som anger vilka myndigheter som är tillsynsmyndigheter och vilka tillsynsområden som de svarar för anges att Regeringskansliet, utlandsmyndigheterna och kommittéväsendet är undantagna. Förslagsvis anges i bestämmelsen 7 kap. 1 § säkerhetsskyddsförordningen att Regeringskansliet, utlandsmyndigheterna och kommittéväsendet inte är underkastade tillsyn. I bestämmelsen bör även anges att för dessa verksamheter i stället finns särskilda bestämmelser om intern kontroll. Den sista delen kan dock inte gälla förrän intern reglering tagits fram.
5.6.7. Bestämmelser om föreskriftsrätt, rådgivning och överklagande bör gälla
I 7 kap. säkerhetsskyddsförordningen finns utöver bestämmelser om tillsyn även bestämmelser om föreskriftsrätt, rådgivning och överklagande. Bestämmelserna gäller i dag inte för Regeringskansliet, utlandsmyndigheterna och kommittéväsendet. Som redovisas ovan finns skäl för att myndigheterna bör undantas från bestämmelserna om tillsyn. Detta medför dock inte att myndigheterna bör undantas från alla bestämmelser i kapitlet. Det har inte framkommit skäl till varför bestämmelserna i förordningen om föreskriftsrätt, rådgivning och överklagande inte ska gälla för Regeringskansliet, utlandsmyndigheterna och kommittéväsendet.
När det gäller bestämmelserna om föreskriftsrätt framgår att vissa myndigheter får meddela föreskrifter inom sitt tillsynsområde. Säkerhetspolisen och Försvarsmakten får inom sitt respektive tillsynsområde meddela föreskrifter om säkerhetsskyddsanalys, anmälnings- och rapporteringsskyldighet, säkerhetsskyddsåtgärder, säkerhetsskyddsklassificering och säkerhetsskyddsavtal enligt säkerhetsskyddslagen och säkerhetsskyddsförordning samt verkställigheten av säkerhetsskyddslagen i övrigt. Vidare framgår att Säkerhetspolisen och Försvarsmakten får meddela föreskrifter som gäller för alla, dvs. inte bara för verksamheter inom deras tillsynsområde. Säkerhetspolisen får meddela föreskrifter om verkställigheten av säkerhetsskyddslagen i fråga om förfarandet vid registerkontroll (7 kap. 4 § första stycket 2) och Försvarsmakten får meddela föreskrifter om kryptografiska funktioner som är avsedda för skydd av säkerhetskänslig verksamhet (7 kap. 5 § första stycket 1). Det bör tydliggöras vilka föreskrifter som gäller för
Ds 2020:11 Överväganden och förslag
Regeringskansliet, utlandsmyndigheterna och kommittéväsendet. Föreskrifter som gäller inom Säkerhetspolisens respektive Försvarsmaktens tillsynsområde bör inte gälla för Regeringskansliet, utlandsmyndigheterna och kommittéväsendet. I stället bör Regeringskansliet få en föreskriftsrätt att meddela föreskrifter i dessa delar. I 7 kap. 9 § bör införas ett nytt stycke där det anges att Regeringskansliet får meddela föreskrifter om säkerhetsskyddsanalys, anmälnings- och rapporteringsskyldighet, säkerhetsskyddsåtgärder, säkerhetsskyddsklassificering och säkerhetsskyddsavtal enligt säkerhetsskyddslagen och säkerhetsskyddsförordningen samt verkställigheten av säkerhetsskyddslagen i övrigt för Regeringskansliet, utlandsmyndigheterna och kommittéväsendet. De föreskrifter som meddelas och gäller för alla verksamheter, dvs. Säkerhetspolisens föreskrifter om förfarandet vid registerkontroll och Försvarsmaktens föreskrifter om kryptografiska funktioner som är avsedda för skydd av säkerhetskänslig verksamhet (7 kap. 5 § första stycket 1), bör fortsatt gälla för Regeringskansliet, utlandsmyndigheterna och kommittéerna.
