SOU 2015:25

En ny säkerhetsskyddslag

Till statsrådet Anders Ygeman

Regeringen beslutade den 8 december 2011 att tillkalla en särskild utredare med uppdrag att göra en översyn av säkerhetsskyddslagstiftningen för att bättre anpassa den till det som krävs för att skydda verksamhet som har betydelse för rikets säkerhet och till de krav det internationella samarbetet ställer.

F.d. justitierådet och ordföranden i Högsta förvaltningsdomstolen Sten Heckscher förordnades att fr.o.m. den 8 december 2011 vara särskild utredare.

Förordnad sakkunnig har under hela utredningstiden varit f.d. generaldirektören Nils Gunnar Billinger.

Förordnade experter under hela eller delar av utredningstiden har varit chefsjuristen Bertil Persson (Affärsverket svenska kraftnät), rättssakkunniga Mats Rundström (Finansdepartementet), chefsjuristen Anders Sjöborg (Försvarets materielverk), numera justitiesekreteraren Chris Stattin Larsson, rättssakkunniga Evelina Säfwe, rättssakkunniga Izla Staifo och numera ämnesrådet Göran Olsson (Försvarsdepartementet), översten Roger Nordh (Försvarsmakten), numera departementsrådet John Ahlberk, rättssakkunniga Stefan Jansson och kanslirådet Ida Wettervik (Justitiedepartementet), chefsjuristen Key Hedström (Myndigheten för samhällsskydd och beredskap), juristen Ulrica Clerton (Polismyndigheten), juristen Britt-Marie Jönson (Post- och telestyrelsen), kanslichefen Eva Melander Tell, numera justitiesekreteraren Emily Alfvén Nickson, numera rådmannen Patrik Skogh och enhetschefen Ulrika Söderqvist (Säkerhets- och integritetsskyddsnämnden), numera biträdande säkerhetspolischefen Johan Sjöö och numera sektionschefen Annette Norman (Säkerhetspolisen), juristen Thomas Wallander (Totalförsvarets forskningsinstitut), f.d. enhetschefen Göran Berg och numera säkerhetsskyddschefen Jens Johanson (Transportstyrelsen) och f.d. departementsrådet Berndt Fredriksson (Utrikesdepartementet).

Som sekreterare anställdes den 23 januari 2012 hovrättsassessorn Karin Erlandsson, den 14 maj 2012 numera kanslichefen Helene Lövung och den 1 september 2013 avdelningsdirektören Martin Waern. Helene Lövung entledigades den 1 januari 2014.

Numera ämnessakkunniga Lotta Skarp har varit anställd som biträdande sekreterare mellan den 1 april 2012 och den 31 mars 2013.

Förordnandetider för experterna framgår av en förteckning som bifogas.

Tilläggsdirektiv beslutades av regeringen den 6 februari 2014 och den 11 september 2014 varigenom utredningstiden förlängdes.

Utredningens uppdrag är genom detta betänkande slutfört. Sten Heckscher är ensam utredningsman och svarar ensam för innehållet i betänkandet. Experterna har deltagit i arbetet i sådan utsträckning att det trots detta är befogat att använda vi-form i betänkandet. Skilda uppfattningar i enskildheter och beträffande formuleringar kan förekomma utan att detta har behövt komma till uttryck i något särskilt yttrande.

Stockholm i mars 2015

Sten Heckscher

/Karin Erlandsson

Martin Waern

Förteckning över förordnandetider

Förordnad sakkunnig

F.d. generaldirektören Nils Gunnar Billinger fr.o.m. den 16 februari 2012

Förordnade experter

Numera departementsrådet John Ahlberk fr.o.m. den 16 februari 2012 t.o.m. den 31 juli 2012

F.d. enhetschefen Göran Berg fr.o.m. den 16 februari 2012 t.o.m. den 21 maj 2013

Juristen Ulrica Clerton fr.o.m. den 16 februari 2012

F.d. departementsrådet Berndt Fredriksson fr.o.m. den 16 februari 2012

Chefsjuristen Key Hedström fr.o.m. den 16 februari 2012

Juristen Britt-Marie Jönson fr.o.m. den 16 februari 2012

Numera justitiesekreteraren Chris Stattin Larsson fr.o.m. den 16 februari 2012 t.o.m. den 10 mars 2013

Numera sektionschefen Annette Norman fr.o.m. den 16 februari 2012

Numera ämnesrådet Göran Olsson fr.o.m. den 16 februari 2012 t.o.m. den 24 augusti 2014 (för Försvarsmakten) och fr.o.m. den 25 augusti 2014 (för Försvarsdepartementet)

Chefsjuristen Bertil Persson fr.o.m. den 16 februari 2012

Rättssakkunniga Mats Rundström fr.o.m. den 16 februari 2012

Chefsjuristen Anders Sjöborg fr.o.m. den 16 februari 2012

Numera biträdande säkerhetspolischefen Johan Sjöö fr.o.m. den 16 februari 2012

Kanslichefen Eva Melander Tell fr.o.m. den 16 februari 2012 t.o.m. den 25 september 2012

Juristen Thomas Wallander fr.o.m. den 16 februari 2012

Rättssakkunniga Stefan Jansson fr.o.m. den 16 april 2012 t.o.m. den 30 november 2013

Numera justitiesekreteraren Emily Alfvén Nickson fr.o.m. den 26 september 2012 t.o.m. den 19 mars 2013

Rättssakkunniga Evelina Säfwe fr.o.m. den 11 mars 2013 t.o.m. den 5 maj 2014

Enhetschefen Ulrika Söderqvist fr.o.m. den 20 mars 2013 t.o.m. den 30 september 2013 och fr.o.m. den 20 oktober 2014

Numera säkerhetsskyddschefen Jens Johanson fr.o.m. den 22 maj 2013

Numera rådmannen Patrik Skogh fr.o.m. den 1 oktober 2013 t.o.m. den 19 oktober 2014

Kanslirådet Ida Wettervik fr.o.m. den 1 november 2013

Rättssakkunniga Izla Staifo fr.o.m. den 6 maj 2014 t.o.m. den 24 augusti 2014

Översten Roger Nordh fr.o.m. den 20 oktober 2014

Sammanfattning

Förslag

Vi föreslår att säkerhetsskyddslagen ersätts av en ny lag. Även den nya lagen bör benämnas säkerhetsskyddslag. En ny lag ska svara mot de förändrade kraven på säkerhetsskyddet, bl.a. avseende utvecklingen på informationsteknikområdet, en ökad internationell samverkan, en ökad sårbarhet i samhällsviktiga funktioner och att säkerhetskänslig verksamhet i allt större omfattning bedrivs i enskild regi.

En bredare ansats för lagen innebär bl.a. att tillgänglighets- och riktighetsaspekterna av information och it-system lyfts fram. På detta sätt vidgas tillämpningsområdet till att ge ett skydd för informationstillgångar i samhällsviktig verksamhet som inte behöver ett skydd från ett konfidentialitetsperspektiv.

Den nya lagen ska medge ett nyanserat säkerhetsskydd som bygger på fyra informationssäkerhetsklasser av internationell modell. Informationssäkerhetsklasserna påverkar utformningen av säkerhetsskyddsåtgärderna informationssäkerhet, fysisk säkerhet och personalsäkerhet. Säkerhetsskyddsanalysen får en central roll och ska leda till slutsatser om hur säkerhetsskyddet i en verksamhet bör utformas. Vad verksamhetsansvaret innebär i fråga om säkerhetsskydd förtydligas.

Lagen ska på ett tydligare sätt än i dag ge stöd för internationella säkerhetsskyddsåtaganden och internationell samverkan, bl.a. genom möjligheten att utfärda säkerhetsintyg för personer och leverantörer.

Uppdraget

Ett huvudsyfte med uppdraget är att modernisera regleringen och att bättre anpassa den till det som krävs för att skydda verksamhet som har betydelse för Sveriges säkerhet och till de krav det internationella samarbetet ställer.

Bakgrund

Den gällande regleringen

Säkerhetsskydd ska i den omfattning som behövs finnas vid verksamhet hos staten, kommunerna och landstingen, hos juridiska personer som staten, kommunerna eller landstingen utövar ett rättsligt bestämmande inflytande över samt hos enskilda, om verksamheten är av betydelse för rikets säkerhet eller särskilt behöver skyddas mot terrorism. Säkerhetsskyddet ska förebygga att uppgifter som omfattas av sekretess och som rör rikets säkerhet obehörigen röjs, ändras eller förstörs (informationssäkerhet), att obehöriga får tillträde till platser där de kan få tillgång till sådana uppgifter eller där verksamhet som har betydelse för rikets säkerhet bedrivs (tillträdesbegränsning) samt att personer som inte är pålitliga från säkerhetssynpunkt deltar i verksamhet som har betydelse för rikets säkerhet (säkerhetsprövning). Säkerhetsskyddet ska även i övrigt förebygga terrorism.

Säkerhetsskyddslagen innehåller också bestämmelser om skyldighet att i vissa fall teckna säkerhetsskyddsavtal vid anlitande av leverantörer samt om utbildning, kontroll och tillsyn. Närmare bestämmelser om säkerhetsskydd finns i den till lagen hörande säkerhetsskyddsförordningen.

Närliggande reglering

Av betydelse för säkerhetsskyddet är bl.a. reglering avseende luftfartsskydd, hamnskydd och sjöfartsskydd, reglering om kärnteknisk verksamhet och strålskydd, skydd för landskapsinformation och reglering avseende samhällsskydd och beredskap. Vidare finns ett nära

samband mellan säkerhetsskyddslagstiftningen och reglerna om upphandling på försvars- och säkerhetsområdet.

Folkrättsliga förpliktelser avseende säkerhetsskydd

Sveriges internationella säkerhetsskyddsåtaganden har ökat markant, bl.a. när det gäller generella säkerhetsskyddsöverenskommelser med andra stater och mellanfolkliga organisationer.

Syftet med en generell säkerhetsskyddsöverenskommelse är att två eller flera länder (eller mellanfolkliga organisationer) på ett säkert sätt ska kunna utbyta uppgifter som berör nationell säkerhet.

Av internationella åtaganden följer att det ska finnas ett utpekat organ som har ett nationellt ansvar för säkerhetsskyddsfrågor och som är kontaktorganisation i internationella säkerhetsskyddsärenden.

Myndigheter med uppgifter enligt säkerhetsskyddslagstiftningen

Säkerhetspolisen och Försvarsmakten har ett särskilt ansvar för säkerhetsskyddet, bl.a. genom att myndigheterna har det huvudsakliga ansvaret för tillsyn och tillämpningsföreskrifter. Därutöver har bl.a. Affärsverket svenska kraftnät, Post- och telestyrelsen och Transportstyrelsen fått ansvar för att i fråga om vissa enskilda verksamheter besluta om placering i säkerhetsklass och registerkontroll samt kontrollera säkerhetsskyddet.

Säkerhets- och integritetsskyddsnämnden prövar om uppgifter som kommer fram vid registerkontroll ska lämnas ut för säkerhetsprövning.

Försvarets materielverk får under vissa omständigheter ingå avtal om säkerhetsskydd med företag, om det behövs för att företaget ska kunna delta i internationella uppdrag.

Internationell utblick

Vi har studerat regelverken i Danmark, Finland, Nederländerna, Norge och Tjeckien.

Hot och förändringsfaktorer

Begreppet rikets säkerhet har kommit att förknippas med framför allt militära förhållanden. Samtidigt har utvecklingen gått mot att andra för samhället viktiga verksamheter fått en allt större betydelse från säkerhetsskyddssynpunkt. Främmande staters underrättelseverksamhet har breddats mot forskning och utveckling inom civila områden samt mot politiska frågor och information som rör samhällsviktiga system. Elektroniska angrepp betraktas som ett av de allvarligare hoten. Samtidigt kvarstår underrättelsehotet mot militära förhållanden och mot information av betydelse för försvaret av Sverige. Den ökade koncentrationen till ett fåtal företag som tillhandahåller tjänster till myndigheter särskilt på itområdet och som därmed får tillgång till stora mängder information kan medföra en ökad sårbarhet.

Våra överväganden

Utgångspunkter för en reformerad säkerhetsskyddslagstiftning

En reformerad säkerhetsskyddslagstiftning bör i vissa delar bygga på tidigare reglering. Vi anser att syftet med lagstiftningen ska vara att säkerställa ett tillräckligt skydd för det som är mest skyddsvärt för nationen, att den ska vara verksamhetsorienterad, att den ska ge ett förebyggande skydd mot i huvudsak antagonistiska hot, att den ska omfatta samverkande säkerhetsskyddsåtgärder för information, personer och verksamhet, samt att den nuvarande organisatoriska indelningen avseende bl.a. verkställighetsföreskrifter och tillsyn bör finnas kvar.

Säkerhetsskyddslagen behöver dock utvecklas när det gäller Sveriges internationella åtaganden på säkerhetsskyddsområdet och informationssäkerhetsperspektiven tillgänglighet och riktighet. Vidare behöver lagen förtydligas avseende att den ska tillämpas i såväl allmän som enskild verksamhet. Det innebär att våra överväganden inriktas på att klargöra lagens skyddsintressen och dess tillämpningsområde. Sammantaget medför det behov av en justerad beskrivning av lagens syfte och av en delvis förändrad systematik.

Lagens syfte

Den nuvarande lagen är uppbyggd utifrån begreppen rikets säkerhet och skydd mot terrorism. Vi har sett behov av att ompröva också den delen av lagstiftningen. En utgångspunkt har varit att skydd mot terrorism, som snarare hör till frågan mot vad behövs ett skydd, inte bör ingå i en beskrivning av vad som ska skyddas.

Rikets säkerhet är en för säkerhetsskyddet lämplig avgränsning. Vi delar den uppfattning om innebörden av begreppet som regeringen gett uttryck för vid översynen av spioneribestämmelsen, nämligen att skyddsvärda verksamheter kan finnas inom fler samhällsområden än tidigare.

Vi delar också uppfattningen att Sveriges säkerhet är en lämpligare benämning. Vi har övervägt om tillämpningsområdet kan göras tydligare genom någon form av komplettande skrivning, t.ex. en exemplifiering av olika slag av civila och militära verksamheter eller genom en hänvisning till övriga vitala säkerhetsintressen. Sådana lösningar kan dock riskera att få en motsatt effekt än den avsedda. Vi har därför stannat vid att det skyddsvärda området ska beskrivas som verksamhet av betydelse för Sveriges säkerhet.

Sverige har ingått överenskommelser om säkerhetsskydd med andra stater och mellanfolkliga organisationer. Det är därför viktigt med en större tydlighet om de krav på säkerhetsskydd som sådana åtaganden innebär. Vi föreslår därför att säkerhetsskyddslagens tillämpningsområde ska omfatta även verksamhet som avses i ett för Sverige förpliktande åtagande om säkerhetsskydd (internationellt säkerhetsskyddsåtagande).

Som en samlande benämning för dessa huvudkomponenter i säkerhetsskyddslagen föreslår vi säkerhetskänslig verksamhet. Innebörden av detta för lagen centrala begrepp är således verksamhet av betydelse för Sveriges säkerhet samt verksamhet som omfattas av ett internationellt säkerhetsskyddsåtagande.

I fråga om vad lagen ska skydda mot har vi gjort bedömningen att det är bra med en fortsatt tydlighet om att säkerhetsskydd främst handlar om skydd mot antagonistiska hot bl.a. spioneri, sabotage och terroristbrott.

Det skydd som avser annat obehörigt röjande, ändrande, otillgängliggörande eller förstörande av uppgifter som är säkerhetskänsliga bör även i fortsättningen komma till uttryck i

bestämmelsen om vad säkerhetsskyddslagen ska skydda mot. Vi föreslår att det skyddet ska omfatta också uppgifter som ska skyddas enligt internationella säkerhetsskyddsåtaganden.

Säkerhetskänslig verksamhet – två huvudsakliga inriktningar

I dag utgår säkerhetsskyddslagen från att behov av säkerhetsskydd främst handlar om skydd av hemliga uppgifter. Kopplingen till offentlighets- och sekretesslagen kan ge intryck av att säkerhetsskydd främst är en angelägenhet för myndigheter och andra offentliga organ för vilka den lagen är tillämplig. Därutöver handlar det om ett säkerhetsskydd med inriktning att skydda mot terrorism för flygplatser och byggnader, anläggningar m.m. som enligt skyddslagen är skyddsobjekt. Sådana avgränsningar är i dag för snäva och medför eller riskerar att medföra att t.ex. verksamheter som är av betydelse för att upprätthålla grundläggande samhällsfunktioner faller utanför tillämpningsområdet. Ett första steg är en ändrad systematik som bl.a. tydligare innefattar sådan säkerhetskänslig verksamhet som bedrivs hos enskilda. Vi föreslår att beskrivningen av säkerhetsskyddet ska utgå från två huvudsakliga inriktningar.

Säkerhetsskyddet ska inriktas mot verksamhet som innebär hantering av säkerhetsskyddsklassificerade uppgifter. Det ska innefatta skydd av uppgifter som är av betydelse för Sveriges säkerhet eller som ska skyddas enligt ett internationellt säkerhetsskyddsåtagande och som till sin natur är sådana uppgifter som avses i bestämmelser om sekretess. Det innebär således en vidare ram än enligt den nuvarande lagen som utgår från begreppet hemliga uppgifter.

