SOU 2018:82

Kompletteringar till den nya säkerhetsskyddslagen

Till statsrådet och chefen för Justitiedepartementet

Regeringen beslutade den 23 mars 2017 att tillkalla en särskild utredare med uppdrag att överväga vissa frågor i säkerhetsskyddslagstiftningen (dir. 2017:32). Förslagen skulle komplettera de förslag som lämnats i betänkandet En ny säkerhetsskyddslag (SOU 2015:25). Genom tilläggsdirektiv den 18 januari 2018 utökades utredningens uppdrag och utredningstiden förlängdes till den 31 oktober 2018 (dir. 2018:2).

F.d. lagmannen Stefan Strömberg förordnades som särskild utredare den 2 maj 2017.

Förordnade sakkunniga under hela utredningstiden har varit numera kanslirådet Dan Leeman (Justitiedepartementet), kanslirådet Mia Persson (Försvarsdepartementet), ämnesrådet Margareta Gårdmark-Nylén (Näringsdepartementet) och kanslirådet Mats Rundström (Finansdepartementet).

Förordnade experter under hela utredningstiden har varit överste Anders Edholm (Försvarsmakten), strategiska experten Jesper Rikala (Försvarets materielverk), myndighetsjuristen Anna Trulsson (Myndigheten för samhällsskydd och beredskap), chefsjuristen Kristina Nilsson (Transportstyrelsen), juristen Joanna Rutkowska (Post- och telestyrelsen), säkerhetsskyddschefen Alireza Hafezi (Affärsverket svenska kraftnät), chefsjuristen Lena M Johansson (Länsstyrelsen i Stockholm) och rådmannen Karin Erlandsson (Södertörns tingsrätt). Ylva Söderlund (Säkerhetspolisen) förordnades som expert den 11 augusti 2017 och entledigades den 26 januari 2018. Samma dag entledigades även verksjuristen Sven Johnard (Säkerhetspolisen), varvid biträdande enhetschefen Ewa Bokwall och biträdande enhetschefen Linda Escar (båda Säkerhetspolisen) förordnades som experter.

Numera ämnesrådet Annette Norman (Justitiedepartementet) förordnades som expert i utredningen den 9 januari 2018. Numera kammarrättsassessorn Anders Lagerwall var förordnad som expert i utredningen under tiden den 28 juni 2017 till den 14 september 2017.

Annette Norman var sekreterare i utredningen under tiden den 2 maj 2017 till den 9 januari 2018. Anders Lagerwall var sekreterare i utredningen under tiden den 14 september 2017 till den 27 oktober 2018. Hovrättsassessorn Johanna Kallifatides förordnades som huvudsekreterare den 11 januari 2018.

Vi överlämnar härmed betänkandet Kompletteringar till den nya

säkerhetsskyddslagen(SOU 2018:82). Uppdraget är med detta slutfört.

Experterna har deltagit i arbetet i sådan utsträckning att detta är formulerat i vi-form. De ställer sig i stora delar bakom utredningens bedömningar och förslag. Skilda uppfattningar i enskildheter och beträffande formuleringar kan förekomma utan att detta har kommit till särskilt uttryck.

Stockholm i november 2018

Stefan Strömberg

/Johanna Kallifatides Anders Lagerwall

5

Innehåll

Förklaring av begrepp och förkortningar ................................ 17

Sammanfattning ................................................................ 19

1 Författningsförslag ..................................................... 41

1.1 Förslag till lag om ändring i säkerhetsskyddslagen (2018:585)................................................................................ 41 1.2 Förslag till förordning om ändring i säkerhetsskyddsförordningen (2018:658) ........................... 59

2 Utredningens uppdrag och arbete ................................ 69

2.1 Utredningens uppdrag ............................................................ 69 2.2 Något om begreppen .............................................................. 74 2.3 Utredningens arbete ............................................................... 75

3 Bakgrund och viss relevant reglering ............................ 77

3.1 Inledning.................................................................................. 77 3.2 Bakgrunden till vårt uppdrag .................................................. 77 3.3 Betydelsen av samhällsutvecklingen och ett förändrat omvärldsläge ............................................................................ 79 3.4 En översiktlig beskrivning av säkerhetsskyddsreglerna........ 81 3.4.1 Avsnittets innehåll ................................................... 81 3.4.2 Vad är säkerhetsskydd? ........................................... 81 3.4.3 Vem gäller reglerna för? .......................................... 83 3.4.4 Säkerhetsskyddsklassificering ................................. 83

Innehåll SOU 2018:82

6

3.4.5 De olika säkerhetsskyddsåtgärderna ...................... 84 3.4.6 Säkerhetsskyddsavtal .............................................. 86 3.4.7 Bemyndigande ......................................................... 87 3.4.8 Säkerhetsprövning ................................................... 88 3.4.9 Internationell säkerhetsskyddssamverkan och säkerhetsintyg................................................... 89 3.4.10 Tystnadsplikt ........................................................... 90 3.4.11 Tillsyn ...................................................................... 90

3.5 Sekretessreglerna .................................................................... 90 3.6 Skyddet för enskildas rättigheter ........................................... 93 3.6.1 Egendomsskyddet i regeringsformen .................... 93 3.6.2 Egendomsskyddet i Europakonventionen ............ 94 3.6.3 Näringsfriheten ....................................................... 95 3.6.4 Rätten till domstolsprövning ................................. 96 3.6.5 Rättsprövningslagen .............................................. 104

4 Nordisk utblick ........................................................ 107

4.1 Inledning ............................................................................... 107 4.2 Norge .................................................................................... 107 4.3 Finland .................................................................................. 111 4.4 Danmark................................................................................ 115

5 Skyldigheten att ingå säkerhetsskyddsavtal................. 117

5.1 Uppdraget ............................................................................. 117 5.2 Den relevanta regleringen .................................................... 119 5.3 Förhållandet mellan säkerhetsskyddslagen och offentlighets- och sekretesslagen ................................. 127 5.4 Skyldigheten att ingå säkerhetsskyddsavtal bör utvidgas .. 129 5.4.1 Utgångspunkter för våra överväganden ............... 129 5.4.2 Situationer där avsaknaden av säkerhetsskyddsavtal kan medföra negativa konsekvenser ......................................................... 130

Innehåll

7

5.4.3 Skyldigheten att ingå säkerhetsskyddsavtal bör utgå från exponeringen av säkerhetsskyddsklassificerade uppgifter eller i övrigt säkerhetskänslig verksamhet .................... 136 5.4.4 Samverkan och samarbeten mellan statliga myndigheter bör undantas i vissa fall ................... 141 5.4.5 Andra än statliga myndigheter bör normalt omfattas av en skyldighet att ingå säkerhetsskyddsavtal ............................................. 149 5.4.6 Regeringen bör kunna föreskriva och besluta om undantag .......................................................... 150 5.4.7 Bestämmelsernas närmare utformning ................. 151

5.5 Reglerna om behörighet bör övervägas ............................... 155 5.6 Kopplingen mellan säkerhetsskyddsavtal och säkerhetsprövning bör förtydligas ................................ 157

6 Utkontraktering och upplåtelse av säkerhetskänslig verksamhet samt vissa andra förfaranden ................... 159

6.1 Uppdraget .............................................................................. 159 6.2 Förhållandet till angränsande utredningar och reglering .... 164 6.2.1 Förhållandet till områdesreglering ....................... 164 6.2.2 Förhållandet till utredningen om förbättrat skydd för totalförsvarsverksamhet ....................... 165 6.3 Den relevanta regleringen ..................................................... 168 6.3.1 Säkerhetsskyddsavtal ............................................. 168 6.3.2 Samrådsskyldighet, föreläggande och förbud ...... 169 6.3.3 Upphandling .......................................................... 171 6.4 Problembeskrivning .............................................................. 176 6.4.1 Teknikutvecklingen har ökat Sveriges sårbarhet ................................................................. 177 6.4.2 Verksamhetsutövare tillämpar inte säkerhetsskyddslagen ............................................ 178 6.4.3 Bristande kunskaper om egna skyddsvärden ....... 179 6.4.4 Bristande eller utebliven bedömning av lämpligheten ........................................................... 181 6.4.5 Brister i arbetet med säkerhetsskyddsavtal .......... 185

Innehåll SOU 2018:82

8

6.4.6 Bristande eller utebliven uppföljning ................... 186 6.4.7 Svårigheter att pröva leverantörens lämplighet ... 188 6.4.8 Begränsade möjligheter att ingripa ....................... 189

6.5 Inledning till våra överväganden om förebyggande åtgärder .................................................................................. 190 6.5.1 Inriktning på våra överväganden .......................... 191 6.5.2 Disposition av våra överväganden ........................ 196 6.6 Säkerhetsskyddschefens roll i organisationen bör stärkas ............................................................................. 197 6.7 En första kontrollstation – särskild säkerhetsbedömning och egen lämplighetsprövning ......... 200 6.7.1 Lämpligheten måste prövas .................................. 201 6.7.2 Det behövs ytterligare åtgärder för att skapa garantier för att lämpligheten prövas ................... 205 6.7.3 Kravet på särskild säkerhetsbedömning bör utvidgas ........................................................... 206 6.7.4 Det bör införas ett uttryckligt krav på lämplighetsprövning ......................................... 210 6.7.5 Reglerna bör omfatta hela det planerade förfarandet ............................................................. 211 6.7.6 Reglerna förebygger mer än ett problem ............. 212 6.7.7 Reglerna bör föras in i ett nytt kapitel i säkerhetsskyddslagen .......................................... 212 6.8 En andra kontrollstation – samråd, förelägganden och förbud ............................................................................. 212 6.8.1 Det bör finnas en samrådsskyldighet och en möjlighet att meddela förelägganden eller förbjuda vissa förfaranden ............................ 214 6.8.2 Bestämmelserna bör inte bara avse upphandlingar ........................................................ 216 6.8.3 Alla verksamhetsutövare bör omfattas ................ 216 6.8.4 Den andra kontrollstationen bör bara gälla i vissa särskilt angelägna situationer ..................... 217 6.8.5 Situationer som bör omfattas av den andra kontrollstationen ................................................... 224 6.8.6 Tillsynsmyndigheterna bör ansvara för den andra kontrollstationen ................................. 227

Innehåll

9

6.8.7 När bör samrådet aktualiseras? ............................. 230 6.8.8 Vad bör samrådet och möjligheten att meddela förelägganden och förbud omfatta? ...... 232 6.8.9 Reglerna om nödvändigt utlämnade aktualiseras i samrådet ........................................... 235 6.8.10 Förfarandet hos tillsynsmyndigheten .................. 236 6.8.11 Tillsynsmyndigheten bör kunna initiera ett samråd ............................................................... 246

6.9 En tredje kontrollstation – möjligheter för tillsynsmyndigheterna att ingripa i efterhand ..................... 247 6.9.1 Det bör införas en möjlighet att ingripa under ett pågående förfarande ......................................... 248 6.9.2 Ingripandet bör ha formen av ett föreläggande ... 250 6.9.3 Ingripande bör kunna ske vid alla pågående förfaranden som omfattas av ett krav på säkerhetsskyddsavtal ............................................. 253 6.9.4 Förutsättningar för ett ingripande ....................... 254 6.9.5 Tillsynsmyndigheterna bör fatta beslut om förelägganden .................................................. 255 6.9.6 Anmälningsplikt gäller .......................................... 256 6.10 Överklagande ........................................................................ 257 6.10.1 Inledning ................................................................ 257 6.10.2 Både enskilda och offentliga aktörer

bör kunna överklaga besluten ............................... 258

6.10.3 Överklagande av beslut enligt den andra kontrollstationen .................................. 259 6.10.4 Överklagande av beslut enligt den tredje kontrollstationen.................................. 266 6.10.5 Om domstolsprövningen och rätten till partsinsyn m.m. ..................................................... 267

6.11 Uppföljning under avtalstiden och ändrade förhållanden ........................................................................... 270 6.11.1 Uppföljning behöver beaktas när avtal

utformas ................................................................. 271

6.11.2 Kontroll av att säkerhetsskyddsavtalet följs ........ 271 6.11.3 Revidering av säkerhetsskyddsavtal efter ändrade förhållanden .................................... 272

Innehåll SOU 2018:82

10

6.12 Det bör införas tvångsåtgärder ............................................ 274 6.12.1 Föreläggande och förbud bör kunna

kompletteras med tvångsåtgärder ........................ 274

6.12.2 Stockholms tingsrätt bör besluta om tvångsåtgärder ....................................................... 276 6.12.3 Tillsynsmyndigheten bör vara behörig att begära att tvångsåtgärder beslutas .................. 277 6.12.4 Övriga frågor om förfarandet ............................... 278

6.13 Förslagens förhållande till egendomsskyddet och näringsfriheten samt rätten till ersättning ................... 279 6.14 Bemyndiganden .................................................................... 286

7 Överlåtelse av säkerhetskänslig verksamhet ................ 287

7.1 Uppdraget ............................................................................. 287 7.2 Förhållandet till angränsande utredningar och reglering ... 296 7.3 Viss relevant reglering .......................................................... 297 7.3.1 Säkerhetsskyddsregleringen om överlåtelser ....... 297 7.3.2 Skyddet för enskildas rättigheter ......................... 298 7.3.3 Angränsande nationell reglering .......................... 298 7.4 Nordisk reglering ................................................................. 300 7.5 Problembeskrivning ............................................................. 301 7.5.1 Överlåtelser av säkerhetskänslig verksamhet kan medföra ökade sårbarheter för Sveriges säkerhet .................................................................. 301 7.5.2 Brister i säkerhetsskyddet accentueras vid överlåtelse ........................................................ 303 7.5.3 Ingen uttrycklig skyldighet för verksamheten att pröva lämpligheten ........................................... 305 7.5.4 Inga befogenheter att ingripa i eller hindra överlåtelser ......................................... 305 7.6 Inledning till våra överväganden om förebyggande åtgärder vid överlåtelse ......................................................... 306 7.7 Det behövs särskilda förebyggande åtgärder avseende överlåtelse ............................................... 307

Innehåll

11

7.8 Ett system med kontrollstationer bör gälla även vid vissa överlåtelser ..................................................... 309 7.9 Den första kontrollstationen................................................ 312 7.9.1 Det övergripande innehållet i den första kontrollstationen ................................................... 312 7.9.2 Den första kontrollstationen bör bara gälla verksamhetsutövare ............................................... 313 7.9.3 Överlåtelse av hela eller någon del av den säkerhetskänsliga verksamheten .................... 314 7.9.4 Överlåtelse av annan egendom än själva verksamheten .......................................... 315 7.9.5 Lämplighetsprövningen ......................................... 317 7.10 Den andra kontrollstationen ................................................ 320 7.10.1 Den andra kontrollstationen bör omfatta

även aktie- och andelsägare ................................... 321

7.10.2 Tillämpningsområdet bör i övrigt överensstämma med den första kontrollstationen ................................................... 322 7.10.3 Tillsynsmyndigheterna bör ansvara för den andra kontrollstationen .................................. 322 7.10.4 Samrådets omfattning ........................................... 323 7.10.5 Förutsättningar för ett förbud .............................. 323 7.10.6 Samrådet bör kunna avslutas med föreläggande ................................................... 324 7.10.7 Handläggningen ..................................................... 325 7.10.8 Tillsynsmyndigheten bör kunna initiera ett samråd ............................................................... 325

7.11 Verkan av att man genomför en överlåtelse utan samråd eller trots ett förbud ............................................................. 326 7.11.1 Överlåtelser bör i vissa fall vara ogiltiga ............... 326 7.11.2 Tillsynsmyndigheten bör kunna meddela

förelägganden mot både överlåtaren och förvärvaren ............................................................. 329

7.11.3 Det bör inte införas någon tidsgräns för ogiltighet och ingripande ................................ 331

7.12 Överklagande ........................................................................ 332

Innehåll SOU 2018:82

12

7.13 Det bör införas tvångsåtgärder ............................................ 333 7.14 Förslagens förhållande till egendomsskyddet och rätten till ersättning ....................................................... 334 7.15 Anmälnings-, upplysnings- och rapporteringsplikt ........... 336 7.16 Bemyndiganden .................................................................... 337

8 Tillsyn .................................................................... 339

8.1 Uppdraget ............................................................................. 339 8.2 Den relevanta regleringen .................................................... 342 8.2.1 Säkerhetsskyddslagen och säkerhetsskyddsförordningen .............................. 342 8.2.2 Tillsyn enligt lagen om informationssäkerhet för samhällsviktiga och digitala tjänster ............... 344 8.3 Utgångspunkter .................................................................... 345 8.4 Utvecklingsbehovet .............................................................. 348 8.4.1 Inledning ................................................................ 348 8.4.2 Tillsynen är inte definierad och avgränsad .......... 349 8.4.3 Den samlade bilden över tillsynen saknas ........... 350 8.4.4 Informationsutbytet är inte reglerat .................... 351 8.4.5 Nödvändiga befogenheter saknas ........................ 352 8.4.6 Tillsynen som bedrivs är begränsad ..................... 353 8.4.7 Tillsynskompetensen behöver öka ....................... 353 8.4.8 Antalet tillsynsobjekt kan inte anges ................... 353 8.5 Vi lämnar inte förslag om en central tillsynsmyndighet ..... 354 8.6 Säkerhetspolisen och Försvarsmakten bör vara samordningsmyndigheter ...................................... 356 8.7 En ny tillsynsstruktur........................................................... 360 8.7.1 Inledning ................................................................ 362 8.7.2 Utgångspunkter för våra överväganden om tillsynsstrukturen ............................................ 362 8.7.3 Fördelningen av tillsynsansvaret .......................... 363 8.7.4 Begreppet tillsynsmyndighet ................................ 390 8.7.5 Organisatoriska faktorer ...................................... 390 8.7.6 Övertagande av tillsynsansvar .............................. 392

Innehåll

13

8.8 Tillsynens syfte och innehåll ................................................ 395 8.9 Handläggningen av tillsynsärenden ..................................... 397 8.10 Tillsynsmyndigheternas undersökningsbefogenheter ........ 398 8.10.1 Inledning och utgångspunkter

för våra överväganden ............................................ 398

8.10.2 Tillträdesrätt för tillsynsmyndigheterna .............. 399 8.10.3 Verksamhetsutövarens uppgiftsskyldighet .......... 400 8.10.4 Förelägganden och handräckning ......................... 401

8.11 Åtgärdsförelägganden ........................................................... 402 8.12 Omedelbar verkställighet och inhibition ............................. 404 8.13 Överklagande ........................................................................ 405 8.14 En sanktionerad anmälningsplikt ......................................... 406 8.15 Systematisk kartläggning och dokumentation av tillsynsobjekt..................................................................... 409 8.16 Tillsyn bör ske med viss regelbundenhet ............................ 411 8.17 Tillsyn bör inte förenas med rådgivning .............................. 411 8.18 Ett nytt kapitel i säkerhetsskyddslagen ............................... 412

9 Sanktioner .............................................................. 415

9.1 Uppdraget .............................................................................. 415 9.2 Straffrättsliga och administrativa sanktioner ...................... 416 9.3 Ingen straffbestämmelse i säkerhetsskyddslagen ................ 417 9.4 Tillämpningsområdet för befintliga straffbestämmelser bör inte utvidgas .................................................................... 418 9.5 Sanktionsavgift bör införas .................................................. 422 9.6 Utgångspunkter för utformningen av sanktionsavgiftssystemet ................................................. 427 9.7 Vem ska betala sanktionsavgiften? ...................................... 429 9.8 Överträdelser som ska leda till sanktionsavgift .................. 431

Innehåll SOU 2018:82

14

9.9 Sanktionsavgift ska alltid tas ut ........................................... 439 9.10 Tillsynsmyndigheten ska besluta om sanktionsavgift ........ 441 9.11 Sanktionsavgiftens storlek ................................................... 442 9.12 Hur sanktionsavgiften ska bestämmas i det enskilda fallet ................................................................ 445 9.13 Hinder mot sanktionsavgift ................................................. 446 9.14 Förfarandet vid beslut om sanktionsavgift ......................... 447 9.15 Överklagande ........................................................................ 448 9.16 Ett nytt kapitel i säkerhetsskyddslagen ............................... 449

10

Ikraftträdande- och övergångsbestämmelser ............... 451 10.1 Ikraftträdande ....................................................................... 451

10.1.1 Allmänna överväganden ........................................ 451 10.1.2 Särskilt om vitesförelägganden och sanktionsavgift ...................................................... 452

10.2 Övergångsbestämmelser ...................................................... 453 10.2.1 Säkerhetsskyddsavtal ............................................ 453 10.2.2 Samråd .................................................................... 454 10.2.3 Vitesförelägganden ................................................ 454 10.2.4 Sanktionsavgift ...................................................... 454 10.2.5 Tillsynsmyndighetens möjlighet att ingripa

i efterhand .............................................................. 455

10.2.6 Tvångsåtgärder ...................................................... 455

11

Konsekvenser .......................................................... 457 11.1 Kommittéförordningens och utredningsdirektivens

krav ........................................................................................ 457

11.2 Utgångspunkter och underlag för konsekvensanalysen..... 458 11.3 Aktörer som berörs av våra förslag ..................................... 460 11.3.1 Verksamhetsutövare.............................................. 460 11.3.2 Verksamhetsutövarens motpart ........................... 474 11.3.3 Aktie- och andelsägare i säkerhetskänsliga

verksamheter ......................................................... 475

Innehåll

15

11.3.4 Tillsynsmyndigheter .............................................. 476 11.3.5 Domstolarna .......................................................... 480 11.3.6 Regeringen ............................................................. 481

11.4 Ekonomiska konsekvenser och finansiering ....................... 482 11.4.1 Ekonomiska konsekvenser för det allmänna ....... 482 11.4.2 Ekonomiska konsekvenser för enskilda ............... 499 11.4.3 Finansiering av tillsynsverksamheten ................... 499 11.4.4 Åtgärder för att etablera det föreslagna

tillsynssystemet ..................................................... 501

11.4.5 Kompetensförsörjning och behov av utbildning ............................................................... 503 11.4.6 Särskilt om beslut om placering i säkerhetsklass....................................................... 504

11.5 Övriga konsekvenser ............................................................ 505 11.5.1 Sveriges säkerhet .................................................... 505 11.5.2 Förslagens konsekvenser för den kommunala

självstyrelsen .......................................................... 507

11.5.3 Förslagen överensstämmer med de skyldigheter som följer av Sveriges anslutning till EU ..................................................................... 508 11.5.4 Behov av speciella informationsinsatser ............... 509 11.5.5 Övrigt ..................................................................... 509

12

Författningskommentar ............................................ 511 12.1 Förslaget till lag om ändring i säkerhetsskyddslagen

(2018:585).............................................................................. 511

Bilagor

Bilaga 1 Kommittédirektiv 2017:32 ........................................... 539

Bilaga 2 Kommittédirektiv 2018:2 ............................................. 549

17

Förklaring av begrepp och förkortningar

BrB Brottsbalken EFTA Europeiska frihandelssammanslutningen EU Europeiska unionen FFS Försvarets författningssamling FL Förvaltningslagen (2017:900) FPL Förvaltningsprocesslagen (1971:291) ISP Inspektionen för strategiska produkter Gamla säkerhetsskyddslagen Säkerhetsskyddslag (1996:627) Gamla säkerhetsskyddsförordningen

Säkerhetsskyddsförordning (1996:633)

LOU Lagen (2016:1145) om offentlig upphandling LUK Lagen (2016:1147) om upphandling av koncessioner LUFS Lagen (2011:1029) om upphandling på försvars- och säkerhetsområdet LUF Lagen (2016:1146) om upphandling inom försörjningssektorerna MSB Myndigheten för samhällsskydd och beredskap Must Militära underrättelse- och säkerhetstjänsten

Förklaring av begrepp och förkortningar SOU 2018:82

18

NIS-direktivet Europaparlamentets och rådets direktiv (EU) 2016/1148 av den 6 juli 2016 om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen NIS-lagen lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster Nya säkerhetsskyddslagen Säkerhetsskyddslag (2018:585) Nya säkerhetsskyddsförordningen

(Säkerhetsskyddsförordning (2018:658)

PMFS Polismyndighetens författningssamling Verksamhetsutövare En offentlig eller enskild aktör som bedriver verksamhet som omfattas av säkerhetsskyddslagen

19

Sammanfattning

Vad är säkerhetsskydd

Med säkerhetsskydd avses skydd av säkerhetskänslig verksamhet mot spioneri, sabotage, terroristbrott och andra brott som kan hota verksamheten samt skydd i andra fall av säkerhetsskyddsklassificerade uppgifter. Säkerhetsskyddslagen skyddar verksamheter som har betydelse för Sveriges säkerhet ur ett nationellt perspektiv. Detta innebär att många verksamheter kan vara samhällsviktiga utan att de för den sakens skull anses som säkerhetskänsliga i säkerhetsskyddslagens mening. Det handlar alltså om skydd för de allra mest skyddsvärda verksamheterna mot i första hand antagonistiska angrepp. Säkerhetsskydd avser också verksamhet som omfattas av ett för Sverige förpliktande internationellt åtagande om säkerhetsskydd.

Vårt uppdrag

Den 16 maj 2018 antog riksdagen en ny säkerhetsskyddslag som träder i kraft den 1 april 2019 (rskr. 2017/18:289, SFS 2018:585). Samtidigt träder säkerhetsskyddsförordningen (2018:658) i kraft. I betänkandet kallar vi lagen och förordningen för nya säkerhetsskyddslagenrespektive nya säkerhetsskyddsförordningen. Den hittills gällande säkerhetsskyddslagen (1996:627) och säkerhetsskyddsförordningen (1996:633) kallar vi för gamla säkerhetsskyddslagenrespektive gamla

Den nya regleringen bygger i stora delar på de förslag som lämnades i betänkandet En ny säkerhetsskyddslag (SOU 2015:25). Vi har i uppdrag att i vissa delar komplettera de förslag som lämnades där. Vi ska lämna fullständiga författningsförslag, men inte överväga ändringar i grundlag. Vi ska bl.a.

Sammanfattning SOU 2018:82

20

– kartlägga behovet av att förebygga att säkerhetsskyddsklassificerade

uppgifter eller i övrigt säkerhetskänslig verksamhet utsätts för risker i samband med utkontraktering, upplåtelse och överlåtelse av sådan verksamhet, och föreslå olika förebyggande åtgärder, t.ex. tillståndsprövning, – föreslå ett system med sanktioner i säkerhetsskyddslagstiftningen, – föreslå hur en ändamålsenlig tillsyn enligt säkerhetsskyddslag-

stiftningen ska vara utformad, och – analysera och föreslå i vilken utsträckning verksamhetsutövare

som bedriver säkerhetskänslig verksamhet ska vara skyldiga att ingå säkerhetsskyddsavtal vid överenskommelser med utomstående som berör den säkerhetskänsliga verksamheten.

Våra huvudsakliga förslag sammanfattas i det följande.

Skyldigheten att ingå säkerhetsskyddsavtal utvidgas

Skyddet ska upprätthållas oavsett var verksamheten bedrivs

En grundläggande princip inom säkerhetsskyddet är att de intressen som lagstiftningen slår vakt om bör ha samma skydd oavsett om verksamheten bedrivs av det allmänna eller av enskilda. Bestämmelserna om säkerhetsskyddsavtal är ett uttryck för denna princip. Enligt 2 kap. 6 § nya säkerhetsskyddslagen ska statliga myndigheter, kommuner och landsting som avser att genomföra en upphandling och ingå ett avtal om varor, tjänster eller byggentreprenader i vissa fall vara skyldiga att ingå ett säkerhetsskyddsavtal med leverantören. I avtalet ska det anges hur kraven på säkerhetsskydd ska tillgodoses. Skyldigheten att ingå säkerhetsskyddsavtal kommer enligt reglerna att gälla även för enskilda verksamhetsutövare i motsvarande situationer. En utgångspunkt för våra resonemang om en utvidgad skyldighet att ingå säkerhetsskyddsavtal är att informationens eller verksamhetens skydd ska upprätthållas när en aktör som bedriver säkerhetskänslig verksamhet avser att ge någon utomstående tillgång till säkerhetsskyddsklassificerade uppgifter eller i övrigt till säkerhetskänslig verksamhet.