Av 7 kap. 10 § säkerhetsskyddsförordningen framgår att Säkerhetspolisen och Försvarsmakten på begäran ska lämna råd om säkerhetsskydd till Regeringskansliet, riksdagen och dess myndigheter och till Justitiekanslern. Säkerhetspolisen och Försvarsmakten ska informera varandra när råd har lämnats. Som anges ovan föreslås att denna rådgivningsskyldighet även fortsatt ska gälla. Vidare har i tidigare avsnitt påtalats att Regeringskansliet, utlandsmyndigheterna och kommittéerna som föreslås undantas från bestämmelser om samråd i stället bör ha dialog med Säkerhetspolisen och Försvarsmakten inom ramen för expertmyndigheternas rådgivningsskyldighet. Försvarsmakten har framfört att Regeringskansliet, utlandsmyndigheterna och kommittéerna i större utsträckning borde vända sig till expertmyndigheterna för att ta del av deras kompetens. Genom en närmare dialog kan säkerställas att säkerhetsskyddet hos Regeringskansliet, utlandsmyndigheterna och kommittéerna överensstämmer med säkerhetsskyddet hos andra liknande verksamheter. Regeringskansliet bör ha dialog med Säkerhetspolisen och Försvarsmakten bl.a. vid framtagandet av föreskrifter, så att föreskrifterna blir enhetliga med de föreskrifter som tas fram av andra myndigheter.
Överväganden och förslag Ds 2020:11
5.7. Endast undantagen bör anges i säkerhetsskyddsförordningen
Förslag: I säkerhetsskyddsförordningen bör anges endast de
bestämmelser som inte ska gälla för Regeringskansliet, utlandsmyndigheterna och kommittéväsendet.
I säkerhetsskyddslagen anges att regeringen i fråga om Regeringskansliet, utlandsmyndigheterna och kommittéväsendet får meddela undantag (1 kap. 3 §). I säkerhetsskyddsförordningen anges sedan vilka bestämmelser som gäller för myndigheterna. Då uppdragets förslag resulterar i att samtliga bestämmelserna i säkerhetsskyddslagen och flertalet av bestämmelserna i säkerhetsskyddsförordningen ska gälla även för Regeringskansliet, utlandsmyndigheterna och kommittéväsendet bör endast de bestämmelser som inte ska gälla, dvs. undantagen, anges i förordningen. Det är även mer förenligt med ordalydelsen i bemyndigandet i säkerhetsskyddslagen att ange undantagen.
5.8. Anpassning till andra utredningsförslag
Bedömning: Förslagen behöver anpassas till de ändringar i
säkerhetsskyddslagen och säkerhetsskyddsförordningen som föreslås i betänkandet Kompletteringar till den nya säkerhetsskyddslagen (SOU 2018:82).
Som redovisats ovan föreslås i betänkandet Kompletteringar till den nya säkerhetsskyddslagen (SOU 2018:82) ett flertal ändringar i säkerhetsskyddslagen och säkerhetsskyddsförordningen. Utredningen föreslår bl.a. att det införs tre nya kapitel i säkerhetsskyddslagen, 2 a kap. om utkontraktering och överlåtelse, 4 a kap. om tillsyn och 4 b kap. om ingripande och sanktioner. Vidare föreslås ändringar i lagen om skärpta krav på uppdatering av säkerhetsskyddsanalys och en förtydligad koppling mellan säkerhetsskyddsavtal och säkerhetsprövning. Det föreslås även en bestämmelse i lagen att alla säkerhetskänsliga verksamheter ska ha en säkerhetsskyddschef, om det inte är uppenbart obehövligt.
Ds 2020:11 Överväganden och förslag
Säkerhetsskyddschefens roll förtydligas och det ställs krav på att säkerhetsskyddschefen ska vara direkt underställd den som är ansvarig för verksamhetsutövarens verksamhet. I det ovan nämnda betänkandet har inte analyserats bestämmelsernas tillämplighet särskilt för Regeringskansliet, utlandsmyndigheterna och kommittéväsendet.