Därutöver ska säkerhetsskyddet inriktas mot verksamheter som av annan anledning behöver ett säkerhetsskydd (i övrigt säkerhetskänslig verksamhet). Det motsvarar delvis vad som i dag skyddas inom ramen för skydd mot terrorism, dvs. i huvudsak verksamhet vid skyddsobjekt, flygplatser och vissa verksamheter som ska skyddas enligt folkrättsliga åtaganden om luftfartsskydd, hamnskydd och sjöfartsskydd. Det skyddsvärda området bör inte avgränsas genom regleringen om skyddsobjekt, utan ska utformas så att det även kan innefatta annan säkerhetskänslig verksamhet, t.ex. hantering av it-system eller sammanställningar av uppgifter som är

av central betydelse för ett fungerande samhälle eller verksamhet som behöver skyddas på den grunden att den kan utnyttjas för att skada nationen, t.ex. vissa verksamheter inom det kärntekniska området.

Vad ska skyddas – säkerhetsskyddsanalys

Svaret på frågan vilka tillgångar och funktioner i verksamheter som behöver säkerhetsskydd varierar över tid och kommer därför att behöva omprövas kontinuerligt. Frågan måste bl.a. därför besvaras på verksamhetsnivå.

Säkerhetsskyddsanalysens centrala funktion för säkerhetsskyddet behöver bl.a. därför lyftas fram. En bestämmelse om att den som är ansvarig för säkerhetskänslig verksamhet ska se till att behovet av säkerhetsskydd för den egna verksamheten utreds bör därför tas in i lagen.

Genom säkerhetsskyddsanalysen ska säkerhetsskyddsklassificerade uppgifter och vad som i övrigt behöver ett säkerhetsskydd identifieras samt säkerhetshot och potentiella konsekvenser, sårbarheter och behovet av säkerhetsskyddsåtgärder bedömas. Analysen ska ligga till grund för planeringen av verksamhetens säkerhetsskydd.

I det bredare arbetet med att stärka skyddet av samhällsviktig verksamhet och kritisk infrastruktur utförs risk- och sårbarhetsanalyser. Säkerhetsskyddsanalysen bör så långt som möjligt samordnas med sådana analyser.

Ett tydligare verksamhetsansvar

Vi föreslår att regleringen av för vilka verksamheter lagen gäller förenklas. Vi ser inget behov av någon uppdelning mellan företagsformer över vilket det allmänna har ett rättsligt bestämmande inflytande och företagsformer där ett sådant inflytande inte finns. Lagen ska därför gälla för verksamhet hos staten, kommuner, landsting och enskilda som är av betydelse för Sveriges säkerhet eller omfattas av ett internationellt säkerhetsskyddsåtagande (säkerhetskänslig verksamhet).

I dag finns inte i säkerhetsskyddslagen någon bestämmelse som sammanfattar vad som är följden av att lagen är tillämplig. Vi före-

slår därför att det i lagen uttrycks att den som ansvarar för en säkerhetskänslig verksamhet ska utreda behovet av säkerhetsskydd, se till att säkerhetsskyddsåtgärder vidtas, kontrollera att bestämmelserna om säkerhetsskydd följs samt lämna uppgifter som följer av viss angiven rapporteringsskyldighet till utsedda tillsynsmyndigheter.

Ett system av samverkande säkerhetsskyddsåtgärder

Samverkande säkerhetsskyddsåtgärder

Vi anser att indelningen i tre säkerhetsskyddsåtgärder ska bestå i en ny lag. De tre säkerhetsskyddsåtgärderna, som bör benämnas informationssäkerhet, fysisk säkerhet och personalsäkerhet, samverkar och utgör ett sammanhållet system för skydd av säkerhetskänslig verksamhet. Säkerhetsskyddsåtgärderna kan kombineras på olika sätt för att optimera skyddseffekten. Ett sådant synsätt leder till ett balanserat och kostnadseffektivt säkerhetsskydd. Grunden för vilka säkerhetsskyddsåtgärder som ska vidtas läggs i säkerhetsskyddsanalysen, och dessa åtgärder ska sedan konkretiseras i en säkerhetsskyddsplan.

Säkerhetsskyddsklassificerade uppgifter

Säkerhetsskyddsklassificerade uppgifter ska delas in i fyra informationssäkerhetsklasser efter den skada som kan uppstå om uppgifterna röjs. De fyra klasserna ska benämnas kvalificerat hemlig, hemlig, konfidentiell och begränsad. Indelningen i informationssäkerhetsklasser är grunden för utformningen av den del av säkerhetsskyddsåtgärderna informationssäkerhet, fysisk säkerhet och personalsäkerhet som tar sikte på skyddet av säkerhetsskyddsklassificerade uppgifter.

En bestämmelse om indelning av säkerhetsskyddsklassificerade uppgifter ska finnas i säkerhetsskyddslagen eftersom denna indelning är av central betydelse för hur säkerhetsskyddet ska utformas.

Informationssäkerhet

Enligt vårt förslag ska säkerhetsskyddsåtgärden informationssäkerhet vara uppdelad i två moment. Det första tar sikte på skyddet av säkerhetsskyddsklassificerade uppgifter för att förebygga att uppgifterna röjs, ändras, görs otillgängliga eller förstörs. I informationssäkerhetssammanhang brukar man tala om skydd för konfidentialitet, riktighet och tillgänglighet.

I det andra momentet är inriktningen att åtgärderna ska förebygga skadlig inverkan på informationstillgångar som annars är av betydelse för säkerhetskänslig verksamhet. I detta fall är det därför enbart riktighets- och tillgänglighetshänsyn som gör sig gällande. Med informationstillgångar avses information och informationssystem i vid bemärkelse, dvs. uppgifter, handlingar och tekniska system som används för att i olika avseenden elektroniskt kommunicera och i övrigt behandla uppgifter.

Informationssäkerhet innebär åtgärder av olika slag för att skydda information som är av betydelse för säkerhetskänslig verksamhet. Sådan information förekommer i olika miljöer och verksamheter och hanteras och används på flera olika sätt. Därför måste säkerhetsskyddsåtgärderna anpassas till de skiftande förutsättningarna. Uppgifternas form saknar i sammanhanget betydelse, och åtgärderna måste avse uppgifterna som sådana dvs. såväl uppgifter på papper som elektroniskt lagrade och kommunicerade uppgifter samt uppgifter som kan läsas ut ur t.ex. bilder eller materiel.

Fysisk säkerhet

Enligt vårt förslag ska fysisk säkerhet innefatta sådana säkerhetsskyddsåtgärder som ska förebygga dels att obehöriga får tillträde till områden, byggnader, andra anläggningar eller objekt där de kan få tillgång till säkerhetsskyddsklassificerade uppgifter eller där i övrigt säkerhetskänslig verksamhet bedrivs, dels skadlig inverkan på sådana områden, byggnader, anläggningar eller objekt. Den nya benämningen svarar bättre mot åtgärderna än den nuvarande benämningen tillträdesbegränsning.

Personalsäkerhet

Syftet med personalsäkerhet

Vi föreslår att syftet med säkerhetsskyddsåtgärden personalsäkerhet ska anges vara dels att förebygga att personer som inte är pålitliga från säkerhetssynpunkt deltar i en verksamhet där de kan få tillgång till säkerhetsskyddsklassificerade uppgifter eller i en verksamhet som av annan anledning är säkerhetskänslig (säkerhetsprövning), dels att säkerställa att de som deltar i säkerhetskänslig verksamhet har en tillräcklig kunskap om säkerhetsskydd (utbildning i säkerhetsskydd).

En övergång till säkerhetsklarering?

Enligt direktiven ska vi överväga en förändring av nuvarande säkerhetsprövning mot ett system med inslag av säkerhetsklarering. Redovisningen i direktiven utgår i det avseendet från de förändringar som samarbetet med andra länder och mellanfolkliga organisationer påkallar.

Erfarenheter som kan dras utifrån den internationella utblicken visar att i fråga om klarering likheterna med den svenska modellen är större än olikheterna. Det handlar överlag mer om formella skillnader än om skillnader i sak. Systemen för klarering i de länder vi har studerat skiljer sig dessutom sinsemellan åt i flera avseenden.

Vid en jämförelse med den svenska säkerhetsprövningen är vårt intryck att underlagen i klareringsmodellerna i högre grad är mer summariska och inte sällan bygger på enbart uppgifter om tidigare brottslighet. Som vi ser det innebär vidare en ordning med ett klareringsförfarande ett avsteg från den viktiga principen om ett verksamhetsanpassat säkerhetsskydd. Att prövningen ska anpassas till den specifika befattningen är angeläget inte enbart utifrån behovet av ett för den ifrågavarande verksamheten väl anpassat säkerhetsskydd utan också för den som prövningen avser.

Sammantaget har det inte för skyddet av verksamhet som har betydelse för Sveriges säkerhet kommit fram några påtagliga behov av ett intygsförfarande. Behoven hör i stället samman med utlandstjänstgöring och liknande. Det finns mervärden i nuvarande system

som i viss utsträckning kan behöva förstärkas men som i stället kan riskera att försvagas vid en övergång till ett klareringssystem.

För att tillgodose krav som följer av internationella säkerhetsskyddsåtaganden behöver grunderna för och underlaget vid säkerhetsprövningen ansluta till det sätt att klassificera information i en fyrgradig skala som vi har föreslagit. En sådan anpassning kan åstadkommas genom en justering av grunderna för placering av anställningar i säkerhetsklass. Det finns vidare behov av en reglering som tydligt ger stöd för att utfärda internationellt sett inom säkerhetsskyddsområdet accepterade intyg. Sådana förändringar kan genomföras också inom ramen för nuvarande system för säkerhetsprövning (se vidare nedan under rubriken Internationell samverkan).

Vi har alltså kommit fram till att säkerhetsprövningen inte bör utvecklas mot ett s.k. klareringssystem. En sådan förändring behövs inte för att kunna uppfylla krav som följer av internationella säkerhetsskyddsåtaganden och är inte heller av annan anledning att föredra.

Säkerhetsprövning

Vad som ska bedömas inom ramen för säkerhetsprövningen är liksom i dag pålitlighet och lojalitet. Av förarbeten till gällande säkerhetsskyddslag framgår att det innebär ett behov av att utreda och ta ställning till om t.ex. missbruk av olika slag eller förbindelser med andra länder innebär att den kontrollerade kan löpa en särskild risk att utsättas för påtryckningar. Det kan innebära att det är nödvändigt att ställa frågor om personliga förhållanden som kan vara känsliga för den som kontrollen avser. Vi föreslår att det i lagtexten tydligt anges att säkerhetsprövningen innebär att omständigheter som kan antas innebära sårbarheter i säkerhetshänseende ska beaktas.

Säkerhetsskyddslagens bestämmelser om säkerhetsprövning bör i stora delar föras över till en reformerad säkerhetsskyddslag. I vissa avseenden har vi sett behov av förtydliganden. Vårt förslag innebär att det också av lagen tydligare framgår att prövningen förutsätter en grundutredning som, i den utsträckning som följer av bestämmelserna om placering i säkerhetsklass, ska kompletteras med

registerkontroll och särskild personutredning. Med grundutredning avses således bl.a. intervju eller annan form av uppgiftsinhämtning.

Vidare föreslår vi att det av lagtexten tydligt ska framgå att säkerhetsprövningen innebär krav på uppföljning under hela den tid deltagandet i den säkerhetskänsliga verksamheten pågår.

Placering i säkerhetsklass

Bestämmelserna om placering av anställningar i säkerhetsklass anpassas till förslaget om en övergång från skydd av hemliga uppgifter till skydd av säkerhetsskyddsklassificerade uppgifter och till förslaget om att skyddsnivån för sådana uppgifter ska bestämmas av uppgiftens informationssäkerhetsklass.

Att den berörde får del av säkerhetsskyddsklassificerade uppgifter som klassificerats som kvalificerat hemliga, hemliga eller konfidentiella ska styra placeringen i säkerhetsklass. Om uppgifter på en högre skyddsnivå förekommer endast i mindre omfattning, ska dock anställningen placeras i nästa lägre klass.

Bestämmelserna om placering i säkerhetsklass utvidgas till att omfatta även anställningar i verksamhet som, även om den inte innebär hantering av säkerhetsskyddsklassificerade uppgifter, är säkerhetskänslig (i övrigt säkerhetskänslig verksamhet). Den nya grunden för placering i säkerhetsklass innebär att den registerkontroll som i dag görs med stöd av 14 § säkerhetsskyddslagen (skydd mot terrorism) inordnas i systemet med säkerhetsklassplaceringar.

Att den anställde till följd av sitt deltagande i verksamheten har möjlighet att orsaka synnerligen allvarlig skada, allvarlig skada eller en inte obetydlig skada för Sveriges säkerhet ska styra placeringen i säkerhetsklass.

Medborgarskapskravet tas bort

Vi har kommit fram till att svenskt medborgarskap inte ska vara ett behörighetsgrundande krav för att inneha en säkerhetsklassad anställning hos staten, kommuner eller landsting och att det kravet således inte ska föras över till en reformerad säkerhetsskyddslag. Det innebär dock inte att avsaknaden av svenskt medborgarskap är

utan betydelse. Den omständigheten att en person saknar svenskt medborgarskap får i stället, på samma sätt som t.ex. innehav av annat medborgarskap jämte ett svenskt, närmare utredas och vägas in vid säkerhetsprövningen.

Ett uttryckligt krav på restriktivitet vid placering i säkerhetsklass

Ett krav på restriktiv tillämpning i fråga om placering av anställningar i säkerhetsklass ska införas i säkerhetsskyddslagen. Av en sådan bestämmelse ska framgå att den som beslutar om placering av en anställning i säkerhetsklass ska noga pröva behovet och att sådan placering får göras endast om skyddsbehovet inte kan tillgodoses på något annat sätt.

Utlämnande av uppgifter som kommit fram vid registerkontroll

Den nuvarande ordningen där uppgifter efter registerkontroll får lämnas ut endast efter en relevansprövning av Säkerhets- och integritetsskyddsnämnden bör inte ändras.

Vem ska besluta om placering i säkerhetsklass?

Behörigheten att besluta om placering av anställningar i säkerhetsklass ska bygga på nuvarande beslutsordning där regeringen, med undantag för riksdagens förvaltningsområde, ytterst har beslutanderätten men kan överlåta den till myndigheter, kommuner och landsting och, om det finns särskilda skäl, vissa företag.

I huvudsak ska endast den som beslutar om placering i säkerhetsklass ha behörighet att från Säkerhetspolisen få uppgifter vid registerkontroll.

Ansvaret för säkerhetsprövningen

Den verksamhet som avser att anställa någon eller på annat sätt låta någon delta i säkerhetskänslig verksamhet ansvarar för säkerhetsprövningen och avgör självständigt om personen är lämplig från säkerhetssynpunkt. En delvis avvikande ordning gäller på vissa

områden bl.a. i fråga om verksamhet som omfattas av krav på luftfartsskydd och för leverantörer där villkoren för säkerhetsskyddet bestäms i ett säkerhetsskyddsavtal.

Skyddet för uppgifter om enskildas personliga förhållanden

Säkerhetsprövningen kan innebära att för den enskilde synnerligen känsliga uppgifter hämtas in av den presumtive arbetsgivaren eller den som annars ska göra säkerhetsprövningen. Det är därför viktigt att det finns ett skydd för att uppgifterna inte används för annat ändamål än det avsedda. Vår bedömning är att skyddet i dag inte i alla avseenden är tillräckligt. Vi föreslår därför en ändring i offentlighets- och sekretesslagen och en, i fråga om enskild verksamhet, kompletterade tystnadspliktsbestämmelse i säkerhetsskyddslagen.

Säkerhetsskyddad upphandling

Säkerhetsskyddad upphandling med säkerhetsskyddsavtal bör behållas i en ny lagstiftning. Bestämmelserna om säkerhetsskyddad upphandling och säkerhetsskyddsavtal ska gälla för upphandlingar eller ingående av kontrakt där det förekommer information i informationssäkerhetsklassen konfidentiell eller däröver, eller som i övrigt avser säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet. Skälet till det är att kraven på att säkerhetsskyddad upphandling genomförs ska korrespondera mot andra krav på säkerhetsskydd.

I säkerhetsskyddsavtalen ska villkor anges för hur krav på säkerhetsskydd ska tillgodoses av leverantören.

Även fortsättningsvis bör säkerhetsskyddsavtal ingås av staten, kommuner och landsting, men vi anser att andra som har behov av sådana avtal bör kunna begära detta hos en myndighet som regeringen bestämmer, i första hand en säkerhetsskyddsstödjande myndighet. Om det finns särskilda skäl, bör en enskild kunna ingå säkerhetsskyddsavtal.

Internationell samverkan

Vi föreslår att Försvarsmakten får i uppgift att vara nationell säkerhetsmyndighet. Försvarsmakten ska dock, i fråga om andra ärenden än sådana som rör registerkontroll och säkerhetsintyg för person, till Säkerhetspolisen lämna över ärenden som främst rör Säkerhetspolisens tillsynsområde. Vi föreslår också att Försvarets materielverk får i uppgift att vara nationell industrisäkerhetsmyndighet. Försvarsmakten och Försvarets materielverk bör ges rätt att utfärda föreskrifter för respektive ansvarsområden.

Säkerhetsintyg för person får utfärdas om behov av sådant intyg finns vid internationell samverkan avseende säkerhetskänslig verksamhet, eller om intyget kan underlätta för en person som har hemvist i Sverige att delta i en verksamhet som en annan stat eller en mellanfolklig organisation bedömer vara i behov av säkerhetsskydd.

Säkerhetsintyg för leverantör får utfärdas om behov av sådant intyg finns vid internationell samverkan avseende säkerhetskänslig verksamhet, eller om intyget kan underlätta för en leverantör som har sitt säte i Sverige att delta i en verksamhet som en annan stat eller en mellanfolklig organisation bedömer vara i behov av säkerhetsskydd.

Gemensamt för båda slagen av intyg är att dessa i princip får utfärdas endast om deltagandet avser verksamhet i eller för en stat eller mellanfolklig organisation som omfattas av ett internationellt säkerhetsskyddsåtagande.