SOU 2018:82 Sammanfattning

21

Det finns situationer där avsaknaden av säkerhetsskyddsavtal kan medföra negativa konsekvenser

Det finns situationer där säkerhetsskyddsklassificerade uppgifter eller i övrigt säkerhetskänslig verksamhet exponeras för utomstående, men där det inte finns någon skyldighet att ingå säkerhetsskyddsavtal. Ett exempel på detta kan vara olika former av samarbeten och samverkan som inte handlar om anskaffning av varor, tjänster eller byggentreprenader. Ett annat exempel kan vara situationer där det är leverantörens och inte beställarens skyddsvärden som behöver skyddas. Regleringen om säkerhetsskyddsavtal omfattar inte sådana fall, utan utgår ifrån att det är beställaren som ställer krav på säkerhetsskydd hos en leverantör. Det finns också situationer där det är oklart om det gäller krav på säkerhetsskyddsavtal.

Om det inte ställs krav på säkerhetsskyddsavtal i alla relevanta situationer där säkerhetsskyddsklassificerade uppgifter eller i övrigt säkerhetskänslig verksamhet kommer att exponeras för utomstående, ökar sannolikheten för att motparten inte vidtar de säkerhetsskyddsåtgärder som behövs. Detta gäller även om den utomstående parten också bedriver säkerhetskänslig verksamhet och därmed omfattas av säkerhetsskyddslagens bestämmelser. Avsaknad av säkerhetsskyddsavtal kan ytterst leda till skada för Sveriges säkerhet.

Skyldigheten bör gälla i betydligt fler situationer

Vi föreslår att skyldigheten att ingå säkerhetsskyddsavtal utvidgas på så sätt att den också ska gälla för andra förfaranden än upphandlingar och andra anskaffningar. Den utvidgade skyldigheten innebär att den som bedriver säkerhetskänslig verksamhet (verksamhetsutövaren) ska ingå ett säkerhetsskyddsavtal så snart verksamhetsutövaren avser att genomföra en upphandling, ingå ett avtal eller inleda någon annan form av samverkan eller samarbete med en utomstående part, om förfarandet

1. innebär att den utomstående parten kan få tillgång till säker-

hetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller

Sammanfattning SOU 2018:82

22

2. i övrigt avser eller kan ge den utomstående parten tillgång till

säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet.

Förfaranden mellan statliga myndigheter undantas

Vi bedömer att det inte finns något påtagligt behov av att statliga myndigheter som samverkar eller samarbetar om något annat än en anskaffning ska vara skyldiga att ingå säkerhetsskyddsavtal och att en sådan skyldighet dessutom skulle ha nackdelar. Vi föreslår därför att skyldigheten att ingå säkerhetsskyddsavtal inte ska gälla samarbeten och samverkan mellan två eller flera statliga myndigheter som avser något annat än en anskaffning av varor, tjänster och byggentreprenader.

Regeringen kan föreskriva och besluta om undantag

Vi anser vidare att regeringen bör kunna föreskriva om undantag från skyldigheten att ingå säkerhetsskyddsavtal, t.ex. när det gäller anskaffning mellan vissa myndigheter, och besluta om undantag i enskilda fall. Vi föreslår därför ett bemyndigande i dessa avseenden.

SOU 2018:82 Sammanfattning

23

Figur 1.1 Skyldighet att ingå säkerhetsskyddsavtal

Förebyggande åtgärder i samband med utkontraktering, upplåtelse och vissa andra förfaranden

Utvecklingsbehovet

Vår kartläggning visar att det finns flera brister i säkerhetsskyddsarbetet som bl.a. yttrar sig vid utkontraktering av säkerhetskänslig verksamhet men också vid vissa upplåtelser och andra förfaranden där utomstående involveras i den säkerhetskänsliga verksamheten.

Av se r de n s om be dr iv er sä ke rhe ts kä ns lig ve rk sa m he t a tt i nl ed a nå go n f or m av

uppha ndl in g, av ta l, s am ar be te el ler sa m ve rk an m ed e n ut om st åe nd e pa rt?

Ja

Är d et så at t f ör far an de t

1) inne bä r a tt de n ut om st åe nde pa rte n k an f å t ill gå ng ti ll uppg ift er i

sä ke rh et ss ky dd sk las se n k on fid en tie ll e lle r h ög re , e lle r

2) i ö vr ig t a vs er el le r k an g e de n ut om st åe nde pa rte n t illg ång ti ll s äk er he ts kä ns lig

ve rk sa m he t a v m ot sv ar an de be ty de lse fö r S ve rig es sä ke rh et ?

Ja

Är d et fr åg a o m sam ve rk an el le r s am ar be te m el lan st at lig a m yn di gh et er so m

av se r a nna t ä n en a ns ka ffni ng av en v ar a, tj äns t e lle r by gg ent re pr ena d?

Ja

De t r åde r i ng en s ky ldi ghe t a tt i ng å

säk er he ts sk yd ds av tal .

Ne j

Fi nns de t f ör es kr ift er om unda nt ag so m om fa tta r de n

ak tue lla si tua tio ne n, el le r ha r r eg er ing en be slut at om

unda nt ag i de t e ns ki lda fa lle t?

Ja

Ne j

De t r åde r e n s ky ldi ghe t a tt i ng å

säk er he ts sk yd ds av tal .

Ne j

Sammanfattning SOU 2018:82

24

Vissa av bristerna gäller säkerhetsskyddet generellt, t.ex. att verksamhetsutövaren inte tillämpar säkerhetsskyddsreglerna eller har bristande kunskap om sina skyddsvärden. Sådana brister accentueras när verksamhetsutövaren utkontrakterar en del av den säkerhetskänsliga verksamheten eller på annat sätt kopplar in utomstående i verksamheten. Andra brister handlar specifikt om olika förfaranden där utomstående involveras i den säkerhetskänsliga verksamheten, däribland utkontraktering och upplåtelse men också andra förfaranden. Bristerna handlar om att man inte alltid prövar om förfarandet är lämpligt eller att det är svårt att pröva lämpligheten, att säkerhetsskyddsavtal kan vara bristfälliga, att man inte följer upp förfarandet medan det pågår och att det saknas tillräckliga möjligheter för samhället att ingripa mot förfaranden som är olämpliga från säkerhetsskyddssynpunkt.

En bred ansats

Med utgångspunkt i kartläggningen av utvecklingsbehovet föreslår vi ett antal förebyggande åtgärder som inte enbart är inriktade på utkontraktering och upplåtelse, utan som kan aktualiseras även vid vissa andra förfaranden med utomstående parter. Vi har delat upp åtgärderna i steg, som vi kallar kontrollstationer. Förslagen i de första två kontrollstationerna bygger delvis på bestämmelserna i 2 kap. 6 § nya säkerhetsskyddsförordningen. Förslagen går ut på följande.

Kontrollstation 1 – Särskild säkerhetsbedömning och egen lämplighetsprövning

Den första kontrollstationen gäller för den som bedriver säkerhetskänslig verksamhet och som avser att genomföra ett förfarande som kräver säkerhetsskyddsavtal. Innan förfarandet inleds ska verksamhetsutövaren genom en särskild säkerhetsbedömning identifiera vilka säkerhetsskyddsklassificerade uppgifter eller vilken säkerhetskänslig verksamhet i övrigt som den utomstående parten kan få tillgång till och som kräver säkerhetsskydd. Med utgångspunkt i den särskilda säkerhetsbedömningen och övriga omständigheter ska verksamhetsutövaren pröva om det planerade förfarandet är lämpligt från säkerhetsskyddssynpunkt (lämplighetsprövning).

SOU 2018:82 Sammanfattning

25

Om lämplighetsprövningen leder till bedömningen att det planerade förfarandet är olämpligt från säkerhetsskyddssynpunkt, får det inte inledas. Detta anges uttryckligen i regleringen. Den särskilda säkerhetsbedömningen och lämplighetsprövningen ska dokumenteras.

Kontrollstation 2 – Samråd, förelägganden och förbud

Den andra kontrollstationen går bl.a. ut på att verksamhetsutövare som planerar att inleda ett förfarande i vissa fall ska samråda med tillsynsmyndigheten. Samrådsskyldigheten gäller om det planerade förfarandet innebär krav på säkerhetsskyddsavtal, och

1. innebär att den utomstående parten kan få tillgång till eller möj-

lighet att förvara säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen hemlig eller högre utanför verksamhetsutövarens lokaler,

2. utgör en upplåtelse som kan ge den utomstående parten tillgång

till säkerhetskänslig verksamhet i övrigt av motsvarande betydelse för Sveriges säkerhet, eller

3. ger den utomstående parten tillgång till informationssystem utan-

för verksamhetsutövarens lokaler och åtkomst till systemen kan medföra allvarlig skada för Sveriges säkerhet.

I den andra kontrollstationen ingår även en möjlighet för tillsynsmyndigheten att förelägga verksamhetsutövaren att vidta åtgärder enligt säkerhetsskyddslagen och de föreskrifter som har meddelats i anslutning till lagen. Om ett föreläggande inte följs eller om tillsynsmyndigheten bedömer att det planerade förfarandet är olämpligt från säkerhetsskyddssynpunkt även om ytterligare åtgärder vidtas, får tillsynsmyndigheten besluta att verksamhetsutövaren inte får genomföra det planerade förfarandet. Ett föreläggande eller förbud får bara beslutas om skälen för åtgärden uppväger den skada eller annan olägenhet som åtgärden medför för allmänna eller enskilda intressen.

Vi föreslår att ett föreläggande ska få överklagas till Förvaltningsrätten i Stockholm, varvid tillsynsmyndigheten bör vara motpart. Prövningstillstånd bör krävas vid överklagande till kammarrätten. Ett förbud föreslås få överklagas till regeringen. Enskilda kan begära

Sammanfattning SOU 2018:82

26

att regeringens beslut prövas enligt lagen (2006:304) om rättsprövning av vissa regeringsbeslut.

Förslagen bygger på att verksamhetsutövaren själv är skyldig att initiera samrådet. Det kan dock förekomma att en verksamhetsutövare försummar att göra det, antingen medvetet eller av förbiseende. Vi föreslår därför att även tillsynsmyndigheten ska kunna ta initiativ till samråd om förutsättningarna för samrådsskyldighet är uppfyllda.

Kontrollstation 3

Den tredje kontrollstationen är en sorts ”nödbroms”, som innebär en möjlighet för tillsynsmyndigheten att ingripa mot ett pågående förfarande, t.ex. en pågående utkontraktering eller ett annat pågående samarbete. Om ett sådant pågående förfarande som omfattas av ett krav på säkerhetsskyddsavtal är olämpligt från säkerhetsskyddssynpunkt, får tillsynsmyndigheten förelägga verksamhetsutövaren eller den utomstående parten i förfarandet att vidta de åtgärder som är nödvändiga för att förhindra skada för Sveriges säkerhet. Föreläggandet kan bl.a. innebära ett krav på att hela eller delar av förfarandet ska upphöra. Ett föreläggande får bara beslutas om skälen för åtgärden uppväger den skada eller annan olägenhet som åtgärden medför för allmänna eller enskilda intressen.

Föreläggandet får förenas med vite och får överklagas till regeringen.

Förtydligade krav på uppföljning

Det är av stor vikt att verksamhetsutövare följer upp pågående utkontrakteringar och andra pågående samarbeten och förfaranden där det har ingåtts ett säkerhetsskyddsavtal. Vi föreslår därför bestämmelser som går ut på att verksamhetsutövaren har både rätt och skyldighet att revidera säkerhetsskyddsavtalet om det krävs på grund av ändrade förhållanden.

SOU 2018:82 Sammanfattning

27

Figur 1.2 Förfarandet vid utkontraktering, upplåtelse och vissa andra förfaranden

Förebyggande åtgärder i samband med överlåtelse av säkerhetskänslig verksamhet och egendom med betydelse för Sveriges säkerhet

Utvecklingsbehovet

Överlåtelser av säkerhetskänslig verksamhet och egendom som har betydelse för Sveriges säkerhet kan medföra sårbarheter för Sveriges säkerhet. Till skillnad från andra förfaranden så som utkontraktering

Te ck na s äk er he ts sk yd ds av tal

Sä g upp s äk er he ts sk ydds av ta l

Lä m pl ig t

Ol äm pl ig t

Uppf yl le r de t pl ane ra de fö rfa ra nd et nå go n a v f öl ja nd e t re punk te r?

1) Ka n de n ut om st åe nde pa rte n f å t ill gå ng ti ll e lle r m öj lig he t a tt

fö rv ar a uppg ift er i s äk er he ts sk yd ds kla ss en he m lig el ler hö gr e

ut an fö r v er ks am he tsu tö va re ns lo ka le r?

2) Är de t e n uppl åt el se so m ka n g e de n ut om st åe nde pa rte n t ill gå ng til l

sä ke rhe ts kä ns lig ve rk sa m he t i öv rig t a v m ot sv ar ande be ty de lse fö r

Sv er ig es sä ke rh et so m 1) ?

3) Ge s de n ut om st åe nde pa rte n t ill gå ng ti ll i nf or m at io ns sy st em ut an fö r

ve rk sa m he ts utö va re ns lo ka le r o ch ka n å tk om st ti ll s ys te m en

m ed fö ra al lv ar lig sk ad a f ör Sv er ig es säk er he t?

Ko nt ro lls tat io n 2 ( sam råd )

Ti lls yns m yndi ghe te n prö va r

FÅR INT E I NL ED AS

FÖ RB UD

Ol äm pl ig t

FÖ RE LÄG GAND E

O läm plig t me n

kan rät tas till

Ko nt ro lls ta tio n 1

St eg 1 : G ör s ärs ki ld s äk erhe ts be dö m ni ng

St eg 2 : G ör e ge n lä m pl ig he ts prö vni ng

Ja

Av se r v er ks am he tsu tö va re n a tt i nl ed a e tt f ör fa ra nd e s om kr äv er

sä ke rhe ts sk ydds av ta l e nl igt fi gu r 1 .1 ?

Ja

Ne j

Ne j

Ge nom för fö rfa ra nd e

Fö re läg gan de

fö ljs in te

Sammanfattning SOU 2018:82

28

och upplåtelse innebär överlåtelser dessutom att den som tidigare bedrivit verksamheten förlorar möjligheten att påverka hur den säkerhetskänsliga verksamheten och de säkerhetsskyddsklassificerade uppgifterna kommer att användas efter överlåtelsen. Det är problematiskt att det inte finns någon uttrycklig skyldighet för verksamhetsutövaren att pröva lämpligheten av en överlåtelse av hela eller delar av verksamheten eller av egendom i verksamheten som har betydelse för Sveriges säkerhet. Det är även problematiskt att det inte finns några möjligheter för samhället att ingripa mot överlåtelser som är olämpliga från säkerhetsskyddssynpunkt.

Kontrollstation 1 och 2 tillämpas även vid vissa överlåtelser

Vi föreslår att kontrollstation 1 och 2 ska gälla även när en verksamhetsutövare som omfattas av säkerhetsskyddslagen avser att överlåta

1. hela eller någon del av den säkerhetskänsliga verksamheten, eller

2. någon egendom i den säkerhetskänsliga verksamheten som har

betydelse för Sveriges säkerhet eller för ett för Sverige förpliktande internationellt åtagande om säkerhetsskydd.

Om dessa förutsättningar är uppfyllda ska verksamhetsutövaren alltså genomföra en särskild säkerhetsbedömning och lämplighetsprövning och därefter samråda med tillsynsmyndigheten, som får förelägga överlåtaren att vidta åtgärder enligt säkerhetsskyddslagen och de föreskrifter som har meddelats i anslutning till lagen. Om ett föreläggande inte följs eller om tillsynsmyndigheten bedömer att överlåtelsen är olämplig från säkerhetsskyddssynpunkt även om ytterligare åtgärder vidtas, får tillsynsmyndigheten besluta att överlåtelsen inte får genomföras. En skillnad i förhållande till utkontraktering, upplåtelse och vissa andra förfaranden är att samrådet vid överlåtelse även får avslutas med ett föreläggande som innebär att överlåtelsen endast får genomföras på vissa villkor, vid påföljd att överlåtelsen annars är ogiltig.

Vi föreslår vidare att kontrollstation 2 ska gälla även den som avser att överlåta aktier eller andelar i säkerhetskänslig verksamhet. Skälet är bl.a. att det annars blir för lätt att kringgå reglerna. Kraven föreslås dock inte gälla i fråga om den som avser att överlåta aktier i publika aktiebolag.

SOU 2018:82 Sammanfattning

29

Även här föreslår vi att ett föreläggande ska få överklagas till Förvaltningsrätten i Stockholm, varvid tillsynsmyndigheten bör vara motpart, och att förbud ska få överklagas till regeringen. Prövningstillstånd bör krävas vid överklagande av förvaltningsrättens beslut.

Liksom när det gäller utkontraktering m.m. förslår vi att det är den samrådsskyldige som ska inleda samrådet, men att det ska vara tillåtet för tillsynsmyndigheten att initiera samrådet om förutsättningarna för samrådsskyldighet är uppfyllda.

Vissa överlåtelser anses ogiltiga

Vi föreslår att en överlåtelse av säkerhetskänslig verksamhet eller egendom ska vara ogiltig om den har genomförts trots att tillsynsmyndigheten förbjudit överlåtelsen. Samma sak föreslås gälla om samrådet har avslutats med ett föreläggande vid påföljd av ogiltighet och överlåtelsen genomförts i strid med de villkor som ställts upp i föreläggandet.

Om en samrådspliktig överlåtelse har genomförts utan samråd och förutsättningarna för ett förbud enligt kontrollstation 2 är uppfyllda, föreslår vi att tillsynsmyndigheten ska kunna förbjuda överlåtelsen i efterhand. Även i det fallet föreslår vi att överlåtelsen ska anses ogiltig.

Om en överlåtelse är ogiltig föreslår vi att tillsynsmyndigheten ska ha en möjlighet att meddela de förelägganden mot överlåtaren och förvärvaren som behövs för att förhindra skada för Sveriges säkerhet, och att förena föreläggandet med vite.

Vi föreslår att förelägganden och förbud som nu avses ska få överklagas till regeringen.

En ändrad anmälningsplikt

Vi föreslår att anmälningsplikten i 2 kap. 9 § första stycket nya säkerhetsskyddsförordningen vid överlåtelser av säkerhetskänslig verksamhet upphävs till följd av våra förslag om samråd. Vi föreslår vidare att denna ersätts av en anmälningsplikt för en verksamhetsutövare som får kännedom om att någon annan än verksamhetsutövaren planerar att överlåta eller har överlåtit verksamheten eller sådan egendom i verksamheten som har betydelse för Sveriges säkerhet eller för

Sammanfattning SOU 2018:82

30

ett för Sverige förpliktande åtagande om säkerhetsskydd. Verksamhetsutövaren ska i ett sådant fall skyndsamt anmäla förhållandet till tillsynsmyndigheten.

Figur 1.3 Förfarandet vid överlåtelser av säkerhetskänslig verksamhet och viss egendom

SAM RÅD ET AV SL UT AS

Ti lls yn sm yn di gh et en

Få r i ng ripa fö r a tt fö rhi ndr a s ka da

Av se r v er ks amh et su tö va re n att ö ve rlå ta

1) he la el le r n åg on de l a v d en sä ke rh et sk än sli ga ve rk sa m he te n, el le r

2) eg endo m i de n s äk er he tsk äns lig a v er ks am he te n s om ha r be ty de lse fö r

Sv er ig es sä ke rh et el le r f ör et t f ör Sv er ig e f ör pl ikt an de in te rn at io ne llt

åt ag an de om säk er he ts sk yd d?

Ol äm pl ig t

FÅR INT E I NL ED AS

Ko nt ro lls ta tio n 1

St eg 1 : G ör s ärs ki ld s äk erhe ts be dö m ni ng

St eg 2 : G ör e ge n lä m pl ig he ts prö vni ng

Av se r e n a nd el sel le r ak tie äg ar e at t ö ve rlåt a ak tie r e lle r an de lar i s äk er he ts kän sli g

ve rk sa m he t s om be dr ivs i nå go n a nna n f or m än so m et t publ ik t a kt ie bo lag ?

Ja

Ja

Ko nt ro lls tat io n 2 ( sam råd )

Ti lls yns m yndi ghe te n prö va r

FÖ RB UD

Ol äm pl ig t

FÖ RE LÄG GAND E

Ol äm pl ig t m en

kan rät tas ti ll

Lä m pl ig t

FÖ RE LÄG GAND E

m ed vi llk or

Fö re läg gan de t

fö ljs in te

Lä mp lig t o m

vi llk or ia kt ta s

Villkoren följs inte

OGI LT IGH ET in trä de r

Ö ver lå tel sen ge no m fö rs

FÖ RE LÄG GAND E

Villkoren följs

SOU 2018:82 Sammanfattning

31

Figur 1.4 Överlåtelse som genomförts utan samråd

Tvångsåtgärder

Som har framgått i det föregående föreslår vi att tillsynsmyndigheten under vissa förhållanden ska kunna besluta om förelägganden och förbud i samband med utkontraktering, upplåtelse, överlåtelse och vissa andra förfaranden. Om ett sådant förbud eller föreläggande meddelats, föreslår vi att tillsynsmyndigheten även ska kunna ansöka om att Stockholms tingsrätt beslutar om sådana tvångsåtgärder som avses i 15 kap.13 §§rättegångsbalken, dvs. bland annat kvarstad.

Ti lls yn sm yn di gh et en

Får in gr ip a fö r at t f ör hin dr a sk ad a

Ti lls yn sm yn di gh et en

Gö r r et ro ak tiv p rö vn in g a v

frå ga n o m fö rbud

FÖ RB UD

O läm plig t, d vs .

fö rbud s kul le

ha m edde la ts

Fö rbud ej a kt ue llt

In ge n åt gär d m ot ö ve rlåt els en ,

m en s an kt io ns av gif t k an b li

ak tu ellt

O GI LT IG HE T i nt rä de r

FÖ RE LÄ GG AN DE

En ö ver lå tel se g en om fö rs

ut an s lu tfö rt s am råd

Sammanfattning SOU 2018:82

32

Ansökan ska kunna beviljas om tvångsåtgärden behövs för att ändamålet med förbudet eller föreläggandet inte ska motverkas och det är proportionerligt med en sådan tvångsåtgärd. En tvångsåtgärd ska kunna beslutas även om föreläggandet eller förbudet inte fått laga kraft.

Vidare föreslår vi att följande ska gälla. Tillsynsmyndigheten åläggs en skyldighet att genast meddela rätten när syftet med en tvångsåtgärd har uppnåtts, eller det av någon annan anledning inte längre finns skäl för åtgärden. Rätten ska omedelbart upphäva åtgärden om det inte längre finns skäl för den och ska ompröva åtgärden med fyra veckors mellanrum. Åtgärden får inte upphävas utan hörande av tillsynsmyndigheten.

Figur 1.5 Tvångsåtgärder

Ha r de t m edde la ts e tt fö re lä gg ande e lle r fö rbud s om a vs es i

fig ur 1 .2 , 1 .3 e lle r 1 .4 ?

Ing en t vå ng så tg ärd Be hö vs e n tv ång så tg ärd e nl ig t 1 5 k ap. 1 –3 rä tt eg ång sba lke n

fö r a tt än dam ål et m ed fö rbude t e lle r f öre lä gg ande t int e s ka

m ot ver ka s?

Är de t pro po rt io ne rli gt

m ed en t vå ng så tg ärd?

St oc kho lm s t ing srä tt få r m edde la

tv ån gs åt gä rd

• Om prö va s v ar f jä rde v ec ka

• Sk a upphä va s nä r de n int e l äng re be hö vs

Ne j

Ja

Ja

Ja

SOU 2018:82 Sammanfattning

33

En förbättrad tillsyn med utökade befogenheter

Utvecklingsbehovet

Vi har identifierat ett antal brister när det gäller tillsynsverksamheten och regleringen av tillsynen på säkerhetsskyddsområdet. Vi har till att börja med konstaterat att det inte är definierat och avgränsat vad tillsynen syftar till och avser. Ingen myndighet har en samlad bild över tillsynen. Vidare saknas det reglering om hur tillsynsmyndigheterna ska utbyta hotinformation med Säkerhetspolisen och Försvarsmakten.

När det gäller själva tillsynen konstaterar vi att tillsyn hittills har bedrivits i alltför begränsad omfattning. Vidare anser vi att tillsynsmyndigheterna saknar de befogenheter som krävs för att de ska kunna genomföra en effektiv tillsyn och åstadkomma rättelse. Tillsynskompetensen behöver öka hos många tillsynsmyndigheter och det behöver skapas en överblick över vilka tillsynsobjekt som finns inom respektive tillsynsområde.

Säkerhetspolisen och Försvarsmakten blir samordningsmyndigheter

Med utgångspunkt i utvecklingsbehovet föreslår vi att Säkerhetspolisen och Försvarsmakten ska vara samordningsmyndigheter. I denna roll ligger att de ska ansvara för att följa upp, utvärdera och utveckla tillsynsarbetet, i samråd utveckla och tillhandahålla metodstöd för tillsyn, verka för erfarenhetsutbyte och förmedla relevant hotinformation till tillsynsmyndigheterna.

En utvecklad tillsynsstruktur

Vi föreslår även en delvis ny tillsynsstruktur som bygger på att Säkerhetspolisens och Försvarsmaktens resurser i huvudsak ska läggas på ansvaret som samordningsmyndighet och tillsyn över de allra mest skyddsvärda verksamheterna. Vi föreslår en tillsynsmyndighet för varje sakområde där det typiskt sett bedrivs säkerhetskänslig verksamhet, och bygger valet bl.a. på befintlig sak- och tillsynskompetens.

Sammanfattning SOU 2018:82

34

Ett antal myndigheter föreslås få fortsatt ansvar för att bedriva tillsyn enligt nya säkerhetsskyddslagen, nämligen Försvarsmakten, Säkerhetspolisen, Affärsverket svenska kraftnät, Transportstyrelsen, Post- och telestyrelsen samt länsstyrelserna i Stockholms, Skåne, Västra Götalands och Norrbottens län. Vi föreslår också att Försvarets materielverk, Finansinspektionen, Statens energimyndighet och Strålsäkerhetsmyndigheten blir nya tillsynsmyndigheter. Vidare föreslår vi att ett antal länsstyrelser inte längre ska bedriva tillsyn, nämligen länsstyrelserna i Blekinge, Dalarnas län, Gotlands län, Gävleborg, Hallands län, Jämtlands län, Jönköpings län, Kalmar län, Kronobergs län, Södermanlands län, Uppsala län, Värmland, Västerbotten, Västernorrland, Västmanlands län, Örebro län och Östergötland.

Säkerhetspolisen och Försvarsmakten kan ta över tillsynsansvaret

Det kan uppstå situationer där det finns ett behov av att Säkerhetspolisen eller Försvarsmakten utövar tillsyn över ett tillsynsobjekt som ligger under någon annan myndighets ordinarie tillsynsansvar. Ett exempel kan vara när det på grund av förändrade omständigheter är nödvändigt för att snabbt kunna agera och se till att åtgärder vidtas. Ett annat exempel kan vara att det inom ramen för ett samrådsförfarande inför t.ex. en utkontraktering eller överlåtelse av säkerhetskänslig verksamhet uppmärksammas att ärendet inrymmer särskilt känsliga uppgifter som inte bör hanteras av den ordinarie tillsynsmyndigheten. Vi föreslår därför att Säkerhetspolisen och Försvarsmakten ges möjlighet att ta över tillsynsansvaret över tillsynsobjekt som tillhör en annan tillsynsmyndighets ansvarsområde om det finns särskilda skäl. När det inte längre finns skäl för övertagandet ska tillsynsansvaret enligt förslaget återgå till tillsynsmyndigheten.

Tillsynens syfte och innehåll förtydligas

Det bör även i fortsättningen anges i säkerhetsskyddslagen att tillsynsmyndigheten ska utöva tillsyn över säkerhetsskyddet hos myndigheter och andra som lagen gäller för. Möjligheten att utöva tillsyn hos den som träffat ett säkerhetsskyddsavtal bör anpassas till våra

SOU 2018:82 Sammanfattning

35

förslag om att sådana avtal inte bara ska kunna ingås med leverantörer utan också med andra utomstående aktörer. Vi föreslår vidare att det förtydligas att tillsynen går ut på kontroll av att säkerhetsskyddslagen och föreskrifter som har meddelats i anslutning till lagen följs.