Betänkandet har remitterats och bereds för närvarande i Regeringskansliet. I det fortsatta arbetet bör beaktas om föreslagna bestämmelser bör gälla för Regeringskansliet, utlandsmyndigheterna och kommittéväsendet. På samma sätt som föreslås i denna promemoria bör Regeringskansliet, utlandsmyndigheterna och kommittéväsendet träffas av generella krav på säkerhetsskydd. Myndigheterna bör dock undantas från tillsyn och inte träffas av bestämmelser med koppling till tillsyn, bl.a. krav på samråd med tillsynsmyndighet. I betänkandet föreslås att det i säkerhetsskyddsförordningen, 7 kap. 1 § tredje stycket, anges att Justitiekanslern inte är underkastad tillsyn. I bestämmelsen bör anges att detsamma gäller för Regeringskansliet, utlandsmyndigheterna och kommittéväsendet.
Förslagen i denna promemoria kan lämpligen beredas vidare i hanteringen av det ovan nämnda betänkandet. Detta kan föranleda att det datum för ikraftträdande som nu föreslås i denna promemoria, den 1 januari 2021, behöver ändras.
6. Konsekvenser
6.1. Konsekvenser av förslaget
I uppdragsbeskrivningen anges att förslagens ekonomiska konsekvenser ska analyseras och redovisas. Om kostnader bedöms uppkomma ska ett finansieringsförslag lämnas.
Förslaget innebär att fler bestämmelser i säkerhetsskyddslagen och säkerhetsskyddsförordningen ska gälla för Regeringskansliet, utlandsmyndigheterna och kommittéväsendet. Redan i dag finns krav på säkerhetsskydd genom interna föreskrifter men genom att fler bestämmelser i lag och förordning föreslås gälla, tydliggörs att samma krav gäller för Regeringskansliet, utlandsmyndigheterna och kommittéväsendet som för andra säkerhetskänsliga verksamheter. Genom förslaget kommer Regeringskansliet, utlandsmyndigheterna och kommittéväsendet att träffas av samtliga bestämmelser i säkerhetsskyddslagen och flertalet bestämmelser i säkerhetsskyddsförordningen. Förslaget innebär endast några få nya krav, t.ex. ska Regeringskansliet, utlandsmyndigheterna och kommittéväsendet anmäla säkerhetsskyddsavtal till Säkerhetspolisen (2 kap. 7 § säkerhetsskyddsförordningen) och om säkerhetsskyddsklassificerade uppgifter ska kommuniceras till ett informationssystem utanför myndigheternas kontroll ska uppgifterna skyddas av kryptografiska funktioner som godkänts av Försvarsmakten (3 kap. 5 § säkerhetsskyddsförordningen).
I förslaget anges att en översyn bör göras avseende gränsdragningen mellan Regeringskansliet och kommittéerna av ansvaret för säkerhetsskyddet. Kommittéerna bör tillföras erforderliga resurser. Vidare föreslås att en översyn bör göras av den interna regleringen avseende säkerhetsskyddschefens roll och ansvar för säkerhetsskyddet i Regeringskansliet, utlandsmyndigheterna respektive kommittéväsendet.
Konsekvenser Ds 2020:11
Regeringskansliet, utlandsmyndigheterna och kommittéväsendet föreslås fortsatt vara undantagna från tillsyn av en annan förvaltningsmyndighet. I flertalet bestämmelser, som nu kommer gälla för myndigheterna, anges att tillsynsmyndigheten får meddela föreskrifter om bl.a. undantag. I förslaget anges att Regeringskansliet i stället för tillsynsmyndighet ska få meddela föreskrifter för Regeringskansliet, utlandsmyndigheterna och kommittéväsendet.