Tillsyn, föreskrifter och rapportering

Det finns brister som i vissa fall är allvarliga vad gäller att uppfylla säkerhetsskyddslagens bestämmelser och intentioner. I några avseenden beror det på förhållanden som inte går att påverka genom en reformerad säkerhetsskyddslagstiftning. Vad i övrigt gäller bristerna i säkerhetsskyddet är det vår bedömning att de i en relativt stor utsträckning kan relateras till otydlig lagstiftning och bristfällig kunskap om hur lagstiftningens krav påverkar och kan tillgodoses i den egna verksamheten. Tillsyn kan endast i begränsad omfattning påverka sådana brister.

Vår bedömning är att tillsynen bör bedrivas under i huvudsak samma former som i dag. Behovet av råd och stöd är framträdande särskilt i fråga om enskilda som bedriver säkerhetskänslig verksamhet. Tillräckliga skäl föreligger för närvarande inte att föreslå en så genomgripande förändring av tillsynens inriktning och genomförande som sanktioner skulle medföra. Frågan bör dock följas upp när en reformerad säkerhetsskyddslag har varit i kraft en tid.

I fråga om organisationen av tillsynen föreslår vi bl.a. ett förenklat samrådsförfarande för de inblandade myndigheterna. Säkerhetspolisen och Försvarsmakten som har det huvudsakliga ansvaret för tillsynen av säkerhetsskyddet kan då också arbeta mer effektivt med tillsynen. Vi föreslår också att Myndigheten för samhällsskydd och beredskap tar över det tillsynsansvar som länsstyrelserna har gentemot vissa enskilda verksamheter samt även Säkerhetspolisens tillsynsansvar för kommuner och landsting.

Rätten att meddela föreskrifter bör i huvudsak vara densamma som i nuvarande säkerhetsskyddslagstiftning. Det innebär att föreskriftsrätten fördelas främst mellan Säkerhetspolisen och Försvarsmakten.

I fråga om rapportering föreslår vi bl.a. att myndigheter och andra som säkerhetsskyddslagstiftningen gäller för och som får kännedom om säkerhetshotande verksamhet av allvarlig karaktär eller misstänker sådan verksamhet ska vara skyldiga att rapportera förhållandet till Säkerhetspolisen eller Försvarsmakten. Det kan t.ex. vara fråga om incidenter där angreppen är av kvalificerad art eller tyder på en systematisk och målinriktad strategi från en aktör. Vidare torde angrepp som samtidigt riktas mot flera verksamheter ofta vara allvarliga.

Övriga frågor

Tystnadsplikt för den som deltar i säkerhetskänslig verksamhet

Det behövs sekretesskydd för uppgifter som är av betydelse för Sveriges säkerhet när sådana uppgifter förekommer i enskild verksamhet. Vi föreslår att en tystnadspliktsbestämmelse införs i säkerhetsskyddslagen. Tystnadsplikten ska gälla också förhållanden som omfattas av ett för Sverige förpliktande åtagande om säkerhetsskydd. En förutsättning för tystnadsplikten ska vara att anställningen eller deltagandet placeras i säkerhetsklass.

Säkerhetsskyddet i riksdagen och Regeringskansliet

Riksdagen och dess myndigheter och Regeringskansliet omfattas i en begränsad utsträckning av säkerhetsskyddslagstiftningen. Den ordningen ska i sak föras över till en reformerad säkerhetsskyddslag. Den föreslagna bestämmelsen om krav på informationssäkerhetsklassificering kommer att vara central för bl.a. bestämmelser om placering av anställda i säkerhetsklass. Vi föreslår därför att även den bestämmelsen ska gälla för de nämnda organen.

Summary

Proposals

We propose that the Protective Security Act be replaced by a new act. The new act should also be called the Protective Security Act. The new act should correspond to the changed requirements concerning protective security, including developments in the area of information technology, increased international cooperation, the increased vulnerability of vital public services and the fact that security-sensitive activities are increasingly being conducted by private actors.

A broader approach for the new act means highlighting the availability and integrity aspects of information and IT systems. In this way, the scope of application will be broadened to provide protection for information assets in vital public activities that do not need protection from a confidentiality perspective.

The new act will grant nuanced protective security based on four information security classifications conforming to an international model. The information security classifications influence the design of the protective security areas: information security, physical security and personnel security. Protective security analysis will play a key role and lead to conclusions on how protective security in an organisation should be designed. The meaning of organisations bearing responsibility for the protective security will also become clarified.

The act should be clearer than it currently is in providing support for international protective security measures and international cooperation, by introducing, for example, the possibility of issuing security certificates for individuals and contractors.

Remit

One of the main purposes of the remit is to modernise regulations and better adapt them to the requirements for the protection of activities that are important for Sweden’s security and to the requirements resulting from international cooperation.

Background

Current regulations

To the extent required, there must be protective security for the activities of central government, the municipalities and the county councils, for legal persons over which central government, the municipalities and county councils have a legally decisive influence, and for private actors, if their activities are important for the security of the realm or need special protection against terrorism. The aim of protective security is to prevent classified information concerning the security of the realm from being improperly disclosed, amended or destroyed (information security), to prevent unauthorised persons from gaining admission to places where they may have access to such information or where activities are undertaken that are important for the security of the realm (access restrictions), and to prevent persons who are not reliable from a security perspective from taking part in activities that are important for the security of the realm (security investigation). Protective security is also intended to prevent terrorism in other ways.

The Protective Security Act also contains provisions on the obligation in some cases to enter into classified contracts when engaging contractors, and on training, checks and supervision. More detailed provisions on protective security are contained in the act associated with the Protective Security Ordinance.

Related regulations

Regulations concerning aviation security, port security and maritime security, regulations on nuclear technology activities and radiation protection, protection of geographic information and regulations concerning civil contingencies are all relevant to protective security. Moreover, there is a close link between protective security legislation and the rules on procurement in the area of defence and security.

International law obligations concerning protective security

Sweden’s international protective security commitments have increased significantly in terms of general security agreements agreed with other states and international organisations.

The purpose of a general security agreement is for two or more countries (or international organisations) to be able to exchange information concerning national security in a secure manner.

It follows from international commitments that there must be a designated body that has national responsibility for protective security issues and is the contact organisation in international protective security matters (National Security Authority).

Government agencies with responsibilities under the protective security legislation

The Swedish Security Service and the Swedish Armed Forces have particular responsibility for protective security, being the agencies with the main responsibility for supervision and application regulations. In addition, Affärsverket svenska kraftnät (the Swedish national grid), the Swedish Post and Telecom Authority and the Swedish Transport Agency have been given responsibility – in matters concerning certain private organisations – for making decisions on individuals’ security classifications and record checks, and for monitoring protective security.

The Swedish Commission on Security and Integrity Protection checks whether information emerging from record checks should be disclosed for security investigations.

The Defence Materiel Administration may under certain circumstances enter into protective security contracts with companies if this is necessary for the company to be able to take part in international assignments.

International survey

We have studied the regulatory frameworks in the Czech Republic, Denmark, Finland, the Netherlands and Norway.

Threats and change factors

The term ‘security of the realm’ has come to be associated mainly with military defence. At the same time, the trend has shifted towards other activities that are important to society becoming increasingly significant from a protective security perspective. The intelligence activities of foreign states have broadened to encompass research and development in civilian areas, and political issues and information concerning vital public systems. Electronic attacks are considered to be one of the most serious threats. However, the intelligence threat to military defence and to information that is important for Sweden’s defence remains. The increased confinement to a small number of companies that provide government agencies with services – particularly in the area of IT – and that thus have access to large amounts of information may lead to greater vulnerability.

Our deliberations

Starting points for reformed protective security legislation

Reformed protective security legislation should in certain regards be based on earlier regulations. We consider that the purpose of the legislation is to ensure that there is sufficient protection for that which is most worthy of protection for the nation; that it should be activity-oriented; that it should provide preventive protection, primarily against antagonistic threats; that it should cover combined protective security measures for information, persons

and activities; and also that the current organisational division regarding implementation regulations and supervision should remain in place.

However, the Protective Security Act needs to be developed in terms of Sweden’s international commitments in the area of protective security and the information security perspectives of availability and integrity. Moreover, there needs to be greater clarification about the act being applicable to both public and private activities. This means that our deliberations have focused on clarifying the act’s protective interests and scope of application. All of this combined means that there is a need to revise the description of the purpose of the act and partly amend the classifications.

Purpose of the act

The current act is based on the terms ‘security of the realm’ and ‘protection against terrorism’. We have identified a need to review this part of the legislation as well. One basic point was that protection against terrorism – which is more a matter of what we need protection against – should not be included in a description of what it is that needs protection.

The security of the realm is an appropriate definition for protective security. We share the view of the meaning of the term expressed by the Government in its review of the provision on espionage, i.e. that activities worthy of protection may be conducted in more areas of society than was previously the case.

We also share the view that Sweden’s security is a more appropriate term. We have considered whether the scope of application can be made clearer through some form of supplementary text, providing examples of various kinds of civilian and military activities, for example, or through a reference to other vital security interests. However, such solutions can risk having the opposite effect to the desired one. We have therefore concluded that the area worthy of protection should be described as activities of importance for Sweden’s security.

There are protective security commitments that Sweden is bound by in relation to other states and international organisations.

It is therefore important to have greater clarity concerning the protective security requirements that follow from such commitments. We therefore propose that the scope of application of the Protective Security Act should also cover activities included in a protective security commitment that is binding for Sweden (international security commitment).

We propose the term ‘security-sensitive activities’ as an umbrella term for these main components of the Protective Security Act. The meaning of this term, which is central to the act, is therefore activities of importance for Sweden’s security and activities included in an international protective security commitment.

When it comes to what the act should protect against, we consider that it is good to have continued clarity over the fact that protective security is primarily a matter of protection against antagonistic threats, including espionage, sabotage and terrorist offences.

The protection that covers other unauthorised disclosure, amendment, blocking or destruction of security-sensitive information should continue to be reflected in the provision on what the Protective Security Act is to protect against. We propose that this protection also cover information that is to be protected under international protective security commitments.

Security-sensitive activities – two main focuses

The Protective Security Act is currently based on the idea that protective security needs are primarily about protecting secret information. The link to the Public Access to Information and Secrecy Act may give the impression that protective security is primarily a matter for government agencies and other public bodies to which the act is applicable. Furthermore, this protective security focuses on protection against terrorism for airports and buildings, facilities, etc. that have protected status under the Protective Security Act. Such definitions are now too narrow and result in – or risk resulting in – activities that are important for upholding fundamental public services falling outside the scope of application. A first step is to amend the classifications so that they more clearly encompass the kind of security-sensitive activities carried out by

private actors. We propose that the description of protective security take its cue from two main focuses.

Protective security should focus on activities that involve the handling of classified information. This should encompass the protection of information that is of importance for Sweden’s security or that should be protected under an international protective security commitment, and that is information of the kind covered by provisions on secrecy. This therefore means a wider framework than the current act, which is based on the term ‘secret information’.

In addition, protective security should focus on activities that need protective security for some other reason (other securitysensitive activities). This corresponds in part to that which is currently protected within the framework of protection against terrorism, i.e. essentially activities conducted at facilities with protected status, airports and certain activities that must be protected under international law commitments on aviation security, port security and maritime security. The area worthy of protection should not be demarcated through regulations on facilities with protected status; rather, it should be defined in such a way that it can also include other security-sensitive activities, such as the handling of IT systems or the compilation of information that is of vital importance to a functioning society, or activities that need to be protected on the grounds that they could be exploited to harm the nation, e.g. certain activities within the area of nuclear technology.

What should be protected – protective security analysis

The answer to the question of what assets and functions in organisations need protective security varies over time and will therefore need to be reviewed continuously. For this reason, and others, the question should be addressed at organisation level.

This is one reason why there is a need to highlight the key role of protective security analysis in protective security. A provision should therefore be included in the act whereby any person responsible for security-sensitive activities is to ensure that the

need for protective security in their own organisation is investigated.

Protective secuirty analysis is to enable the identification of classified information and anything else that needs protective security, and the assessment of security threats and potential consequences, vulnerability and the need for protective security measures. This analysis should form the basis of plans for protective security for that particular organisation.

In broader efforts to strengthen the protection of activities vital to society and critical infrastructure, risk and vulnerability analyses are conducted. Protective security analysis should, as far as possible, be coordinated with such analyses.

Clearer responsibility for organisations

We propose the simplification of the regulations on which activities the law should apply to. We do not consider there to be a need for any distinction between company forms over which the public sector has a legally decisive influence and company forms over which there is no such influence. The act should therefore apply to the activities of central government, municipalities, county councils and private actors that are of importance for Sweden’s security or are covered by an international protective security commitment (security-sensitive activity).

The current Protective Security Act contains no provision summarising the implications of being subject to the act. We therefore propose that the act state that any person responsible for a securitysensitive activity is to investigate the need for protective security, ensure that protective security measures are taken, monitor to ensure that the provisions on protective security are being followed and provide information in line with certain specified reporting obligations to the designated supervisory authorities.

A system of combined protective security areas

Combined protective security areas

We consider that the classification into three protective security areas should remain in a new act. The three protective security areas – which should be termed ‘information security’, ‘physical security’ and ‘personnel security’ – interact and make up a coherent system for the protection of security-sensitive activities. The protective security measures can be combined in various ways to optimise the protective effect. Such an approach leads to balanced and cost-effective protective security. The grounds on which protective security measures should be taken are laid out in the protective security analysis, and these measures should then be clarified in a protective security plan.

Classified information

Classified information should be divided into four information security classifications based on the harm that could be caused if the information were disclosed. The four classifications should be termed kvalificerat hemlig, hemlig, konfidentiell and begränsad (equivalent to top secret, secret, confidential and restricted). The division into security classifications forms the basis for the design of the parts of the protective security areas (information security, physical security and personnel security) that aims to protect classified information.

A provision on the classification of classified information should be included in the Protective Security Act as this classification is crucial for how protective security is designed.

Information security

Under our proposal, the protective security area information security should be divided into two parts. The first focuses on the protection of classified information to prevent the information being disclosed, amended, made unavailable or destroyed. In information security contexts, this is often described as confidentiality, integrity and availability.

The second specifies that the measures are to prevent adverse effects on information assets that would in some other respects be of importance for security-sensitive activities. In this case, it is therefore only the integrity and availability considerations that apply. ‘Information assets’ refers to information and information systems in a broad sense, i.e. information, documents and technical systems that are used in various ways to communicate information electronically and handle information in general.

Information security encompasses measures of various kinds intended to protect information that is of importance to securitysensitive activities. Such information appears in various environments and activities and is handled and used in various different ways. Protective security measures must therefore be adapted to the changing circumstances. The form that the information takes is not relevant in this context, and the measures must concern information as such, i.e. information on paper and information stored electronically, communicated information and information that can be gleaned from images or other material, for example.

Physical security

Under our proposal, the protective security area physical security should be divided into two parts. The first focuses on preventing unauthorised persons from gaining admission to areas, facilities, buildings or objects where they may have access to classified information or where in other respects security-sensitive activities are conducted, and to prevent adverse effects on such areas, facilities, buildings or objects. The new term corresponds to the measures better than the current term ‘access restrictions’.

Personnel security

The purpose of personnel security

We propose that the purpose of the protective security area personnel security be stated as being to prevent persons who are not reliable from a security perspective from taking part in activities

where they may have access to classified information or in activities that for some other reason are security-sensitive (security investigation), and to ensure that those who take part in securitysensitive activities have sufficient knowledge of protective security (protective security training).

A transition to security clearance?

Under the terms of reference, we are to consider a transition from the current security investigation system towards a system with elements of security clearance. The description in the terms of reference is based in this respect on the changes that are required as a result of cooperation with other countries and international organisations.

Experience that can be gleaned from the international survey shows that when it comes to clearance, the similarities with the Swedish model are greater than the differences. Overall, these are purely formal differences rather than differences in substance. The clearance systems in the countries we have studied also differ among themselves in several respects.

When comparing these with the Swedish security investigation system, our impression is that the background material in the clearance models is more summary and is often based only on information concerning previous offences. In our view, a system with a clearance procedure would also be a departure from the important principle of protective security tailored to specific activities. Tailoring the investigation to the specific position is important, not only in view of the need for well-tailored protective security for the activity in question, but also for the person who is the subject of the investigation.

On balance, no tangible needs have come to light that would require the introduction of a certification procedure for the protection of activities that are of importance for Sweden’s security. Instead, the needs that exist are associated with foreign postings and similar. There is added value in the current system, which may need to be strengthened to some extent, but which may risk being weakened in the event of a transition to a clearance system.

To meet the requirements that follow from international protective security commitments, the basis and background material for a security investigation need to tally with the method of classifying information on a four-grade scale, as we have proposed. Such an adaptation can be achieved by adjusting the grounds for classifying positions in security classes. Moreover, there is a need for a framework that provides clear support for issuing certificates that are accepted internationally in the area of protective security. Such changes can also be made within the framework of the current system of security investigation (more details below under the heading ‘International cooperation’).

We have concluded, therefore, that the security investigation system should not be developed into a clearance system. Such a change is not necessary to be able to meet the requirements that follow from international protective security commitments, nor is it preferable for any other reason.

Security investigations

As is the case today, security investigations should assess reliability and loyalty. The legislative history of the current Protective Security Act states that this involves a need to investigate and determine whether, for example, various forms of substance abuse or links with other countries mean that the person under investigation runs a particular risk of being subjected to pressure. This may mean that it is necessary to ask questions about personal circumstances that may be sensitive for the person under investigation. We propose that the legislative text clearly state that the security investigation involves considering circumstances that may result in vulnerability from a security perspective.

The provisions of the Protective Security Act on security investigations should for the most part be transferred to a reformed Protective Security Act. In some respects we have identified a need for clarification. Under our proposal, the act would more clearly state that the security investigation requires basic screening, which – to the extent that follows from the provisions on classification in security classes – is to be supplemented by record checks and a special personal screening.