Tillsynsmyndigheterna får nya undersökningsbefogenheter

I syfte att förstärka och effektivisera tillsynen föreslår vi flera nya undersökningsbefogenheter och dessutom en informationsskyldighet för tillsynsobjekten. Vi föreslår att tillsynsmyndigheten ges rätt att – i den omfattning det behövs för tillsynen få tillträde till områden,

lokaler och andra utrymmen, dock inte bostäder, som används i verksamhet som omfattas av tillsyn, – begära handräckning av Kronofogdemyndigheten för att genom-

föra tillsynsåtgärder, och – förelägga den som står under tillsyn att tillhandahålla information

och att ge tillträde till lokaler och liknande och att förena föreläggandet med vite.

Vi föreslår vidare en uttrycklig skyldighet för den som står under tillsyn att på begäran ge tillsynsmyndigheten den information som behövs för tillsynen.

Tillsynsmyndigheten får meddela åtgärdsförelägganden för att åstadkomma rättelse

Vi föreslår att tillsynsmyndigheten ska få besluta de förelägganden som behövs för att de som omfattas av tillsyn enligt säkerhetsskyddslagen ska fullgöra skyldigheter enligt lagen eller föreskrifter som har meddelats i anslutning till den (åtgärdsföreläggande) och att sådana förelägganden ska få förenas med vite.

Sammanfattning SOU 2018:82

36

Överklagande

Vi föreslår att förelägganden som utfärdas i samband med tillsyn ska kunna överklagas till Förvaltningsrätten i Stockholm, varvid tillsynsmyndigheten bör vara motpart. Prövningstillstånd bör krävas vid överklagande till kammarrätten.

Förbättrad överblick över tillsynsobjekten

Utan en samlad bild över den säkerhetskänsliga verksamhet som bedrivs inom respektive ansvarsområde är det enligt vår mening inte möjligt för tillsynsmyndigheten att planera och bedriva en effektiv tillsyn. Vi föreslår därför att den som bedriver säkerhetskänslig verksamhet åläggs en skyldighet att utan dröjsmål anmäla detta till tillsynsmyndigheten, och att även utan dröjsmål anmäla när den säkerhetskänsliga verksamheten upphör. Som kommer att utvecklas under nästa rubrik föreslår vi vidare att underlåtelse att fullgöra anmälningsplikten beläggs med sanktionsavgift.

Vidare föreslår vi att tillsynsmyndigheten genom en systematisk och regelbunden kartläggning ska identifiera de verksamheter inom tillsynsmyndighetens ansvarsområde som omfattas av säkerhetsskyddslagen och hålla en uppdaterad förteckning över dessa.

Ett system med sanktioner

Sanktionsavgift i stället för straffsanktioner

Vi har övervägt om det bör införas särskilda straffbestämmelser för överträdelse av bestämmelserna i säkerhetsskyddslagen och de föreskrifter som meddelats med stöd av den lagen. Vår bedömning är dock att det är mer lämpligt att man inför regler om att tillsynsmyndigheten kan besluta om sanktionsavgift.

SOU 2018:82 Sammanfattning

37

Sanktionerade överträdelser

Vi föreslår att tillsynsmyndigheten ska ta ut en sanktionsavgift av den verksamhetsutövare som underlåter att – anmäla att den säkerhetskänsliga verksamheten bedrivs eller har

upphört, – utföra eller uppdatera en säkerhetsskyddsanalys, – vidta säkerhetsskyddsåtgärder, – säkerhetsskyddsklassificera uppgifter, – kontrollera säkerhetsskyddet i den egna verksamheten eller att

fullgöra anmälnings- eller rapporteringsplikt, – ingå ett säkerhetsskyddsavtal eller som ingår ett säkerhetsskydds-

avtal som är bristfälligt i väsentlig mån, eller – utse en säkerhetsskyddschef (se längre fram om våra förslag i fråga

om en utvidgad skyldighet att ha en sådan chef).

Vi föreslår också att sanktionsavgift ska tas ut av en verksamhetsutövare som inleder ett förfarande eller genomför en samrådspliktig överlåtelse i strid med ett meddelat förbud eller utan att fullgöra samrådsskyldigheten. Detsamma föreslås gälla en verksamhetsutövare som genomför en överlåtelse i strid med villkor som meddelats i samband med att samrådet avslutades. Vi föreslår vidare att en verksamhetsutövare som lämnar oriktiga uppgifter i samband med tillsyn eller samråd ska kunna åläggas sanktionsavgift.

Enligt våra förslag ska sanktionsavgift även tas ut av en aktie- eller andelsägare som genomför en överlåtelse utan att fullgöra sin samrådsskyldighet eller i strid med ett meddelat förbud eller villkor, eller som lämnar oriktiga uppgifter vid samrådet.

Sanktionsavgift ska alltid tas ut

Vi föreslår att regleringen om sanktionsavgifter ska bygga på strikt ansvar och att det ska vara obligatoriskt att ta ut sanktionsavgift när en bestämmelse i säkerhetsskyddslagstiftningen som kan föranleda avgift har överträtts.

Sammanfattning SOU 2018:82

38

Sanktionsavgiftens storlek

Avgiften bör bestämmas till lägst 5 000 kronor och högst 10 miljoner kronor. När sanktionsavgiftens storlek bestäms i det enskilda fallet föreslår vi att särskild hänsyn ska tas till den skada eller sårbarhet för Sveriges säkerhet som uppstått till följd av överträdelsen, till om den avgiftsskyldige tidigare begått en överträdelse och till de kostnader som den avgiftsskyldige undvikit till följd av överträdelsen. Vi föreslår att sanktionsavgiften ska kunna efterges helt eller delvis om överträdelsen är ringa eller ursäktlig eller om det annars med hänsyn till omständigheterna skulle vara oskäligt att ta ut avgiften.

Hinder mot sanktionsavgift

Vi föreslår att tillsynsmyndigheten inte ska få ingripa med sanktionsavgift om överträdelsen omfattas av ett föreläggande om vite och överträdelsen ligger till grund för en ansökan om utdömande av vitet.

Förfarandet vid beslut om sanktionsavgift

I fråga om förfarandet föreslår vi att följande ska gälla. Sanktionsavgift får inte beslutas om den som anspråket riktas mot inte har getts tillfälle att yttra sig inom två år efter överträdelsen. Ett beslut om sanktionsavgift ska delges. Sanktionsavgiften ska betalas till tillsynsmyndigheten inom 30 dagar från det att beslutet om att ta ut avgiften har fått laga kraft eller inom den längre tid som anges i beslutet. Om sanktionsavgiften inte betalas inom denna tid, ska tillsynsmyndigheten lämna den obetalda avgiften för indrivning. Vid indrivning ska verkställighet få ske enligt utsökningsbalken. En beslutad sanktionsavgift ska falla bort till den del beslutet om avgiften inte har verkställts inom fem år från det att beslutet fick laga kraft. Sanktionsavgifter ska tillfalla staten. Beslutet överklagas till Förvaltningsrätten i Stockholm, varvid tillsynsmyndigheten är motpart. Prövningstillstånd bör krävas vid överklagande till kammarrätten.

SOU 2018:82 Sammanfattning

39

Tre nya kapitel i säkerhetsskyddslagen

Våra förslag om förebyggande åtgärder i samband med bl.a. utkontraktering och överlåtelse är omfattande och bestämmelserna passar inte särskilt väl in i något av de befintliga kapitlen i nya säkerhetsskyddslagen. Vi föreslår därför att det införs ett nytt kapitel, kallat 2 a kap. Vi föreslår också att det införs ett nytt 4 a kap. om tillsyn och ett 4 b kap. om ingripande och sanktioner.

Övriga förslag

Vi lämnar även vissa andra förslag, däribland om skärpta krav på uppdatering av säkerhetsskyddsanalys och en förtydligad koppling mellan säkerhetsskyddsavtal och säkerhetsprövning. Ett viktigt förslag handlar om säkerhetsskyddschefer. Vår kartläggning visar att säkerhetsskyddsfrågor ofta får en alltför undanskymd roll i verksamheten och att andra hänsyn, inte minst ekonomiska sådana, ges en överordnad roll. Detta kan bl.a. innebära att säkerhetsskyddsfrågor inte beaktas tillräckligt i samband med utkontraktering och andra förfaranden där utomstående aktörer involveras i den säkerhetskänsliga verksamheten. Vi föreslår därför att alla säkerhetskänsliga verksamheter ska ha en säkerhetsskyddschef, om det inte är uppenbart obehövligt. Vi föreslår vidare att säkerhetsskyddschefens roll förtydligas och att det ställs krav på att säkerhetsskyddschefen ska vara direkt underställd den person som är ansvarig för verksamhetsutövarens verksamhet.

41

1 Författningsförslag

1.1 Förslag till lag om ändring i säkerhetsskyddslagen (2018:585)

Härigenom föreskrivs beträffande säkerhetsskyddslagen (2018:585)

dels att 2 kap. 6 och 7 §§, 5 kap. 4 § och rubriken närmast 5 kap.

4 § ska ha följande lydelse,

dels att det ska införas tre nya kapitel, 2 a kap., 4 a kap. och 4 b kap.

och fem nya paragrafer, 2 kap. 1 a, 6 a–6 c §§ och 5 kap. 6 § av följande lydelse och närmast 5 kap. 6 § en ny rubrik av följande lydelse,

dels att det ska införas nya ikraftträdande- och övergångs-

bestämmelser av följande lydelse.

Lydelse fr.o.m. den 1 april 2019 Föreslagen lydelse

2 kap.

1 a §

Den som bedriver säkerhetskänslig verksamhet ska utan dröjsmål anmäla detta till den myndighet som enligt 4 a kap. 1 § första stycket utövar tillsyn över verksamheten (tillsynsmyndigheten).

När den säkerhetskänsliga verksamheten upphört ska verksamhetsutövaren utan dröjsmål anmäla detta till tillsynsmyndigheten.

Författningsförslag SOU 2018:82

42

6 §

Statliga myndigheter, kommuner och landsting som avser att

genomföra en upphandling och

ingå ett avtal om varor, tjänster eller byggentreprenader ska se till att det i ett säkerhetsskyddsavtal anges hur kraven på säkerhetsskydd enligt 1 § ska tillgodoses av leverantören om

1. det i upphandlingen före-

kommer säkerhetsskyddsklassi-

ficerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller

2. upphandlingen i övrigt avser eller ger leverantören tillgång till säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet.

Verksamhetsutövaren ska kontrollera att leverantören följer säkerhetsskyddsavtalet.

Det som anges i första och

andra styckena gäller även för enskilda verksamhetsutövare som ingår avtal om varor, tjänster och byggentreprenader med utomstående leverantörer.

Den som bedriver säkerhetskänslig verksamhet och som avser

att genomföra en upphandling,

ingå ett avtal eller inleda någon annan form av samverkan eller samarbete med en utomstående part ska ingå ett säkerhetsskyddsavtal med den utomstående parten om förfarandet

1. innebär att den utomstående

parten kan få tillgång till säker-

hetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller

2. i övrigt avser eller kan ge

den utomstående parten tillgång

till säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet.

Det som anges i första stycket gäller inte samverkan och sam-

arbeten mellan statliga myndigheter som avser något annat än en anskaffning av en vara, tjänst eller byggentreprenad.

Bestämmelserna om säkerhetsprövning i 3 kap. får tillämpas när ett säkerhetsskyddsavtal har ingåtts.

6 a §

I ett säkerhetsskyddsavtal ska det anges

1. hur kraven på säkerhetsskydd enligt 1 § ska tillgodoses av den utomstående parten, och

SOU 2018:82 Författningsförslag

43

2. att verksamhetsutövaren har rätt att revidera säkerhetsskyddsavtalet om det krävs på grund av ändrade förhållanden.

6 b §

Den verksamhetsutövare som avses i 6 § ska kontrollera att den utomstående parten följer säkerhetsskyddsavtalet och se till att säkerhetsskyddsavtalet revideras om det krävs på grund av ändrade förhållanden.

6 c §

Vid en verksamhet som omfattas av lagen ska det finnas en säkerhetsskyddschef, om det inte är uppenbart obehövligt.

Säkerhetsskyddschefen ska leda och samordna säkerhetsskyddsarbetet samt kontrollera att verksamheten bedrivs i enlighet med vad som föreskrivs i denna lag och de föreskrifter som meddelats i anslutning till lagen. Detta ansvar får inte delegeras.

Säkerhetsskyddschefen ska vara direkt underställd den person som är ansvarig för verksamhetsutövarens verksamhet.

7 §

Regeringen eller den myndighet som regeringen bestämmer får meddela ytterligare föreskrifter om säkerhetsskyddsanalys samt anmälnings- och rapporteringsskyldighet enligt 1 §, säkerhetsskyddsåtgärder enligt 2–4 §§, säkerhetsskyddsklassificering enligt 5 § och säkerhetsskyddsavtal enligt 6 §.

Författningsförslag SOU 2018:82

44

Regeringen får meddela föreskrifter om undantag från skyldigheten att ingå säkerhetsskyddsavtal enligt 6 § samt i enskilda fall besluta om undantag från denna skyldighet.

2 a kap. Skyldigheter och befogenheter i samband med vissa förfaranden

Proportionalitet

1 §

Ett föreläggande eller förbud enligt detta kapitel eller en åtgärd enligt 12 § får bara beslutas om skälen för åtgärden uppväger den skada eller annan olägenhet som åtgärden medför för allmänna eller enskilda intressen.

Upphandling och vissa andra förfaranden

2 §

Den som bedriver säkerhetskänslig verksamhet och avser att genomföra ett förfarande som innebär ett krav på säkerhetsskyddsavtal enligt 2 kap. 6 § ska, innan förfarandet inleds,

1. identifiera vilka säkerhetsskyddsklassificerade uppgifter eller vilken säkerhetskänslig verksamhet i övrigt som den utomstående parten kan få tillgång till och som kräver säkerhetsskydd (särskild säkerhetsbedömning), och

SOU 2018:82 Författningsförslag

45

2. med utgångspunkt i den särskilda säkerhetsbedömningen och övriga omständigheter pröva om det planerade förfarandet är lämpligt från säkerhetsskyddssynpunkt (lämplighetsprövning).

Om lämplighetsprövningen leder till bedömningen att det planerade förfarandet är olämpligt från säkerhetsskyddssynpunkt, får det inte inledas.

Den särskilda säkerhetsbedömningen och lämplighetsprövningen ska dokumenteras.

3 §

Innan en verksamhetsutövare inleder ett förfarande som innebär krav på säkerhetsskyddsavtal enligt 2 kap. 6 § ska verksamhetsutövaren samråda med den myndighet som enligt 4 a kap. 1 § första stycket utövar tillsyn över verksamhetsutövaren (tillsynsmyndigheten), om det planerade förfarandet

1. innebär att den utomstående parten kan få tillgång till eller möjlighet att förvara säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen hemlig eller högre utanför verksamhetsutövarens lokaler,

2. utgör en upplåtelse som kan ge den utomstående parten tillgång till säkerhetskänslig verksamhet i övrigt av motsvarande betydelse för Sveriges säkerhet, eller

Författningsförslag SOU 2018:82

46

3. ger den utomstående parten tillgång till informationssystem utanför verksamhetsutövarens lokaler och åtkomst till systemen kan medföra allvarlig skada för Sveriges säkerhet.

Tillsynsmyndigheten får förelägga verksamhetsutövaren att vidta åtgärder enligt denna lag och de föreskrifter som har meddelats i anslutning till lagen. Om ett föreläggande inte följs eller om tillsynsmyndigheten bedömer att det planerade förfarandet är olämpligt från säkerhetsskyddssynpunkt även om ytterligare åtgärder vidtas, får tillsynsmyndigheten besluta att verksamhetsutövaren inte får genomföra det planerade förfarandet. Tillsynsmyndigheten får även ansöka om tvångsåtgärder enligt 12 §.

4 §

Om förutsättningarna i 3 § första stycket är uppfyllda får även tillsynsmyndigheten ta initiativ till samråd. Bestämmelserna i andra stycket samma paragraf gäller då.

5 §

Om ett pågående förfarande som omfattas av ett krav på säkerhetsskyddsavtal enligt 2 kap. 6 § är olämpligt från säkerhetsskyddssynpunkt, får tillsynsmyndigheten förelägga verksamhetsutövaren och den utomstående parten i förfarandet att vidta de åtgärder som är

SOU 2018:82 Författningsförslag

47

nödvändiga för att förhindra skada för Sveriges säkerhet.

Föreläggandet får förenas med vite.

Tillsynsmyndigheten får även ansöka om tvångsåtgärder enligt 12 §.

Överlåtelse av säkerhetskänslig verksamhet och viss egendom

6 §

Det som anges i 2 § om skyldighet göra en särskild säkerhetsbedömning och lämplighetsprövning gäller också den som bedriver säkerhetskänslig verksamhet och som avser att överlåta

1. hela eller någon del av den säkerhetskänsliga verksamheten, eller

2. någon egendom i den säkerhetskänsliga verksamheten som har betydelse för Sveriges säkerhet eller ett för Sverige förpliktande internationellt åtagande om säkerhetsskydd.

Skyldigheterna enligt första stycket ska fullgöras innan ett förfarande för överlåtelse inleds. Om lämplighetsprövningen leder till bedömningen att den planerade överlåtelsen är olämplig från säkerhetsskyddssynpunkt, får den inte inledas.

Författningsförslag SOU 2018:82

48

7 §

Om lämplighetsprövningen enligt 6 § leder till bedömningen att överlåtelsen får ske, ska verksamhetsutövaren samråda med den myndighet som enligt 4 a kap. 1 § första stycket utövar tillsyn över den verksamhet som överlåtelsen gäller.

Tillsynsmyndigheten får förelägga verksamhetsutövaren att vidta åtgärder enligt denna lag och de föreskrifter som har meddelats i anslutning till lagen. Om ett föreläggande inte följs eller om tillsynsmyndigheten bedömer att överlåtelsen är olämplig från säkerhetsskyddssynpunkt även om ytterligare åtgärder vidtas, får tillsynsmyndigheten besluta att överlåtelsen inte får genomföras. Samrådet får även avslutas med ett föreläggande som innebär att överlåtelsen endast får genomföras på vissa angivna villkor, vid påföljd att överlåtelsen annars är ogiltig. Tillsynsmyndigheten får även ansöka om tvångsåtgärder enligt 12 §.

Det som anges i första och andra styckena om verksamhetsutövaren gäller även den som avser att överlåta aktier eller andelar i säkerhetskänslig verksamhet, dock inte aktier i aktiebolag som är publika enligt aktiebolagslagen (2005:551) .

SOU 2018:82 Författningsförslag

49

8 §

Om förutsättningarna i 7 § första eller tredje stycket är uppfyllda får även tillsynsmyndigheten ta initiativ till samråd. Bestämmelserna i andra och tredje styckena samma paragraf gäller då.

9 §

En överlåtelse är ogiltig om den har genomförts i strid med ett förbud enligt 7 § eller ett föreläggande enligt samma paragraf som meddelats vid påföljd av ogiltighet.

Om en överlåtelse har gjorts utan att samråd skett enligt 7 eller 8 § och förutsättningarna för ett förbud enligt 7 § är uppfyllda, får tillsynsmyndigheten i efterhand meddela ett sådant förbud. Överlåtelsen är då ogiltig.

10 §

Om en överlåtelse är ogiltig enligt 9 § får tillsynsmyndigheten meddela de förelägganden mot överlåtaren och förvärvaren som behövs för att förhindra skada för Sveriges säkerhet. Ett sådant föreläggande får förenas med vite.

11 §

En verksamhetsutövare som avser att överlåta hela eller delar av den säkerhetskänsliga verksamheten ska upplysa förvärvaren om att denna lag gäller för verksamheten. En sådan upplysning ska innehålla en påminnelse om de

Författningsförslag SOU 2018:82

50

skyldigheter som enligt 2 kap. 1 § gäller för den som är ansvarig för en säkerhetskänslig verksamhet.

Tvångsåtgärder

12 §

Om det behövs för att ändamålet med ett förbud eller föreläggande enligt detta kapitel inte ska motverkas får Stockholms tingsrätt besluta om sådana åtgärder som avses i 15 kap. 1 3 §§ rättegångsbalken . Frågan tas upp på yrkande av tillsynsmyndigheten. En åtgärd får beslutas även om föreläggandet eller förbudet inte fått laga kraft.

13 §

Vid behandlingen av en fråga enligt 12 § tillämpar rätten vad som gäller när en fråga om åtgärd enligt 15 kap. 1, 2 eller 3 § rättegångsbalken uppkommer i en rättegång.

Ett yrkande får inte bifallas utan att motparten har fått tillfälle att yttra sig. Om det är fara i dröjsmål får dock rätten omedelbart bevilja åtgärden till dess annat beslutas.

14 §

Tillsynsmyndigheten ska genast meddela rätten när syftet med en tvångsåtgärd enligt 12 § har uppnåtts, eller det av någon annan anledning inte längre finns skäl för

SOU 2018:82 Författningsförslag

51

åtgärden. Rätten ska omedelbart upphäva en åtgärd som har beviljats enligt 12 § om det inte längre finns skäl för åtgärden.

Rätten ska ompröva åtgärden med fyra veckors mellanrum.

Åtgärden får inte upphävas utan hörande av tillsynsmyndigheten.

Tillsynsmyndighetens handläggning av samrådsärenden

15 §

Vid tillsynsmyndighetens handläggning av ärenden om samråd, föreläggande och förbud enligt detta kapitel gäller inte 12 § förvaltningslagen (2017:900) .

Bemyndigande

16 §

Regeringen eller den myndighet som regeringen bestämmer får meddela ytterligare föreskrifter om handläggningen av ärenden om samråd, föreläggande, förbud och tvångsåtgärder enligt 3, 4, 6, 7 och 12 §§.

4 a kap. Tillsyn

Tillsynsmyndighetens uppdrag

1 §

Den myndighet som regeringen bestämmer ska utöva tillsyn över säkerhetsskyddet hos myndigheter och andra som lagen gäller för.

Författningsförslag SOU 2018:82

52

Den myndighet som regeringen bestämmer får utöva tillsyn hos utomstående aktörer som har ingått säkerhetsskyddsavtal och utomstående verksamhetsutövare som aktören har anlitat inom ramen för säkerhetsskyddsavtalet.

Tillsynsmyndigheten ska utöva tillsyn över att denna lag och föreskrifter som har meddelats i anslutning till lagen följs.

Tillsynsmyndighetens undersökningsbefogenheter

2 §

Den som står under tillsyn ska på begäran tillhandahålla tillsynsmyndigheten den information som behövs för tillsynen.

3 §

Tillsynsmyndigheten har i den omfattning det behövs för tillsynen rätt att få tillträde till områden, lokaler och andra utrymmen, dock inte bostäder, som används i verksamhet som omfattas av tillsyn.

4 §

Tillsynsmyndigheten får förelägga den som står under tillsyn att tillhandahålla information och ge tillträde enligt 2 och 3 §§.

Ett sådant föreläggande får förenas med vite.

SOU 2018:82 Författningsförslag

53

5 §

Tillsynsmyndigheten får begära handräckning av Kronofogdemyndigheten för att genomföra de åtgärder som avses i 2 och 3 §§. Vid handräckning gäller bestämmelserna i utsökningsbalken om verkställighet av förpliktelser som inte avser betalningsskyldighet, avhysning eller avlägsnande.

4 b kap. Ingripande och sanktioner

Åtgärdsförelägganden

1 §

Den myndighet som enligt 4 a kap. 1 § första stycket utövar tillsyn över verksamheten (tillsynsmyndigheten) får besluta de förelägganden som behövs för att de som omfattas av tillsyn enligt denna lag ska fullgöra skyldigheter enligt lagen eller föreskrifter som har meddelats i anslutning till den.

Ett föreläggande får förenas med vite.

Sanktionsavgift

2 §

Tillsynsmyndigheten ska ta ut en sanktionsavgift av den verksamhetsutövare som

1. underlåter att göra en anmälan enligt 2 kap. 1 a § eller enligt föreskrifter som har meddelats i anslutning till den paragrafen,

Författningsförslag SOU 2018:82

54

2. underlåter att utföra eller uppdatera en säkerhetsskyddsanalys enligt 2 kap. 1 § eller enligt föreskrifter som har meddelats i anslutning till den paragrafen,

3. underlåter att vidta säkerhetsskyddsåtgärder enligt 2 kap. 2–4 §§ eller enligt föreskrifter som har meddelats i anslutning till de paragraferna,

4. underlåter att säkerhetsskyddsklassificera uppgifter enligt 2 kap. 5 §,

5. underlåter att enligt 2 kap. 1 § eller föreskrifter som har meddelats i anslutning till den paragrafen kontrollera säkerhetsskyddet i den egna verksamheten eller att fullgöra anmälnings- eller rapporteringsplikt,

6. underlåter att ingå ett säkerhetsskyddsavtal enligt 2 kap. 6 § eller som ingår ett säkerhetsskyddsavtal som är bristfälligt i väsentlig mån,

7. inleder ett förfarande som avses i 2 a kap. 3 § eller genomför en överlåtelse som avses i 2 a kap. 7 § utan att fullgöra den samrådsskyldighet som följer av respektive paragraf,

8. inleder ett förfarande i strid med ett förbud som meddelats med stöd av 2 a kap. 3 eller 4 § eller genomför en överlåtelse i strid med ett förbud eller villkor som meddelats med stöd av 2 a kap. 7 eller 8 §,

SOU 2018:82 Författningsförslag

55

9. lämnar oriktiga uppgifter i samband med tillsyn eller samråd enligt de bestämmelser som anges i 7, eller

10. underlåter att enligt 2 kap. 6 c § utse en säkerhetsskyddschef.

Sanktionsavgift ska även tas ut av den som avses i 2 a kap. 7 § tredje stycket och som genomför en överlåtelse som avses där utan att fullgöra sin samrådsskyldighet eller i strid med ett förbud eller villkor som meddelats med stöd av andra stycket samma paragraf eller 8 §, eller som lämnar oriktiga uppgifter vid samrådet.

3 §

En sanktionsavgift ska bestämmas till lägst 5 000 kronor och högst 10 000 000 kronor.

4 §

När sanktionsavgiftens storlek bestäms ska särskild hänsyn tas till den skada eller sårbarhet för Sveriges säkerhet som uppstått till följd av överträdelsen, till om den avgiftsskyldige tidigare begått en överträdelse och till de kostnader som den avgiftsskyldige undvikit till följd av överträdelsen.

5 §

En sanktionsavgift får efterges helt eller delvis om överträdelsen är ringa eller ursäktlig eller om det

Författningsförslag SOU 2018:82

56

annars med hänsyn till omständigheterna skulle vara oskäligt att ta ut avgiften.

6 §

En sanktionsavgift får inte beslutas om överträdelsen omfattas av ett föreläggande om vite och överträdelsen ligger till grund för en ansökan om utdömande av vitet.

7 §

En sanktionsavgift får endast beslutas om den som avgiften ska tas ut av har fått tillfälle att yttra sig inom två år från det att överträdelsen ägde rum.

Ett beslut om sanktionsavgift ska delges.

8 §

En sanktionsavgift ska betalas till tillsynsmyndigheten inom 30 dagar från det att beslutet om att ta ut avgiften har fått laga kraft eller inom den längre tid som anges i beslutet.

Om sanktionsavgiften inte betalas inom den tid som anges i första stycket, ska myndigheten lämna den obetalda avgiften för indrivning. Bestämmelser om indrivning finns i lagen ( 1993:891 ) om indrivning av statliga fordringar m.m. Vid indrivning får verkställighet ske enligt utsökningsbalken .

En sanktionsavgift tillfaller staten.

SOU 2018:82 Författningsförslag

57

9 §

En beslutad sanktionsavgift faller bort till den del beslutet om avgiften inte har verkställts inom fem år från det att beslutet fick laga kraft.

5 kap.

Tillsyn Förordnande om att ett beslut ska gälla omedelbart

4 §

Den myndighet som regeringen bestämmer ska utöva tillsyn över säkerhetsskyddet hos myndigheter och andra som lagen gäller för.