I förslaget anges vidare att den interna granskningen över säkerhetsskyddet i Regeringskansliet, utlandsmyndigheterna och kommittéväsendet bör utvecklas. Det bör finns en intern granskningsfunktion som granskar alla delar av säkerhetsskyddsarbetet. I de interna föreskrifterna om säkerhet anges att det i Regeringskansliet ska finnas en särskild funktion som granskar arbetet med informationssäkerheten. Funktionen som granskar informationssäkerheten finns i dag vid internrevisionen. Det är en person som har i huvudsaklig uppgift att kontrollera informationssäkerheten. Granskningen bör utökas till att kontrollera alla delar av säkerhetsskyddet, dvs. efterlevnaden av säkerhetsskyddsregleringen t.ex. att säkerhetsskyddsanalys genomförs, hålls uppdaterad och dokumenteras och att relevanta säkerhetsskyddsåtgärder vidtas. Granskningen bör även samordnas med befintlig tillsyn och granska det gemensamma säkerhetsskyddet, dvs. oavsett om säkerhetsskyddsarbetet bedrivs i Regeringskansliet, vid en utlandsmyndighet eller en kommitté. Vid dessa olika myndigheter bedrivs arbetet i vissa delar på gemensamma plattformar, t.ex. i gemensamma informationssystem. För att granskningen ska få önskad effekt behöver en granskningsfunktion tilldelas erforderliga resurser.
I betänkandet Kompletteringar till den nya säkerhetsskyddslagen (SOU 2018:82) redovisas under konsekvensavsnittet hur mycket resurser som beräknas krävas för de myndigheter som föreslås bli tillsynsmyndigheter. När det gäller t.ex. Länsstyrelsen i Stockholms län uppskattas antalet tillsynsobjekt inom tillsynsområdet till 231och att det kommer krävas fem årsarbetskrafter för att utöva tillsyn enligt utredningens förslag, för Länsstyrelsen i Skåne län uppskattas antalet till 181 och behovet till tre årsarbetskrafter, för Försvarets materielverk uppskattas antalet till ungefär 1 500–2 000 och behovet till 14 samt för Strålsäkerhetsmyndigheten uppskattas
Ds 2020:11 Konsekvenser
antalet till 14, varav tre utgör kärnkraftverk i drift, ett mellanlagring av använt kärnbränsle och ett produktion av kärnbränsle och behovet till tre årsarbetskrafter. För Regeringskansliet, utlandsmyndigheterna och kommittéväsendet behöver det analyseras hur många objekt som behöver granskas, dvs. vilka verksamheter som är säkerhetskänsliga i Regeringskansliet, vid utlandsmyndigheterna och kommittéerna.
I det nämnda betänkandet (SOU 2018:82) bedöms kostnaden för att finansiera en årsarbetskraft för tillsynsmyndigheterna uppgå till ungefär 1 000 000 kronor i direkta och indirekta lönekostnader. Utredningen förde samtal med bl.a. Försvarsmakten och Säkerhetspolisen om kostnaden för att finansiera en årsarbetskraft med den kravprofil som är aktuell för tillsynsmyndigheterna och de använde sig av Statistiska Centralbyråns tjänst Lönesök för att beräkna de direkta lönekostnaderna avseende yrken som är relevanta, t.ex. it-säkerhetsspecialister och säkerhetsinspektörer.
Som en konsekvens av att säkerhetsskyddsregleringen för Regeringskansliet, utlandsmyndigheterna och kommittéväsendet ändras bör även de interna föreskrifterna gällande säkerhetsskydd ändras.
Förslaget bör analyseras vidare i den fortsatta beredningen i Regeringskansliet och tillkommande arbetsuppgifter bör finansieras genom omprioriteringar från befintlig verksamhet eller att medel tillförs Regeringskansliets anslag.
Förslaget bedöms inte påverka kostnaderna för några andra myndigheter eller kommuner och landsting. I förslaget påpekas att Regeringskansliet bör ha närmare dialog med expertmyndigheterna. Säkerhetspolisen och Försvarsmakten har dock redan i dag en skyldighet att på begäran lämna råd till Regeringskansliet, varför detta inte kommer vara en ny uppgift för expertmyndigheterna. Förslaget bedöms inte heller ha någon påverkan på dels integrationsarbetet eller jämställdheten i samhället, dels miljön eller det kommunala självstyret.
Uppdraget (Ju 2019:B)
Uppdrag att utreda vissa frågor i säkerhetsskyddsregleringen
Sammanfattning
En utredare ges i uppdrag att analysera regleringen om säkerhetsskydd i Regeringskansliet, utlandsmyndigheterna och kommittéväsendet och ta ställning till om det finns behov av att ytterligare bestämmelser i säkerhetsskyddslagen (2018:585) och säkerhetsskyddsförordningen (2018:658) ska omfatta även dessa myndigheter. Utredaren ges även i uppdrag att analysera och ta ställning till vem som bör ansvara för beslut om placering i säkerhetsklass samt för utförandet och bedömningen av säkerhetsprövningen för ordinarie domare och hyresråd.