The basic screening thus involves interviews and other forms of information-gathering.

Moreover, we propose that the legislative text clearly state that the security investigation involves requirements concerning followup during the entire time in which the person is taking part in security-sensitive activities.

Security classification

The provisions on the security classification of positions are adapted to the proposal on a transition from the protection of secret information to the protection of classified information, and to the proposal on the level of protection for such information being determined by which information security class the information belongs to.

The fact that the person concerned has access to information that has been classified as top secret, secret or confidential should determine their security classification. If small amounts of information from a higher level of protection are accessible, the position is to be classified in the next security class down.

The provisions on security classification will be broadened to also cover positions in activities that are security-sensitive (other security-sensitive activities), even if they do not involve dealing with classified information. The new basis for classifying positions in a security class means that the record checks that are currently carried out pursuant to Section 14 of the Protective Security Act (protection against terrorism) are categorised in the system of security classifications.

The fact that the employee, as a result of taking part in the activity, has the opportunity to cause particularly serious damage, serious damage or significant damage to Sweden’s security is to be a determining factor when selecting the security class.

Removal of the citizenship requirement

We have concluded that Swedish citizenship should not be an eligibility requirement for holding a security-classified position within central government, municipalities or county councils, and

that the requirement should thus not be carried over to a reformed Protective Security Act. However, this does not mean that a lack of Swedish citizenship is insignificant. The fact that a person does not have Swedish citizenship may instead be investigated more closely and considered in the security investigation in the same way that it would, for example, for persons who have another citizenship alongside Swedish citizenship.

An explicit requirement for restrictiveness when selecting security class

A restrictiveness requirement for the security classification of positions should be introduced in the Protective Security Act. Such a provision should state that the person who determines the security classification of a position should carefully consider the need for this, and that such classification may only be undertaken if the needs for protection cannot be met in any other way.

Disclosure of information emerging from record checks

The current system in which information emerging from record checks may only be disclosed following a relevance test by the Swedish Commission on Security and Integrity Protection should not be changed.

Who should determine security classification?

The authority to determine the security classification of positions should be based on the current decision-making system, whereby – with the exception of the Riksdag’s administrative area – the Government has ultimate decision-making power but can delegate this to government agencies, municipalities and county councils and, if there are special grounds, certain companies.

Essentially, only the person who determines security classification should have the authority to receive information from the Swedish Security Service’s record checks.

Responsibility for security investigations

An organisation planning to employ someone or in some other way allow someone to take part in security-sensitive activities is responsible for the security investigation and determines independently whether or not the person is suitable from a security perspective. A partially different system applies in certain areas, such as activities covered by the aviation protective security requirements and for contractors for whom the terms and conditions of protective security are laid down in a classified contract.

Protecting information about an individual’s personal circumstances

The security investigation may involve information that is particularly sensitive for the individual being gathered by the prospective employer or by anyone else carrying out the security investigation. It is therefore important that there is protection in place so that the information is not used for purposes other than those intended. In our assessment, the current level of protection is not sufficient in all respects. We therefore propose an amendment to the Public Access to Information and Secrecy Act and a supplementary provision in the Protective Security Act on the duty of secrecy regarding private actors.

Security-protected procurement

Security-protected procurement involving classified contracts should be retained in the new legislation. The provisions on securityprotected procurement and classified contracts should be applicable to procurement processes or contracts involving information in the confidential security class at the lowest, or information that in other respects concerns security-sensitive activities of corresponding importance for Sweden’s security. The reason for this is that the security-protected procurement requirement should correspond to other protective security requirements.

Classified contracts should contain the terms and conditions for how protective security requirements are to be met by the contractor.

In the future, too, classified contracts should be entered into by central government, municipalities and county councils, but we consider that other parties that need such contracts should be able to request them from a government agency designated by the Government, preferably an agency responsible for protective security. If there are special grounds, it should be possible for a private actor to enter into classified contracts.

International cooperation

We propose that the Swedish Armed Forces be given the role of National Security Authority. However, the Swedish Armed Forces should leave other matters than such concerning record checks and security certificates for individuals to the Swedish Security Service, that primarily concern the Swedish Security Service’s area of supervision. We also propose that the Defence Materiel Administration be given the role of Designated Security Authorith. The Swedish Armed Forces and the Defence Materiel Administration should be given the right to issue regulations for their respective areas of responsibility.

Security certificates for personnel may be issued if there is a need for such a certificate for international cooperation concerning security-sensitive activities, or if such a certificate can make it easier for a person who has their habitual residence in Sweden to take part in activities that another state or international organisation considers to be in need of protective security.

Security certificates for facilities may be issued if there is a need for such a certificate for international cooperation concerning security-sensitive activities, or if such a certificate can make it easier for a contractor that has its headquarters in Sweden to take part in activities that another state or international organisation considers to be in need of protective security.

A common requirement of both types of certificate is that they may only be issued if they are for participation in activities in or for a state or international organisation that is covered by an international protective security commitment.

Supervision, regulations and reporting

In some cases there are serious shortcomings in terms of compliance with the provisions and intentions of the Protective Security Act. In some respects, this is due to circumstances that cannot be influenced by reforming the protective security legislation. In other respects, we consider that the shortcomings in protective security may to some extent be related to unclear legislation and deficient knowledge about how the requirements contained in the legislation influence an organisation and can be met by it. Supervision can only influence such shortcomings to a limited extent.

In our view, supervision should be undertaken in largely the same way as today. The need for advice and support is clear, particularly for private actors conducting security-sensitive activities. There are currently not sufficient grounds for proposing such a comprehensive change in the direction and implementation of supervision that sanctions would represent. However, the issue should be followed up once a reformed Protective Security Act has been in force for some time.

Regarding how supervision is organised, we propose, among other things, simplifications to the consultation procedure for the government agencies involved. The Swedish Security Service and the Swedish Armed Forces that have the main responsibility for supervising protective security will then be able to carry out their supervisory duties more effectively and efficiently. We also propose that the Swedish Civil Contingencies Agency take over the supervisory responsibility currently held by the county administrative boards vis-à-vis certain private activities, as well as the Swedish Security Service’s supervisory responsibility for municipalities and county councils.

The right to issue regulations should largely remain the same as in the current protective security legislation. This means that the right to issue regulations would be distributed primarily between the Swedish Security Service and the Swedish Armed Forces.

With regard to reporting, we propose that government agencies and other actors that are covered by the protective security legislation and that learn of activities that are a serious threat to security or that suspect that such activities are taking place should

be obliged to report this to the Swedish Security Service or the Swedish Armed Forces. This may involve incidents in which attacks are of a sophisticated nature or point to a systematic and targeted strategy on the part of an actor. Furthermore, attacks that target several activities simultaneously are likely to be serious.

Other matters

Duty of secrecy for persons taking part in security-sensitive activities

Secrecy protection is necessary for information that is of importance for Sweden’s security when such information is found in private activities. We propose that the duty of secrecy provision be introduced in the Protective Security Act. The duty of secrecy should also apply to circumstances covered by a protective security commitment that is binding for Sweden. One prerequisite for the duty of secrecy should be that the position or the participation in an activity has a security classification.

Protective security in the Riksdag and the Government Offices

The Riksdag and its agencies and the Government Offices are covered to a limited extent by the protective security legislation. This system should in principle be carried over into a reformed Protective Security Act. The proposed provision on the requirement for information security classification will be central to provisions on the classification of employees in security classes, among other things. We therefore propose that this provision also apply to the above-mentioned bodies.

1. Författningsförslag

1.1. Förslag till säkerhetsskyddslag

Härigenom föreskrivs följande.

1 kap. Lagens syfte och tillämpningsområde samt definitioner

Lagens syfte och tillämpningsområde

1 § Syftet med denna lag är att säkerställa säkerhetsskyddet för verksamheter hos staten, kommuner, landsting och enskilda som är av betydelse för Sveriges säkerhet, eller som omfattas av ett för

Sverige i förhållande till annan stat eller mellanfolklig organisation, förpliktande åtagande om säkerhetsskydd.

Lagen ska även i övrigt ge stöd för internationell samverkan på säkerhetsskyddsområdet.

Definitioner

2 § Medinternationellt säkerhetsskyddsåtagande avses ett för Sverige, i förhållande till annan stat eller mellanfolklig organisation, förpliktande åtagande om säkerhetsskydd.

3 § Med säkerhetskänslig verksamhet avses sådan verksamhet hos staten, kommuner, landsting och enskilda som är av betydelse för

Sveriges säkerhet eller omfattas av ett internationellt säkerhetsskyddsåtagande.

4 § Med säkerhetsskyddsklassificerad uppgift avses en uppgift som rör säkerhetskänslig verksamhet och som av den anledningen omfattas av sekretess enligt offentlighets- och sekretesslagen (2009:400) eller som skulle ha omfattats av sekretess, om uppgiften i stället förekommit i en verksamhet där bestämmelser om sekretess i offentlighets- och sekretesslagen gäller.

5 § Med säkerhetsskydd avses

1. skydd mot spioneri, sabotage, terroristbrott och andra brott som kan hota säkerhetskänslig verksamhet, samt

2. skydd i andra fall av säkerhetsskyddsklassificerade uppgifter.

2 kap. Allmänna bestämmelser om säkerhetsskydd

Säkerhetsskyddsåtgärder

1 § Säkerhetsskyddet ska särskilt genom

1. informationssäkerhet förebygga dels att säkerhetsskyddsklassificerade uppgifter obehörigen röjs, ändras, görs otillgängliga eller förstörs, dels skadlig inverkan på andra informationstillgångar som avser säkerhetskänslig verksamhet,

2. fysisk säkerhet förebygga dels att obehöriga får tillträde till områden, byggnader och andra anläggningar eller objekt där de kan få tillgång till säkerhetsskyddsklassificerade uppgifter eller där verksamhet som av annan anledning är säkerhetskänslig bedrivs, dels skadlig inverkan på sådana områden, byggnader, anläggningar eller objekt, och

3. personalsäkerhet förebygga att personer som inte är pålitliga från säkerhetssynpunkt deltar i en verksamhet där de kan få tillgång till säkerhetsskyddsklassificerade uppgifter eller i en verksamhet som av annan anledning är säkerhetskänslig (säkerhetsprövning) samt säkerställa att de som deltar i säkerhetskänslig verksamhet har en tillräcklig kunskap om säkerhetsskydd (utbildning i säkerhetsskydd).

Skyldigheter för den som är ansvarig för en säkerhetskänslig verksamhet

2 § Den som är ansvarig för en säkerhetskänslig verksamhet ska se till att

1. behovet av säkerhetsskydd utreds (säkerhetsskyddsanalys),

2. säkerhetsskyddsåtgärder enligt 1 § planeras och vidtas för att säkerställa det säkerhetsskydd som behövs med hänsyn till verksamhetens art, omfattning och övriga omständigheter, samt i fråga om säkerhetsskyddsklassificerade uppgifter också är anpassat till uppgifternas informationssäkerhetsklass enligt 3 §,

3. säkerhetsskyddet kontrolleras, och

4. att sådan anmälnings- och upplysningsskyldighet som följer av förordning som har meddelats med stöd av denna lag fullgörs.

Så långt det är möjligt ska säkerhetsskyddsåtgärderna utformas så att de inte medför skada eller annan olägenhet för andra allmänna eller enskilda intressen.

Informationssäkerhetsklasser

3 § Säkerhetsskyddsklassificerade uppgifter ska utifrån den skada som ett röjande av uppgiften kan medföra för Sveriges säkerhet delas in i en informationssäkerhetsklass enligt följande

1. Kvalificerat hemlig vid en synnerligen allvarlig skada,

2. Hemlig vid en allvarlig skada,

3. Konfidentiell vid en inte obetydlig skada, eller

4. Begränsad vid en ringa skada. Säkerhetsskyddsklassificerade uppgifter som omfattas av ett internationellt säkerhetsskyddsåtagande ska, om de inte redan av annan stat eller mellanfolklig organisation har klassificerats, på motsvarande sätt delas in en informationssäkerhetsklass enligt första stycket utifrån den skada som ett röjande av uppgiften kan medföra för Sveriges förhållande till annan stat eller mellanfolklig organisation.

Säkerhetsskyddsavtal

4 § Vid upphandling eller ingående av ett avtal avseende varor, tjänster eller byggentreprenader där det förekommer säkerhetsskyddsklassificerade uppgifter i informationssäkerhetsklassen konfidentiell eller däröver, eller som i övrigt avser säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet, ska villkor anges i ett säkerhetsskyddsavtal för hur krav på säkerhetsskydd enligt 2 § ska tillgodoses av leverantören.

Den som ingått ett säkerhetsskyddsavtal med en leverantör ska också kontrollera att de angivna villkoren om säkerhetsskydd följs och se till att sådan anmälningsskyldighet som avses i 2 § första stycket 4 fullgörs.

5 § Ett säkerhetsskyddsavtal enligt 4 § får, om det inte finns särskilda skäl, ingås endast av staten, kommuner eller landsting.

Om en upphandlande verksamhet i enlighet med första stycket inte själv får ingå ett säkerhetsskyddsavtal, ska en ansökan om ingående av säkerhetsskyddsavtal göras till den myndighet som regeringen bestämmer.

Undantag från bestämmelser om säkerhetsskydd

6 § För riksdagen och dess myndigheter gäller endast bestämmelserna om informationssäkerhetsklasser, säkerhetsprövning och säkerhetsintyg. I övrigt gäller lagen (2006:128) om säkerhetsskydd för riksdagen och dess myndigheter.

7 § Regeringen får i fråga om Regeringskansliet förordna om undantag från andra bestämmelser i lagen än sådana som gäller informationssäkerhetsklasser, säkerhetsprövning och säkerhetsintyg.

Särskilda bestämmelser om statsministerns tjänstebostäder

8 § I lagen (2014:514) om ansvar för vissa säkerhetsfrågor vid statsministerns tjänstebostäder finns särskilda bestämmelser om ansvar för fysisk säkerhet och om samrådsskyldighet inför att säkerhets-

skyddsavtal ska träffas och inför beslut om placering i säkerhetsklass.

Skyddsobjekt

9 § Bestämmelser om förbud mot tillträde till vissa byggnader, andra anläggningar, områden och andra objekt finns i skyddslagen (2010:305).

3 kap. Säkerhetsprövning

Vem som ska säkerhetsprövas

1 § Den som genom anställning eller på något annat sätt ska delta i säkerhetskänslig verksamhet ska säkerhetsprövas. Säkerhetsprövning ska dock inte göras när det gäller

1. ledamöter av regeringen, av Europaparlamentet, av riksdagen eller av kommun- och landstingsfullmäktige, eller

2. andra uppdrag som offentliga försvarare eller ombud inför domstol än sådana som avser offentligt ombud enligt 27 kap. 27 § rättegångsbalken eller integritetsskyddsombud enligt 6 § lagen (2009:966) om Försvarsunderrättelsedomstol.

Säkerhetsprövningens syfte och dess innehåll

2 § Säkerhetsprövningen ska klarlägga om personen kan antas vara lojal mot de intressen som skyddas i denna lag och i övrigt pålitlig från säkerhetssynpunkt. Vid säkerhetsprövningen ska beaktas sådana omständigheter som kan antas innebära sårbarheter i säkerhetshänseende.

3 § En inledande säkerhetsprövning ska göras innan deltagandet i den säkerhetskänsliga verksamheten påbörjas. Prövningen ska innefatta en grundutredning samt registerkontroll och särskild personutredning i den omfattning som anges i 6, 7 och 10 §§. Om det finns särskilda skäl, får den inledande säkerhetsprövningen göras mindre omfattande.

Säkerhetsprövningen ska därefter följas upp under den tid som deltagandet i den säkerhetskänsliga verksamheten pågår.

Säkerhetsklasser

4 § En anställning eller ett annat deltagande i säkerhetskänslig verksamhet ska placeras i säkerhetsklass enligt följande.

1. Säkerhetsklass 1, om den anställde eller den som på annat sätt deltar i verksamheten i en omfattning som inte är ringa får del av uppgifter i informationssäkerhetsklassen kvalificerat hemlig, eller på annat sätt till följd av sitt deltagande i verksamheten har möjlighet att orsaka synnerligen allvarlig skada för Sveriges säkerhet.

2. Säkerhetsklass 2, om den anställde eller den som på annat sätt deltar i verksamheten i en omfattning som inte är ringa får del av uppgifter i informationssäkerhetsklassen hemlig eller i ringa omfattning får del av uppgifter i informationssäkerhetsklassen kvalificerat hemlig, eller på annat sätt till följd av sitt deltagande i verksamheten har möjlighet att orsaka allvarlig skada för Sveriges säkerhet.

3. Säkerhetsklass 3, om den anställde eller den som på annat sätt deltar i verksamheten får del av uppgifter i informationssäkerhetsklassen konfidentiell eller i ringa omfattning får del av uppgifter i informationssäkerhetsklassen hemlig, eller på annat sätt till följd av sitt deltagande i verksamheten har möjlighet att orsaka en inte obetydlig skada för Sveriges säkerhet. En anställning eller ett annat deltagande i säkerhetskänslig verksamhet ska också i andra fall än sådana som följer av första stycket placeras i en säkerhetsklass som motsvarar de krav på säkerhetsprövning som följer av ett internationellt säkerhetsskyddsåtagande. En anställning eller ett annat deltagande får placeras i säkerhetsklass endast om behovet av säkerhetsskydd inte kan tillgodoses på annat sätt.

Vem som beslutar om placering i säkerhetsklass

5 § Riksdagen och dess myndigheter beslutar om placering i säkerhetsklass såvitt avser riksdagens förvaltningsområde.