Den myndighet som regeringen bestämmer får utöva tillsyn hos leverantörer som har träffat säkerhetsskyddsavtal.

Tillsynsmyndigheten får bestämma att ett beslut om föreläggande enligt 2 a kap., 4 a kap. eller 4 b kap. denna lag ska gälla omedelbart.

Överklagande

6 §

Beslut om föreläggande enligt 2 a kap. 3, 4, 7 och 8 §§, 4 a kap. 4 § och 4 b kap. 1 § och sanktionsavgift enligt 4 b kap. 2 § överklagas till Förvaltningsrätten i Stockholm. Prövningstillstånd krävs vid överklagande till kammarrätten.

Beslut om förbud enligt 2 a kap. 3, 4, 7, 8 eller 9 § och föreläggande enligt 2 a kap. 5 och 10 §§ överklagas till regeringen.

Författningsförslag SOU 2018:82

58

När ett beslut som avses i första stycket överklagas är tillsynsmyndigheten motpart.

Andra beslut enligt denna lag får inte överklagas.

1. Denna lag träder i kraft den 1 januari 2021.

2. Ärenden om samråd som har inletts hos Säkerhetspolisen eller Försvarsmakten före ikraftträdandet handläggs enligt äldre föreskrifter.

3. Sanktionsavgift får beslutas endast för överträdelser som har ägt rum eller pågår efter ikraftträdandet.

SOU 2018:82 Författningsförslag

59

1.2 Förslag till förordning om ändring i säkerhetsskyddsförordningen (2018:658)

Regeringen föreskriver i fråga om säkerhetsskyddsförordningen (2018:658)

dels att 2 kap. 2 och 9 §§ ska upphöra att gälla,

dels att 2 kap. 1, 5, 6 och 10 §§, 7 kap. 1–3, 8 och 11 §§ ska ha

följande lydelse och rubriken till 7 kap. ska ha följande lydelse,

dels att det ska införas ett nytt kapitel, 8 kap. och två nya

paragrafer, 7 kap. 1 a och 3 a §§, av följande lydelse.

Lydelse fr.o.m. den 1 april 2019 Föreslagen lydelse

2 kap.

1 §

Den som bedriver säkerhetskänslig verksamhet ska enligt 2 kap. 1 § säkerhetsskyddslagen (2018:585) göra en säkerhetsskyddsanalys.

Säkerhetsskyddsanalysen innebär att säkerhetsskyddsklassificerade uppgifter och vad som i övrigt behöver ett säkerhetsskydd ska identifieras. Vilka delar av verksamheten som är skyddsvärda med hänsyn till Sveriges säkerhet samt vilka hot och sårbarheter som finns kopplade till detta skyddsvärde ska också identifieras. Säkerhetsskyddsanalysen ska även innehålla en bedömning av vilka säkerhetsskyddsåtgärder som är nödvändiga. Analysen ska

hållas uppdaterad.

Säkerhetsskyddsanalysen innebär att säkerhetsskyddsklassificerade uppgifter och vad som i övrigt behöver ett säkerhetsskydd ska identifieras. Vilka delar av verksamheten som är skyddsvärda med hänsyn till Sveriges säkerhet samt vilka hot och sårbarheter som finns kopplade till detta skyddsvärde ska också identifieras. Säkerhetsskyddsanalysen ska även innehålla en bedömning av vilka säkerhetsskyddsåtgärder som är nödvändiga. Analysen ska

uppdateras åtminstone årligen.

5 §

En enskild verksamhetsutövare som avser att ingå ett säkerhetsskyddsavtal enligt 2 kap. 6 § säkerhetsskyddslagen (2018:585) ska utan dröjsmål anmäla det till

En enskild verksamhetsutövare som avser att ingå ett säkerhetsskyddsavtal enligt 2 kap. 6 § säkerhetsskyddslagen (2018:585) ska utan dröjsmål anmäla det till

Författningsförslag SOU 2018:82

60

den tillsynsmyndighet som anges i 7 kap. 1 § första stycket 3–

6. Anmälan syftar till att upp-

märksamma tillsynsmyndigheten på eventuellt behov av placering i säkerhetsklass och ska också utgöra underlag för myndighetens arbete med tillsyn över säkerhetsskyddet. I 5 kap. finns bestämmelser om beslut om placering i säkerhetsklass samt registerkontroll och särskild personutredning.

den tillsynsmyndighet som anges i 7 kap. 1 § första stycket 3–

13, om det inte föreligger samrådsskyldighet enligt 2 a kap. 3 eller 7 § samma lag. Anmälan syftar

till att uppmärksamma tillsynsmyndigheten på eventuellt behov av placering i säkerhetsklass och ska också utgöra underlag för myndighetens arbete med tillsyn över säkerhetsskyddet. I 5 kap. finns bestämmelser om beslut om placering i säkerhetsklass samt registerkontroll och särskild personutredning.

6 §

En statlig myndighet som avser att genomföra en upphandling som innebär krav på säkerhetsskyddsavtal enligt 2 kap. 6 § säkerhetsskyddslagen (2018:585) ska vidta de åtgärder som anges i andra stycket, om

1. leverantören kan få tillgång till eller möjlighet att förvara säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen hemlig eller högre utanför myndighetens lokaler, eller

2. leverantören kan få tillgång till säkerhetskänsliga informationssystem utanför myndighetens lokaler och obehörig åtkomst till systemen kan medföra allvarlig skada för Sveriges säkerhet.

Så snart en fråga om föreläggande enligt 2 a kap. 5 eller 10 § säkerhetsskyddslagen (2018:585) eller förbud enligt 2 a kap. 9 § andra stycket samma lag aktualiseras vid tillsynsmyndigheten ska tillsynsmyndigheten underrätta den myndighet som är samordningsmyndighet enligt 7 kap. 1 a §.

Tillsynsmyndigheten ska, om det inte är uppenbart obehövligt, ge samordningsmyndigheten möjlighet att inom viss tid yttra sig innan tillsynsmyndigheten

1. avslutar ett samråd som avses i 2 a kap. 3 eller 4 § säkerhetsskyddslagen på något annat sätt än genom ett beslut om att förfarandet inte får genomföras, eller

2. avslutar ett samråd enligt 2 a kap. 7 eller 8 § nyss nämnda lag.

SOU 2018:82 Författningsförslag

61

En statlig myndighet som avser att genomföra en sådan upphandling ska innan förfarandet inleds

1. genom en särskild säkerhetsbedömning identifiera och dokumentera vilka säkerhetsskyddsklassificerade uppgifter eller säkerhetskänsliga informationssystem som leverantören kan få del av och som kräver säkerhetsskydd, och

2. samråda med den myndighet som enligt 7 kap. 1 § första stycket 1 eller 2 utövar tillsyn över den aktuella verksamheten.

Tillsynsmyndigheten får förelägga myndigheten att vidta åtgärder enligt säkerhetsskyddslagen och de föreskrifter som har meddelats i anslutning till den lagen. Om ett föreläggande inte följs eller om tillsynsmyndigheten bedömer att säkerhetsskyddslagens krav inte kan tillgodoses trots att ytterligare åtgärder vidtas, får tillsynsmyndigheten besluta att myndigheten inte får genomföra upphandlingen.

Tillsynsmyndigheten får inte fatta beslut i frågan innan tiden för yttrande har gått ut.

Vad som sägs i första och andra styckena gäller inte för Säkerhetspolisen och Försvarsmakten i rollen som tillsynsmyndighet.

10 §

En verksamhetsutövare ska skyndsamt anmäla till Säkerhetspolisen om

1. en säkerhetsskyddsklassificerad uppgift kan ha röjts,

2. det inträffat en it-incident i ett informationssystem som verksamhetsutövaren är ansvarig för och som har betydelse för säkerhetskänslig verksamhet och där incidenten allvarligt kan påverka säkerheten i systemet, eller

3. verksamhetsutövaren får kännedom eller misstanke om någon annan för denne allvarlig säkerhetshotande verksamhet.

Författningsförslag SOU 2018:82

62

Om verksamhetsutövaren tillhör Försvarsmaktens tillsynsområde enligt 7 kap. 1 § första stycket 1, ska anmälan göras också till Försvarsmakten.

En verksamhetsutövare som får kännedom om att någon annan än verksamhetsutövaren planerar att överlåta eller har överlåtit verksamheten eller sådan egendom i verksamheten som har betydelse för Sveriges säkerhet eller för ett för Sverige förpliktande åtagande om säkerhetsskydd ska skyndsamt anmäla förhållandet till tillsynsmyndigheten.

7 kap. Tillsyn, föreskrifter

och rådgivning

7 kap. Tillsyn, föreskrifter ,

rådgivning och vägledning

1 §

Tillsyn över säkerhetsskyddet ska utövas av

1. Försvarsmakten när det gäller Fortifikationsverket och Försvarshögskolan samt de myndigheter som hör till Försvarsdepartementet,

2. Säkerhetspolisen när det gäller övriga myndigheter, utom

Justitiekanslern, samt kommuner och landsting,

2. Säkerhetspolisen när det gäller domstolarna som inte hör

till Försvarsdepartementet, Domstolsverket, Åklagarmyndigheten, Polismyndigheten, Ekobrottsmyndigheten, Kriminalvården, Kustbevakningen, Tullverket, Skatteverket, Försäkringskassan, Pensionsmyndigheten, Statens servicecenter, Riksgäldskontoret, Finansinspektionen, Statens fastighetsverk, Inspektionen för strategiska produkter, Myndigheten för samhällsskydd och beredskap, Lantmäteriet, Post- och telestyrelsen, Transport-

SOU 2018:82 Författningsförslag

63

3. Affärsverket svenska kraftnät när det gäller enskilda verksamhetsutövare som bedriver el-

försörjningsverksamhet,

4. Transportstyrelsen när det gäller enskilda verksamhetsutövare som bedriver flygtrafiktjänst

för civil luftfart, flygtrafikledningstjänst för militär luftfart och verksamhet som i övrigt är av betydelse för luftfartsskydd, hamnskydd och sjöfartsskydd,

5. Post- och telestyrelsen när det gäller enskilda verksamhetsutövare som bedriver verksamhet

som avser elektronisk kommu-

nikation och posttjänst, och

6. länsstyrelserna när det gäller

enskilda verksamhetsutövare som bedriver andra säkerhetskänsliga verksamheter än sådana som anges i 3–5.

styrelsen, Affärsverket svenska kraftnät, Strålsäkerhetsmyndigheten, Statens energimyndighet samt Länsstyrelserna i Stockholms, Skåne, Västra Götalands län och Norrbottens län,

3. Affärsverket svenska kraftnät när det gäller enskilda verksamhetsutövare inom området el-

försörjning samt för enskilda verksamhetsutövare inom området dammanläggningar,

4. Transportstyrelsen när det gäller Sjöfartsverket, Trafikverket,

Luftfartsverket och enskilda verk-

samhetsutövare inom områdena civil luftfart, vägtrafik, sjöfart och

järnväg,

5. Post- och telestyrelsen när det gäller enskilda verksamhetsutövare inom områdena elektronisk kommunikation och posttjänster,

6. Försvarets materielverk när det gäller enskilda verksamhetsutövare inom området försvarsmateriel,

7. Finansinspektionen när det gäller enskilda verksamhetsutövare inom området finansiella företag samt för motsvarande utländska företag som är etablerade i Sverige,

Författningsförslag SOU 2018:82

64

8. Statens energimyndighet när det gäller enskilda verksamhetsutövare inom områdena fjärrvärme-, naturgas-, olje- och drivmedelsförsörjning,

9. Strålsäkerhetsmyndigheten när det gäller enskilda verksamhetsutövare inom området kärnteknisk verksamhet, 10. Länsstyrelsen i Stockholms län när det gäller myndigheter, kommuner och landsting som hör till Stockholms, Uppsala, Södermanlands, Västmanlands, Värmlands, Gotlands, Örebro, Dalarnas eller Gävleborgs län samt enskilda verksamhetsutövare som har sitt säte i något av dessa län, om de inte hör till någon annan tillsynsmyndighets tillsynsområde, utom Säkerhetspolisen, 11. Länsstyrelsen i Skåne län när det gäller myndigheter, kommuner och landsting som hör till Kronobergs, Blekinge, Kalmar eller Skåne län och enskilda verksamhetsutövare som har sitt säte i något av dessa län, om de inte hör till någon annan tillsynsmyndighets tillsynsområde, 12. Länsstyrelsen i Västra Götalands län när det gäller myndigheter, kommuner och landsting som hör till Hallands, Jönköpings, Västra Götalands eller Östergötlands län och enskilda verksamhetsutövare som har sitt säte i något av dessa län, om de inte hör

SOU 2018:82 Författningsförslag

65

De myndigheter som anges i första stycket får inom sitt tillsynsområde utöva tillsyn över säkerhetsskyddet hos leverantörer som omfattas av ett säkerhetsskyddsavtal enligt 2 kap. 6 § säkerhetsskyddslagen (2018:585). Sådan tillsyn får också avse en-

skilda verksamhetsutövare som leverantören har anlitat inom ra-

men för säkerhetsskyddsavtalet.

till någon annan tillsynsmyndighets tillsynsområde,

13. Länsstyrelsen i Norrbottens län när det gäller myndigheter, kommuner och landsting som hör till Västernorrlands, Jämtlands, Västerbottens eller Norrbottens län och enskilda verksamhetsutövare som har sitt säte i något av dessa län, om de inte hör till någon annan tillsynsmyndighets tillsynsområde.

De myndigheter som anges i första stycket får inom sitt tillsynsområde utöva tillsyn över säkerhetsskyddet hos leverantörer och andra utomstående part-

er som omfattas av ett säkerhets-

skyddsavtal enligt 2 kap. 6 § säkerhetsskyddslagen (2018:585). Sådan tillsyn får också avse verksamhetsutövare som den utomstå-

ende parten har anlitat inom ra-

men för säkerhetsskyddsavtalet.

Justitiekanslern är inte underkastad tillsyn.

Samordningsmyndigheternas uppdrag

1 a §

Säkerhetspolisen och Försvarsmakten ska vara samordningsmyndigheter. Respektive myndighet ska

1. följa upp, utvärdera och utveckla tillsynsarbetet inom respektive myndighets tillsynsområde,

Författningsförslag SOU 2018:82

66

2. i samråd utveckla och tillhandahålla metodstöd för tillsyn,

3. verka för erfarenhetsutbyte och

4. förmedla relevant hotinformation till tillsynsmyndigheterna.

2 §

Säkerhetspolisen och Försvarsmakten får utöva tillsyn inom de ansvarsområden som anges i 1 § första stycket 3–6 och andra stycket. När sådan tillsyn har utövats ska den som har ansvar för tillsynen enligt 1 § underrättas.

Säkerhetspolisen och Försvarsmakten får, om det finns sär-

skilda skäl, ta över tillsynsansvaret för en verksamhetsutövare inom

de ansvarsområden som anges i 1 § första stycket 3–13 och utom-

stående parter som avses i andra

stycket samma paragraf. När sådan tillsyn har utövats ska den som har ansvar för tillsynen enligt 1 § underrättas. När det inte

längre finns skäl för övertagandet ska tillsynsansvaret återgå till tillsynsmyndigheten.

Säkerhetspolisen och Försvarsmakten får även utöva tillsyn över leverantörer som har uppdrag för flera verksamhetsutövare om leverantörens samlade uppdrag är av stor betydelse för Sveriges säkerhet.

3 §

Om det vid tillsynen över säkerhetsskyddet konstateras allvarliga brister som trots påpekanden inte rättas till, ska Säkerhetspolisen eller Försvarsmakten anmäla förhållandet till regeringen. Det gäller dock inte brister hos sådana enskilda verksamhetsutövare där villkoren för säkerhetsskyddet angetts i ett säkerhetsskyddsavtal.

Om sådana brister i säkerhetsskyddet som anges i första stycket konstaterats av någon av de myndigheter som enligt 7 kap. 1 § första stycket 3–6 utövar tillsyn, ska myndigheten informera Säkerhetspolisen och Försvarsmakten.

Om sådana brister i säkerhetsskyddet som anges i första stycket konstaterats av någon av de myndigheter som enligt 7 kap. 1 § första stycket 3–13 utövar tillsyn, ska myndigheten informera Säkerhetspolisen och Försvarsmakten.

SOU 2018:82 Författningsförslag

67

3 a §

Tillsynsmyndigheten ska genom systematisk kartläggning identifiera de verksamheter inom tillsynsmyndighetens ansvarsområde som omfattas av säkerhetsskyddslagen . Kartläggningen ska genomföras regelbundet.

Tillsynsmyndigheten ska ha en aktuell förteckning över myndighetens tillsynsobjekt.

I fråga om Säkerhetspolisen och Försvarsmakten ska skyldigheten att kartlägga och hålla en förteckning över tillsynsobjekt enbart gälla verksamhetsutövare som myndigheten har övertagit tillsynen över enligt 2 §.

8 §

De myndigheter som enligt 1 § första stycket 3–6 utövar tillsyn över enskilda verksamhetsutövare får inom sitt respektive ansvarsområde meddela föreskrifter som kompletterar sådana föreskrifter som meddelats med stöd av 4–5 och 7 §§ av Säkerhetspolisen, Försvarsmakten och Försvarets materielverk. Innan en myndighet meddelar föreskrifter ska myndigheten samråda med Säkerhetspolisen och Försvarsmakten.

De myndigheter som enligt 1 § första stycket 3–13 utövar tillsyn över enskilda verksamhetsutövare får inom sitt respektive ansvarsområde meddela föreskrifter som kompletterar sådana föreskrifter som meddelats med stöd av 4–5 och 7 §§ av Säkerhetspolisen, Försvarsmakten och Försvarets materielverk. Innan en myndighet meddelar föreskrifter ska myndigheten samråda med Säkerhetspolisen och Försvarsmakten.

Författningsförslag SOU 2018:82

68

11 §

De myndigheter som utövar tillsyn över enskilda verksamhets-

utövare ska inom sina respektive

ansvarsområden lämna råd om säkerhetsskydd.

De myndigheter som utövar tillsyn ska inom sina respektive ansvarsområden lämna vägled-

ning om säkerhetsskydd.

8 kap. Övriga bestämmelser

1 §

Bestämmelsen i 3 § förvaltningslagen (2017:900) gäller inte vid Säkerhetspolisens handläggning av ärenden om samråd, förelägganden och förbud enligt säkerhetsskyddslagen (2018:585) . Detsamma gäller i fråga om tillsyn och sanktionsavgifter enligt samma lag.

Denna förordning träder i kraft den 1 januari 2021.

69

2 Utredningens uppdrag och arbete

2.1 Utredningens uppdrag

Det övergripande syftet med uppdraget är att i linje med slutsatserna i den nationella säkerhetsstrategin stärka förmågan att effektivt och samordnat förebygga och möta omedelbara hot mot och utmaningar för Sveriges säkerhet. Mer konkret har vi i uppdrag att i vissa delar komplettera de förslag som lämnades i betänkandet En ny säkerhets-

skyddslag (SOU 2015:25). Det är däremot inte vårt uppdrag att göra

en fullständig översyn av säkerhetsskyddsreglerna.

Vårt uppdrag kan delas upp i fyra huvudsakliga delar. Delarna beskrivs närmare i det följande. Vi ska i alla dessa delar lämna fullständiga författningsförslag. Det ingår dock inte i uppdraget att överväga ändringar i grundlag.

Hur kan man förebygga risker vid utkontraktering, upplåtelse och överlåtelse av säkerhetskänslig verksamhet?

Den första delen av uppdraget handlar utkontraktering, upplåtelse och överlåtelse av säkerhetskänslig verksamhet. Det är numera vanligt att myndigheter lägger ut vissa arbetsuppgifter på entreprenad till externa aktörer. Det kan exempelvis handla om driften av myndighetens it-system. Förfarandet kallas ofta för outsourcing eller utkontraktering. Det har i olika sammanhang, och inte minst i samband med den uppmärksammade händelsen rörande Transportstyrelsens utkontraktering av myndighetens it-drift, framkommit att det kan finnas risker förknippade med utkontraktering av säkerhetskänslig verksamhet. Det förekommer även att säkerhetskänslig verksamhet överlåts eller att man upplåter en viss del av en funktion

Utredningens uppdrag och arbete SOU 2018:82

70

eller verksamhet, eller viss egendom som i sig kan vara säkerhetskänslig.

Det finns i säkerhetsskyddsregleringen vissa bestämmelser om hur överlåtelse och utkontraktering av säkerhetskänslig verksamhet ska hanteras. Emellertid behöver frågorna enligt direktiven ses över ytterligare, inte minst mot bakgrund av att den nya säkerhetsskyddslagen har ett något bredare tillämpningsområde. I direktiven framhålls det bl.a. att säkerhetskänslig verksamhet även måste kunna skyddas vid upplåtelse av en viss funktion eller del av verksamhet, eller av viss egendom.

Vi ska mot denna bakgrund kartlägga behovet av att förebygga att säkerhetsskyddsklassificerade uppgifter eller i övrigt säkerhetskänslig verksamhet utsätts för risker i samband med utkontraktering, upplåtelse och överlåtelse av sådan verksamhet. Med utgångspunkt i kartläggningen ska vi även föreslå olika förebyggande åtgärder. I direktiven tas införande av tillståndsprövning upp som en möjlig sådan åtgärd, men även andra lösningar kan tänkas. Det behöver inte handla om säkerhetsskyddsåtgärder i säkerhetsskyddslagens mening. Enligt direktiven bör begreppet säkerhetskänslig verksamhet i detta sammanhang ges en vid tolkning.

Vi behandlar de frågor som nu beskrivits i kapitel 6 och 7.

Hur bör ett sanktionssystem se ut?

Den andra frågan gäller införande av ett system med sanktioner för den som åsidosätter sitt säkerhetsskyddsarbete. Säkerhetsskyddsreglerna syftar till att säkerställa skydd för det allra mest skyddsvärda i samhället. Trots det finns det i dagsläget ingen möjlighet att utdela sanktioner om en verksamhetsutövare åsidosätter säkerhetsskyddsreglerna. Några förslag om sådana sanktioner lämnades inte heller i betänkandet En ny säkerhetsskyddslag. Detta kritiserades av flera remissinstanser. Avsaknaden av sanktioner kan enligt direktiven medföra en risk för mindre följsamhet hos de aktörer som omfattas av regleringen, vilket i sin tur kan vara skadligt för Sveriges säkerhet. Det sägs vidare att den risken inte minst gör sig gällande eftersom den nya säkerhetsskyddsregleringen i viss mån kommer att innebära hårdare krav på förebyggande åtgärder och på ett tydligare sätt

SOU 2018:82 Utredningens uppdrag och arbete

71

kommer att rikta sig mot enskilda aktörer. I direktiven uppmärksammas det också att sanktioner kan meddelas enligt de nya regler som meddelas med stöd av det s.k. NIS-direktivet

1

– dvs. lagen

(2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster – och att det vore djupt otillfredsställande om detsamma inte skulle gälla på säkerhetsskyddsområdet. Slutligen framhålls det att införandet av sanktioner skulle ligga i linje med de rekommendationer som Riksrevisionen lämnat i rapporten Informationssäker-

heten i den civila statsförvaltningen (RiR 2014:223).

Vi har mot denna bakgrund i uppdrag att analysera vilka brister i arbetet med säkerhetsskydd som bör beläggas med sanktioner. Vi ska även föreslå dels ett system med lämpliga sanktioner för att uppnå säkerhetsskyddslagstiftningens ändamål, dels vilken eller vilka myndigheter som ska få befogenhet att besluta om sanktioner.

Vi behandlar frågor om sanktioner i kapitel 9.

Hur bör en ändamålsenlig tillsyn se ut?

Den tredje frågan handlar om hur tillsynen av säkerhetsskyddet bör vara ordnad och vilka myndigheter som bör ansvara för den. Enligt både den gamla och den nya säkerhetsskyddslagen är Säkerhetspolisen och Försvarsmakten huvudansvariga för tillsyn av säkerhetsskyddet hos myndigheter och andra verksamheter som regleringen gäller för. Affärsverket svenska kraftnät, Transportstyrelsen, Post- och telestyrelsen respektive länsstyrelserna har ett särskilt ansvar för tillsyn av säkerhetsskyddet hos bolag, föreningar, stiftelser och andra enskilda.

Den tillsyn som hittills utövats i fråga om säkerhetsskydd har främst haft karaktär av rådgivning och stöd åt verksamheterna. Formerna för tillsynen avviker därmed i väsentliga avseenden från hur offentlig tillsyn normalt är ordnad. Detta förhållande uppmärksammades i betänkandet En ny säkerhetsskyddslag, men man stannade där för att inte föreslå någon ändring av tillsynens inriktning och genomförande. Däremot föreslog utredningen att Myndigheten för samhällsskydd och beredskap (MSB) ska ta över tillsynsansvaret för

1 Europaparlamentets och rådets direktiv (EU) 2016/1148 av den 6 juli 2016 om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen.

Utredningens uppdrag och arbete SOU 2018:82

72

kommuner och landsting från Säkerhetspolisen och även länsstyrelsernas ansvar för enskilda verksamheter som inte hör till övriga tillsynsmyndigheters ansvarsområde. Förslaget rörande en ny tillsynsroll för MSB fick ett blandat mottagande av remissinstanserna. Vidare framförde flera remissinstanser att även andra myndigheter, däribland Finansinspektionen, bör få ett tillsynsansvar.

I direktiven framhålls det att ett införande av sanktioner på säkerhetsskyddsområdet kommer att göra det nödvändigt att tillsynen får en mer traditionell inriktning. Samtidigt anges att det även i fortsättningen kommer att finnas behov av rådgivning och stöd.

Mot denna bakgrund, och mot bakgrund av att det även vid genomförandet av NIS-direktivet måste analyseras hur tillsynen ska organiseras bland flera myndigheter, har vi i uppdrag att analysera hur tillsyn, rådgivning och stödverksamhet ska bedrivas och att föreslå hur en ändamålsenlig tillsyn enligt säkerhetsskyddslagen ska bedrivas. Vi ska även analysera och föreslå vilka myndigheter som ska ha ansvar för tillsyn enligt regleringen. Enligt direktiven ska det huvudsakliga ansvaret för tillsynen även i fortsättningen vila på Säkerhetspolisen och Försvarsmakten inom respektive myndighets ansvarsområde.

Vi behandlar tillsynsfrågorna i kapitel 8.

Behövs det en utökad skyldighet att ingå säkerhetskyddsavtal?

Den fjärde och sista delen av uppdraget följer av tilläggsdirektiv som beslutades den 18 januari 2018. Uppdraget i denna del handlar om i vilken utsträckning verksamhetsutövare som bedriver säkerhetskänslig verksamhet ska vara skyldiga att ingå säkerhetsskyddsavtal vid överenskommelser med utomstående som berör den säkerhetskänsliga verksamheten.

Enligt regler i den nya säkerhetsskyddslagen ska statliga myndigheter, kommuner och landsting som avser att genomföra en upphandling och ingå ett avtal om varor, tjänster eller byggentreprenader i vissa fall vara skyldiga att ingå ett säkerhetsskyddsavtal med leverantören. I avtalet ska det anges hur kraven på säkerhetsskydd ska tillgodoses. Skyldigheten att ingå säkerhetsskyddsavtal kommer att gälla även för enskilda verksamhetsutövare när de ingår avtal om varor, tjänster och byggentreprenader.

SOU 2018:82 Utredningens uppdrag och arbete

73

Kravet på säkerhetsskyddsavtal enligt de nya reglerna är begränsat till att i princip gälla för upphandlingssituationer. Enligt tilläggsdirektiven finns det därför skäl att utreda hur regleringen kan kompletteras. Vi har mot denna bakgrund fått i uppdrag att analysera och föreslå i vilken utsträckning verksamhetsutövare som bedriver säkerhetskänslig verksamhet ska vara skyldiga att ingå säkerhetsskyddsavtal vid överenskommelser som träffas med utomstående och som berör den säkerhetskänsliga verksamheten. Det anges i direktiven att uppdraget omfattar samarbetssituationer som inte träffas av kravet på säkerhetsskyddsavtal i nya säkerhetsskyddslagen. Uppdraget omfattar dock inte sådant samarbete som en myndighet bedriver i enlighet med en författning eller ett regeringsbeslut och som förutsätter ett utbyte av säkerhetskänsliga uppgifter och där förtroendet mellan parterna bygger på ett ömsesidigt intresse av att säkerheten för uppgifterna upprätthålls.