Uppdraget i den del som avser säkerhetsprövning av domare ska redovisas senast den 2 december 2019. Den andra delen av uppdraget ska redovisas senast den 12 maj 2020.
Bakgrund
Den 1 april 2019 trädde en ny säkerhetsskyddslag (2018:585) och en ny säkerhetsskyddsförordning (2018:658) i kraft. Den nya lagen och förordningen har ersatt 1996 års säkerhetsskyddslag och tillhörande förordning. Den nya lagen innehåller krav på åtgärder som syftar till att skydda uppgifter som är av betydelse för Sveriges säkerhet eller som ska skyddas enligt ett internationellt åtagande om säkerhetsskydd. Även skyddet av annan säkerhetskänslig verksamhet, t.ex. samhällsviktiga informationssystem, förbättras.
Bilaga 1 Ds 2020:11
Vidare förtydligas att lagen gäller i både allmän och enskild verksamhet. Den nya lagen tydliggör också skyldigheterna för den som bedriver säkerhetskänslig verksamhet och vikten av att verksamhetsutövarna genomför säkerhetsskyddsanalyser för sina verksamheter. Utifrån säkerhetsskyddsanalysen ska verksamhetsutövaren vidta nödvändiga säkerhetsskyddssåtgärder, vilket bl.a. innefattar personalsäkerhet och säkerhetsprövning av den som genom anställning eller på annat sätt ska delta i säkerhetskänslig verksamhet.
Uppdraget att utreda regleringen av säkerhetsskyddet i Regeringskansliet m.m.
Nuvarande reglering
Den nya säkerhetsskyddslagen, liksom den tidigare, gäller endast i viss utsträckning för riksdagen och dess myndigheter samt för Regeringskansliet, utlandsmyndigheterna och kommittéväsendet. Det framgår av 1 kap. 3 § nya säkerhetsskyddslagen. Regleringen innebär att den nya lagen gäller för Regeringskansliet, utlandsmyndigheterna och kommittéväsendet men att regeringen får besluta om undantag från andra bestämmelser än de som gäller säkerhetsskyddsklasser, säkerhetsprövning och säkerhetsintyg. I den nya säkerhetsskyddsförordningen regleras närmare i vilken utsträckning säkerhetsskyddslagen och säkerhetsskyddsförordningen gäller för dessa myndigheter. Utöver denna reglering gäller Regeringskansliets föreskrifter och kompletterande riktlinjer om säkerhetsskydd för Regeringskansliet och kommittéväsendet. Föreskrifterna innehåller en reglering som i stor utsträckning svarar mot den nya säkerhetsskyddslagen och säkerhetsskyddsförordningen, i den mån regelverket inte gäller för Regeringskansliet. Det finns också föreskrifter och vägledning om säkerhet och skydd för utlandsmyndigheterna för att uppnå en enhetlig hantering inom utrikesförvaltningen.
Utredningen om säkerhetsskyddslagen hade inte i uppdrag att närmare se över lagens tillämplighet för Regeringskansliet. I betänkandet (SOU 2015:25) föreslogs att stora delar av gällande bestämmelser om lagens tillämplighet för bl.a. Regeringskansliet
Bilaga 1
skulle föras över till den nya säkerhetsskyddslagen. I propositionen till den nya säkerhetsskyddslagen (prop. 2017/18:89 s. 122) konstaterades att man i och för sig kunde ifrågasätta lämpligheten av att det inte ställs likvärdiga krav på säkerhetsskydd i alla verksamheter men att regleringen för Regeringskansliet och utlandsmyndigheterna, bl.a. genom föreskrifter, ändå var tillräcklig.