I övrigt beslutar regeringen om placering i säkerhetsklass. Regeringen får föreskriva att myndigheter och andra för vilka bestämmelserna om säkerhetsprövning gäller beslutar om placering i säkerhetsklass. Denna beslutanderätt får tilldelas enskilda endast om det finns särskilda skäl.

Registerkontroll

6 § Med registerkontroll avses i denna lag att uppgifter i den omfattning som följer av 12 § hämtas från register som omfattas av lagen (1998:620) om belastningsregister, lagen (1998:621) om misstankeregister eller lagen (2010:362) om polisens allmänna spaningsregister. Med registerkontroll avses också att uppgifter som behandlas med stöd av polisdatalagen (2010:361) hämtas in.

7 § Registerkontroll ska göras om anställningen eller deltagandet i verksamheten har placerats i säkerhetsklass.

Vid registerkontroll enligt första stycket ska också uppgifter enligt 6 § löpande hämtas in under den tid deltagandet i den säkerhetskänsliga verksamheten pågår.

8 § Om det finns särskilda skäl, får registerkontroll av någon som ska delta i en säkerhetskänslig verksamhet göras utan föregående placering i säkerhetsklass. Föreskrifter om detta meddelas av regeringen, utom såvitt gäller riksdagen och dess myndigheter.

9 § Bestämmelser om registerkontroll finns också i 4 kap. om internationell säkerhetsskyddssamverkan och säkerhetsintyg.

Särskild personutredning

10 § En särskild personutredning ska göras vid registerkontroll som avser anställning eller annat deltagande i verksamhet, om anställningen eller deltagandet i verksamheten har placerats i säkerhetsklass 1 eller 2. Utredningen ska omfatta en undersökning av den kontrollerades ekonomiska förhållanden. I övrigt ska utredningen ha den omfattning som behövs.

Krav på samtycke

11 § Registerkontroll och särskild personutredning får göras endast om den som säkerhetsprövningen gäller har lämnat sitt samtycke.

Samtycket ska anses gälla också kontroller och utredningar under den tid som deltagandet i den säkerhetskänsliga verksamheten pågår.

Utlämnande av uppgifter

12 § Säkerhets- och integritetsskyddsnämnden beslutar om uppgifter som kommit fram vid registerkontroll och särskild personutredning ska lämnas ut för säkerhetsprövning. Utlämnande av uppgifter får omfatta,

1. för säkerhetsklass 1 eller 2: uppgifter om den kontrollerade som finns i något av de register som anges i 6 § eller som behandlas med stöd av polisdatalagen (2010:361). Om det är oundgängligen nödvändigt, får också motsvarande uppgifter om den kontrollerades make eller sambo lämnas ut, eller

2. för säkerhetsklass 3: uppgifter om den kontrollerade i belastningsregistret och misstankeregistret samt uppgifter som behandlas hos Säkerhetspolisen med stöd av polisdatalagen.

Om det finns synnerliga skäl, får utlämnandet omfatta även andra uppgifter än sådana som avses i första stycket.

En uppgift som har kommit fram vid registerkontroll eller särskild personutredning får lämnas ut för säkerhetsprövning endast om den i det enskilda fallet kan antas ha betydelse för prövningen av den kontrollerades pålitlighet från säkerhetssynpunkt.

13 § Innan en uppgift lämnas ut för säkerhetsprövning ska den som uppgiften avser ges tillfälle att yttra sig över uppgiften. Detta gäller dock inte om uppgiften omfattas av sekretess i förhållande till den enskilde enligt någon annan bestämmelse i offentlighets- och sekretesslagen (2009:400) än 35 kap. 3 §.

Även om uppgiften omfattas av sådan sekretess, ska den som uppgiften avser ges tillfälle att yttra sig innan uppgiften lämnas ut, om hans eller hennes intresse av att få yttra sig skäligen bör ha företräde framför det intresse som sekretessen ska skydda.

Bedömning vid säkerhetsprövning

14 § Säkerhetsprövningen innebär en bedömning enligt 2 § av en persons lämplighet för att delta i en säkerhetskänslig verksamhet.

Bedömningen ska utgå från uppgifter som kommit fram vid genomförandet av grundutredningen och den kännedom som i övrigt finns om den som ska prövas, uppgifter som har lämnats ut efter registerkontroll och särskild personutredning, arten av den verksamhet för vilken prövningen görs samt omständigheterna i övrigt.

Bedömningen görs av den som beslutar om anställning eller annat deltagande i den säkerhetskänsliga verksamheten. Har någon annan ett avgörande bestämmande över den prövades lämplighet att delta i den säkerhetskänsliga verksamheten, gör dock denne den slutliga bedömningen.

Om det finns anledning till det, ska en tidigare gjord bedömning avseende en persons lämplighet för att delta i den säkerhetskänsliga verksamheten omprövas.

4 kap. Internationell säkerhetsskyddssamverkan och säkerhetsintyg

Nationell säkerhetsmyndighet

1 § Den som regeringen bestämmer ska fullgöra uppgiften som nationell säkerhetsmyndighet och nationell industrisäkerhetsmyndighet i enlighet med internationella säkerhetsskyddsåtaganden.

Säkerhetsintyg

2 § Ett säkerhetsintyg får utfärdas för personer och leverantörer när en annan stat eller mellanfolklig organisation ansökt om sådant underlag, om

1. behov av sådant intyg finns vid internationell samverkan avseende säkerhetskänslig verksamhet enligt denna lag, eller

2. intyget, utöver vad som följer av punkten 1, kan underlätta för en person som har hemvist i Sverige eller för en leverantör med säte i Sverige att delta i en verksamhet som en annan stat eller en mellanfolklig organisation bedömer vara i behov av säkerhetsskydd.

Ett intyg enligt första stycket får utfärdas endast om deltagandet avser verksamhet i eller för en stat eller mellanfolklig organisation som omfattas av ett internationellt säkerhetsskyddsåtagande. Om det finns särskilda skäl, får regeringen besluta om undantag från kravet på ett internationellt säkerhetsskyddsåtagande.

3 § En säkerhetsprövning som innefattar registerkontroll enligt 3 kap. 6 § får göras, om det behövs för att ett säkerhetsintyg ska kunna utfärdas. Vid sådan registerkontroll får också en särskild personutredning enligt 3 kap. 10 § göras.

4 § Vid ärenden om säkerhetsintyg gäller bestämmelserna om säkerhetsprövning i 3 kap. 2, 6, 10–13 §§ samt 14 § första stycket.

Registerkontroll på ansökan av en annan stat eller mellanfolklig organisation

5 § Registerkontroll enligt 3 kap. 6 § får göras när en annan stat eller mellanfolklig organisation ansökt om sådant underlag, om

1. den person som ansökan gäller har eller har haft hemvist i Sverige, och

2. personen genom anställning eller på annat sätt ska delta i en verksamhet där det för deltagandet gäller regler om registerkontroll vid säkerhetsprövning som motsvarar reglerna i denna lag.

Vid registerkontroll enligt första stycket får också en särskild personutredning enligt 3 kap. 10 § göras.

6 § Vid ärenden enligt 5 § gäller bestämmelserna om registerkontroll, särskild personutredning och samtycke i 3 kap. 6 och 10– 13 §§.

Vem som beslutar om registerkontroll och utfärdar intyg

7 § Den nationella säkerhetsmyndigheten beslutar om registerkontroll enligt 3 och 5 §§ samt utfärdar intyg enligt 2 § och lämnar underlag enligt 5 §.

Om en registerkontroll föranleds av ett ärende om säkerhetsintyg för leverantör, beslutar i stället den nationella industri-

säkerhetsmyndigheten om registerkontrollen och utfärdar intyg enligt 2 §.

5 kap. Övriga bestämmelser

Tystnadsplikt

1 § Den som med stöd av denna lag har fått del av uppgifter om någon annans personliga förhållanden får inte obehörigen röja eller utnyttja dessa uppgifter.

I det allmännas verksamhet tillämpas i stället bestämmelserna i offentlighets- och sekretesslagen (2009:400).

2 § Den som på grund av anställning eller på annat sätt deltar eller har deltagit i säkerhetskänslig verksamhet enligt denna lag får inte obehörigen röja eller utnyttja säkerhetsskyddsklassificerade uppgifter. Tystnadsplikten gäller om anställningen eller deltagandet placerats i säkerhetsklass enligt 3 kap. 4 §.

I det allmännas verksamhet tillämpas i stället bestämmelserna i offentlighets- och sekretesslagen (2009:400).

Sekretessbrytande bestämmelse

3 § Sekretess hindrar inte att den nationella säkerhetsmyndigheten enligt 4 kap. 1 § i ett ärende om underlag för säkerhetsprövning enligt 4 kap. 5 § till en utländsk myndighet eller en mellanfolklig organisation lämnar ut en uppgift som har kommit fram vid registerkontroll eller särskild personutredning, om det står klart att ett sådant utlämnande är förenligt med svenska intressen.

Tillsyn

4 § Den som regeringen bestämmer ska utföra tillsyn över säkerhetsskyddet hos myndigheter och andra som lagen gäller för samt hos leverantörer som har träffat ett säkerhetsskyddsavtal.

Föreskrifter om verkställighet

5 § Regeringen eller den myndighet som regeringen bestämmer meddelar de närmare föreskrifter som behövs för lagens tillämpning.

1. Denna lag träder i kraft den 1 januari 2017.

2. Genom lagen upphävs säkerhetsskyddslagen (1996:627).

3. En anställning eller annat deltagande som enligt säkerhetsskyddslagen (1996:627) placerats i säkerhetsklass 1–3 ska motsvara en placering enligt 3 kap. 4 § i säkerhetsklass 1–3. En registerkontroll med stöd av 14 § säkerhetsskyddslagen ska i den utsträckning regeringen föreskriver motsvara ett beslut om placering i säkerhetsklass 3.

1.2. Förslag till lag om ändring i polislagen (1984:387)

Härigenom föreskrivs att 3 § polislagen (1984:387) ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

3 §

Till Säkerhetspolisens uppgifter hör att

1. förebygga, förhindra och upptäcka brottslig verksamhet som innefattar brott mot rikets säkerhet eller terrorbrott,

2. utreda och beivra sådana brott som anges i 1 eller som följer av 5,

3. fullgöra uppgifter i samband med personskydd av den centrala statsledningen och andra som regeringen eller Säkerhetspolisen bestämmer,

4. fullgöra uppgifter enligt säkerhetsskyddslagen(1996:627),

4. fullgöra uppgifter enligt säkerhetsskyddslagen(2017:xx),

5. leda annan polisverksamhet om regeringen föreskriver det och i övrigt bedriva sådan verksamhet som framgår av lag eller förordning eller som regeringen uppdragit åt Säkerhetspolisen att i särskilda hänseenden ansvara för.

När Säkerhetspolisen leder polisverksamhet enligt första stycket ska det som i lag eller annan författning föreskrivs om Polismyndigheten i tillämpliga delar gälla Säkerhetspolisen.

Denna lag träder i kraft den 1 januari 2017.

1.3. Förslag till lag om ändring i elberedskapslagen (1997:288)

Härigenom föreskrivs att 2 § elberedskapslagen (1997:288) ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

2 §

Beredskapslagring av bränsle som används för elproduktion omfattas av lagen endast i fråga om rätt till ersättning enligt 10 §. Särskilda bestämmelser om beredskapslagring finns i lagen (2012:806) om beredskapslagring av olja.

I skyddslagen (2010:305) och i säkerhetsskyddslagen(1996:627) finns bestämmelser om tillträdesbegränsning.

I skyddslagen (2010:305) och i säkerhetsskyddslagen(2017:xx) finns bestämmelser om tillträdesbegränsning och fysisk säkerhet.

Denna lag träder i kraft den 1 januari 2017.

1.4. Förslag till lag om ändring i lagen (1998:938) om behandling av personuppgifter om totalförsvarspliktiga

Härigenom föreskrivs att 9 § lagen (1998:938) om behandling av personuppgifter om totalförsvarspliktiga ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

9 §

I automatiserat register över totalförsvarspliktiga får endast följande personuppgifter föras in:

1. personnummer eller samordningsnummer, namn, adress, telefonnummer och folkbokföringsort,

2. hinder för genomförande av utredning som avses i 3 § första stycket, för utbildning eller för krigsplacering eller annat ianspråktagande av den registrerade för totalförsvarets räkning,

3. boende- och familjeförhållanden samt försörjning, om uppgiften behövs för att Totalförsvarets rekryteringsmyndighet ska kunna fullgöra sina åligganden i fråga om förmåner till totalförsvarspliktiga,

4. utbildning, anställning, kunskaper, färdigheter, anlag och intressen som har betydelse för bedömningen av den registrerades användbarhet inom totalförsvaret,

5. fysisk och psykisk hälsa och förmåga jämte de uppgifter som ligger till grund för bedömningen härav,

6. om den registrerade är svensk medborgare eller inte,

7. utgången i mål om ansvar för brott mot totalförsvarsplikten,

8. att den registrerade har dömts till påföljd för brott som framgår av uppgift ur belastningsregistret som Totalförsvarets rekryteringsmyndighet fått del av,

9. att den registrerade genomgått säkerhetsprövning enligt säkerhetsskyddslagen(1996:627), vilken säkerhetsklass prövningen avsett och resultatet av denna,

9. att den registrerade genomgått säkerhetsprövning enligt säkerhetsskyddslagen(2017:xx), vilken säkerhetsklass prövningen avsett och resultatet av denna,

10. vad som bestämts vid inskrivningen enligt lagen (1994:1809) om totalförsvarsplikt eller lagen (1994:1810) om möjlighet för kvinnor att fullgöra värnplikt eller civilplikt med längre grundutbildning,

11. krigsplacering, annat ianspråktagande av den registrerade för totalförsvaret eller särskild uppgift som han eller hon ska utföra vid höjd beredskap,

12. tjänstgöring inom totalförsvaret samt betyg, vitsord, förordnanden och utmärkelser som är att hänföra till denna, samt

13. personliga förhållanden i övrigt som åberopas av den registrerade, om de rör hans eller hennes tjänstgöring inom totalförsvaret.

Andra känsliga personuppgifter än sådana uppgifter som rör hälsa eller religiös övertygelse får inte föras in i ett automatiserat register över totalförsvarspliktiga. Uppgifter om religiös övertygelse får endast registreras om den registrerade har lämnat sitt uttryckliga samtycke till att uppgifterna behandlas i registret och de rör hans eller hennes tjänstgöring inom totalförsvaret.

Denna lag träder i kraft den 1 januari 2017.

1.5. Förslag till lag om ändring i lagen (2006:128) om säkerhetsskydd i riksdagen och dess myndigheter

Härigenom föreskrivs att 7, 8 och 10 §§ lagen (2006:128) om säkerhetsskydd i riksdagen och dess myndigheter ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

7 §

För riksdagen och de myndigheter som avses i 1 § finns bestämmelser om säkerhetsprövning i säkerhetsskyddslagen (1996:627).

För riksdagen och de myndigheter som avses i 1 § finns bestämmelser om informationssäkerhetsklass, säkerhetsprövning och säkerhetsintyg i säkerhetsskyddslagen (2017:xx).

8 §

När en myndighet som lagen gäller för avser att begära in anbud eller träffa avtal om upphandling där det förekommer uppgifter som med hänsyn till rikets säkerhet omfattas av sekretess, skall myndigheten träffa ett skriftligt avtal (säkerhetsskyddsavtal) med anbudsgivaren eller leverantören om det säkerhetsskydd som behövs i det särskilda fallet.

Om säkerhetsskyddslagen(1996:627) gäller för anbudsgivaren eller leverantören på grund av 1 § 2 eller 3 i den lagen, kan anbudsgivarens eller leverantörens skyldigheter enligt lagen inte göras mindre långt-

När en myndighet som lagen gäller för avser att begära in anbud eller träffa avtal om upphandling där det förekommer uppgifter som med hänsyn till rikets säkerhet omfattas av sekretess, ska myndigheten träffa ett skriftligt avtal (säkerhetsskyddsavtal) med anbudsgivaren eller leverantören om det säkerhetsskydd som behövs i det särskilda fallet.

Om säkerhetsskyddslagen(2017:xx) gäller för anbudsgivaren eller leverantören på grund av 1 kap. 1 § i den lagen, kan anbudsgivarens eller leverantörens skyldigheter enligt lagen inte göras mindre långt-

gående genom villkoren i säkerhetsskyddsavtalet.

gående genom villkoren i säkerhetsskyddsavtalet.

10 §

Av 7 § lagen (2011:745) med instruktion för Riksdagsförvaltningen framgår att Riksdagsförvaltningen får meddela föreskrifter inom sitt verksamhetsområde.

Övriga myndigheter som avses i 1 § får meddela de närmare föreskrifter inom sitt verksamhetsområde som behövs för tillämpning av

1. denna lag och

2. säkerhetsskyddslagens(1996:627) bestämmelser om säkerhetsprövning.

2. säkerhetsskyddslagens(2017:xx) bestämmelser om informationssäkerhetsklass, säkerhetsprövning och säkerhetsintyg.

Denna lag träder i kraft den 1 januari 2017.

1.6. Förslag till lag om ändring i lagen (2007:258) om behandling av personuppgifter i Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst

Härigenom föreskrivs att 1 kap. 10 § lagen (2007:258) om behandling av personuppgifter i Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

1 kap.