Konsekvensbeskrivningar

Utöver de fyra beskrivna uppdragen, har utredningen också i uppgift att bedöma och redovisa förslagens konsekvenser i olika avseenden. Detta följer av både kraven på konsekvensanalys i 1416 §§kommittéförordningen (1998:1474) och utredningens direktiv. I direktiven anges bl.a. följande.

Utredaren ska bedöma de ekonomiska konsekvenserna av förslagen för enskilda och det allmänna, och i synnerhet för de myndigheter som är eller föreslås bli tillsynsmyndigheter enligt säkerhetsskyddslagen, samt konsekvenserna i övrigt av förslagen. Om förslagen kan förväntas leda till kostnadsökningar för det allmänna, ska utredaren föreslå hur dessa ska finansieras.

Enligt direktiven ska även förhållandet till vissa bestämmelser i regeringsformen beaktas inom ramen för konsekvensbeskrivningen. I direktiven sägs följande. I 14 kap. 3 § regeringsformen anges att en inskränkning av den kommunala självstyrelsen inte bör gå utöver vad som är nödvändigt med hänsyn till ändamålen. Det innebär att en proportionalitetsprövning ska göras under lagstiftningsprocessen. Om något av förslagen i betänkandet påverkar det kommunala självstyret ska därför, utöver dess konsekvenser, också de särskilda avvägningar som lett fram till förslagen särskilt redovisas. En sådan

Utredningens uppdrag och arbete SOU 2018:82

74

bedömning ska också göras om något av förslagen i betänkandet kan komma att påverka enskilda. I 2 kap.15 och 17 §§regeringsformen regleras egendomsskyddet och näringsfriheten. Dessa rättigheter får endast begränsas i syfte att skydda angelägna allmänna intressen. Om utredaren överväger förslag som kan påverka egendomsskyddet eller näringsfriheten ska förslagen därför analyseras i förhållande till dessa bestämmelser.

Samråd och redovisning av uppdraget

Det åligger utredningen att hålla Regeringskansliet (Justitiedepartementet) informerat om det löpande arbetet. Vidare ska vi under arbetets gång ta hänsyn och förhålla oss till det fortsatta arbetet med en ny säkerhetsskyddslag och genomförandet av NIS-direktivet. Utredningen ska också hålla sig informerad om det arbete som bedrivs i utredningen om förbättrat skydd för totalförsvarsverksamhet (Fö 2017:31) och beakta annat relevant arbete som pågår inom Regeringskansliet och kommittéväsendet. Under genomförandet av uppdraget ska utredningen, i den utsträckning som bedöms lämplig, också samråda med och inhämta upplysningar från de myndigheter och andra organisationer som berörs av de aktuella frågorna.

2.2 Något om begreppen

I direktiven talas det om risker i samband med olika förfaranden, däribland vissa överlåtelser, utkontrakteringar och upplåtelser. I betänkandet använder vi i stället andra begrepp, som är bättre förenliga med den terminologi som brukar användas på säkerhets- och säkerhetsskyddsområdet. Vi använder bl.a. begreppet sårbarhet, med vilket vi menar brister i skyddet av en tillgång eller av en säkerhetsåtgärd som kan utnyttjas av ett eller flera hot. Ordet hot använder vi för att beskriva dels en aktörs kapacitet och avsikt att genomföra skadliga handlingar, dels händelser eller företeelser som medför fara för skada på något eller någon utan att det i sammanhanget förekommer aktörer med kapacitet och avsikt att orsaka skada.

SOU 2018:82 Utredningens uppdrag och arbete

75

2.3 Utredningens arbete

Vi har haft både möten och mer informella kontakter med utredningens experter och sakkunniga. Vi har sammanträffat med företrädare för branschorganisationen Säkerhets- och försvarsföretagen (SOFF) liksom med ett flertal företag i bl.a. försvarsbranschen. Vi har under arbetet också haft kontakt med företrädare för Telia, Teracom, Relacom, Vattenfall och Ericsson.

Under arbetets gång har vi haft avstämningar med företrädare för

• utredningen om förbättrat skydd för totalförsvarsverksamhet

(dir. 2017:31),

• utredningen om ett effektivt offentligt främjande av utländska investeringar (dir. 2018:3),

• nätkoncessionsutredningen (dir. 2018:6),

• utredningen om radiospektrumanvändning i framtiden

(dir. 2017:99), och

• utredningen om genomförande av ändringar i AV-direktivet och översyn av radio-_och_tv-lagen i vissa andra delar (dir. 2018:55).

I enlighet med direktiven har vi förhållit oss till arbetet med en ny säkerhetsskyddslag och genomförandet av NIS-direktivet.

Vi har genomfört studiebesök hos Nasjonal sikkerhetsmyndighet i Norge. Vi har också sammanträffat med Arbets- och näringsministeriet och Statsrådets kansli i Finland. Syftet med besöken har i huvudsak varit att få kunskap om hur de frågor som omfattas av vårt uppdrag har reglerats och hanterats i dessa länder.

Under utredningens arbete har vi träffat de myndigheter som vi föreslår ska bedriva tillsyn enligt säkerhetsskyddsregleringen (se avsnitt 8.7). Vi har även träffat Sveriges kommuner och landsting, Strålsäkerhetsmyndigheten, Statens servicecenter och Statens energimyndighet. För att stödja de föreslagna tillsynsmyndigheterna i arbetet med att uppskatta resursbehovet för att genomföra våra förslag har vi tagit initiativ till en utbildningsinsats som genomfördes av Försvarsmakten och Säkerhetspolisen i juni 2018.

77

3 Bakgrund och viss relevant reglering

3.1 Inledning

I det här kapitlet redogör vi för bakgrunden till vårt uppdrag (avsnitt 3.2). Vi ger också en kortfattad beskrivning av vissa förändringar i samhället och omvärlden och vad dessa innebär i fråga om förändrade krav på säkerhetsskydd (avsnitt 3.3). Därefter beskriver vi översiktligt den nya säkerhetsskyddsregleringen, som en bakgrund till våra överväganden (avsnitt 3.4). En mer detaljerad redogörelse för regleringen i relevanta delar ges i respektive övervägandekapitel. I avsnitt 3.5 redogör vi översiktligt för sekretessregleringen och i avsnitt 3.6 för vissa centrala regler om skydd för enskildas rättigheter av betydelse för vårt uppdrag, däribland regler om egendomsskydd, näringsfrihet och rätt till domstolsprövning.

3.2 Bakgrunden till vårt uppdrag

Bestämmelser om säkerhetsskydd finns i säkerhetsskyddslagen (1996:627) och säkerhetsskyddsförordningen (1996:633), i det följande kallade gamla säkerhetsskyddslagen respektive gamla säkerhets-

skyddsförordningen. Säkerhetsskydd handlar enligt gamla säkerhets-

skyddslagen om förebyggande åtgärder för att skydda Sveriges säkerhet mot spioneri, sabotage, terroristbrott och andra brott. Kraven på säkerhetsskyddet har förändrats genom utvecklingen i omvärlden, ökningen av säkerhetskänslig verksamhet som bedrivs i enskild regi och en ökad internationell samverkan. Mot bakgrund av de förändrade kraven har en ny säkerhetsskyddslag arbetats fram. Den nya säkerhetsskyddslagen (2018:585) och den nya säkerhetsskyddsför-

Bakgrund och viss relevant reglering SOU 2018:82

78

ordningen (2018:658) träder i kraft den 1 april 2019. De nya författningarna kallas i det följande för nya säkerhetsskyddslagen respektive

Det nya regelverket bygger till stora delar på förslag som lades fram i betänkandet En ny säkerhetsskyddslag (SOU 2015:25). Regelverket innebär en förstärkning av säkerhetsskyddet i olika avseenden. Bland annat förbättras skyddet av exempelvis samhällsviktiga informationssystem. Vidare förtydligas i nya säkerhetsskyddslagen att säkerhetsskyddsbestämmelserna inte bara gäller i allmän utan också i enskilt bedriven verksamhet, såsom bolag och föreningar. Den nya lagen tydliggör skyldigheterna för den som bedriver säkerhetskänslig verksamhet och vikten av att verksamhetsutövarna genomför säkerhetsskyddsanalyser för sina verksamheter.

I samband med beredningen av betänkandet En ny säkerhets-

skyddslag har det uppmärksammats att det kan finnas ett behov av

även andra åtgärder än de som föreslogs i betänkandet. Bland annat har det genom påpekanden från Säkerhetspolisen och händelser i närtid framkommit att det kan finnas behov av ytterligare åtgärder för att förebygga risker i samband med utkontraktering, upplåtelse och överlåtelse av säkerhetskänslig verksamhet. Vi har därför i uppdrag att kartlägga och föreslå olika förebyggande åtgärder som motverkar att uppgifter som gäller Sveriges säkerhet eller säkerhetskänslig verksamhet utsätts för risker i samband med sådan utkontraktering, upplåtelse och överlåtelse. Viss reglering finns redan. Bland annat har regeringen, i avvaktan på våra förslag, infört vissa regler i säkerhetsskyddsförordningen som innebär skärpta krav på statliga myndigheter i samband med bl.a. utkontraktering i vissa fall (16 a § gamla säkerhetsskyddsförordningen och 2 kap. 6 § nya säkerhetsskyddsförordningen).

Den som avser att ingå ett avtal om varor, tjänster eller byggentreprenader är enligt bestämmelser i nya säkerhetsskyddslagen i vissa fall vara skyldig att ingå ett säkerhetsskyddsavtal med leverantören. I avtalet regleras hur kraven på säkerhetsskydd ska tillgodoses av leverantören. Syftet med kravet på säkerhetsskyddsavtal är att de intressen som säkerhetsskyddslagen slår vakt om ska vara lika starkt oavsett om verksamheten bedrivs av det allmänna eller av enskilda. Kravet på säkerhetsskyddsavtal är dock begränsat till vissa situationer. Vi har därför i uppdrag att analysera och föreslå i vilken

SOU 2018:82 Bakgrund och viss relevant reglering

79

utsträckning verksamhetsutövare som bedriver säkerhetskänslig verksamhet ska vara skyldiga att ingå säkerhetsskyddsavtal vid överenskommelser som träffas med utomstående och som berör den säkerhetskänsliga verksamheten.

Det finns varken i den gamla eller nya regleringen några sanktioner som kan användas mot den som åsidosätter sina säkerhetsskyddsåtaganden. Några förslag om sanktioner lämnades inte heller i 2015 års betänkande. Regeringen har, bl.a. mot bakgrund av att flera remissinstanser kritiserade avsaknaden av sådana förslag, bedömt att det finns ett behov av att utreda hur ett system med sanktioner i säkerhetsskyddsregleringen skulle kunna utformas. Vi har därför i uppdrag att lämna förslag till ett sådant sanktionssystem.

Slutligen har vi i uppdrag att föreslå hur en ändamålsenlig tillsyn enligt säkerhetsskyddsregleringen ska vara utformad. Tillsynen har hittills mest utövats genom stöd- och rådgivningsverksamhet. Detta skiljer sig från hur tillsynsverksamhet brukar vara ordnad. Om sanktioner införs i regleringen blir det dock nödvändigt med en tillsyn i egentlig mening. Vi ska därför föreslå hur en ändamålsenlig tillsyn ska bedrivas och vilka myndigheter som ska ha ansvaret för den.

3.3 Betydelsen av samhällsutvecklingen och ett förändrat omvärldsläge

I det följande beskriver vi kortfattat de förändringar i omvärlden och det svenska samhället som har förändrat förutsättningarna för säkerhetsskyddet under de senaste decennierna. Framställningen är i allt väsentligt hämtad från prop. 2017/18:89 (s. 33 och 34).

Hoten mot rikets säkerhet har förändrats sedan gamla säkerhetsskyddslagen trädde i kraft för mer än 20 år sedan. Främmande staters underrättelseverksamhet har de senaste decennierna breddats mot forskning och utveckling inom civila områden samt mot politiska frågor och information som rör samhällsviktiga system. Itangrepp i olika former betraktas numera som ett av de allvarligaste hoten. Samtidigt kvarstår underrättelsehoten mot militär verksamhet och mot information av betydelse för försvaret av Sverige.

Bakgrund och viss relevant reglering SOU 2018:82

80

Dagens säkerhetspolitiska hot, eller hot som är av sådan karaktär att de kan få säkerhetspolitiska konsekvenser, är ofta gränsöverskridande, icke-militära och utgår inte sällan från icke-statliga aktörer. Exempel på sådana hot är internationell terrorism och andra typer av grov gränsöverskridande brottslighet, informations- och cybersäkerhetshot, spridning av massförstörelsevapen samt framställning och transport av vapen, komponenter och teknologi.

Samhällsutvecklingen innebär nya krav på och förutsättningar för säkerhetsskyddet. Ett exempel är digitaliseringen, som har skett i en rasande takt under de senaste decennierna. Informationstekniken genomsyrar i dag i stort sett alla aspekter av samhällsviktiga verksamheter. En rad verksamheter, både hos det allmänna och inom näringslivet, är helt beroende av digitala system för bl.a. styrning, reglering och övervakning. En storskalig it-incident bedöms i dag kunna få allvarliga konsekvenser för samhällsviktig verksamhet och kritisk infrastruktur.

En annan viktig förändring är den omfattande avregleringen och konkurrensutsättningen av samhällsviktig verksamhet. Med tiden har allt mer samhällsviktig verksamhet kommit att hamna utanför gamla säkerhetsskyddslagens direkta tillämpningsområde. En stor del av de verksamheter som är viktiga för det svenska samhällets funktionalitet står i dag inte under direkt statligt inflytande. Sådana verksamheter bedrivs och förvaltas i stället i stor utsträckning av enskilda aktörer. Även utländskt ägande eller inflytande är numera en realitet inom samhällsviktiga verksamheter. Utkontraktering av verksamhet ger upphov till särskilda utmaningar avseende säkerhetsskyddet. Detta illustreras inte minst av de händelser vid Transportstyrelsen som fick stor uppmärksamhet under 2017 och där utkontraktering av myndighetens it-drift skett utan att lagens krav på säkerhetsprövning var uppfyllda.

Globaliseringen och det ökade internationella samarbetet har medfört att gränserna för vad som är att hänföra till rikets inre respektive yttre säkerhet har ändrats. Sverige deltar i stor omfattning i internationella samarbeten för fred och säkerhet där känsliga uppgifter utbyts med andra länder och mellanfolkliga organisationer. Den ökade samverkan med andra länder har inneburit ett växande behov av att anpassa säkerhetsskyddet till åtaganden som följer av folkrättsliga förpliktelser.

SOU 2018:82 Bakgrund och viss relevant reglering

81

Både det nya regelverket om säkerhetsskydd och vårt uppdrag bör förstås mot bakgrund av den utveckling som beskrivits i det föregående. Det bör dock framhållas att säkerhetsskyddslagen enbart tar sikte på verksamhet som är av betydelse för Sveriges säkerhet eller den som bedriver verksamhet som omfattas av ett för Sverige förpliktande internationellt åtagande om säkerhetsskydd. Det räcker alltså inte att verksamheten är samhällsviktig för att den ska anses vara av betydelse för Sveriges säkerhet. Avgörande för om samhällsviktig verksamhet också kan anses röra Sveriges säkerhet, och därmed omfattas av säkerhetsskyddslagens tillämpningsområde, är i stället att en antagonistisk handling mot verksamheten skulle kunna medföra skadekonsekvenser på nationell nivå (prop. 2017/18:89 s. 44). En utförlig redogörelse för de nya hoten och de huvudsakliga förändringsfaktorerna finns i SOU 2015:25 (s. 221–242). Vi återkommer också till frågan i avsnitt 6.4.1.

3.4 En översiktlig beskrivning av säkerhetsskyddsreglerna

3.4.1 Avsnittets innehåll

Eftersom det har antagits ett nytt regelverk om säkerhetsskydd som kommer att träda i kraft i början av 2019 kommer vi inte att här fördjupa oss i det hittills gällande regelverket, annat än om det är särskilt påkallat. Redogörelsen i det här avsnittet gäller alltså nya säkerhetsskyddslagen och nya säkerhetsskyddsförordningen, om det inte sägs något annat. Beskrivningen bygger i allt väsentligt på framställningen i prop. 2017/18:89.

3.4.2 Vad är säkerhetsskydd?

Skydd av säkerhetskänslig verksamhet

Innebörden av säkerhetsskydd framgår av 1 kap. 2 § nya säkerhetsskyddslagen. Med säkerhetsskydd avses för det första skydd av

säkerhetskänslig verksamhet mot spioneri, sabotage, terroristbrott

och andra brott som kan hota verksamheten. En verksamhet är säkerhetskänslig om den är av betydelse för Sveriges säkerhet eller om den

Bakgrund och viss relevant reglering SOU 2018:82

82

omfattas av ett internationellt åtagande om säkerhetsskydd som är förpliktande för Sverige.

Uttrycket ”Sveriges säkerhet” tar sikte på förhållanden av grundläggande betydelse för Sverige. Det kan handla om både militär och civil verksamhet, så länge verksamheten har en sådan betydelse. Förutom militär verksamhet kan det exempelvis gälla viktig civil infrastruktur såsom flygplatser, energianläggningar och förmedlingsstationer för telekommunikation.

Även verksamhet som inte i och för sig har betydelse för Sveriges säkerhet kan vara säkerhetskänslig, om den omfattas av ett bindande internationellt säkerhetsskyddsåtagande. Med det avses uppgifter som är säkerhetskänsliga för andra stater och mellanfolkliga organisationer och som Sverige genom säkerhetsskyddsöverenskommelser har åtagit sig att skydda. Sådana överenskommelser gäller i dag i förhållande till ett trettiotal stater och vissa mellanfolkliga organisationer, däribland EU och Nato. Bestämmelsen ger även stöd för säkerhetsskyddsåtgärder som följer av folkrättsliga förpliktelser i övrigt, bl.a. EU-rättsliga bestämmelser inom t.ex. luftfartsområdet.

Skydd av säkerhetsskyddsklassificerade uppgifter

Med säkerhetsskydd avses för det andra skydd av säkerhetsskydds-

klassificerade uppgifter. Till skillnad från skyddet av säkerhetskänslig

verksamhet gäller skyddet för uppgifter inte bara mot brott, utan också mot andra händelser. Det kan exempelvis handla om att uppgifterna på grund av misstag, bristande rutiner eller olyckshändelse sprids, förstörs eller förvanskas utan att det är fråga om ett brott. Säkerhetsskyddet innebär då t.ex. att handlingar ska förvaras på ett betryggande sätt och att spridningen av uppgifter i handlingarna så långt det är möjligt ska begränsas till personer som behöver dem för sin tjänsteutövning. Med säkerhetsskyddsklassificerade uppgifter avses dels uppgifter som rör säkerhetskänslig verksamhet och som därför omfattas av sekretess enligt offentlighets- och sekretesslagen (2009:400, OSL), dels uppgifter som skulle ha omfattats av sekretess enligt den lagen om den hade varit tillämplig.

Andra ledet i bestämmelsen tar sikte på verksamheter som inte omfattas av bestämmelserna i OSL, t.ex. företag och andra enskilda aktörer. Av bestämmelsen följer att även uppgifter som finns hos

SOU 2018:82 Bakgrund och viss relevant reglering

83

sådana aktörer är säkerhetsskyddsklassificerade fastän OSL inte gäller för aktören, förutsatt uppgiften skulle ha omfattats av sekretess om OSL hade varit tillämplig. Det är alltså tillräckligt att uppgiften till sin natur är sådan att den materiellt sett kan hänföras till en bestämmelse om sekretess med hänsyn till antingen Sveriges säkerhet eller Sveriges förbindelser med en annan stat eller mellanfolklig organisation.

3.4.3 Vem gäller reglerna för?

Den som till någon del bedriver sådan säkerhetskänslig verksamhet som vi beskrev under förra rubriken är skyldig att bedriva ett säkerhetsskyddsarbete. Uttrycket ”till någon del” utvisar att inte hela verksamheten behöver vara sådan att säkerhetsskyddslagen gäller. Utgångspunkten för säkerhetsskyddsarbetet är en säkerhetsskydds-

analys. Verksamhetsutövaren ska genom en sådan analys utreda vilket

behov som finns av säkerhetsskydd. Utifrån analysen ska verksamhetsutövaren planera ett väl avvägt och balanserat säkerhetsskydd där olika säkerhetsskyddsåtgärder samverkar med varandra. Vi skriver om de olika säkerhetsskyddsåtgärderna i avsnitt 3.4.5.

Det som avgör behovet av säkerhetsskydd i verksamheten är bl.a. vilka hot, risker och sårbarheter som kan finnas i verksamheten. Resultatet av säkerhetsskyddsanalysen ska dokumenteras. Verksamhetsutövaren ska även se till att det finns intern kontroll av säkerhetsskyddet.

3.4.4 Säkerhetsskyddsklassificering

Ett viktigt begrepp i säkerhetsskyddslagen är säkerhetsskyddsklassi-

ficering. Vad som avses med säkerhetsskyddsklassificerad uppgift

har utvecklats i avsnitt 3.4.2. Uppgifter som är säkerhetsskyddsklassificerade ska numera delas in i någon av fyra säkerhetsskyddsklasser utifrån den skada som ett röjande av uppgiften kan medföra för Sveriges säkerhet. Indelningen i olika klasser är en nyhet i den nya säkerhetsskyddslagen och återfinns i 2 kap. 5 § lagen.

Den högsta klassen är kvalificerat hemlig. En uppgift hör till denna nivå om skadan för Sveriges säkerhet vid ett röjande kan bli synnerligen allvarlig. Den näst högsta klassen är hemlig. En uppgift

Bakgrund och viss relevant reglering SOU 2018:82

84

hör till denna nivå om skadan för Sveriges säkerhet kan bli allvarlig. De två lägre nivåerna är konfidentiell och därefter begränsat hemlig. Uppgiften hör till nivån konfidentiell om den potentiella skadan för Sveriges säkerhet bedöms som inte obetydlig. Om den potentiella skadan bedöms som endast ringa är uppgiften begränsat hemlig.

Om en viss handling innehåller skyddsvärd information på olika nivåer ska den uppgift som kan orsaka störst skada om den röjs styra valet av säkerhetsskyddsklass. Regleringen är teknikneutral och det spelar därför ingen roll om uppgiften finns i fysisk eller digital form.

I förordning eller myndighetsföreskrifter konkretiseras det vilka specifika åtgärder som ska vidtas för att skydda de säkerhetsskyddsklassificerade uppgifterna.

Som har framgått i avsnitt 3.4.2 omfattar säkerhetsskyddsregleringen även uppgifter som ska skyddas på grund av internationella säkerhetsskyddsåtaganden. Även sådana uppgifter ska nivåindelas på motsvarande sätt som uppgifter som ska skyddas på grund av risker för Sveriges säkerhet. I regel är uppgifter som ska skyddas enligt internationella åtaganden redan klassificerade av den stat eller mellanfolkliga organisation som uppgifterna kommer ifrån. I ett sådant fall ska klassificeringen godtas. Men det kan också vara så att en svensk myndighet upprättar handlingar som omfattas av ett internationellt säkerhetsskyddsåtagande. Klassificeringen ska då göras utifrån den skada som ett röjande av uppgiften kan medföra för Sveriges förhållande till en annan stat eller en mellanfolklig organisation.

3.4.5 De olika säkerhetsskyddsåtgärderna

Det finns tre olika typer av säkerhetsskyddsåtgärder, nämligen informationssäkerhet, fysisk säkerhet och personalsäkerhet. Åtgärderna, som beskrivs i 2 kap. 2–4 §§ nya säkerhetsskyddslagen, har delvis olika syften.

Informationssäkerhet handlar till att börja med om skydd för säker-

hetsskyddsklassificerade uppgifter. Säkerhetsskyddsåtgärderna ska förebygga att sådana uppgifter obehörigen röjs, ändras, görs otillgängliga eller förstörs. Det kan t.ex. vara fråga om att anpassa ett informationssystems säkerhetsfunktioner så att uppgifterna får ett

SOU 2018:82 Bakgrund och viss relevant reglering

85

tillräckligt skydd. Vidare handlar informationssäkerhet om att förebygga skadlig inverkan i övrigt på uppgifter och informationssystem som avser säkerhetskänslig verksamhet. Det handlar då framför allt om skyddsåtgärder för att tillgodose behov av tillgänglighet och riktighet i fråga om uppgifter och informationssystem som inte utgör eller innehåller säkerhetsskyddsklassificerade uppgifter, men som har avgörande betydelse för viktiga samhällsfunktioner. Det kan t.ex. vara fråga om skydd för uppgifter och informationssystem som har en avgörande betydelse för styrning, reglering och övervakning av el- och vattenförsörjning och digital infrastruktur eller sådana sammanställningar av uppgifter, t.ex. folkbokföringsregistret, som är av grundläggande betydelse för ett fungerande samhälle. Med uppgifter och informationssystem avses i detta sammanhang både själva uppgifterna och de tekniska system som används för att i olika avseenden elektroniskt behandla uppgifter.

Fysisk säkerhet handlar bl.a. om att förebygga att obehöriga per-

soner får tillträde till områden, byggnader och andra anläggningar eller objekt där de kan få tillgång till säkerhetsskyddsklassificerade uppgifter eller där säkerhetskänslig verksamhet i övrigt bedrivs. Åtgärden kan också avse skydd mot sådan skadlig inverkan som orsakas utan ett obehörigt tillträde. Det skulle exempelvis kunna röra sig om att en kabel för samhällsviktig elektronisk kommunikation skyddas genom ett robust hölje eller larm eller åtgärder för att skydda ett objekt mot obemannade luftfartyg, s.k. drönare.

Den tredje och sista säkerhetsskyddsåtgärden är personalsäkerhet. Personalsäkerhet handlar bl.a. om att förebygga att personer som inte är pålitliga från säkerhetssynpunkt deltar i vissa verksamheter. Det som avses är verksamhet där de kan få tillgång till säkerhetsskyddsklassificerade uppgifter eller en verksamhet som är säkerhetskänslig av någon annan anledning, t.ex. deltagande i verksamhet vid ett skyddsobjekt enligt skyddslagen (2010:305). En nyhet i nya säkerhetsskyddslagen är att personalsäkerhet också inkluderar en skyldighet för verksamhetsutövaren att säkerställa att de som deltar i säkerhetskänslig verksamhet har en tillräcklig kunskap om säkerhetsskydd. En viktig del av säkerhetsskyddet är alltså att det görs utbildnings- och informationsinsatser för att höja kunskapen om verksamhetens säkerhetsskydd och för att öka förståelsen och acceptansen för det.

Bakgrund och viss relevant reglering SOU 2018:82

86

Säkerhetsskyddsåtgärder kan potentiellt vara kostsamma och medföra en risk för negativ påverkan på en verksamhets funktionalitet, effektivitet och tillgänglighet. Åtgärderna kan även vara mycket ingripande för enskilda. Som ett exempel kan nämnas inhämtande av känsliga uppgifter om en enskilds personliga förhållanden inom ramen för personalsäkerhetsåtgärder. Med hänsyn till detta finns det i nya säkerhetsskyddslagen ett uttryckligt krav på att säkerhetsskyddsåtgärderna så långt det är möjligt ska utformas så att de inte medför skada eller annan olägenhet för andra allmänna eller enskilda intressen (2 kap. 1 § fjärde stycket).

3.4.6 Säkerhetsskyddsavtal

En grundtanke i säkerhetsskyddsregleringen är att de intressen som reglerna slår vakt om ska ha samma skydd oavsett om verksamheten bedrivs av det allmänna eller av enskilda. Denna tanke kommer bl.a. till uttryck i regler som innebär att verksamhetsutövare i vissa fall är skyldiga att ingå ett säkerhetsskyddsavtal med en leverantör (2 kap. 6 § nya säkerhetsskyddslagen). Ett säkerhetsskyddsavtal är ett avtal där det klargörs för en leverantör hur denne ska tillgodose kraven på säkerhetsskydd, när sådana krav gäller.