I justitieutskottets betänkande (bet. 2017/18:JuU21) ifrågasattes lämpligheten av undantaget beträffande Regeringskansliet med tanke på vikten av dess förmåga att hantera säkerhetskänslig verksamhet. Konstitutionsutskottet, som getts tillfälle att yttra sig över frågan, anförde dock att en ordning som skulle innebära att Regeringskansliet omfattas av samtliga bestämmelser i den nya säkerhetsskyddslagen väcker vissa frågor av konstitutionellt slag. En ordning där en, eller möjligen flera, statliga tillsynsmyndigheter har tillsyn över Regeringskansliet var enligt konstitutionsutskottet mot bakgrund av bestämmelserna i regeringsformen inte självklar. Konstitutionsutskottet konstaterade också att det inom Regeringskansliet hanteras en typ av i detta sammanhang känsliga uppgifter som knappast förekommer i annan offentlig verksamhet, vilket naturligtvis ställer särskilda krav på regelverk och organisation. Vidare anmärkte konstitutionsutskottet att det även kunde finnas andra aspekter att beakta ur ett konstitutionellt perspektiv. Justitieutskottet instämde i detta, men ansåg att frågan borde utredas närmare och att så många bestämmelser som möjligt i säkerhetsskyddslagen borde omfatta Regeringskansliet. Justitieutskottet föreslog därför att riksdagen skulle ställa sig bakom utskottets förslag om att det bör utredas om säkerhetsskyddslagen i större omfattning än vad som föreslås i propositionen ska gälla för Regeringskansliet och tillkännage det för regeringen. Riksdagen beslutade den 16 maj 2018 att bifalla utskottets förslag (rskr. 2017/18:289).
Behovet av en utredning
Inom Regeringskansliet hanteras information och uppgifter med högt skyddsvärde. I utformningen av säkerhetsskyddsregleringen måste hänsyn tas till verksamheternas särskilda karaktär.
Bilaga 1 Ds 2020:11
Undantagen för Regeringskansliet, utlandsmyndigheterna och kommittéväsendet från säkerhetsskyddslagen och säkerhetsskyddsförordningen kan i flera fall motiveras av att det varken i den tidigare eller i den nya säkerhetsskyddsregleringen finns någon myndighet som utövar tillsyn över dessa myndigheter. I stället ska Säkerhetspolisen och Försvarsmakten lämna råd till bl.a. Regeringskansliet om säkerhetsskydd. Den ordningen har att göra med Regeringskansliets särskilda ställning i förhållande till andra förvaltningsmyndigheter. Regeringskansliet finns för att bereda regeringsärenden och för att biträda regeringen och statsråden i deras verksamhet i övrigt (7 kap. 1 § regeringsformen, RF). Enligt 12 kap. 1 § RF lyder de statliga förvaltningsmyndigheterna, som inte är myndigheter under riksdagen, under regeringen. En ordning där en eller flera statliga förvaltningsmyndigheter utövar tillsyn över Regeringskansliet kan därför ifrågasättas från ett konstitutionellt perspektiv.
I den nya säkerhetsskyddsförordningen har fler av lagens och förordningens bestämmelser gjorts tillämpliga för Regeringskansliet än vad som gällde enligt tidigare reglering. Redan härigenom har riksdagens tillkännagivande i väsentlig utsträckning tillgodosetts. Trots det finns, mot bakgrund av tillkännagivandet och av att säkerhetsskyddslagens tillämplighet för bl.a. Regeringskansliet inte närmare analyserades i den tidigare översynen av lagen, nu anledning att utreda om någon eller några ytterligare bestämmelser i lagen eller förordningen borde träffa Regeringskansliet, utlandsmyndigheterna och kommittéväsendet.
Uppdraget
En utredare ges i uppdrag att analysera regleringen om säkerhetsskydd i Regeringskansliet, utlandsmyndigheterna och kommittéväsendet. Utredaren ska ta ställning till om det finns behov av att ytterligare bestämmelser i säkerhetsskyddslagen och säkerhetsskyddsförordningen ska omfatta även dessa myndigheter. I uppdraget ingår inte att överväga någon förändring när det gäller tillsynens omfattning.
Bilaga 1
Utredaren ska lämna förslag på de författningsändringar som bedöms nödvändiga.