10 §

Uppgifter om en person får behandlas för de ändamål som anges i 9 § endast om

1. uppgifterna ger grundad anledning att anta att personen har utövat eller kan komma att utöva verksamhet som innefattar brott som kan hota rikets säkerhet eller terroristbrott enligt 2 § lagen (2003:148) om straff för terroristbrott eller motsvarande brottslighet enligt tidigare lagstiftning,

2. uppgifterna ger grundad anledning att anta att personen har utövat eller kan komma att utöva underrättelseverksamhet riktad mot Försvarsmakten och dess säkerhetsintressen,

3. uppgifterna ger grundad anledning att anta att personen utövar annan säkerhetshotande verksamhet än som avses i 1 och som innefattar brott eller åsidosättande av åligganden i anställning hos Försvarsmakten, och det finns särskilda skäl till att uppgiften skall behandlas,

3. uppgifterna ger grundad anledning att anta att personen utövar annan säkerhetshotande verksamhet än som avses i 1 och som innefattar brott eller åsidosättande av åligganden i anställning hos Försvarsmakten, och det finns särskilda skäl till att uppgiften ska behandlas,

4. personen har lämnat uppgifter om säkerhetshotande verksamhet och personuppgifterna är nödvändiga för att bedöma personens trovärdighet, eller

5. uppgifterna avser information som har framkommit i

5. uppgifterna avser information som har framkommit i

samband med att en person har genomgått registerkontroll eller särskild personutredning enligt säkerhetsskyddslagen(1996:627).

Uppgifter om en person skall förses med upplysning om på vilken av de i första stycket angivna grunderna uppgiften behandlas.

Om behandlingen av en personuppgift föranleds av något annat än antagande om att personen har utövat eller kommer att utöva brottslig verksamhet skall det särskilt anges att personen inte är misstänkt för brottslig verksamhet, om det inte på annat sätt klart framgår att sådan misstanke inte finns. Uppgifter om en person som inte heller kan antas ha utövat eller komma att utöva annan säkerhetshotande verksamhet skall förses med en särskild upplysning om detta, om det inte på annat sätt klart framgår att sådant antagande inte finns.

Uppgifter om en person som avses i första stycket 1–3 skall förses med en upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak.

samband med att en person har genomgått registerkontroll eller särskild personutredning enligt säkerhetsskyddslagen (2017:xx).

Uppgifter om en person ska förses med upplysning om på vilken av de i första stycket angivna grunderna uppgiften behandlas.

Om behandlingen av en personuppgift föranleds av något annat än antagande om att personen har utövat eller kommer att utöva brottslig verksamhet ska det särskilt anges att personen inte är misstänkt för brottslig verksamhet, om det inte på annat sätt klart framgår att sådan misstanke inte finns. Uppgifter om en person som inte heller kan antas ha utövat eller komma att utöva annan säkerhetshotande verksamhet ska förses med en särskild upplysning om detta, om det inte på annat sätt klart framgår att sådant antagande inte finns.

Uppgifter om en person som avses i första stycket 1–3 ska förses med en upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak.

1. Denna lag träder i kraft den 1 januari 2017.

2. Föreskriften i 1 kap. 10 § första stycket 5 ska tillämpas även i fråga om registerkontroll eller särskild personutredning enligt säkerhetsskyddslagen (1996:627).

1.7. Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400)

Härigenom föreskrivs att 35 kap.1, 3 och 10 §§offentlighets- och sekretesslagen (2009:400) ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

35 kap.

1 §

Sekretess gäller för uppgift om en enskilds personliga och ekonomiska förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till honom eller henne lider skada eller men och uppgiften förekommer i

1. utredning enligt bestämmelserna om förundersökning i brottmål,

2. angelägenhet som avser användning av tvångsmedel i brottmål eller i annan verksamhet för att förebygga brott

3. angelägenhet som avser registerkontroll och särskild personutredning enligt säkerhets-skyddslagen(1996:627),

3. angelägenhet som avser säkerhetsprövning enligt säkerhetsskyddslagen(2017:xx),

4. annan verksamhet som syftar till att förebygga, uppdaga, utreda eller beivra brott och som bedrivs av en åklagarmyndighet, Polismyndigheten, Säkerhetspolisen, Skatteverket, Tullverket eller Kustbevakningen,

5. Statens medieråds verksamhet att biträda Justitiekanslern, allmän åklagare eller Polismyndigheten i brottmål,

6. register som förs av Polismyndigheten enligt 4 kap. polisdatalagen (2010:361) eller som annars behandlas med stöd av de bestämmelserna eller uppgifter som behandlas av Säkerhetspolisen med stöd av 5 kap. samma lag,

7. register som förs enligt lagen (1998:621) om misstankeregister,

8. register som förs av Skatteverket enligt lagen (1999:90) om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar eller som annars behandlas där med stöd av samma lag,

9. särskilt ärenderegister över brottmål som förs av åklagarmyndighet, om uppgiften inte hänför sig till registrering som avses i 5 kap. 1 §,

10. register som förs av Tullverket enligt lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet eller som annars behandlas där med stöd av samma lag, eller

11. register som förs enligt lagen (2010:362) om polisens allmänna spaningsregister.

Sekretessen enligt första stycket 2 gäller hos domstol i dess rättskipande eller rättsvårdande verksamhet endast om det kan antas att den enskilde eller någon närstående till honom eller henne lider skada eller men om uppgiften röjs. Vid förhandling om användning av tvångsmedel gäller sekretess för uppgift om vem som är misstänkt endast om det kan antas att fara uppkommer för att den misstänkte eller någon närstående till honom eller henne utsätts för våld eller lider annat allvarligt men om uppgiften röjs.

Första stycket gäller inte om annat följer av 2, 6 eller 7 §. För uppgift i en allmän handling gäller sekretessen i högst sjuttio år.

3 §

Sekretess gäller i verksamhet som avser förande av eller uttag ur register enligt lagen (1998:620) om belastningsregister för uppgift i registret. I fråga om utlämnande av sådan uppgift gäller vad som är föreskrivet i den lagen och i säkerhetsskyddslagen(1996:627) samt i förordningar som har meddelats med stöd av dessa lagar.

Sekretess gäller i verksamhet som avser förande av eller uttag ur register enligt lagen (1998:620) om belastningsregister för uppgift i registret. I fråga om utlämnande av sådan uppgift gäller vad som är föreskrivet i den lagen och i säkerhetsskyddslagen(2017:xx) samt i förordningar som har meddelats med stöd av dessa lagar.

För uppgift i en allmän handling gäller sekretessen i högst sjuttio år. Bestämmelserna i 10 och 12 kap. gäller inte i fråga om sekretessen enligt denna paragraf.

10 §

Sekretessen enligt 1 § hindrar inte att en uppgift lämnas ut

1. till en enskild enligt vad som föreskrivs i lagen (1964:167) med särskilda bestämmelser om unga lagöverträdare,

2. till en enskild enligt vad som föreskrivs i säkerhetsskyddslagen(1996:627) samt i förordning som har meddelats med stöd i den lagen,

2. till en enskild enligt vad som föreskrivs i säkerhetsskyddslagen(2017:xx) samt i förordning som har meddelats med stöd i den lagen,

3. enligt vad som föreskrivs i – lagen (1998:621) om misstankeregister, – polisdatalagen (2010:361), – lagen (1999:90) om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar,

– lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet,

kustbevakningsdatalagen (2012:145), – förordningar som har stöd i dessa lagar, eller

4. till en enskild enligt vad som föreskrivs i 27 kap. 8 § rättegångsbalken.

1. Denna lag träder i kraft den 1 januari 2017.

2. För angelägenhet som avser registerkontroll och särskild personutredning enligt säkerhetsskyddslagen (1996:627) gäller 35 kap. 1 § första stycket 3 i sin äldre lydelse.

1.8. Förslag till lag om ändring i polisdatalagen (2010:361)

Härigenom föreskrivs att 5 kap. 2 § polisdatalagen (2010:361) ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

5 kap.

1 §

Personuppgifter får behandlas i Säkerhetspolisens brottsbekämpande verksamhet om det behövs för att

1. förebygga, förhindra eller upptäcka brottslig verksamhet som innefattar

a) brott mot rikets säkerhet,

b) terroristbrott enligt 2 § lagen (2003:148) om straff för terroristbrott,

c) brott enligt 3 § lagen (2002:444) om straff för finansiering av särskilt allvarlig brottslighet i vissa fall, eller

d) tryckfrihetsbrott och yttrandefrihetsbrott med rasistiska eller främlingsfientliga motiv,

2. utreda eller beivra sådana brott som avses i 1, eller, efter särskilt beslut, annat brott,

3. fullgöra uppgifter i samband med personskydd,

4. fullgöra uppgifter enligt säkerhetsskyddslagen(1996:627),

4. fullgöra uppgifter enligt säkerhetsskyddslagen(2017:xx),

5. fullgöra förpliktelser som följer av internationella åtaganden, eller

6. lämna tekniskt biträde till Polismyndigheten, Ekobrottsmyndigheten, Åklagarmyndigheten eller Tullverket

Denna lag träder i kraft den 1 januari 2017.

1.9. Förslag till lag om ändring av lagen (2010:1767) om geografisk miljöinformation

Härigenom föreskrivs att 15 § lagen (2010:1767) om geografisk miljöinformation ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

15 §

Bestämmelser om

1. behandling av personuppgifter finns i personuppgiftslagen (1998:204),

2. behandling av personuppgifter i fastighetsregistret finns i lagen (2000:224) om fastighetsregister,

3. krav på tillstånd för upprättande av databaser med landskapsinformation samt för spridning av kartor och andra sammanställningar av landskapsinformation finns i lagen (1993:1742) om skydd för landskapsinformation,

4. säkerhetsskydd finns i säkerhetsskyddslagen(1996:627), och

4. säkerhetsskydd finns i säkerhetsskyddslagen (2017:xx), och

5. upphovsrätt finns i lagen (1960:729) om upphovsrätt till litterära och konstnärliga verk.

I fråga om behandling av personuppgifter enligt denna lag gäller inte 2 § personuppgiftslagen (1998:204).

Denna lag träder i kraft den 1 januari 2017.

1.10. Förslag till lag om ändring i lagen (2011:1029) om upphandling på försvars- och säkerhetsområdet

Härigenom föreskrivs att 2 kap. 22 § lagen (2011:1029) om upphandling på försvars- och säkerhetsområdet ska följande lydelse.

Nuvarande lydelse Föreslagen lydelse

2 kap.

22 §

Med säkerhetsskyddsklassificerade uppgifter avses information och material oavsett form, karaktär eller överföringsteknik som omfattas av krav på en viss säkerhetsnivå eller en viss skyddsnivå och som med hänsyn till rikets säkerhet enligt lagar och andra författningar måste skyddas mot intrång, förstörelse, avlägsnande, spridning, förlust eller åtkomst av någon obehörig person, eller någon annan typ av risk.

Med säkerhetsskyddsklassificerade uppgifter avses i denna lag information och material oavsett form, karaktär eller överföringsteknik som omfattas av krav på en viss säkerhetsnivå eller en viss skyddsnivå och som med hänsyn till Sveriges säkerhet enligt lagar och andra författningar måste skyddas mot intrång, förstörelse, avlägsnande, spridning, förlust eller åtkomst av någon obehörig person, eller någon annan typ av risk.

För skydd av säkerhetsskyddsklassificerade uppgifter finns bestämmelser i säkerhetsskyddslagen (2017:xx).

Denna lag träder i kraft den 1 januari 2017.

1.11. Förslag till lag om ändring i lagen (2014:514) om ansvar för vissa säkerhetsfrågor vid statsministerns tjänstebostäder

Härigenom föreskrivs att 1, 2, 4 och 5 §§ lagen (2014:514) om ansvar för vissa säkerhetsfrågor vid statsministerns tjänstebostäder ska följande lydelse.

Nuvarande lydelse Föreslagen lydelse

1 §

Denna lag innehåller särskilda bestämmelser som rör verksamheten vid och skyddet för egendom som används som tjänstebostad för statsministern. Bestämmelserna utgör kompletteringar till och undantag från säkerhetsskyddslagen(1996:627) och skyddslagen (2010:305).

Denna lag innehåller särskilda bestämmelser som rör verksamheten vid och skyddet för egendom som används som tjänstebostad för statsministern. Bestämmelserna utgör kompletteringar till och undantag från säkerhetsskyddslagen (2017:xx) och skyddslagen (2010:305).

2 §

Säkerhetspolisen har det ansvar för tillträdesbegränsning som anges i 7 § 2 säkerhets-skyddslagen(1996:627) vid egendom som används som tjänstebostad för statsministern.

Inför att tillträdesbegränsande åtgärder vidtas ska Säkerhetspolisen samråda med den eller de myndigheter som förvaltar egendomen och som berörs av åtgärden. När det gäller tillträdesbegränsande åtgärder som är av större betydelse ska Säkerhetspolisen även samråda

Säkerhetspolisen har det ansvar för fysisk säkerhet som anges i 2 kap. 1 § 2 säkerhets-skyddslagen(2017:xx) vid egendom som används som tjänstebostad för statsministern.

Inför att åtgärder avseende fysisk säkerhet vidtas ska Säkerhetspolisen samråda med den eller de myndigheter som förvaltar egendomen och som berörs av åtgärden. När det gäller åtgärder avseende fysisk säkerhet som är av större betydelse ska Säkerhetspolisen även

med Regeringskansliet. samråda med Regeringskansliet.

4 §

Inför att säkerhetsskyddsavtal ska träffas enligt 8 § säkerhetsskyddslagen(1996:627) med anledning av upphandling till egendom som används som tjänstebostad för statsministern ska den upphandlande myndigheten samråda med Säkerhetspolisen.

Inför att säkerhetsskyddsavtal ska träffas enligt 2 kap. 4 § säkerhetsskyddslagen(2017:xx) med anledning av upphandling till egendom som används som tjänstebostad för statsministern ska den upphandlande myndigheten samråda med Säkerhetspolisen

5 §

Inför beslut om placering i säkerhetsklass enligt 17 §

säkerhetsskyddslagen(1996:627) av anställningar eller annat deltagande i verksamheten vid egendom som används som tjänstebostad för statsministern ska den som bedriver verksamheten samråda med Säkerhetspolisen.

Inför beslut om placering i säkerhetsklass enligt 3 kap. 4 § säkerhetsskyddslagen(2017:xx) av anställningar eller annat deltagande i verksamheten vid egendom som används som tjänstebostad för statsministern ska den som bedriver verksamheten samråda med Säkerhetspolisen.

Denna lag träder i kraft den 1 januari 2017.

1.12. Förslag till säkerhetsskyddsförordning

Härigenom föreskrivs följande.

1 kap. Tillämpningsområde och definitioner

Tillämpningsområde

1 § I denna förordning finns kompletterande föreskrifter om säkerhetsskydd enligt säkerhetsskyddslagen (2017:xx). Begrepp och uttryck som används i denna förordning har samma innebörd och tillämpningsområde som i lagen.

Föreskrifterna gäller inte för riksdagen och dess myndigheter.

2 § För Regeringskansliet gäller endast bestämmelser om informationssäkerhetsklasser, säkerhetsskyddsavtal, säkerhetsprövning och säkerhetsintyg i säkerhetsskyddslagen (2017:xx) samt bestämmelser om säkerhetsskyddsavtal, säkerhetsprövning och säkerhetsintyg i denna förordning.

För sådana kommittéer och särskilda utredare som avses i kommittéförordningen (1976:119) gäller endast bestämmelser om informationssäkerhetsklasser, säkerhetsprövning och säkerhetsintyg i säkerhetsskyddslagen samt bestämmelser om säkerhetsprövning och säkerhetsintyg i denna förordning.

3 § Vad som i denna förordning föreskrivs om myndigheter gäller också vid säkerhetskänslig verksamhet som bedrivs i annan form hos staten, kommuner, landsting och enskilda.

Definitioner

4 § Med säkerhetsskyddsstödjande myndighet avses en myndighet som, för det verksamhetsområde som anges i andra stycket, har uppgifter enligt denna förordning i fråga om ingående av säkerhetsskyddsavtal, beslut om placering i säkerhetsklass, rådgivning och tillsyn avseende bolag, föreningar, stiftelser och enskilda näringsidkare som bedriver säkerhetskänslig verksamhet.

Säkerhetsskyddsstödjande myndighet är

1. Affärsverket svenska kraftnät för elförsörjningsverksamhet,

2. Transportstyrelsen för civil flygtransportverksamhet och verksamhet som i övrigt är av betydelse för luftfartsskydd, eller av betydelse för hamnskydd och sjöfartsskydd,

3. Post- och telestyrelsen för verksamhet som avser elektronisk kommunikation, och

4. Myndigheten för samhällsskydd och beredskap för andra säkerhetskänsliga verksamheter än sådana som anges i 1–3. Myndigheten för samhällsskydd och beredskap är dessutom säkerhetsskyddstödjande myndighet för kommuner och landsting när det gäller rådgivning och tillsyn.

5 § Staten, en eller flera kommuner eller landsting ska anses utöva ett rättsligt bestämmande inflytande över ett aktiebolag, handelsbolag, en förening eller en stiftelse, om den eller de ensamma eller tillsammans

1. äger aktier i ett aktiebolag eller andelar i en ekonomisk förening med fler än hälften av samtliga röster i bolaget eller föreningen eller på något annat sätt förfogar över så många röster i bolaget eller föreningen,

2. har rätt att utse eller avsätta fler än hälften av ledamöterna i styrelsen för ett aktiebolag, en förening eller en stiftelse, eller

3. utgör samtliga obegränsat ansvariga bolagsmän i ett handelsbolag.

Vid tillämpningen av 1–3 ska inflytande anses vara utövat av staten, om inflytandet utövas av en juridisk person över vilken staten bestämmer på det sätt som anges i punkterna. Motsvarande gäller i fråga om kommuner och landsting.

6 § Med säkerhetsskyddsklassificerad handling avses handling som innehåller säkerhetsskyddsklassificerad uppgift enligt 1 kap. 4 § säkerhetsskyddslagen (2017:xx).

7 § Med it-system avses ett system av sammansatt mjuk- och hårdvara som behandlar information.