För statliga myndigheter, kommuner och landsting gäller skyldigheten att ingå säkerhetskyddssavtal med leverantören när verksamhetsutövaren avser att genomföra en upphandling och ingå ett avtal om varor, tjänster eller byggentreprenad (2 kap. 6 § första stycket nya säkerhetsskyddslagen). Förutsättningen för att det ska gälla en skyldighet att teckna säkerhetsskyddsavtal är

1. att det i upphandlingen förekommer säkerhetsskyddsklassificerade

uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller

2. att upphandlingen i övrigt avser eller ger leverantören tillgång till

säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet.

En motsvarande skyldighet att teckna säkerhetsskyddsavtal gäller för enskilda verksamhetsutövare som ingår avtal om varor, tjänster eller byggentreprenader med utomstående leverantörer (andra stycket i den nyss nämnda bestämmelsen).

SOU 2018:82 Bakgrund och viss relevant reglering

87

Reglerna om säkerhetsskyddsavtal förutsätter att verksamhetsutövaren utreder behovet av säkerhetsskyddsåtgärder så att dessa kan preciseras i avtalet. Det är viktigt att framhålla att säkerhetsskyddet inte får göras mindre långtgående än vad som följer av lagen. En leverantör som omfattas av säkerhetsskyddslagen kan alltså inte genom ett säkerhetsskyddsavtal åläggas mindre omfattande säkerhetsskyddsåtgärder än som redan gäller för verksamheten enligt lagen. Däremot kan ett säkerhetsskyddsavtal fylla funktionen att det preciserar säkerhetsskyddet hos leverantören för att passa den aktuella upphandlingen.

Skyldigheten att se till att det ingås ett säkerhetsskyddsavtal gäller även om leverantören har sin juridiska hemvist i ett annat land.

Den som har ingått ett säkerhetsskyddsavtal med en leverantör är skyldig att kontrollera att leverantören följer avtalet. Kontrollskyldigheten gäller för såväl offentliga som enskilda verksamhetsutövare och innebär en skyldighet att se till att avtalsvillkoren följs.

Den 1 april 2018 skärptes kraven på statliga myndigheter som avser att inleda en säkerhetsskyddad upphandling. Numera gäller enligt 16 a § gamla säkerhetsskyddsförordningen att en statlig myndighet som avser att inleda en upphandling som innebär krav på säkerhetsskyddsavtal i vissa fall måste använda ett särskilt förfarande. Motsvarande regler finns även i 2 kap. 6 § nya säkerhetsskyddsförordningen. Innebörden av bestämmelserna utvecklas närmare i avsnitt 6.3.2.

3.4.7 Bemyndigande

Enligt 2 kap. 7 § nya säkerhetsskyddslagen får regeringen, eller den myndighet som regeringen bestämmer, meddela föreskrifter om anmälnings- och rapporteringsskyldighet och även i övrigt vad som krävs för att uppfylla bestämmelserna i 2 kap. nya säkerhetsskyddslagen. Föreskrifter om anmälnings- och rapporteringsskyldighet kan t.ex. avse en skyldighet att anmäla röjande av en säkerhetsskyddsklassificerad uppgift, allvarligt säkerhetshotande verksamhet, brister i säkerhetsskyddet och ingående av säkerhetsskyddsavtal samt rapportering av it-incidenter. Andra slags föreskrifter som kan meddelas med stöd av bemyndigandet är t.ex. föreskrifter om vilka närmare åtgärder en verksamhetsutövare ska vidta för att identifiera och

Bakgrund och viss relevant reglering SOU 2018:82

88

värdera skyddsvärden inom ramen för arbetet med sin säkerhetsskyddsanalys, samt hur man ska uppfylla kraven på säkerhetsskyddsklassificering, informationssäkerhet, fysisk säkerhet och personalsäkerhet.

Regeringen eller den myndighet som regeringen bestämmer kan vidare med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om verkställighet av nya säkerhetsskyddslagen.

3.4.8 Säkerhetsprövning

Krav på säkerhetsprövning vid deltagande i säkerhetskänslig verksamhet

I 3 kap. nya säkerhetsskyddslagen finns det bestämmelser om säkerhetsprövning. Kravet på säkerhetsprövning gäller den som genom en anställning eller på något annat sätt ska delta i säkerhetskänslig verksamhet. Vissa kategorier, däribland statsråd och riksdagsledamöter, är undantagna från kravet. Säkerhetsprövningen syftar till att klarlägga om en person kan antas vara lojal mot de intressen som skyddas i säkerhetsskyddslagen och i övrigt pålitlig från säkerhetssynpunkt. Vid säkerhetsprövningen sker det normalt en s.k. grundutredning, där man hämtar in uppgifter om personliga förhållanden som har betydelse för säkerhetsprövningen. Det kan handla om kontroll av betyg, intyg och referenser samt att man hämtar in uppgifter från den som ska säkerhetsprövas, t.ex. genom en intervju eller ett frågeformulär. Om anställningen har placerats i säkerhetsklass (se vidare nedan) ska det också göras en registerkontroll. Vilka uppgifter som får lämnas ut beror på vilken säkerhetsklass det gäller. Om det finns särskilda skäl får man göra en registerkontroll även om en anställning eller ett annat deltagande i säkerhetskänslig verksamhet inte har placerats i säkerhetsklass. I vissa fall ska det vid registerkontroll göras en särskild personutredning. En sådan utredning ska omfatta en undersökning av den kontrollerade personens ekonomiska förhållanden och i övrigt ha den omfattning som behövs.

Säkerhetsprövningen ska följas upp under den tid som deltagandet i den säkerhetskänsliga verksamheten pågår. Kravet på uppdatering innebär bl.a. att uppgifterna i grundutredningen ska hållas uppdaterade.

SOU 2018:82 Bakgrund och viss relevant reglering

89

Bedömningen av säkerhetsprövningen görs normalt av den som beslutar om anställning eller annat deltagande i den säkerhetskänsliga verksamheten. Om en myndighet har det bestämmande inflytandet över den prövades lämplighet att delta i säkerhetskänslig verksamhet hos en enskild verksamhetsutövare, är det i stället myndigheten som gör den slutliga bedömningen.

Placering i säkerhetsklass

I vissa fall ska en anställning eller ett annat deltagande i verksamheten placeras i säkerhetsklass enligt särskilda regler i 3 kap. 6–10 §§ nya säkerhetsskyddslagen. Detta får ske endast om behovet av säkerhetsskydd inte kan tillgodoses på något annat sätt. Det finns tre säkerhetsklasser där säkerhetsklass 1 är den högsta och alltså avser de mest känsliga anställningarna m.m.

Vissa anställningar som är placerade i säkerhetsklass 1 eller 2 får som huvudregel endast innehas av den som är svensk medborgare. Förutom när det gäller Riksdagens förvaltningsområde beslutar regeringen om placeringen i säkerhetsklass. Regeringen får även delegera beslutanderätten till myndigheter och andra genom föreskrifter.

3.4.9 Internationell säkerhetsskyddssamverkan och säkerhetsintyg

Av de internationella överenskommelser som Sverige har ingått framgår att en behörig svensk myndighet ska kunna utfärda säkerhetsintyg för personer och leverantörer på begäran av en stat eller mellanfolklig organisation. Intyget syftar till att visa att en behörig myndighet i ett land har genomfört en utredning och i denna kommit fram till att en person eller en leverantör kan anses pålitlig att hantera säkerhetsskyddsklassificerade uppgifter upp till en viss nivå. Bestämmelser om internationell säkerhetsskyddssamverkan och säkerhetsintyg finns i 4 kap. nya säkerhetsskyddslagen. Det finns inte här anledning att gå närmare in på vad dessa innebär.

Bakgrund och viss relevant reglering SOU 2018:82

90

3.4.10 Tystnadsplikt

Den som har fått del av uppgifter som förekommer i en angelägenhet som gäller säkerhetsprövning har tystnadsplikt om uppgifterna. I det allmännas verksamhet gäller i stället bestämmelserna i OSL. Motsvarande bestämmelser om tystnadsplikt gäller också för den som på grund av en anställning eller på annat liknande sätt deltar eller har deltagit i en säkerhetskänslig verksamhet. Han eller hon får inte obehörigen röja eller utnyttja säkerhetsskyddsklassificerade uppgifter (5 kap. 1 och 2 §§ nya säkerhetsskyddslagen).

3.4.11 Tillsyn

I 5 kap. 4 § nya säkerhetsskyddslagen finns det vissa bestämmelser om tillsyn av säkerhetsskyddet. I första stycket anges att den myndighet som regeringen bestämmer ska utöva tillsyn över säkerhetsskyddet hos myndigheter och andra som lagen gäller för. I andra stycket anges att den myndighet som regeringen bestämmer får utöva tillsyn hos leverantörer som har träffat säkerhetsskyddsavtal. Utgångspunkten är, som tidigare framgått, att det är den som har uppställt krav på säkerhetsskydd i ett säkerhetsskyddsavtal som i första hand ska kontrollera att motparten följer de angivna villkoren om säkerhetsskydd. Men bestämmelsen i andra stycket gör det möjligt också för en myndighet som regeringen väljer att utöva tillsyn. Ytterligare bestämmelser om tillsyn finns i säkerhetsskyddsförordningen.

3.5 Sekretessreglerna

OSL innehåller bland annat bestämmelser om tystnadsplikt i det allmännas verksamhet och om förbud att lämna ut allmänna handlingar. Bestämmelserna avser förbud att röja uppgift, vare sig detta sker muntligen, genom utlämnande av allmän handling eller på något annat sätt (1 kap. 1 § OSL).

Sekretessen gäller både mot enskilda och andra myndigheter. Den gäller även mellan olika verksamhetsgrenar inom en myndighet, om de är att betrakta som självständiga i förhållande till varandra. Sekretess gäller också mot utländska myndigheter eller mellanfolkliga

SOU 2018:82 Bakgrund och viss relevant reglering

91

organisationer. (8 kap. 1–3 §§ OSL.) I vissa fall har det ansetts att sekretessen bör få stå tillbaka till förmån för andra intressen. I 10 kap. OSL finns det därför ett antal sekretessbrytande bestämmelser och bestämmelser om undantag från sekretess. Vissa bestämmelser medger utlämnande av sekretesskyddade uppgifter till såväl enskilda som till myndigheter, medan andra gäller antingen utlämnande till enskilda eller till andra myndigheter. Därutöver gäller den s.k. generalklausulen, som innebär att en sekretessbelagd uppgift får lämnas till en myndighet, om det är uppenbart att intresset av att uppgiften lämnas har företräde framför det intresse som sekretessen ska skydda. Generalklausulen gäller dock inte för alla typer av sekretess. Det finns slutligen en generell sekretessbrytande bestämmelse som innebär att sekretess inte hindrar att en uppgift lämnas till en annan myndighet, om uppgiftsskyldigheten följer av lag eller förordning.

De flesta sekretessbestämmelser innehåller ett skaderekvisit. Det innebär att det bara råder förbud mot att lämna ut uppgiften om detta kan leda till skada eller men för något visst intresse som anges i bestämmelsen. I vissa fall är dock sekretessen absolut, vilket innebär att det råder förbud mot utlämnande även utan risk för skada eller men.

Det finns en viktig koppling mellan reglerna om säkerhetsskydd och sekretessbestämmelserna. Som framgått i avsnitt 3.4.2 är nämligen en av grunderna för säkerhetsskyddsklassificering av en uppgift att uppgiften rör säkerhetskänslig verksamhet och därför omfattas av sekretess enligt offentlighets- och sekretesslagen. Konkret innebär detta att uppgiften omfattas av en bestämmelse om sekretess med hänsyn till antingen Sveriges säkerhet eller Sveriges förbindelser med en annan stat eller mellanfolklig organisation. Sådana bestämmelser finns bl.a. i 15 kap. OSL.

Enligt 15 kap. 1 § OSL gäller sekretess för uppgift som rör Sveriges förbindelser med en annan stat eller i övrigt rör annan stat, mellanfolklig organisation, myndighet, medborgare eller juridisk person i annan stat eller statslös, om det kan antas att det stör Sveriges mellanfolkliga förbindelser eller på annat sätt skadar landet om uppgiften röjs. För uppgift i en allmän handling gäller sekretessen i högst fyrtio år.

Bakgrund och viss relevant reglering SOU 2018:82

92

Regler om sekretess i det internationella samarbetet finns i 15 kap. 1 a § OSL. Sekretess gäller för uppgift som en myndighet har fått från ett utländskt organ på grund av en bindande EU-rättsakt eller ett av EU ingånget eller av riksdagen godkänt avtal med en annan stat eller med en mellanfolklig organisation, om det kan antas att Sveriges möjlighet att delta i det internationella samarbete som avses i rättsakten eller avtalet försämras om uppgiften röjs. Motsvarande sekretess gäller för uppgift som en myndighet har inhämtat i syfte att överlämna den till ett utländskt organ i enlighet med en sådan rättsakt eller ett sådant avtal som nyss sagts. När sekretess gäller enligt paragrafen får vissa sekretessbrytande bestämmelser i 10 kap. inte tillämpas. För uppgift i en allmän handling gäller sekretessen i högst fyrtio år. Om det finns särskilda skäl, får regeringen meddela föreskrifter om att sekretessen ska gälla under längre tid.

I 15 kap. 1 b § OSL finns bestämmelser om utrikessekretess när en myndighet har direktåtkomst till en digital uppgift hos en annan stat eller mellanfolklig organisation.

Försvarssekretessen regleras i 15 kap. 2 § OSL. Sekretess gäller för uppgift som rör verksamhet för att försvara landet eller planläggning eller annan förberedelse av sådan verksamhet eller som i övrigt rör totalförsvaret, om det kan antas att det skadar landets försvar eller på annat sätt vållar fara för rikets säkerhet om uppgiften röjs. I mål eller ärende enligt särskild lag om försvarsuppfinningar gäller dock sekretess för uppgift om sådana uppfinningar enligt föreskrifter i den lagen. För uppgift i en allmän handling gäller sekretessen i högst fyrtio år. Om det finns särskilda skäl, får dock regeringen meddela föreskrifter om att sekretessen ska gälla under längre tid.

I 15 kap. finns en särskild sekretessbrytande bestämmelse. Det finns också särskilda regler om hanteringen av en begäran om utlämnande av allmän handling. Slutligen finns det även bestämmelser om förhållandet mellan tystnadsplikten och meddelarfriheten enligt tryckfrihetsförordningen och yttrandefrihetsgrundlagen.

SOU 2018:82 Bakgrund och viss relevant reglering

93

3.6 Skyddet för enskildas rättigheter

3.6.1 Egendomsskyddet i regeringsformen

Enligt 2 kap. 15 § första stycket regeringsformen är var och ens egendom tryggad genom att ingen kan tvingas avstå sin egendom till det allmänna eller till någon enskild genom expropriation eller något annat sådant förfogande eller tåla att det allmänna inskränker användningen av mark eller byggnad utom när det krävs för att tillgodose angelägna allmänna intressen.

Det är fråga om två typer av ingrepp i äganderätten som aktualiseras i det aktuella stycket. Den första typen omfattar situationer där någon tvingas avstå egendom genom ”expropriation eller annat sådant förfogande”. Med detta menas att en förmögenhetsrätt – dvs. äganderätt eller annan rätt med ett ekonomiskt värde, t.ex. nyttjanderätt, servitut eller vägrätt – tvångsvis överförs eller tas i anspråk (prop. 2009/10:80 s. 163). Lagstiftning som möjliggör sådana ingrepp finns i expropriationslagen (1972:719) men även i annan lagstiftning som exempelvis plan- och bygglagen (2010:900). Den som tvingas avstå sin egendom på grund av denna typ av ingrepp är enligt 2 kap. 15 § andra stycket regeringsformen tillförsäkrad full ersättning för förlusten.

Den andra typen av ingrepp som behandlas i paragrafens första stycke är sådana som innebär att det allmänna inskränker användningen av mark och byggnader, s.k. rådighetsinskränkningar. Rådighetsinskränkningar omfattar exempelvis byggnadsförbud och användningsförbud. Även den som innehar nyttjanderätt till mark eller byggnad omfattas av skyddet. Inskränkningar i rätten att använda lös egendom faller däremot utanför bestämmelsens tillämpningsområde (prop. 2009/10:80 s. 163).

Huvudregeln är att det finns en rätt till ersättning när det allmänna inskränker användningen av mark eller byggnad. I 2 kap. 15 § tredje stycket regeringsformen framgår dock att det vid inskränkningar i användningen av mark eller byggnad som sker av hälsoskydds-, miljöskydds- eller säkerhetsskäl så gäller vad som följer av lag i fråga om rätt till ersättning. Genom denna bestämmelse uttrycks principen att ingripanden från det allmänna som har sin grund i hälsoskydds-, miljöskydds- eller säkerhetsskäl inte medför rätt till ersättning.

Bakgrund och viss relevant reglering SOU 2018:82

94

3.6.2 Egendomsskyddet i Europakonventionen

I artikel 1 i första tilläggsprotokollet till den europeiska konventionen den 4 november 1950 angående skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen) finns bestämmelser om skydd för egendom. Enligt första stycket ska varje fysisk eller juridisk person ha rätt till respekt för sin egendom. Ingen får berövas sin egendom annat än i det allmännas intresse och under de förutsättningar som anges i lag och i folkrättens allmänna grundsatser. I andra stycket anges att bestämmelserna i första stycket inte inskränker en stats rätt att genomföra sådan lagstiftning som staten finner nödvändig för att reglera nyttjandet av egendom i överensstämmelse med det allmännas intresse eller för att säkerställa betalning av skatter eller andra pålagor eller av böter och viten.

Begreppet egendom i artikel 1 i första tilläggsprotokollet ska tolkas autonomt, alltså ges samma innebörd oavsett hur begreppet definieras i de nationella rättssystemen.

1

Med egendom avses inte

bara fast och lös egendom utan också begränsade sakrätter samt fordringar och immateriella rättigheter. Även ekonomiska intressen och förväntningar avseende utövande av näringsverksamhet omfattas av skyddet (SOU 2008:125 s. 431).

I Europadomstolens praxis har det klarlagts att artikel 1 i första tilläggsprotokollet innehåller tre regler som avser olika situationer. Den första regeln slår fast principen om rätten till respekt för egendom, den andra uppställer villkoren för att någon ska få berövas sin egendom och den tredje behandlar förutsättningarna för att inskränka rätten att nyttja egendom. De tre reglerna har ett visst samband med varandra på så sätt att de två sista reglerna avser särskilda fall av ingrepp i äganderätten som ska tolkas i ljuset av den allmänna princip som kommer till uttryck i den första regeln (se avgörandet

James m.fl. mot Förenade Konungariket den 21 februari 1986, mål

nummer 8793/79).

Den första regeln uttrycker principen om rätten till respekt för egendom (”the peaceful enjoyment of his possessions” i den engelska språkversionen) och har ett bredare tillämpningsområde än de andra reglerna och innefattar bl.a. en rätt att, använda, förfoga över, upplåta och göra sig av med egendom.

2

Till exempel har återkallelse av

1 Danelius (2015), Mänskliga rättigheter i europeisk praxis s. 55 och 56. 2 Harris, O'Boyle & Warbrick (2009), Law of the European Convention on Human Rights s. 662 och 663.

SOU 2018:82 Bakgrund och viss relevant reglering

95

tillstånd att bedriva viss verksamhet bedömts vara ett ingrepp i rätten till respekt för egendom (se Europadomstolens avgörande den 7 juli 1989 i målet Tre Traktörer aktiebolag mot Sverige, mål nummer 10873/84).

Europadomstolen prövar i första hand om regel två om egendomsberövande och regel tre om nyttjande är tillämpliga, innan den första regeln tillämpas. Genom domstolens praxis har räckvidden för regel två och tre klargjorts, medan den första regeln har fått en bredare tillämpning. Förhållanden som varit svåra att kategorisera har av Europadomstolen ofta hänförts till den första regeln.

3

Den andra regeln avser olika former berövanden av egendom. Som utgångspunkt avses situationen då ägaren fråntas alla rättigheter till den aktuella egendomen.

4

Den tredje regeln gäller inskränkningar i rätten att nyttja egendom. Europadomstolen har tolkat regeln relativt strängt ur den enskildes perspektiv och har bedömt att relativt omfattande inskränkningar av ägarens rättigheter har kunnat accepteras i det allmännas intresse.

5

Vid tillämpningen av samtliga tre regler i artikel 1 i första tilläggsprotokollet gäller kravet att den åtgärd som vidtagits måste vara laglig och utan inslag av godtycklighet (se Europadomstolens avgörande Iatridis mot Grekland den 25 mars 1999, para 58, mål nr 31107/96). Ytterligare ett krav som gäller för samtliga tre regler är att åtgärden måste vara proportionerlig i den meningen att nödvändigheten av intrånget på grund av det allmännas intresse ska balanseras mot det men som den enskilde lider. Staten ges här en förhållandevis vid egen bedömningsmarginal (SOU 2008:125 s. 31).

3.6.3 Näringsfriheten

I 2 kap. 17 § första stycket regeringsformen kommer närings- och yrkesfriheten till uttryck. Enligt bestämmelsen får begränsningar i rätten att driva näring eller utöva yrke införas endast för att skydda

3 Harris, O'Boyle & Warbrick (2009), Law of the European Convention on Human Rights s. 666–673. 4 Harris, O'Boyle & Warbrick (2009), Law of the European Convention on Human Rights s. 677. 5 Danelius (2015), Mänskliga rättigheter i europeisk praxis s. 595 och 596.

Bakgrund och viss relevant reglering SOU 2018:82

96

angelägna allmänna intressen och aldrig i syfte att enbart ekonomiskt gynna vissa personer eller företag. I denna framställning kommer vi att inrikta oss på näringsfriheten.

Bestämmelsen utgår från att regler måste vara generella på så sätt att alla ska ha möjlighet att konkurrera på lika villkor, under förutsättning att de i övrigt uppfyller de krav som ställs upp för den aktuella näringsgrenen. Därmed ska det förhindras att en enskild gynnas ekonomiskt på någon annans bekostnad. I princip är det inte tillåtet att införa regler som förhindrar nyetableringar inom en viss näring eftersom det innebär ett skydd för dem som redan är etablerade. Det gäller dock bara såvida det inte finns ett angeläget allmänt intresse av regleringen. Inskränkande föreskrifter på näringsområdet har tillkommit för att tillgodose främst säkerhets-, hälsovårds- och arbetarskyddsintressen (prop. 1993/94:117 s. 21 och 22 och prop. 2005/06:197 s. 9, 51 och 52).

6

Europakonventionen innehåller inget specifikt skydd för näringsfrihet (prop. 2003/04:65 s. 15).

3.6.4 Rätten till domstolsprövning

Artikelns tillämpningsområde

Enligt den nyss nämnda artikeln är var och en berättigad till en rättvis och offentlig förhandling inom skälig tid inför en oavhängig och opartisk domstol domstolsprövning när saken gäller hans eller hennes civila rättigheter och skyldigheter eller anklagelse för brott. Denna del av artikeln klargör alltså när artikel 6:1 är tillämplig.

Civila rättigheter och skyldigheter är ett autonomt begrepp, vilket

innebär att det ska ges samma innebörd oavsett hur begreppet definieras i de nationella rättssystemen. Europadomstolen har i en omfattande praxis utvecklat begreppet och har slagit fast att artikeln är tillämplig under förutsättning att

a) det föreligger en reell och seriös tvist mellan en enskild – fysisk

eller juridisk – person och en annan person eller en myndighet,

b) tvisten gäller en rättighet som har sin grund i den nationella rätten,

och

6 Se även Jermsten (Lexino 2018-01-01), kommentar till 2 kap. 17 § första stycket regeringsformen.

SOU 2018:82 Bakgrund och viss relevant reglering

97

c) att denna rättighet kan karakteriseras som en civil rättighet.

När en tvist gäller rätten att bedriva viss ekonomisk verksamhet eller att erhålla en myndighets tillstånd av betydelse för möjligheterna att bedriva sådan verksamhet har Europadomstolen i flera fall bedömt att det rört sig om en civil rättighet.

7

I avgörandet Zander mot Sverige

den 25 november 1993, mål nummer 14282/88, uttalade Europadomstolen att egendomsskyddet klart utgör en civil rättighet i Europakonventionens mening. I avgörandet Pudas mot Sverige den 27 oktober 1987, mål nummer 10426/83, uttalade domstolen att en återkallelse av ett tillstånd att bedriva taxiverksamhet klart rörde en civil rättighet och underströk att tillståndet var en av flera förutsättningar för att bedriva den kommersiella verksamheten i fråga.

Vilka rättssäkerhetsgarantier krävs för domstolsförfarandet?

I det följande ser vi närmare på några av de krav på generella rättssäkerhetsgarantier som enligt Europadomstolen följer av artikel 6:1. Genomgången är inte fullständig utan är i första hand inriktad på att lyfta fram den typ av krav som kan komma att aktualiseras när det gäller förelägganden och förbud enligt säkerhetsskyddslagen.

Tillträde till domstol

I avgörandet Golder mot Förenade Konungariket den 21 februari 1975, mål nummer 4451/70, klargjorde Europadomstolen att artikel 6:1 inte skulle tolkas på så sätt att den bara uppställer krav på handläggningen av en talan som redan väckts i domstol. Artikeln ger också rätt att få tillträde till domstol, vilket enligt Europadomstolen är en rättighet som kan härledas ur artikelns lydelse och som dessutom är en grundläggande rättssäkerhetsgaranti enligt konventionens preambel.

Det finns en stor mängd avgöranden där Europadomstolen bedömt att det varit fråga om prövning av civila rättigheter och skyldigheter och där det saknats möjlighet att få tillträde till domstol i de nationella rättssystemen, med följd att det uppstått en kränkning. Så var fallet i avgörandet Sporrong och Lönnroth mot Sverige den

7 Danelius (2015), Mänskliga rättigheter i europeisk praxis s. 167.

Bakgrund och viss relevant reglering SOU 2018:82

98

23 september 1982, mål nummer 7151/75 och 7152/75, där Europadomstolen bedömde att det inte fanns tillträde till en domstol som gjorde en fullständig granskning av åtgärderna som påverkade klagandens civila rättighet som stod under prövning, varför det uppstod en kränkning av artikel 6:1.

Det kan också vara så att en part i och för sig har tillträde till en domstol men att möjligheten att föra talan är så kringskuren att det är fråga om en konventionskränkning. I princip innebär rätten att få tillträde till domstol att domstolens behörighet är tillräckligt omfattande för att medge en fullständig bedömning av de civila rättigheterna och skyldigheterna. Detta krav är inte alltid uppfyllt när en domstol överprövar en förvaltningsmyndighets beslut, eftersom domstolens prövningsrätt ibland är begränsad till att avse lagligheten av det administrativa beslutet och inte omfattar de faktiska omständigheter och de skönsmässiga bedömningar som legat till grund för det administrativa avgörandet. Frågan om en sådan prövning är tillräckligt omfattande för att uppfylla kraven i artikel 6:1 kan inte besvaras generellt. Avgörande är i varje särskilt fall om de grunder på vilka en part vill angripa ett förvaltningsbeslut har kunnat prövas av domstolen eller inte.

8

I avgörandet Tinnelly & Sons Ltd m.fl. och McElduff m.fl. mot För-

enade kungariket den 10 juli 1998, mål nummer 62/1997/846/1052–

1053, prövade domstolen om det var proportionerligt att inskränka delar av en domstolsprövning på grund av nationella säkerhetsskäl. I målet var det fråga om ett byggnadsföretag som inte hade tilldelats ett kontrakt trots att man hade lämnat det lägsta anbudet. Enligt klagandena var detta ett resultat av diskriminering. Ministern för Nordirland hade utan närmare motivering fastställt att det aktuella företaget av hänsyn till den nationella säkerheten inte kunde komma i fråga för uppdragen. Företagen överklagade ministerns ställningstaganden till domstol men ställningstagandena ansågs utgöra bindande bevis och kunde inte omprövas. Europadomstolen konstaterade att ministerns ställningstaganden hade den effekten enligt nationell rätt att de förhindrade en prövning av klagandenas påstående att de hade varit föremål för diskriminering. Vidare noterade domstolen att frågan om diskriminering hade kunnat prövas i domstolen även om det förekom överväganden kring nationell säkerhet i målet. Enligt

8 Danelius (2015), Mänskliga rättigheter i europeisk praxis s. 204.

SOU 2018:82 Bakgrund och viss relevant reglering

99

Europadomstolen så utgjorde förbudet mot att överpröva ministerns ställningstagande en oproportionerlig inskränkning i klagandens rätt att få tillträde till domstol.