Uppdraget i fråga om säkerhetsprövning av domare
Nuvarande reglering
Den nya säkerhetsskyddslagen gäller för domstolarna till den del de bedriver säkerhetskänslig verksamhet. Den som genom anställning eller på något annat sätt ska delta i sådan verksamhet ska säkerhetsprövas. Det innebär att det kan bli aktuellt med säkerhetsprövning av domare, antingen vid anställningstillfället eller senare under anställningen på grund av nya arbets-uppgifter. Säkerhetsprövningen ska göras innan deltagandet i den säkerhetskänsliga verksamheten påbörjas och innefatta en grundutredning, register-kontroll och en särskild personutredning i vissa fall. Säkerhetsprövningen ska utgå från dessa uppgifter, den kännedom som i övrigt finns om den som ska prövas, arten av den verksamhet som prövningen gäller samt omständig-heterna i övrigt. Det framgår av 3 kap. 3 och 4 §§ nya säkerhetsskyddslagen. Bedömningen av säkerhetsprövningen ska göras av den som beslutar om anställning eller annat deltagande i den säkerhetskänsliga verksamheten. Säkerhetsprövningen ska sedan följas upp under den tid som deltagandet i verksamheten pågår.
Behovet av en utredning
Regleringen om att bedömningen av säkerhetsprövningen ska göras av den som beslutar om anställning eller annat deltagande i den säkerhetskänsliga verksamheten är ett förtydligande, och för vissa verksamheter en förändring, i förhållande till den tidigare säkerhetsskyddslagen. Den nya regleringen väcker frågan vem som lämpligen bör ansvara för säkerhetsprövningens olika delar när det gäller ordinarie domare och för hyresråd.
Ordinarie domare anställs i respektive domstol efter ett särskilt utnämnings-förfarande. Det är regeringen som utnämner domare efter beredning av och förslag från Domarnämnden. Förutom vid utnämningar av ordföranden i Försvarsunderrättelsedomstolen och
Bilaga 1 Ds 2020:11
Arbetsdomstolen är också den anställande domstolen och Domstolsverket involverat i olika skeden. Utnämningsförfarandet har utformats så att domstolarnas och domarnas självständiga ställning inte ska kunna ifrågasättas. Regeringen utnämner även hyresråd.
För att säkerställa en ändamålsenlig ordning för säkerhetsprövning i enlighet med säkerhetsskyddslagstiftningens krav, samtidigt som domstolarnas och domarnas självständiga ställning värnas, finns det anledning att låta en utredare analysera vissa frågor angående ansvaret för säkerhetsprövningens olika delar.
Uppdraget
En utredare ges i uppdrag att analysera och ta ställning till vem som bör ansvara för säkerhetsprövningen av ordinarie domare och hyresråd när det gäller vem som ska utföra och göra bedömningen av säkerhetsprövningen. Utredaren ska även ta ställning till vem som bör besluta om att anställningen ska vara placerad i säkerhetsklass. Mot bakgrund av säkerhetsprövningens nära koppling till den aktuella verksamheten och anställningen bör en utgångspunkt för arbetet vara att verksamhetsutövaren i stor utsträckning beslutar om placering i säkerhetsklass och gör bedömningen av säkerhetsprövningen. Det kan däremot finnas anledning att överväga en annan ordning för t.ex. domstolschefer. Utredaren ska lämna förslag på de författningsändringar som bedöms nödvändiga.
Konsekvensbeskrivningar
Utredaren ska analysera och redovisa förslagens ekonomiska konsekvenser. Om kostnader bedöms uppkomma ska ett finansieringsförslag lämnas.
Bilaga 1
Genomförande och redovisning av uppdraget
Under genomförandet av uppdraget ska utredaren, i den utsträckning som bedöms lämplig, samråda med och inhämta upplysningar från Regeringskansliet, Försvarsmakten, Säkerhetspolisen, Domstolsverket, Domarnämnden samt andra myndigheter som kan beröras av aktuella frågor.
Utredaren ska också hålla sig informerad om och beakta sådant arbete inom Regeringskansliet som är relevant för uppdraget.