2 kap. Allmänna bestämmelser om säkerhetsskydd

Säkerhetsskyddsanalys och säkerhetsskyddsplanering

1 § Bestämmelser om säkerhetsskyddsanalys finns i 2 kap. 2 § säkerhetsskyddslagen (2017:xx). Genom sådan analys ska säkerhetsskyddsklassificerade uppgifter och vad som i övrigt behöver ett säkerhetsskydd identifieras samt säkerhetshot och potentiella konsekvenser, sårbarheter och behovet av säkerhetsskyddsåtgärder bedömas.

Säkerhetsskyddsanalysen ska ligga till grund för planeringen av verksamhetens säkerhetsskydd. Analysen ska dokumenteras och hållas uppdaterad.

2 § Vid verksamhet som förordningen gäller för ska det, om det inte är uppenbart obehövligt, finnas en säkerhetsskyddschef som utövar kontroll över säkerhetsskyddet och i övrigt ansvarar för att skyldigheter som följer av 2 kap.2 och 4 §§säkerhetsskyddslagen (2017:xx) fullgörs.

Ingående av säkerhetsskyddsavtal

3 § Sveriges Radio Aktiebolag, Sveriges Televison Aktiebolag,

Teracom Aktiebolag och Teracom Boxer Group Aktiebolag får ingå säkerhetsskyddsavtal när det gäller den egna verksamheten.

En ansökan enligt 2 kap. 4 § säkerhetsskyddslagen (2017:xx) om ingående av säkerhetsskyddsavtal från en upphandlande verksamhet som inte själv får ingå sådant avtal ska i fråga om

1. bolag, föreningar och stiftelser där en myndighet som anges i bilagan till denna förordning, en kommun eller ett landsting utövar ett rättsligt bestämmande inflytande göras till den som utövar sådant bestämmande inflytande, och

2. i övrigt till den säkerhetsskyddsstödjande myndigheten.

4 § Vid förhandlingar om sådana säkerhetsskyddsavtal som avses i 2 kap. 4 § säkerhetsskyddslagen (2017:xx) företräds det allmänna av den myndighet, kommun eller landsting som avser att begära in anbud eller träffa avtal eller som uppdrar åt annan att begära in anbud eller träffa avtal.

Säkerhetsskyddsavtal vid behov av underlag för säkerhetsintyg

5 § Den nationella industrisäkerhetsmyndigheten enligt 8 kap. 1 § får träffa avtal om säkerhetsskydd med en leverantör, om det behövs för att utfärda säkerhetsintyg enligt 4 kap. 2 § säkerhetsskyddslagen (2017:xx).

Anmälan om ingående eller upphörande av säkerhetsskyddsavtal

6 § Den som ingår ett säkerhetsskyddsavtal enligt 2 kap. 4 § säkerhetsskyddslagen (2017:xx) eller 5 § ska anmäla det till

Säkerhetspolisen. Om avtalet upphör vid annan tidpunkt än vad som anges i avtalet, ska också upphörandet av avtalet anmälas till Säkerhetspolisen.

I fråga om sådana säkerhetsskyddsavtal som avses i 5 § ska anmälan enligt första stycket göras också till den nationella säkerhetsmyndigheten enligt 8 kap. 1 §.

Överlåtelse av säkerhetskänslig verksamhet

7 § En myndighet eller annan som planerar att i en betydande omfattning överlåta säkerhetskänslig verksamhet ska anmäla det till den myndighet som enligt 9 kap. 9 eller 10 § ska utföra tillsyn.

8 § När säkerhetskänslig verksamhet överlåts till en enskild ska den överlåtande parten upplysa om att säkerhetsskyddslagen (2017:xx) gäller för verksamheten. En sådan upplysning ska innehålla en erinran om de skyldigheter som enligt 2 kap.2 och 4 §§säkerhetsskyddslagen gäller för den som är ansvarig för en säkerhetskänslig verksamhet.

3 kap. Säkerhetsskyddsklassificerade uppgifter

Anteckning om informationssäkerhetsklass

1 § En säkerhetsskyddsklassificerad handling ska märkas så att de framgår vilken informationssäkerhetsklass uppgifterna i handlingen har. Om handlingen innehåller uppgifter med olika informations-

säkerhetsklass, ska den högsta informationssäkerhetsklassen avgöra vilken märkning handlingen ska ha.

Om en säkerhetsskyddsklassificerad handling kan antas komma att lämnas över till utländska myndigheter eller leverantörer, ska den förses med en markering om ursprungsland.

Behörighet att ta del av säkerhetsskyddsklassificerade uppgifter

2 § Om inte något annat följer av bestämmelser i lag, är endast den behörig att ta del av säkerhetsskyddsklassificerade uppgifter som

1. bedöms pålitlig från säkerhetssynpunkt,

2. har tillräckliga kunskaper om säkerhetsskydd, och

3. behöver uppgifterna för sitt arbete eller annat deltagande i den verksamhet där de säkerhetsskyddsklassificerade uppgifterna förekommer.

3 § Den som tillåts ta del av säkerhetsskyddsklassificerade uppgifter ska upplysas om räckvidden och innebörden av den sekretess och tystnadsplikt som följer av offentlighets- och sekretesslagen (2009:400) eller 5 kap. 2 § säkerhetsskyddslagen (2017:xx).

Skydd för säkerhetsskyddsklassificerade uppgifter som lämnas till en utländsk myndighet eller mellanfolklig organisation

4 § Säkerhetsskyddsklassificerade uppgifter som lämnas till en utländsk myndighet eller en mellanfolklig organisation ska omfattas av ett internationellt säkerhetsskyddsåtagande hos den mottagande myndigheten eller organisationen, om det inte finns särskilda skäl för att sådana uppgifter ändå kan lämnas.

I 8 kap. 3 § offentlighets- och sekretesslagen (2009:400) samt i förordningen (2010:649) om utlämnande av sekretessbelagda uppgifter vid samarbete med utländsk myndighet finns det bestämmelser om när uppgifter som omfattas av sekretess får lämnas till en utländsk myndighet eller en mellanfolklig organisation.

4 kap. Informationssäkerhet

1 § Den som avser att inrätta ett it-system som ska användas för säkerhetskänslig verksamhet ska analysera vilka krav på skydd som finns och se till att säkerhetsskyddet utformas så att dessa krav tillgodoses.

2 § Innan ett it-system, som kan förutses komma att behandla säkerhetsskyddklassificerade uppgifter i informationssäkerhetsklassen konfidentiell eller däröver inrättas eller i väsentliga avseenden förändras ska myndigheten eller den som förordningen i övrigt gäller för skriftligen samråda med Säkerhetspolisen. Om myndigheten hör till Försvarsmaktens tillsynsområde enligt 9 kap. 9 § 1, ska den i stället samråda med Försvarsmakten.

Vad som anges i första stycket gäller även i fråga om it-system som är av motsvarande betydelse för Sveriges säkerhet, även om de inte behandlar säkerhetsskyddsklassificerade uppgifter.

3 § Ett it-system som av flera personer ska användas för behandling av säkerhetsskyddsklassificerade uppgifter ska vara försett med funktioner för behörighetskontroll, registrering av händelser i systemet som är av betydelse för säkerheten, skydd mot obehörig avlyssning, intrångsskydd, skydd mot skadlig kod samt skydd mot röjande signaler.

Ett it-system enligt första stycket får inte tas i drift förrän det har ackrediterats av den för vars verksamhet systemet inrättas.

Säkerhetspolisen får föreskriva eller besluta om undantag från kravet i första stycket. Om det gäller verksamhet som hör till Försvarsmaktens tillsynsområde enligt 9 kap. 9 § 1, får i stället Försvarsmakten föreskriva eller besluta om sådant undantag.

4 § Myndigheter och andra som förordningen gäller för ska, innan de behandlar säkerhetsskyddsklassificerade uppgifter i ett it-system utanför deras kontroll, försäkra sig om att det för uppgifterna där finns ett tillräckligt säkerhetsskydd.

Om säkerhetsskyddsklassificerade uppgifter ska kommuniceras och skyddas med hjälp av kryptografiska funktioner, ska dessa ha godkänts av Försvarsmakten.

Säkerhetspolisen får föreskriva eller besluta om undantag från kravet i andra stycket utom då kravet följer av ett internationellt säkerhetsskyddsåtagande. Om det gäller verksamhet som hör till Försvarsmaktens tillsynsområde enligt 9 kap. 9 § 1, får i stället Försvarsmakten föreskriva eller besluta om sådant undantag.

5 § För försändelser till utlandet med säkerhetsskyddsklassificerade handlingar, som innehåller uppgifter i informationssäkerhetsklassen konfidentiell eller däröver, ska Utrikesdepartementets kurirförbindelser anlitas.

Säkerhetspolisen får föreskriva eller besluta om undantag från kravet i första stycket. Om det gäller verksamhet som hör till Försvarsmaktens tillsynsområde enligt 9 kap. 9 § 1, får i stället Försvarsmakten föreskriva eller besluta om sådant undantag.

6 § Säkerhetsskyddsklassificerade handlingar som märkts som kvalificerat hemliga ska inventeras minst en gång per år. Säkerhetsskyddsklassificerade handlingar som märkts som hemliga eller konfidentiella ska inventeras i den omfattning som anges i

Säkerhetspolisen föreskrifter eller, om det gäller verksamhet som hör till Försvarsmaktens tillsynsområde enligt 9 kap. 9 § 1, Försvarsmaktens föreskrifter.

Kravet på inventering gäller inte för handlingar som är arkiverade.

5 kap. Personalsäkerhet

Genomförandet av säkerhetsprövningen

1 § Med grundutredning enligt 3 kap. 3 § säkerhetsskyddslagen (2017:xx) avses en utredning om personliga förhållanden av betydelse för säkerhetsprövningen. Den ska avse bland annat betyg, intyg, referenser samt uppgifter som den som prövningen avser har lämnat. Identitetskontroll ska göras, om det inte är obehövligt.

2 § I 7 kap. 1 och 3–14 §§ finns bestämmelser om registerkontroll och särskild personutredning som föranleds av ett beslut om placering i säkerhetsklass. Ansökan om registerkontroll och särskild personutredning ska inte göras om det redan mot bak-

grund av vad som kommit fram vid grundutredningen står klart att det är olämpligt att den som prövningen avser deltar i den säkerhetskänsliga verksamheten.

3 § Av 6 kap. 1 och 3 §§ och 7 kap. 5 § följer att en myndighet i vissa fall ska besluta om placering i säkerhetsklass och vid

Säkerhetspolisen ansöka om registerkontroll i fråga om någon som inte ska anlitas i den egna verksamheten. Myndigheten ska inte bedöma uppgifter som lämnas ut vid sådan kontroll utan endast redovisa resultatet till den verksamhet som berörs. Det gäller dock inte om det följer av 3 kap. 14 § andra stycket säkerhetsskyddslagen (2017:xx) att myndigheten ska göra den slutliga bedömningen i fråga om säkerhetsprövningen. I sådana fall ska myndigheten, om inte särskilda skäl talar emot det, samråda med den berörda arbetsgivaren.

Dokumentation av säkerhetsprövning

4 § Säkerhetsprövningen ska dokumenteras.

Utbildning i säkerhetsskydd

5 § Den som är ansvarig för en säkerhetskänslig verksamhet ska se till att den som ska anställas eller på annat sätt delta i verksamheten får utbildning i säkerhetsskydd i den utsträckning som behövs.

Behovet av utbildning ska följas upp under den tid deltagandet i den säkerhetskänsliga verksamheten pågår.

6 kap. Beslut om placering i säkerhetsklass

1 § Kommuner, landsting och de myndigheter som anges i bilagan till denna förordning beslutar om

1. placering i säkerhetsklass 2 och 3 i fråga om anställning eller annat deltagande i den egna verksamheten och hos bolag, föreningar och stiftelser som de utövar ett rättsligt bestämmande inflytande över, samt

2. placering i säkerhetsklass i fråga om anställning eller uppdrag hos en leverantör med vilken de har ingått säkerhetsskyddsavtal enligt 2 kap. 4 § säkerhetsskyddslagen (2017:xx).

Utöver vad som följer av första stycket beslutar Regeringskansliet också om placering i säkerhetsklass 2 och 3 i fråga om anställning eller annat deltagande i sådan verksamhet som avses i 1 § kommittéförordningen (1998:1474).

2 § Sveriges Radio Aktiebolag, Sveriges Televison Aktiebolag,

Teracom Aktiebolag och Teracom Boxer Group Aktiebolag beslutar om placering i säkerhetsklass 2 och 3 i fråga om anställning eller annat deltagande i den egna verksamheten.

3 § I andra fall än de som anges i 1 och 2 §§ beslutar den säkerhetsskyddsstödjande myndigheten om placering i säkerhetsklass 2 och 3 i fråga om anställning eller annat deltagande i verksamhet hos bolag, föreningar, stiftelser och enskilda näringsidkare enligt de ansvarsområden som anges i 1 kap. 4 §.

4 § Om en kommun, ett landsting eller en sådan myndighet som anges i 1 § eller 3 § bedömer att det finns behov av att placera en anställning eller annat deltagande i säkerhetsklass 1, ska myndigheten, kommunen eller landstinget begära att regeringen beslutar om sådan placering. Motsvarande gäller för bolag som anges i 2 §.

7 kap. Registerkontroll

Registerkontroll vid placering i säkerhetsklass

1 § Av ett beslut om att en anställning eller annat deltagande i säkerhetskänslig verksamhet ska placeras i säkerhetsklass följer att säkerhetsprövning vid sådan anställning eller sådant deltagande ska omfatta registerkontroll i enlighet med 3 kap. 6 § säkerhetsskyddslagen (2017:xx). Av ett sådant beslut följer också att en särskild personutredning ska göras vid registerkontrollen i den utsträckning som anges i 3 kap. 10 § säkerhetsskyddslagen.

Registerkontroll utan placering i säkerhetsklass

2 § Registerkontroll av den som ska delta i säkerhetskänslig verksamhet får göras utan placering i säkerhetsklass om det finns särskilda skäl. Regeringen beslutar om sådan registerkontroll.

Vid större evenemang, statsbesök eller andra liknade händelser får regeringen överlåta åt Säkerhetspolisen att besluta om sådan registerkontroll.

Närmare förutsättningar för registerkontroll

3 § Registerkontroll får göras endast om den som säkerhetsprövningen avser kan antas komma att anställas eller på annat sätt delta i den aktuella verksamheten. Om det finns synnerliga skäl, får kontroll göras utan ett sådant antagande.

4 § Registerkontroll vid anställning eller deltagande som placerats i säkerhetsklass 1 eller 2 ska göras på nytt, om det finns anledning till det.

Utförande av registerkontroll

5 § Säkerhetspolisen ska utföra registerkontroll efter ansökan från den som beslutat om placering i säkerhetsklass eller från sådant bolag som avses i 6 § eller från den som i annat fall beslutat om registerkontroll.

När regeringen beslutat om placering i säkerhetsklass ska, om inte annat anges i beslutet, kontrollen utföras efter ansökan från den som beslutar om placering i säkerhetsklass 2 och 3.

6 § Om det finns särskilda skäl, får en säkerhetsskyddsstödjande myndighet besluta att ett bolag med anledning av ett beslut om placering i säkerhetsklass får ansöka vid Säkerhetspolisen om registerkontroll.

7 § Till en ansökan om registerkontroll ska bifogas uppgift om lämnat samtycke enligt 3 kap. 11 § säkerhetsskyddslagen (2017:xx) och uppgift om placering i säkerhetsklass eller, om register-

kontrollen inte föranleds av ett beslut om placering i säkerhetsklass, beslut om registerkontroll. Om registerkontrollen avser anställning eller annat deltagande i verksamhet som har placerats i säkerhetsklass 1 eller 2, ska också ett skriftligt underlag bifogas där den som kontrollen avser har lämnat uppgifter om sina personliga förhållanden.

8 § Säkerhetspolisens uppgift att utföra registerkontrollen innefattar också uppgiften att göra en särskild personutredning enligt 3 kap. 10 § säkerhetsskyddslagen. När det gäller en anställning eller annat deltagande i verksamhet som har placerats i säkerhetsklass 1 ska sådan utredning omfatta även andra personliga förhållanden än de ekonomiska, om det inte är obehövligt. Om det finns särskilda skäl, ska också en utredning som avser anställningar och annat deltagande i verksamhet som har placerats i säkerhetsklass 2 omfatta sådana förhållanden.

9 § När den särskilda personutredningen avser anställningar och annat deltagande i verksamhet som har placerats i säkerhetsklass 1, ska Säkerhetspolisen hålla ett personligt samtal med den som prövningen gäller. Ett sådant samtal får dock underlåtas, om det står klart att det inte behövs.

Ett personligt samtal ska, om det behövs, hållas också när utredningen avser anställningar och annat deltagande i verksamhet som har placerats i säkerhetsklass 2.

Handläggningen av frågan om utlämnande av uppgifter

10 § Om det vid registerkontrollen kommer fram uppgifter som antas kunna vara av betydelse för säkerhetsprövningen, ska

Säkerhetspolisen underställa Säkerhets- och integritetsskyddsnämnden frågan om uppgifter ska lämnas ut enligt 3 kap. 12 § säkerhetsskyddslagen (2017:xx).

11 § Säkerhets- och integritetsskyddsnämnden ska avgöra om den som en uppgift avser ska ges tillfälle att yttra sig över uppgiften enligt 3 kap. 13 § säkerhetsskyddslagen (2017:xx). Säkerhets- och integritetsskyddsnämnden ska vid sin prövning av denna fråga

överväga om ett personligt samtal bör hållas med den kontrollerade. Om Säkerhets- och integritetsskyddsnämnden finner att den som uppgiften avser ska ges tillfälle att yttra sig över uppgiften eller att ett personligt samtal ska hållas med denne, ska nämnden uppdra åt Säkerhetspolisen att inhämta yttrande eller hålla personligt samtal med den kontrollerade. Yttranden som kommit in till Säkerhetspolisen och uppgifter som kommit fram vid personligt samtal ska redovisas för Säkerhets- och integritetsskyddsnämnden.