Rätten att få tillträde till domstol är dock inte absolut, vilket Europadomstolen uttalade i Golder mot Förenade Konungariket. Denna fråga utvecklades i avgörandet Ashingdane mot Förenade

Konungariket den 28 maj 1985, mål nummer 8225/78, där domstolen

dels klargjorde att medlemsländerna har en viss bedömningsmarginal (”margin of appreciation”) när det gäller att fastställa begränsningar i rätten att få tillträde till domstol, dels att det i första hand är medlemsländerna som avgör hur det ska ske. Begränsningarna får enligt Europadomstolen dock inte vara så långtgående att rättigheten urholkas. Domstolen uttalade också att en begränsning av rätten att få tillträde till domstol måste avse ett legitimt syfte och att det måste finnas ett rimligt proportionalitetsförhållande mellan de medel som används och det ändamål som staten avser att uppnå. I sak handlade Ashingdane mot Förenade Konungariket om att den nationella lagstiftningen begränsade, men inte uteslöt, möjligheten att framställa skadeståndsanspråk mot personal som arbetade på en psykiatrisk inrättning. Europadomstolen ansåg att detta var en legitim inskränkning i rätten till domstolsprövning eftersom det handlade om att skydda vårdpersonalen. Inskränkningen bedömdes också vara proportionerlig.

Oavhängig och opartisk domstol

Prövning av tvister om civila rättigheter och skyldigheter ska enligt artikel 6:1 ske inför en oavhängig och opartisk domstol. Inledningsvis är det därför nödvändigt att närmare undersöka vad som avses med domstol i Europakonventionens mening.

Europadomstolen har klarlagt att termen ”domstol” i detta sammanhang inte ska tolkas så att det bara avser domstolar av traditionellt slag. För att en dömande instans ska kunna godtas som domstol förutsätts dock att dess domar är bindande och inte kan åsidosättas av regering eller förvaltning.

Vidare anges i artikeln att prövningen ska ske inför en oavhängig och opartisk domstol. Det är inte möjligt att helt hålla isär orden ”oavhängig” och ”opartisk”. De innefattar olika aspekter av kravet

Bakgrund och viss relevant reglering SOU 2018:82

100

på att domstolen skall handla objektivt och inte påverkas av ovidkommande omständigheter. Medan ”oavhängig” närmast tar sikte på att utesluta möjligheten av obehörig påverkan utifrån, kan ”opartisk” anses syfta på att det inom domstolen inte får finnas någon vilja eller benägenhet att gynna en part framför en annan. Eftersom termerna delvis sammanfaller med varandra, är det emellertid ofta lämpligt att betrakta begreppet ”oavhängig och opartisk domstol” som en helhet. Europadomstolen har flera gånger prövat om de turkiska statssäkerhetsdomstolarna levt upp till kraven på oavhängighet och opartiskhet. I statssäkerhetsdomstolarna ingick två civila och en militär domare. De militära domarna var officerare och underkastade militär disciplin, och de hade ett kort mandat om fyra år. Europadomstolen fann i flera mål att deltagandet av en sådan militär domare kunde, när en civil person stod åtalad för separatistisk eller annan samhällsfarlig verksamhet, ge anledning till farhågor för att domstolen skulle vägledas av ovidkommande hänsyn. Statssäkerhetsdomstolarna ansågs därför inte uppfylla kraven på opartiskhet.

9

Rätten till en rättvis rättegång

Till skillnad från andra rättssäkerhetsgarantier i artikel 6:1 så inrymmer rätten till en rättvis rättegång (”fair trial”) en slags restkompetens som har gett Europadomstolen möjlighet att tillföra andra rättigheter som inte kan utläsas direkt ut artikeln.

10

Innebörden av rätten till en rättvis rättegång skiljer sig mellan åt beroende på om det är fråga om civila rättigheter och skyldigheter eller anklagelser om brott. I avgörandet Dombo Beheer mot Neder-

länderna den 27 oktober 1993, mål nummer 14448/88, klargjorde

Europadomstolen denna skillnad och anförde att medlemsländerna har ett större handlingsutrymme när det är fråga om mål om civila rättigheter och skyldigheter, särskilt på grund av avsaknaden av de detaljerade bestämmelserna i artikel 6.2 och 6.3 som gäller i brottmål.

Ur rätten till en rättvis rättegång har Europadomstolen uttolkat ett flertal krav på domstolsförfaranden. Ett av dem är rätten att få närvara under rättegången. Denna rätt att stark i brottmål men gäller

9 Danelius (2015), Mänskliga rättigheter i europeisk praxis s. 216. 10 Harris, O'Boyle & Warbrick (2009), Law of the European Convention on Human Rights s. 246.

SOU 2018:82 Bakgrund och viss relevant reglering

101

bara i särskilda fall när det är fråga om civila rättigheter och skyldigheter, t.ex. när det gäller att bedöma vissa personliga förhållanden.

11

Rätten att närvara under rättegången måste också ses i ljuset

av reglerna om offentlig förhandling, som vi behandlar nedan.

Ett annat krav som Europadomstolen har uttolkat ur rätten till en rättvis rättegång är kravet på parternas likställdhet (”equality of arms”). I avgörandet Dombo Beheer mot Nederländerna bedömde domstolen att den nederländska rättsordningen inte levde upp till kravet på parternas likställdhet eftersom ena parten i en civilrättslig tvist inte fick höra ett åberopat vittne till följd av hur de processrättsliga reglerna var utformade.

Kravet på parternas likställdhet ställdes på sin spets i avgörandet

Regner mot Tjeckien den 19 september 2017 med mål nummer

35289/11, som uppvisar vissa likheter med den typ av uppgifter som kan tänkas vara föremål för prövning i mål om föreläggande och förbud enligt säkerhetsskyddsregleringen. Målet handlade om en tjänsteman med hög befattning inom försvarsdepartementet som fått sitt säkerhetsgodkännande återkallat efter att den nationella säkerhetstjänsten fått underrättelseinformation om mannen, bl.a. att han utgjorde en risk för den nationella säkerheten. Beslutet överklagades till den högsta nationella förvaltningsdomstolen utan framgång. I inledningen av sina domskäl noterade Europadomstolen att klagandens rätt till en rättvis rättegång hade inskränkts dels genom att han inte fått del av dokumenten som låg till grund för återkallelsen av hans säkerhetsgodkännande, dels genom att han inte hade fått del av grunderna för beslutet, i den del dessa härrörde från handlingarna i fråga. Frågan var därför, enligt domstolen, om dessa inskränkningar begränsade själva kärnan i rätten till en rättvis rättegång. Vid sin granskning av det nationella förfarandet beaktade domstolen särskilt om begränsningarna i klagandens rätt till likställighet hade balanserats med tillräckliga processuella garantier. Europadomstolen underströk att de nationella domstolarna hade haft tillgång till allt material och att deras prövning inte var begränsad i något avseende. I den avslutande avvägningen fann domstolen att balansen mellan parterna inte hade förskjutits så långt att det påverkade det klagandens rätt till en rättvis rättegång. I bedömningen vägde domstolen in förfarandet i de nationella domstolarna i dess

11 Harris, O'Boyle & Warbrick (2009), Law of the European Convention on Human Rights s. 247.

Bakgrund och viss relevant reglering SOU 2018:82

102

helhet, typen av tvist och den bedömningsmarginal som medlemsländerna åtnjuter.

Ytterligare ett krav som Europadomstolen har uttolkat ur rätten till en rättvis rättegång är rätten till ett kontradiktoriskt förfarande (”right to adversarial proceedings”). I grunden handlar kravet om att parterna i en rättegång ska ha tillgång till och möjlighet att kommentera all bevisning som åberopats (se avgörandet Vermeulen mot

Belgien den 20 februari 1996, mål nummer 19075/91). Av stor bety-

delse för utformningen av en domstolsprövning av beslut om förelägganden och förbud enligt säkerhetsskyddslagen är vilka krav som Europadomstolen har uppställt när det gäller sekretessbelagda uppgifter och annan känslig information som rör den nationella säkerheten. I avgörandet Edwards och Lewis mot Förenade Konungariket den 27 oktober 2004 med mål nummer 39647/98 och 40461/98, som rörde förfarandet i ett brottmål, uttalade domstolen att rätten att få del av relevanta bevis inte är en absolut rättighet. Domstolen angav att det i alla brottmål kan finnas konkurrerande intressen, så som nationell säkerhet eller behovet av att skydda vittnen eller att hemlighålla polismetoder, som måste vägas mot den anklagades rättigheter. I avgörandet Dağtekin med flera mot Turkiet den 13 mars 2008, mål nummer 70516/01, behandlades bl.a. frågan om den turkiska staten hade gjort sig skyldig till en kränkning av artikel 6:1 genom att inte respektera rätten till ett kontradiktoriskt förfarande. I målet, som rörde civila rättigheter och skyldigheter, hade klagandena fått sina tillstånd att arrendera jordbruksmark återkallade som en följd av en säkerhetsutredning som vidtagits av myndigheterna. De hade dock aldrig fått ta del av utredning eller skälen till varför deras tillstånd återkallades. De hade inte heller fått möjlighet att pröva lagligheten i återkallelsen. Europadomstolen anförde att den var medveten om säkerhetsläget i de aktuella delarna av landet och behovet av att myndigheterna var vaksamma. Samtidigt påpekade domstolen att nationella myndigheter inte kan undgå effektiv domstolskontroll på den grunden att de påstår att det är fråga om nationell säkerhet och terrorism. I sak bedömde domstolen att det inte fanns några åtgärder som skyddade klagandena mot myndigheternas godtycke och bedömde därför att det hade skett en kränkning av artikel 6:1. I bedömningen betonades att varken klagandena eller de nationella domstolarna hade fått del av säkerhetsutredningen ifråga. Europadomstolen

SOU 2018:82 Bakgrund och viss relevant reglering

103

underströk vidare att det finns metoder för att tillgodose säkerhetsproblem som rör känslig information och dess källor, och samtidigt ge individen ett påtagligt mått av processuell rättvisa. I detta avseende hänvisade domstolen till avgörandet Chahal mot För-

enade Konungariket den 15 november 1996 med mål nummer 22414/93,

där det var fråga om rätten till ett effektivt rättsmedel enligt artikel 13 hade kränkts i samband med utvisning. I den nationella processen gjordes det bl.a. gällande att klaganden utgjorde en risk för den nationella säkerheten. De inhemska organ som prövade frågan om utvisning uppfyllde inte de krav på processuell rättvisa som Europadomstolen ansåg var nödvändiga. Europadomstolen påpekade bl.a. att de inhemska organens prövning inte avsåg alla omständigheter som låg till grund för beslutet om utvisning, utan endast frågan om nationell säkerhet. Därmed prövades inte risken för att klaganden utsattes för behandling i strid med artikel 3 vid en utvisning. Europadomstolen var också kritisk till att klaganden inte hade fått något rättsligt biträde i processen. Rätten till ett effektivt rättsmedel enligt artikel 13 hade därför kränkts.

Rätten till offentlig förhandling

Rätten till en offentlig förhandling framgår av direkt ordalydelsen i artikel 6:1. Möjligheten att neka allmänhet och press tillträde till en förhandling får bara ske om det är motiverat utifrån de syften som anges i artikel 6:1, nämligen hänsynen till den allmänna moralen, den allmänna ordningen eller den nationella säkerheten i ett demokratiskt samhälle.

Av Europadomstolens praxis följer att det i princip krävs att en

muntlig förhandling hålls vid prövning av frågor om civila rättigheter

eller skyldigheter eller anklagelser för brott.

12

I avgörandet Jussila

mot Finland den 23 november 2006 med mål nummer 73053/01 be-

tonade Europadomstolen dock att det är karaktären av de frågor som ska avgöras av den behöriga domstolen som motiverar om en muntlig förhandling kan undvaras. Som exempel har Europadomstolen i avgörandet Döry mot Sverige den 12 november 2002, mål nummer 28394/95, uttalat att i mål av teknisk karaktär där utfallet vanligtvis

12 Danelius (2015), Mänskliga rättigheter i europeisk praxis s. 237–243.

Bakgrund och viss relevant reglering SOU 2018:82

104

följer av skriftliga underlag utfärdade av läkare så kan tvisten med fördel hanteras i ett skriftligt förfarande.

Regeringen är inte att anse som en domstol i den mening som avses i artikel 6 i Europakonventionen. I syfte att garantera att Sverige lever upp till de krav som ställs i artikel 6 infördes ett nytt rättsmedel kallat rättsprövning. Rättsmedlet innebär att det finns en möjlighet att i vissa fall begära rättsprövning i Högsta förvaltningsdomstolen av beslut i vissa ärenden som beslutas av regeringen. Möjligheten följer numera av lagen (2006:304) om rättsprövning av vissa regeringsbeslut (rättsprövningslagen).

En enskild får ansöka om rättsprövning av sådana beslut av regeringen som innefattar en prövning av den enskildes civila rättigheter eller skyldigheter i den mening som avses i artikel 6.1 i Europakonventionen (1 § rättsprövningslagen). Det finns även vissa andra fall som kan bli föremål för rättsprövning, som dock saknar intresse här.

En ansökan om rättsprövning enligt 1 § ska ha kommit in till Högsta förvaltningsdomstolen senast tre månader från dagen för beslutet. Det ska framgå av ansökan vilken rättsregel sökanden anser att beslutet strider mot och vilka omständigheter som åberopas till stöd för detta. Utgångspunkten är att regeringens beslut gäller även om det har gjorts en ansökan om rättsprövning. Högsta förvaltningsdomstolen får dock bestämma att beslutet tills vidare inte ska gälla. I ett mål om rättsprövning enligt 1 § ska Högsta förvaltningsdomstolen hålla muntlig förhandling, om sökanden begär det och det inte är uppenbart obehövligt.

Om Högsta förvaltningsdomstolen finner att regeringens beslut strider mot någon rättsregel på det sätt som sökanden har angett eller som klart framgår av omständigheterna, ska beslutet upphävas. Detta gäller dock inte om det är uppenbart att felet saknar betydelse för avgörandet. Högsta förvaltningsdomstolen ska, om det behövs, återförvisa ärendet till regeringen. Om regeringens beslut inte upphävs, står det fast.

SOU 2018:82 Bakgrund och viss relevant reglering

105

Klagorätten enligt 1 § gäller för ”enskild”. Med det menas inte bara privatpersoner utan också företag, föreningar och andra juridiska personer. Det är inte nödvändigt att den enskilde har intagit formell partsställning i ett förvaltningsärende. Däremot förutsätts det att den klagande har varit offer för en kränkning och att den åberopade rättigheten har sin grund i den nationella rätten.

13

All-

männa organ, t.ex. myndigheter och kommuner kan inte ansöka om rättsprövning.

Kravet på att ärendet gäller enskildas civila rättigheter och skyldigheter innebär att rättsprövning inte kan ske av beslut som inte har några direkta rättsverkningar för den enskilde. Det måste också vara fråga om ett beslut i ett enskilt fall. Exempelvis kan normbeslut inte bli föremål för rättsprövning. I praktiken är det en mängd offentligrättsliga beslut som kan rättsprövas, förutsatt att regeringen är beslutsinstans. Det kan t.ex. handla om tillstånd av olika slag, förelägganden, beslut om tjänstetillsättning och bidrag etc. Sådana beslut som enligt Europadomstolens praxis faller utanför artikel 6, som t.ex. skatter och avgifter, betyg, politiska rättigheter m.m., kan inte bli föremål för rättsprövning.

14

I förarbetena framgår det att politiska lämplighetsfrågor ska lämnas utanför rättsprövningen, eftersom domstolar inte kan förutsättas göra bedömningar av utpräglat skönsmässig eller politisk karaktär (prop. 1987/88:69 s. 24 och 25). Det kan alltså bli nödvändigt att dela upp ärendet i en prövningsbar och en icke prövningsbar del, se t.ex. Högsta förvaltningsdomstolens avgöranden RÅ 1989 ref. 16, RÅ 1989 ref. 95 och RÅ 1989 ref. 96. Om regeringens bedömning innefattar ett visst mått av skönsmässighet, kan Högsta förvaltningsdomstolen vid rättsprövning undersöka om beslutet faller inom ramen för regeringens handlingsfrihet. Såtillvida behöver rättsprövning inte utgöra en fullständig överprövning av ett meddelat förvaltningsbeslut.

15

13 Warnling (Karnov 2018-07-01), kommentar till 1 § rättsprövningslagen. 14 Wiweka Warnling-Nerep (2015), Rättsmedel: Om- och överprövning av förvaltningsbeslut s. 207–210. 15 Om detta stycke, se Warnling (Karnov 2018-07-01), kommentar till 7 § rättsprövningslagen med där gjorda hänvisningar.

107

4 Nordisk utblick

4.1 Inledning

I detta kapitel redogör vi för regleringen i Norge, Finland och Danmark i fråga om bl.a. säkerhetsskyddad upphandling och överlåtelse av verksamheter som har betydelse för nationell säkerhet. Framställningen bygger i huvudsak på allmänt tillgängliga källor, såsom författningstext, förarbeten och officiella webbsidor med rättsinformation. Beskrivningen av dansk rätt är till största delen hämtad från SOU 2015:25 (s. 200–204). Vi har vidare gjort studiebesök i Norge och Finland.

4.2 Norge

I Norge finns bestämmelser om säkerhetsskydd i lov om fore-

byggende sikkerhetstjeneste (sikkerhetsloven), i det följande kallad

säkerhetslagen.

1

Lagen gäller som utgångspunkt för förvaltnings-

organ i stat och kommun samt för juridiska personer som inte är förvaltningsorgan vilka levererar varor eller tjänster till ett förvaltningsorgan genom en säkerhetsklassificerad upphandling (sikkerhets-

graderte anskaffelser). Regeringen kan även besluta att lagen helt eller

delvis också ska gälla för något annat rättssubjekt, inklusive bl.a. privatpersoner och näringsverksamheter om de exempelvis äger eller kontrollerar ett skyddsobjekt (skjermingsverdig objekt) eller av ett förvaltningsorgan har fått tillgång till säkerhetsklassad information.

En ny lag om nationell säkerhet – Lov om nasjonal sikkerhet (sikkerhetsloven, LOV-2018-06-01-24) – har antagits men har i skrivande stund inte trätt i kraft.

2

I likhet med den nuvarande säker-

1 Lov om forebyggende sikkerhetstjeneste, LOV-1998-03-20-10. 2 Prop. 153 L. (2016–2017) Lov om nasjonal sikkerhet (sikkerhetsloven).

Nordisk utblick SOU 2018:82

108

hetslagen är syftet med den nya lagen att trygga nationella säkerhetsintressen, och då särskilt Norges suveränitet, territoriella integritet och demokratiska styrelseskick. Den nya lagen är inriktad på att skydda viktiga samhällsfunktioner som understödjer de nyss nämnda intressena. De samhällsfunktioner som avses (grundläggande nationella funktioner) är sådana tjänster eller sådan produktion eller annan verksamhet som har en sådan betydelse att ett helt eller delvis bortfall av funktionen skulle få konsekvenser för statens förmåga att ta till vara nationella säkerhetsintressen.

3

Anskaffningar

En upphandling definieras som säkerhetsklassificerad om leverantören kan få tillgång till skyddsvärd information (skjermingsverdig

informasjon) eller skyddsobjekt. En upphandling kan också defini-

eras som säkerhetsklassificerad om den måste skyddas av andra skäl.

Enligt vägledningen till den nuvarande säkerhetslagen är syftet med säkerhetsklassificerade upphandlingar att skydda information, material och föremål när förvaltningsorgan ingår affärer. Det innebär, enligt vägledningen, att regelverket om säkerhetsklassificerade upphandlingar ska tillämpas vid inköp, hyra, försäljning, uthyrning och överlåtelser.

4

Vid säkerhetsskyddad upphandling måste ett säkerhetsavtal ha ingåtts mellan det upphandlande förvaltningsorganet och leverantören innan leverantören kan få tillgång till skyddsvärd information. Säkerhetsavtalet ska närmare reglera de ansvar och skyldigheter som följer av lagen. Säkerhetsavtal med utländska leverantörer kan endast ingås efter godkännande av den nationella säkerhetsmyndigheten (Nasjonal sikkerhetsmyndighet).

Om leverantören genom upphandlingen kan få tillgång till skyddsvärd information i klassen konfidentiellt eller högre, eller om det av annan anledning är nödvändigt, så krävs att den nationella säkerhetsmyndigheten har meddelat en leverantörsklarering för den aktuella säkerhetsgraden. Leverantörsklarering medges inte om det finns rimligt tvivel om leverantörens säkerhetsmässiga lämplighet. När leverantörens lämplighet prövas får man endast lägga vikt vid frågor som

3 Prop. 153 L (2016–2017) Lov om nasjonal sikkerhet (sikkerhetsloven) s. 7. 4Veiledning i sikkerhetsgraderte anskaffelser og anskaffelser til kritisk infrastruktur, Nasjonal sikkerhetsmyndighet s. 3.

SOU 2018:82 Nordisk utblick

109

är relevanta för att bedöma leverantörens förmåga och vilja att bedriva förebyggande säkerhetsarbete enligt lagen. Personalkontroll av leverantörens styrelse och ledning ska ingå i bedömningen. En leverantörsklarering ges för en period om fem år.

5

Negativa beslut om leverantörsklarering, villkor för klarering samt beslut om när frågan om klarering på nytt kan tas upp får överklagas till Försvarsdepartementet.

En leverantör får inte överföra skyddsvärd information eller skyddsobjekt till en ny ägare, varken direkt eller indirekt, om inte den nationella säkerhetsmyndigheten har gett sitt tillstånd.

Leverantörer som innehar en klarering ska utan dröjsmål underrätta den nationella säkerhetsmyndigheten om förändringar i ledning, ägarstruktur, lokaler och utrustning och andra förhållanden som kan påverka leverantörens säkerhetsmässiga lämplighet. Om förhållandena utgör en säkerhetsrisk som inte kan elimineras så kan den nationella säkerhetsmyndigheten återkalla leverantörsklareringen.

I januari 2017 infördes en ny bestämmelse i säkerhetslagen om upphandlingar som rör kritisk infrastruktur. I begreppet kritisk infrastruktur ingår livsmedel- och energiförsörjning, vatten och avlopp, sociala förmåner och tjänster, finansiella tjänster, elektronisk kommunikation, transport och satellitbaserade tjänster.

6

Vid upp-

handlingar som rör kritisk infrastruktur ska det göras en riskbedömning. Om bedömningen visar att det finns en inte obetydlig risk för att säkerhetshotande aktiviteter etableras eller genomförs, kan regeringen besluta om affären ska vägras eller att villkor fastställs för dess genomförande. Detta gäller även om ett avtal redan har ingåtts.

Den nya säkerhetslagen som ännu inte trätt i kraft är en modernisering av den tidigare lagen. Reglerna om säkerhetsskyddad upphandling överförs i allt väsentligt till den nya lagen. Verksamheter som träffas av lagen är skyldiga att bedöma risken när en leverantör kan få tillgång till säkerhetsklassificerad information eller skyddsvärda objekt eller infrastruktur. I sådana fall ska det ingås ett säkerhetsavtal med leverantören och det ska bedömas om leverantören ska få klarering.

5Veiledning i sikkerhetsgraderte anskaffelser og anskaffelser til kritisk infrastruktur, Nasjonal sikkerhetsmyndighet s. 9. 6Veiledning i sikkerhetsgraderte anskaffelser og anskaffelser til kritisk infrastruktur, Nasjonal sikkerhetsmyndighet s. 6 och 7.

Nordisk utblick SOU 2018:82

110

Verksamhetsöverlåtelser och ägarskapskontroll

I den utredning som föregick propositionen till ny säkerhetslag konstaterades det att det finns en viss möjlighet att kontrollera ägandeförhållandena hos leverantörer genom systemet med leverantörsklarering (se i det föregående). Detta system ger säkerhetsmyndigheten inblick i leverantörens ägarstruktur och en möjlighet att dra tillbaka leverantörsklareringen om ägarkonstellationen utvecklar sig i en riktning som utgör en ökad säkerhetsrisk. Utredningen konstaterade dock att regelverket är avgränsat till konkreta anskaffningar och således är mindre ägnat att ta om hand mer generella behov av kontroll över ägandet till strategiskt viktiga företag. Det ansågs vidare att det gällande regelverket inte kan säkerställa att grundläggande nationella funktioner inte blir lidande genom att strategiskt viktiga företag helt eller delvis blir uppköpta av utländska aktörer.

7

Med hänsyn till ovanstående omfattar den nya säkerhetslagen bl.a. vissa bestämmelser om ägarskapskontroll och om förvärv av kritisk infrastruktur. Det finns bl.a. en bestämmelse som särskilt tar sikte på förvärv av verksamheter som omfattas av lagen. Bestämmelsen bygger på att den som avser att förvärva en kvalificerad andel av en verksamhet som omfattas av säkerhetslagen ska meddela departementet. Med kvalificerad andel avses att förvärvet direkt eller indirekt sammantaget kommer att leda till att förvärvaren får

• minst en tredjedel av aktiekapitalet, andelarna eller rösterna i verksamheten,

• rätt att bli ägare till minst en tredjedel av aktiekapitalet eller andelarna, eller

• betydande inflytande över förvaltningen av företaget på något annat sätt.

Aktier som ägs eller övertas av aktieägarens närstående jämställs med aktieägarens aktier. Detsamma gäller andra andelar än aktier när det inte är fråga om ett aktiebolag. Dessa aktier eller andelar räknas alltså in i den totala effekten av förvärvet.

7 Sikkerhetsutvalgets rapport NOU 2016:19 Samhandling for sikkerhet – Beskyttelse av grunn-

leggende samfunnsfunksjoner i en omskiftelig tid, kapitel 12.2.

SOU 2018:82 Nordisk utblick

111

För att undvika att utländska företag genomför förvärv genom nationella bolag gäller bestämmelsen även inhemska företag. Enligt bestämmelsen ska departementet inom 60 dagar besluta om förvärvet godkänns eller om frågan ska hänskjutas till regeringen (Kongen i statsråd). Regeringen kan besluta att förvärvet inte godkänns eller att förvärvet ska förenas med villkor. Möjligheten att hindra förvärvet föreslås gälla även om det redan har träffats ett avtal om förvärvet. Beslut att inte godkänna förvärv är enligt förarbetena tänkta att användas i exceptionella situationer efter en proportionalitetsbedömning i varje enskilt fall.

8

I propositionen finns det bara en relativt kortfattad beskrivning av de konsekvenser som ägarskapskontrollen förväntas medföra, men det uttalas bl.a. att tröskeln för bestämmelsens tillämpning är hög och att när beslutskompetensen används så kommer det nationella säkerhetsintresset väga tyngre än de negativa ekonomiska konsekvenserna för verksamheten och den tilltänkta förvärvaren.

I den nu gällande säkerhetslagen finns det regler om rapporteringsplikt avseende förvärv av kritisk infrastruktur och möjlighet för regeringen att avbryta förvärv av kritisk infrastruktur. Reglerna överförs till den nya lagen och de omfattar där även säkerhetskänsliga informationssystem och objekt.

4.3 Finland

Verksamhetsöverlåtelser

Det finns i finsk rätt inte några särskilda regler om säkerhetsskyddad upphandling eller om granskning eller liknande av utkontraktering eller upplåtelse. Däremot finns det bestämmelser om utlänningars företagsköp. Dessa finns i lagen om tillsyn över utlänningars företagsköp, 13.4.2012/172. Syftet med lagen är att övervaka och, när ett ytterst viktigt nationellt intresse kräver det, begränsa överföringen av inflytande i de företag som är föremål för tillsyn till utlänningar och utländska sammanslutningar och stiftelser.

8 Prop. 153 L (2016–2017) Lov om nasjonal sikkerhet (sikkerhetsloven) s. 152.

Nordisk utblick SOU 2018:82

112

I praktiken avses med ytterst viktigt nationellt intresse i synnerhet

• försvaret,

• försörjningsberedskapen, och

• samhällets vitala funktioner.