12 § En uppgift som efter beslut av Säkerhets- och integritetsskyddsnämnden ska lämnas ut för säkerhetsprövning får inte åtföljas av något annat yttrande än en förtydligande kommentar till uppgiften.

13 § Det får inte framgå av svaret på en ansökan om registerkontroll att det finns en uppgift om den kontrollerade som inte lämnas ut.

Avanmälan

14 § Vid upphörande av en anställning eller annat deltagande som föranlett placering i säkerhetsklass eller vid en omplacering till en lägre säkerhetsklass ska verksamhetens säkerhetsskyddschef skyndsamt anmäla till Säkerhetspolisen att registerkontrollen ska avslutas eller anpassas till den lägre säkerhetsklassen. Sådan avanmälan ska göras också om ett deltagande i den säkerhetskänsliga verksamheten inte längre är aktuellt.

8 kap. Internationell samverkan och säkerhetsintyg

1 § Försvarsmakten ska vara nationell säkerhetsmyndighet och

Försvarets materielverk nationell industrisäkerhetsmyndighet enligt 4 kap. 1 § säkerhetsskyddslagen (2017:xx).

Försvarsmakten ska, i fråga om andra ärenden än sådana som avses i 4 kap.2 och 5 §§säkerhetsskyddslagen, till Säkerhetspolisen lämna över ärenden som rör främst Säkerhetspolisens tillsynsområde enligt 9 kap. 9 § 2. Innan sådant överlämnade ska Försvarsmakten samråda med Säkerhetspolisen. Försvarsmakten och

Säkerhetspolisen får komma överens om att ärendet ska handläggas av Försvarsmakten.

2 § Om en person eller en leverantör ansöker om ett säkerhetsintyg enligt 4 kap. 2 § säkerhetsskyddslagen (2017:xx), får en tidigare gjord säkerhetsprövning eller ett tidigare träffat säkerhetsskyddsavtal i den utsträckning som är lämpligt läggas till grund för utfärdande av ett sådant intyg. Föreskrifter om detta meddelas av

Försvarsmakten och Försvarets materielverk i den utsträckning som följer av 9 kap. 2 och 3 §§.

3 § Bestämmelserna i 5 och 7 kap. gäller i tillämpliga delar vid ärenden enligt 4 kap.2 och 5 §§säkerhetsskyddslagen (2017:xx).

9 kap. Föreskrifter, rådgivning och tillsyn

Föreskrifter

1 § Säkerhetspolisen får meddela närmare föreskrifter om verkställigheten av säkerhetsskyddslagen (2017:xx) i fråga om förfarandet vid registerkontroll, om inte annat följer av 2 och 3 §§.

2 § Försvarsmakten får meddela närmare föreskrifter om verkställigheten av säkerhetsskyddslagen (2017:xx) i fråga om internationella säkerhetsskyddsåtaganden, utfärdande av säkerhetsintyg för personer enligt 4 kap. 2 § säkerhetsskyddslagen, registerkontroll enligt 4 kap. 5 § säkerhetsskyddslagen, samt om kryptografiska funktioner som är avsedda för skydd av säkerhetskänslig verksamhet. Försvarsmakten ska innan sådana föreskrifter meddelas samråda med Säkerhetspolisen.

3 § Försvarets materielverk får meddela närmare föreskrifter om verkställigheten av säkerhetsskyddslagen (2017:xx) i fråga om utfärdande av säkerhetsintyg för leverantörer enligt 4 kap. 2 § säkerhetsskyddslagen. Försvarets materielverk ska innan sådana föreskrifter meddelas samråda med Försvarsmakten och Säkerhetspolisen.

4 § Utöver vad som följer av 1–3 §§ får Säkerhetspolisen, med undantag av Försvarsmaktens tillsynsområde enligt 9 § 1, meddela ytterligare föreskrifter om verkställigheten av säkerhetsskyddslagen (2017:xx). Säkerhetspolisen ska innan sådana föreskrifter meddelas samråda med Försvarsmakten. Motsvarande gäller i fråga om föreskrifter enligt 4 kap. 3–6 §§.

Försvarsmakten får, utöver vad som följer av 1–3 §§, meddela föreskrifter för sitt tillsynsområde. Försvarsmakten ska innan sådana föreskrifter meddelas samråda med Säkerhetspolisen. Motsvarande gäller i fråga om föreskrifter enligt 4 kap. 3–6 §§.

5 § En säkerhetsskyddsstödjande myndighet får för sitt ansvarsområde enligt 1 kap. 4 § meddela föreskrifter som kompletterar föreskrifter meddelade av Säkerhetspolisen, Försvarsmakten och

Försvarets materielverk med stöd av 1–4 §§. Om det inte är obehövligt, ska myndigheterna innan sådana föreskrifter meddelas samråda med Säkerhetspolisen, Försvarsmakten och Försvarets materielverk.

6 § Myndigheter för vilka säkerhetsskyddslagen (2017:xx) gäller ska meddela ytterligare föreskrifter om verkställigheten av säkerhetsskyddslagen i fråga om säkerhetsskyddet för sin egen verksamhet, om det inte är obehövligt. En myndighet ska innan sådana föreskrifter meddelas samråda med Säkerhetspolisen. Om myndigheten omfattas av Försvarsmaktens tillsynsområde enligt 9 § 1, ska den i stället samråda med Försvarsmakten.

Rådgivning

7 § Säkerhetspolisen och Försvarsmakten ska på begäran lämna råd om säkerhetsskydd till Regeringskansliet, riksdagen och dess myndigheter samt till Justitiekanslern. Sådan rådgivning ska samordnas av Säkerhetspolisen.

8 § De säkerhetsskyddsstödjande myndigheterna ska inom sina respektive ansvarsområden lämna råd i fråga om skyldigheter som följer av säkerhetsskyddslagen (2017:xx).

Tillsyn

9 § Tillsyn över säkerhetsskyddet ska utföras av

1. Försvarsmakten när det gäller Fortifikationsverket och Försvarshögskolan samt de myndigheter som hör till Försvarsdepartementet,

2. Säkerhetspolisen när det gäller övriga myndigheter utom Justitiekanslern, och

3. de säkerhetsskyddsstödjande myndigheterna enligt de ansvarsområden som följer av 1 kap. 4 §.

Tillsyn enligt första stycket får avse även verksamhet som omfattas av ett säkerhetsskyddsavtal samt verksamhet hos bolag, föreningar och stiftelser som den verksamhet som tillsynen avser utövar ett rättsligt bestämmande inflytande över. Om inte särskilda skäl talar emot, ska tillsynen utföras i samråd med den avtalsslutande myndigheten, kommunen eller landstinget.

10 § Utöver vad som följer av 9 § andra stycket får tillsyn över bolag, föreningar, stiftelser och enskilda näringsidkare utföras också av Säkerhetspolisen och Försvarsmakten. Säkerhetspolisen får även utföra tillsyn över kommuner och landsting. Om inte särskilda skäl talar emot det, ska tillsynen utföras i samråd med den myndighet som ska utföra tillsyn enligt 9 § 3.

Säkerhetspolisen får besluta att myndigheten ska utföra tillsynen över en leverantör som har uppdrag för flera myndigheter, kommuner eller landsting och där leverantörens samlade uppdrag är av stor betydelse för Sveriges säkerhet.

10 kap. Övriga bestämmelser

Anmälan vid röjande av en säkerhetsskyddsklassificerad uppgift

1 § Om en säkerhetsskyddsklassificerad uppgift i informationssäkerhetsklassen konfidentiell eller däröver kan ha röjts, ska det skyndsamt anmälas till Säkerhetspolisen Om sådan uppgift omfattas av ett internationellt säkerhetsskyddsåtagande eller om det gäller en verksamhet som hör till Försvarsmaktens tillsynsområde enligt 9 kap. 9 § 1, ska anmälan göras också till Försvarsmakten.

Anmälan vid allvarlig säkerhetshotande verksamhet

2 § Om myndigheter och andra som förordningen gäller för får kännedom om allvarlig säkerhetshotande verksamhet eller misstänker sådan verksamhet ska de skyndsamt rapportera förhållandet till den myndighet som enligt 9 kap. 9 eller 10 §§ ska utföra tillsyn.

Om en sådan rapport lämnas till en annan myndighet än Säkerhetspolisen eller Försvarsmakten, ska den mottagande myndigheten skyndsamt informera Säkerhetspolisen.

Anmälan om brister i säkerhetsskyddet

3 § Om det vid utövande av tillsyn över säkerhetsskyddet konstateras allvarliga brister som trots påpekanden inte rättas till, ska Säkerhetspolisen eller Försvarsmakten anmäla förhållandet till regeringen. Det gäller dock inte brister hos sådana enskilda där villkoren för säkerhetsskyddet angetts i ett säkerhetsskyddsavtal.

Om sådana brister i säkerhetsskyddet som anges i första stycket konstaterats av annan myndighet än Säkerhetspolisen eller Försvarsmakten, ska myndigheten informera Säkerhetspolisen. Om bristerna gäller verksamhet som omfattas av ett internationellt säkerhetsskyddsåtagande, ska myndigheten också informera Försvarsmakten.

Överklagande

4 § Beslut enligt denna förordning får inte överklagas.

Ikraftträdande och övergångsbestämmelser

1. Denna förordning träder i kraft den 1 januari 2017.

2. Genom förordningen upphävs säkerhetsskyddsförordningen (1996:633).

3. Ett beslut om registerkontroll enligt 26 eller 27 § säkerhetsskyddsförordningen (1996:633) ska, om inte annat beslutas, motsvara ett beslut om placering i säkerhetsklass 3 enligt 3 kap. 4 § första stycket 3 säkerhetsskyddslagen (2017:xx).

4. Föreskriften i 3 kap. 1 § gäller inte handlingar som är arkiverade. I fråga om andra handlingar och som märkts enligt föreskrifter som meddelats med stöd av säkerhetsskyddslagen (1996:627) ska föreskriften i 3 kap. 1 § tillämpas först den 1 januari 2020.

5. Säkerhetsskyddsklassificerade uppgifter får utan hinder av bestämmelsen i 3 kap. 4 § lämnas ut till en utländsk myndighet eller mellanfolklig organisation till utgången av 2019 utan att omfattas av ett internationellt säkerhetsskyddsåtagande hos den mottagande myndigheten eller organisationen.

Bilaga

Följande statliga myndigheter beslutar om placering i säkerhetsklasser i enlighet med vad som anges i 6 kap. 1 §.

Affärsverket svenska kraftnät, Arbetsförmedlingen Arbetsgivarverket, Arbetsmiljöverket, Brottsförebyggande rådet, Datainspektionen, Domstolsverket, E-hälsomyndigheten, Ekobrottsmyndigheten, Ekonomistyrningsverket, E-legitimationsnämnden Elsäkerhetsverket, Energimarknadsinspektionen, Exportkreditnämnden, Finansinspektionen, Folke Bernadotteakademin, Folkhälsomyndigheten, Fortifikationsverket, Försvarets materielverk, Försvarets radioanstalt, Försvarsexportmyndigheten, Försvarshögskolan, Försvarsmakten, Försvarsunderrättelsedomstolen, Försäkringskassan, Granskningsnämnden för försvarsuppfinningar, Havs- och vattenmyndigheten, Inspektionen för strategiska produkter, Justitiekanslern, Konkurrensverket, Kriminalvården, Kronofogdemyndigheten, Kustbevakningen, Lantmäteriet,

Luftfartsverket, Läkemedelsverket, länsstyrelserna, Migrationsverket, Myndigheten för samhällsskydd och beredskap, Myndigheten för tillväxtpolitiska utvärderingar och analyser, Naturvårdsverket, Patent- och registreringsverket Pensionsmyndigheten, Polismyndigheten Post- och telestyrelsen, Regeringskansliet, Riksarkivet, Riksgäldskontoret, Rymdstyrelsen, Sjöfartsverket, Skatteverket Socialstyrelsen, Statens energimyndighet Statens fastighetsverk, Statens haverikommission, Statens inspektion för försvarsunderrättelseverksamheten, Statens jordbruksverk, Statens livsmedelsverk, Statens servicecenter, Statens tjänstepensionsverk, Statens veterinärmedicinska anstalt, Statens överklagandenämnd, Statistiska centralbyrån, Statskontoret, Strålsäkerhetsmyndigheten, Styrelsen för internationellt utvecklingssamarbete, Sveriges geologiska undersökning, Sveriges lantbruksuniversitet, Sveriges meteorologiska och hydrologiska institut, Säkerhets- och integritetsskyddsnämnden, Säkerhetspolisen Totalförsvarets forskningsinstitut, Totalförsvarets rekryteringsmyndighet,

Trafikverket, Transportstyrelsen, Tullverket, Valmyndigheten, och Åklagarmyndigheten.

1.13. Förslag till förordning om ändring i förordningen (1989:149) om bevakningsföretag m.m.

Härigenom föreskrivs att 10 § förordningen (1989:149) om bevakningsföretag m.m. ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

10 §

För godkännandemyndighetens prövning av en persons laglydnad och medborgerliga pålitlighet skall uppgifter som avses i 21 § 2 säkerhetsskyddslagen (1996:627) inhämtas. Därvid skall 19, 24–26 och 28 §§ säkerhetsskyddslagen och 29, 31–33 och 43 §§ säkerhetsskyddsförordningen (1996:633) tillämpas.

För godkännandemyndighetens prövning av en persons laglydnad och medborgerliga pålitlighet ska uppgifter som avses i 3 kap. 12 § första stycket 2 säkerhetsskyddslagen(2017:xx) inhämtas. Därvid ska 3 kap. 11 §, 12 § tredje stycket och 13 § säkerhetsskyddslagen och 7 kap. 5 § första stycket, 11–13 §§ och 9 kap. 1 § säkerhetsskyddsförordningen (2017:xx) tillämpas.

Avser prövningen en person som inte redan är anlitad av ett bevakningsföretag, inhämtar dock myndigheten uppgifter ur belastningsregistret och misstankeregistret genom direktåtkomst enligt 20 § förordningen (1999:1134) om belastningsregister och 7 § förordningen (1999:1135) om misstankeregister.

Denna förordning träder i kraft den 1 januari 2017.

1.14. Förslag till förordning om ändring i förordningen (1996:1515) med instruktion för Regeringskansliet

Härigenom föreskrivs att 20 § förordningen (1996:1515) med instruktion för Regeringskansliet ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

20 §

Regeringskansliet ska

1. utse Sveriges ombud och andra representanter vid förhandlingar med annan stat eller vid förhandlingar med och möten inom internationella organisationer,

2. utse Sveriges representanter i det löpande arbetet inom Europeiska unionens råd samt föreslå och utse Sveriges representanter i kommittéer under Europeiska kommissionen,

3. besvara formella underrättelser från kommissionen och i övrigt upplysa kommissionen om hur Sverige har uppfyllt de förpliktelser som följer av Sveriges medlemskap i unionen,

4. bestämma vem som ska delta i arbetet inom Ständiga representanternas kommitté,

5. besvara motiverade yttranden från kommissionen,

6. anmäla förslag till författningar i enlighet med informationsförfaranden som följer av Sveriges medlemskap i unionen eller av andra internationella överenskommelser.

7. avge svenska svar och kommentarer inom förfaranden som följer av Sveriges medlemskap i unionen eller av andra internationella överenskommelser,

8. vara den nationella säkerhetsmyndighet som ansvarar för att upprätthålla säkerheten för sekretessbelagda uppgifter enligt Europeiska rådets säkerhetsföreskrifter samt enligt Sveriges åta-

7. avge svenska svar och kommentarer inom förfaranden som följer av Sveriges medlemskap i unionen eller av andra internationella överenskommelser, och

8. besvara en utländsk begäran om inspektion, utvärderingsbesök eller observationsflygning som följer av åtaganden inom Organisationen för säkerhet och sam-

ganden om detta i överenskommelser med Västeuropeiska unionen och Nato inom ramen för samarbetet Partnerskap för fred, och

9. besvara en utländsk begäran om inspektion, utvärderingsbesök eller observationsflygning som följer av åtaganden inom Organisationen för säkerhet och samarbete i Europa (OSSE) enligt Wiendokumentet om förtroende- och säkerhetsskapande åtgärder den 30 november 2011 och fördraget om observationsflygningar den 24 mars 1992.

arbete i Europa (OSSE) enligt Wiendokumentet om förtroende- och säkerhetsskapande åtgärder den 30 november 2011 och fördraget om observationsflygningar den 24 mars 1992.

Denna förordning träder i kraft den 1 januari 2017.

1.15. Förslag till förordning om ändring i förordningen (2001:590) om behandling av uppgifter i Kronofogdemyndighetens verksamhet

Härigenom föreskrivs att 8 § förordningen (2001:590) om behandling av uppgifter i Kronofogdemyndighetens verksamhet ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

8 §

På begäran av Säkerhetspolisen skall lämnas ut uppgifter som avses i 2 kap. 5 § 17 lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet om uppgifterna avser en person som förekommer i ett ärende om särskild personutredning enligt

18 § säkerhetsskyddslagen(1996:627).

På begäran av Säkerhetspolisen ska lämnas ut uppgifter som avses i 2 kap. 5 § 17 lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet om uppgifterna avser en person som förekommer i ett ärende om särskild personutredning enligt 3 kap. 10 § säkerhetsskyddslagen (2017:xx).

Denna förordning träder i kraft den 1 januari 2017.

1.16. Förslag till förordning om ändring i förordningen (2007:1141) med instruktion för Säkerhets- och integritetsskyddsnämnden

Härigenom föreskrivs att 2 § förordningen (2007:1141) med instruktion för Säkerhet