Lagen utgår från en positiv inställning till utländskt ägande. Myndigheterna har dock möjlighet att utöva kontroll över ägarunderlaget hos de bolag som är av central betydelse för försörjningsberedskapen och landets säkerhet, och vid behov begränsa utlänningars innehav i sådana bolag.

Med företagsköp avses enligt lagen en åtgärd genom vilken

• en utländsk ägare förvärvar minst en tiondedel eller

• minst en tredjedel, eller

• minst hälften av det sammanlagda röstetalet för aktierna i bolaget eller motsvarande faktiskt inflytande i ett aktiebolag eller annat föremål för tillsyn.

Arbets- och näringsministeriet behandlar myndighetsärenden som gäller tillsynen över och bekräftelsen av företagsköp. I den omfattning som behövs inhämtar ministeriet även utlåtanden från andra myndigheter.

Företagsköp inom försvarssektorn och inom tillverkningen av produkter med dubbla användningsområden kräver alltid en förhandsbekräftelse från myndigheten (ansökan). En utländsk ägare ska alltså på förhand anhålla om ministeriets bekräftelse av företagsköpet. Om den utländska ägaren inte har gjort en ansökan om bekräftelse kan ministeriet bestämma en tid inom vilken ansökan ska göras. Underlåtelse att ge in en ansökan inom den tiden innebär att ministeriet ska vägra bekräftelse av företagsköpet (4 § lagen).

På den civila sidan omfattar tillsynen sådana finländska företag som anses vara kritiska med tanke på tryggandet av samhällets vitala funktioner. Vid köp av sådana företag gäller ingen skyldighet att ansöka om bekräftelse. Däremot kan den utländska ägaren välja att anmäla förvärvet till ministeriet. Den utländska ägaren kan även på förhand anmäla köpet för bekräftelse av arbets- och näringsministeriet, om företagsköpet framskridit till ett skede som omedelbart föregår

SOU 2018:82 Nordisk utblick

113

det slutliga genomförandet av arrangemanget. På begäran av ministeriet ska en utländsk ägare lämna alla uppgifter om föremålet för tillsyn, den utländska ägaren och företagsköpet som behövs för en utredning av ett ärende som gäller bekräftelse av företagsköpet. Ministeriet ska begära uppgifterna inom tre månader från det att ministeriet fått kännedom om företagsköpet. (5 § lagen.)

Oavsett om det handlar om försvarssektorn eller den civila sektorn ska ministeriet bekräfta ett företagsköp, om köpet inte kan äventyra ett ytterst viktigt nationellt intresse. Om köpet kan äventyra ett sådant intresse ska ministeriet överföra ärendet för behandling vid statsrådets allmänna sammanträde. (4 § tredje stycket och 5 § tredje stycket lagen.)

När det gäller försvarsmaterielindustrin omfattas samtliga utländska ägare av tillsynen. Till övriga delar omfattar tillsynen endast sådana utländska ägare som har sin bonings- eller hemort i en stat som inte tillhör EU eller Europeiska frihandelssammanslutningen (EFTA).

I 6 § lagen anges vissa undantag från kravet på bekräftelse av företagsköp. En sådan bekräftelse behövs inte om aktiekapitalet i ett aktiebolag ökas, och den utländska ägaren i samband med ökningen tecknar aktier i proportion till de aktier som han eller hon redan har i bolaget (första punkten). Någon bekräftelse krävs inte heller om den utländska ägaren får egendom genom arv eller testamente eller med stöd av giftorätt (andra punkten). Det finns även vissa andra undantag, som dock inte gäller för försvarsindustriföretag.

Följderna av att bekräftelse vägras framgår av 8 § lagen. Om det handlar om ett aktiebolag blir följden att den utländska ägaren ska överlåta en viss del av aktierna och att ägarens röster vid bolagsstämman begränsas. Om det handlar om ett annat slags företag ska avtalen som gäller förvärvet av inflytande eller rörelsen återgå.

Regler om straff för företagsköpsförseelse finns i 10 § lagen. Den som uppsåtligen eller av grov oaktsamhet försummar att ansöka om bekräftelse vid förvärv av företagsköp inom försvarssektorn döms för företagsköpsförseelse, om gärningen inte är ringa eller om inte strängare straff för gärningen föreskrivs i någon annan lag. Detsamma gäller den som försummar sin skyldighet att på begäran lämna upplysningar till ministeriet enligt 5 §, eller som ger myndigheterna felaktiga upplysningar eller hemlighåller upplysningar som är viktiga för behandlingen av ärendet.

Nordisk utblick SOU 2018:82

114

Överlåtelser av fast egendom

Den 1 juni 2017 tillsatte statsrådets kansli en arbetsgrupp som fick i uppdrag att utarbeta förslag till författningsändringar som krävs för att statens övergripande säkerhet ska kunna förbättras vid överföring av fast egendom. Den 28 juni 2018 lämnade arbetsgruppen sina förslag. Förslagen går i korthet ut på följande.

• Lagen om inlösen av egendom för försvarsändamål ska upphävas och en ny lag som gäller inlösen av fast egendom och särskilda rättigheter och som har ett mer omfattande tillämpningsområde ska stiftas i syfte att trygga den nationella säkerheten. Så anses vara fallet när inlösen sker för tryggande av landets försvar, den territoriella integriteten, ledningen av staten, gränssäkerheten, gränsbevakningen, försörjningsberedskapen eller funktionen hos den infrastruktur som är nödvändig för samhället eller av något annat med dessa jämförbart samhälleligt intresse. Inlösen ska också i fortsättningen vara en åtgärd som tillgrips i sista hand för att trygga den nationella säkerheten vid överföring av fast egendom.

• Markanvändnings- och bygglagen ska ha en bestämmelse om den nationella säkerheten angående områdesanvändningen.

• Staten ska ha förköpsrätt vid fastighetsköp, om förvärvet av fastigheten till staten är nödvändigt för säkerställande av försvaret eller gränssäkerheten eller för övervakning och tryggande av Finlands territoriella integritet.

• Det införs en lag om övervakning och begränsning av vissa fastighetsförvärv med regler om tillsyn över utlänningars fastighetsförvärv i områden som är betydande med tanke på försvaret, gränssäkerheten, försörjningsberedskapen samt övervakningen och tryggandet av Finlands territoriella integritet. Enligt bestämmelserna ska en sammanslutning med hemort utanför Europeiska unionen eller Europeiska ekonomiska samarbetsområdet och en medborgare i en stat som inte hör till Europeiska unionen eller Europeiska ekonomiska samarbetsområdet ansöka om tillstånd för förvärv av en fastighet i sådana områden.

SOU 2018:82 Nordisk utblick

115

Syftet med den föreslagna regleringen är att skapa metoder med hjälp av vilka myndigheterna kan förbättra den nationella säkerheten i betydande investeringsprojekt samt vid överföringar av ägande- och besittningsrätten till fast egendom som finns i närheten av samhällets vitala funktioner eller driftställen som är väsentliga med tanke på säkerhetsmyndigheternas uppgifter. De föreslagna bestämmelserna avses förbättra statens möjligheter att ingripa mot åtgärder som äventyrar den nationella säkerheten.

4.4 Danmark

I Danmark regleras säkerhetsskyddet i Statsministerns säkerhetscirkulär

9

, som rör skyddet av såväl dansk skyddsvärd information

som sådan information från bl.a. Nato, EU och andra organisationer och stater som Danmark har internationella avtal med. Cirkuläret har nyligen övergått till Justitsministeriet och kan tillämpas även av övriga ministerier. Det innehåller bestämmelser om bl.a. klassificering av information, it-säkerhet, personalsäkerhet och fysisk säkerhet, rådgivning och tillsyn. Cirkuläret har ett informationssäkerhetsperspektiv och ger inte något skydd för säkerhetskänslig verksamhet i övrigt. Cirkulärets innehåll kan göras tillämpligt på enskilda genom avtal.

Politiets Efterretningstjeneste (Polisens underrättelsetjänst) och Forsvarets Efterretningstjeneste (Försvarets underrättelsetjänst) är de två myndigheter som har huvudansvaret för säkerhetsskydd i Danmark, och är nationell säkerhetsmyndighet och nationell itsäkerhetsmyndighet. Verksamheterna styrs av lagen om polisens underrättelsetjänst (LOV nr. 604 af 12/06/2013) respektive lagen om försvarets underrättelsetjänst (LOV nr. 602 af 12/06/2013). Under Försvarets underrättelsetjänst finns Center for Cybersikkerhed, som är Danmarks nationella it-säkerhetsmyndighet (lov nr. 713 af 25/06/2014).

Industrisäkerheten är inte lagreglerad, men det finns i säkerhetscirkuläret en bestämmelse om att den nationella säkerhetsmyndigheten kan ingå avtal om områdessäkerhetsgodkännande, och Försvarets underrättelsetjänsts säkerhetsgodkännande av verksamheter är beskrivet i förarbetena till lagen om försvarets underrättelsetjänst.

9 Statsministeriets Cirkulære om sikkerhedsbeskyttelse af informationer af fælles interesse for landene i NATO eller EU, andre klassificerede informationer samt informationer af sikkerhedsmæssig beskyttelseinteresse i øvrigt, CIR nr. 10338 af 17/12/2014.

Nordisk utblick SOU 2018:82

116

I de nyss nämnda lagarna finns dessutom bestämmelser om när behandling av uppgifter om juridiska personer är tillåten. Försvarets underrättelsetjänst genomför således säkerhetsgodkännande av privata verksamheter. Enbart verksamheter som har blivit säkerhetsgodkända kan få uppdrag som innebär tillgång till klassificerad information. Kraven på säkerhetsskydd regleras i avtal mellan den upphandlande myndigheten och uppdragstagaren och avtalet ligger sedan till grund för säkerhetsprövning av den personal som kan komma att få tillgång till klassificerad information. Polisens underrättelsetjänst har i princip samma möjligheter för den civila sektorn, men ännu har det inte förekommit att verksamheter utanför Försvarsministeriets verksamhetsområde har haft behov av säkerhetsgodkännande. Ett säkerhetsgodkännande kan ligga till grund för säkerhetsintyg för leverantör om det behövs för internationell samverkan. Dessa utfärdas av Försvarets underrättelsetjänst i egenskap av industrisäkerhetsmyndighet.

Någon särskild reglering om nationell säkerhet och företagsöverlåtelser finns inte. Det finns viss områdesspecifik reglering om granskning av utländska investeringar, bl.a. när det gäller produktion av krigsmateriel, cybersäkerhet, el- och gasområdet och finansiella verksamheter.

117

5 Skyldigheten att ingå säkerhetsskyddsavtal

5.1 Uppdraget

Bakgrund till uppdraget

Enligt regler i säkerhetsskyddslagen (2018:585), i det följande kallad

nya säkerhetsskyddslagen, ska statliga myndigheter, kommuner och

landsting som avser att genomföra en upphandling och ingå ett avtal om varor, tjänster eller byggentreprenader i vissa fall vara skyldiga att ingå ett säkerhetsskyddsavtal med leverantören. I avtalet ska det anges hur kraven på säkerhetsskydd ska tillgodoses. Skyldigheten att ingå säkerhetsskyddsavtal gäller även för enskilda verksamhetsutövare i motsvarande situationer.

Bestämmelserna gäller i princip bara upphandlingssituationer, dvs. situationer där det är fråga om en anskaffning av varor, tjänster eller byggentreprenader. Vid remitteringen av betänkandet En ny

säkerhetsskyddslag (SOU 2015:25), som den nya lagen till stor del

bygger på, framförde vissa remissinstanser att skyldigheten borde gälla även i andra situationer då avtal ingås. Regeringen ansåg att det finns anledning att överväga om det borde införas ett krav på säkerhetsskyddsavtal även i andra avtalssituationer då en utomstående part får ta del av säkerhetsskyddsklassificerade uppgifter eller i övrigt säkerhetskänslig verksamhet. Eftersom det saknades beredningsunderlag gick man dock inte vidare med frågan i det lagstiftningsärendet utan gav i stället tilläggsdirektiv till oss. I tilläggsdirektivet anges följande.

Offentliga och enskilda aktörer samverkar i dag på många fler sätt än vid offentliga upphandlingar. Sådan samverkan finns t.ex. inom informations- och cybersäkerhetsområdet vilket bl.a. berörts i regeringens skrivelse Nationell strategi för samhällets informations- och

Skyldigheten att ingå säkerhetsskyddsavtal SOU 2018:82

118

cybersäkerhet (skr. 2016/17:213). Sådana samarbeten kan även före-

komma när statliga myndigheter i andra fall levererar tjänster till utomstående eller vid olika typer av forskningsprojekt där offentliga och enskilda aktörer deltar och delar information. Om ett sådant samarbetsprojekt skulle beröra säkerhetskänslig verksamhet skulle det varken enligt den gällande eller den nya säkerhetsskyddslagen medföra krav på att ingå säkerhetsskyddsavtal. En grundläggande princip inom säkerhetsskyddet är att de intressen som lagstiftningen slår vakt om bör ha samma skydd oavsett om verksamheten bedrivs av det allmänna eller av enskilda. En naturlig konsekvens av denna princip bör vara att när en aktör som bedriver säkerhetskänslig verksamhet avser att dela information med någon utomstående, eller ge den utomstående tillgång till säkerhetskänslig verksamhet, ska informationens eller verksamhetens skydd upprätthållas.

Uppdraget

Mot ovanstående bakgrund har vi fått i uppdrag att utreda hur regleringen om säkerhetsskyddsavtal kan kompletteras. Vi ska således analysera och föreslå i vilken utsträckning verksamhetsutövare som bedriver säkerhetskänslig verksamhet ska vara skyldiga att ingå säkerhetsskyddsavtal vid överenskommelser som träffas med utomstående och som berör den säkerhetskänsliga verksamheten.

Vi ska lämna fullständiga författningsförslag. Det ingår dock inte i uppdraget att överväga förslag till ändringar i grundlag.

Avgränsningar

Det anges i direktiven att uppdraget omfattar samarbetssituationer som inte träffas av kravet på säkerhetsskyddsavtal i nya säkerhetsskyddslagen. Uppdraget gäller alltså enbart frågan om även andra fall bör träffas och inte frågan om det bör ske några inskränkningar av den skyldighet som gäller enligt nya säkerhetsskyddslagen.

Med utgångspunkt i direktivens utformning och de överväganden som görs om saken i propositionen Ett modernt och stärkt skydd för

Sveriges säkerhet – ny säkerhetsskyddslag (prop. 2017/18:89 s. 106 och

107), har vi inte tagit upp frågan om skyldigheten att ingå säkerhetsskyddsavtal borde gälla vid en lägre säkerhetsskyddsklass än som

SOU 2018:82 Skyldigheten att ingå säkerhetsskyddsavtal

119

följer av nya säkerhetsskyddslagen. Några överväganden om detta finns alltså inte i betänkandet.

Det anges vidare i direktiven att uppdraget inte omfattar sådant samarbete som en myndighet bedriver i enlighet med en författning eller ett regeringsbeslut och som förutsätter ett utbyte av säkerhetskänsliga uppgifter och där förtroendet mellan parterna bygger på ett ömsesidigt intresse av att säkerheten för uppgifterna upprätthålls. Vi återkommer till denna fråga i avsnitt 5.4.6.

En annan fråga som har uppmärksammats under vårt arbete är användningen av och beroenden till olika former av öppna data i säkerhetskänslig verksamhet. Med öppna data menar vi information som tillhandahålls fritt utan krav på avgifter och med få eller inga tekniska eller rättsliga begränsningar i fråga om hur den får användas (jfr SOU 2018:25 s. 99 och 100). Som exempel kan nämnas Lantmäteriets öppna geografiska data och SMHI:s öppna meteorologiska observationer. Vi tolkar vårt uppdrag på så sätt att vi ska utreda om kravet på att ingå säkerhetsskyddsavtal ska utvidgas till andra former av samarbeten än upphandlingssituationer, där aktörer som bedriver säkerhetskänslig verksamhet avser att ge utomstående tillgång till säkerhetsskyddsklassificerade uppgifter eller i övrigt säkerhetskänslig verksamhet. Enligt vår tolkning avser uppdraget inte situationer där en aktör tillhandahåller uppgifter som inte är säkerhetsskyddsklassificerade, vilket regelmässigt får anses vara fallet när det gäller öppna data.

5.2 Den relevanta regleringen

Inledning

I detta avsnitt redogör vi för regleringen om säkerhetsskyddsavtal och vissa andra relevanta regler i nya säkerhetsskyddslagen. Om inte annat sägs bygger redogörelsen för nya säkerhetsskyddslagen på framställningen i prop. 2017/18:89. Vi redogör också för relevanta bestämmelser i säkerhetsskyddsförordningen (2018:658), i det följande kallad nya säkerhetsskyddsförordningen.

Skyldigheten att ingå säkerhetsskyddsavtal SOU 2018:82

120

Vad är ett säkerhetsskyddsavtal?

Som tidigare sagts är en grundtanke inom säkerhetsskyddet att de intressen som lagstiftningen slår vakt om ska ha samma skydd oavsett om verksamheten bedrivs av det allmänna eller av enskilda. I det här sammanhanget innebär det att när en utomstående aktör genom en upphandling engageras i säkerhetskänslig verksamhet ska behovet av säkerhetsskyddsåtgärder utredas och kraven på sådana åtgärder ställas upp i ett säkerhetsskyddsavtal mellan parterna. Bestämmelser om säkerhetsskyddsavtal finns i 2 kap. 6 § nya säkerhetsskyddslagen.

Det huvudsakliga syftet med ett säkerhetsskyddsavtal är att reglera de säkerhetsskyddsåtgärder som behövs hos leverantören för den verksamhet som omfattas av ett kontrakt om varor, tjänster eller byggentreprenader. Säkerhetsskyddsavtalet bör bl.a. innehålla överenskommelser om säkerhetsskyddsorganisationen, informationssäkerhet, behörigheter, säkerhetsprövning av personal, utbildning och kontroll, tillsyn, fördelning av kostnaderna för säkerhetsskyddet och avtalsperiod.

1

Avtalet utgör vidare en grund för att besluta om

vilka anställningar och annat deltagande i verksamheten hos leverantören som ska placeras i säkerhetsklass (prop. 2017/18:89 s. 104). Säkerhetsskyddsavtalet bör då i tillämpliga delar innehålla överenskommelser om säkerhetsprövning inklusive placering i säkerhetsklass och registerkontroll.

2

Bestämmelserna om säkerhetsskydds-

avtal är av stor betydelse för att nödvändiga tjänster och varor ska kunna upphandlas inom skyddsvärda verksamheter. Som huvudregel är säkerhetsskyddsavtalet kopplat till affärsavtalet genom att affärsavtalet görs beroende av att åliggandena i säkerhetsskyddsavtalet följs av leverantören (SOU 2015:25 s. 134).

Att ett säkerhetsskyddsavtal har slutits innebär inte i sig att säkerhetsskyddslagen blir tillämplig på leverantörens verksamhet. En leverantör som redan omfattas av säkerhetsskyddslagen kan inte genom villkor i ett säkerhetsskyddsavtal få mindre långtgående åligganden i fråga om säkerhetsskydd än vad som följer av lagen. Däremot kan ett säkerhetsskyddsavtal fylla funktionen att det preciserar säkerhetsskyddet hos leverantören för att passa den aktuella upphandlingen eller det aktuella avtalet.

1 Säkerhetspolisen (2009), Säkerhetsskyddad upphandling – en vägledning s. 12. 2 Säkerhetspolisen (2009), Säkerhetsskyddad upphandling – en vägledning s. 12.

SOU 2018:82 Skyldigheten att ingå säkerhetsskyddsavtal

121

När finns det en skyldighet att ingå ett säkerhetsskyddsavtal?

Enligt 2 kap. 6 § nya säkerhetsskyddslagen ska statliga myndigheter, kommuner och landsting som avser att genomföra en upphandling och ingå ett avtal om varor, tjänster eller byggentreprenader se till att det i ett säkerhetsskyddsavtal anges hur kraven på säkerhetsskydd ska tillgodoses av leverantören. Skyldigheten gäller om

1. det i upphandlingen förekommer säkerhetsskyddsklassificerade

uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller

2. upphandlingen i övrigt avser eller ger leverantören tillgång till

säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet.

Numera bedrivs säkerhetskänslig verksamhet ofta i enskild regi. Kraven på säkerhetsskydd gäller därför även enskilda verksamhetsutövare. Till skillnad från statliga myndigheter, kommuner och landsting omfattas enskilda aktörer i huvudsak inte av upphandlingslagstiftningen. När det gäller enskilda är skyldigheten att ingå säkerhetsskyddsavtal därför inte beroende av om ett avtal med en extern leverantör ingås efter ett upphandlingsförfarande eller inte. I stället gäller kravet på säkerhetsskyddsavtal även för enskilda verksamhetsutövare som ingår avtal om varor, tjänster eller byggentreprenader med utomstående leverantörer. Verksamhetsutövaren är inte bara skyldig att ingå säkerhetsskyddsavtal med en huvudleverantör utan också med eventuella underleverantörer.

3

Verksamhetsutövarna måste genom villkoren i säkerhetsskyddsavtalet inte bara skydda säkerhetsskyddsklassificerade uppgifter från obehörigt röjande, utan även skydda uppgifter och informationssystem ur ett riktighets- och tillgänglighetsperspektiv. Det innebär t.ex. att en verksamhetsutövare som ska upphandla programmeringstjänster för ett informationssystem som bedöms vara säkerhetskänsligt måste fundera över säkerhetsskydd när uppgifters riktighet och tillgänglighet är centrala förutsättningar för systemet. Så kan vara fallet när det handlar om informationssystem som är vitala för förmågan att upprätthålla kritiska samhällsfunktioner. Frågan om hur uppgifters riktighet och tillgänglighet ska skyddas hos leverantören behöver alltså tas om hand i säkerhetsskyddsavtalet.

3 Säkerhetspolisen (2009), Säkerhetsskyddad upphandling – en vägledning s. 12.

Skyldigheten att ingå säkerhetsskyddsavtal SOU 2018:82

122

Kravet på säkerhetsskyddsavtal enligt nya säkerhetsskyddslagen gäller inte bara avtal om varor, tjänster och byggentreprenader som direkt avser säkerhetskänslig verksamhet. Kravet gäller också när en leverantör kan få tillgång till säkerhetskänslig verksamhet utan att den avtalade tjänsten för den sakens skull gäller en säkerhetskänslig verksamhet. Det kan t.ex. vara fallet om en verksamhetsutövare träffar avtal med en leverantör som får tillgång till lokaler där säkerhetskänslig verksamhet bedrivs.

Kontroll och tillsyn över leverantören

Verksamhetsutövaren ska kontrollera att leverantören följer säkerhetsskyddsavtalet. Det finns dock även möjlighet för en myndighet som regeringen bestämmer att utöva tillsyn hos leverantörer som har träffat säkerhetsskyddsavtal (5 kap. 4 § andra stycket nya säkerhetsskyddslagen). Ett exempel på när det kan vara lämpligt är enligt förarbetena att det uppkommer situationer där tillsynsmyndigheten har tillgång till information om förestående eller pågående it-angrepp vilket gör att leverantörens informationssäkerhetsarbete behöver granskas (prop. 2017/18:89 s. 156).

Kontakter med utomstående som inte gäller anskaffning

Som vi har nämnt ovan gäller skyldigheten att ingå säkerhetsskyddsavtal enligt 2 kap. 6 § nya säkerhetsskyddslagen bara när verksamhetsutövaren avser att ingå avtal om varor, tjänster eller byggentreprenader. Att ingå sådana avtal om varor, tjänster eller byggentreprenader kallar vi i det följande för anskaffning.

I detta avsnitt ser vi närmare på vad som gäller när verksamhetsutövare ger utomstående tillgång till säkerhetsskyddsklassificerade uppgifter eller i övrigt säkerhetskänslig verksamhet på annat sätt än genom anskaffning. Vi tänker oss att det exempelvis kan handla om olika former av samarbeten eller samverkan.

Begreppet utomstående används både i nya säkerhetsskyddslagen och i nya säkerhetsskyddsförordningen men definieras inte närmare. I förarbetena används begreppet utomstående i samband med uttalanden om säkerhetsskyddsavtalets förhållande till grundtanken att de intressen som säkerhetsskyddsregleringen slår vakt om ska ha

SOU 2018:82 Skyldigheten att ingå säkerhetsskyddsavtal

123

samma skydd oavsett om verksamheten bedrivs av det allmänna eller av enskilda. Där sägs att när en utomstående aktör genom en upphandling engageras i säkerhetskänslig verksamhet, ska behovet av säkerhetsskyddsåtgärder enligt 2 kap. 1 § utredas och kraven på sådana åtgärder uppställas i ett säkerhetsskyddsavtal mellan parterna (se prop. 2017/18:89 s. 104). Enligt 2 kap. 6 § tredje stycket nya säkerhetsskyddslagen gäller skyldigheten att ingå säkerhetsskyddsavtal enligt första och andra styckena samma paragraf även för enskilda verksamhetsutövare som ingår avtal om varor, tjänster och byggentreprenader med utomstående leverantörer. I förarbetena anges att paragrafen därmed inte bara gäller offentlig upphandling utan även när enskilda verksamhetsutövare ingår avtal med externa leverantörer, oavsett om dessa uttryckts skriftligt eller inte, exempelvis vid affärstransaktioner mellan två bolag i samma koncern (prop. 2017/18:89 s. 142).

Vad gäller då när verksamhetsutövaren ger utomstående aktörer tillgång till säkerhetsskyddsklassificerade uppgifter eller i övrigt säkerhetskänslig verksamhet på annat sätt än genom anskaffning? I 3 kap. 1 § nya säkerhetsskyddslagen och 2 kap. 3 § nya säkerhetsskyddsförordningen finns det bestämmelser om vem som ska säkerhetsprövas och vem som får delta i den säkerhetskänsliga verksamheten. Som vi utvecklar i avsnitt 5.5 så menar vi att dessa bestämmelser gäller i fråga om anställda, praktikanter, uppdragstagare och andra som deltar i den egna säkerhetskänsliga verksamheten. Däremot torde de inte träffa utomstående, t.ex. personer som deltar i en myndighetssamverkan. Emellertid finns det vissa bestämmelser som gäller säkerhetsskyddsåtgärden informationssäkerhet som bl.a. gäller när säkerhetsskyddsklassificerade uppgifter tillgängliggörs för utomstående. Exempelvis krävs enligt 3 kap. 5 § nya säkerhetsskyddsförordningen att säkerhetsskyddsklassificerade uppgifter som ska kommuniceras till ett informationssystem utanför verksamhetsutövarens kontroll ska skyddas med hjälp av kryptografiska funktioner som har godkänts av Försvarsmakten.

Skyldigheten att ingå säkerhetsskyddsavtal SOU 2018:82

124

Kravet på säkerhetsskyddsavtal gäller inte den lägsta säkerhetsskyddsklassen

Enligt 2 kap. 5 § nya säkerhetsskyddslagen ska säkerhetsskyddsklassificerade uppgifter delas in i säkerhetsskyddsklasser utifrån den skada som ett röjande av uppgiften kan medföra för Sveriges säkerhet. Ju allvarligare skadan kan bli av ett röjande, desto högre säkerhetsskyddsklass ska uppgiften placeras i. Den lägsta säkerhetsskyddsklassen är begränsat hemlig. Uppgifter ska placeras i denna klass om den skada som kan uppstå endast är ringa. Uppgiften placeras i klassen

konfidentiell vid en inte obetydlig skada, hemlig vid en allvarlig skada

och kvalificerat hemlig om skadan kan bli synnerligen allvarlig. Närmare föreskrifter om hur säkerhetsskyddsklassificering av uppgifter ska gå till meddelas i förordning eller myndighetsföreskrifter.

Om de säkerhetsskyddsklassificerade uppgifter som förekommer i en viss upphandling hör till kategorin begränsat hemlig finns det inte någon skyldighet att ingå ett säkerhetsskyddsavtal. Som framgått inledningsvis gäller denna skyldighet nämligen bara om det i upphandlingen förekommer uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller upphandlingen i övrigt avser eller ger leverantören tillgång till säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet. Skälen för detta är bl.a. att säkerhetsskyddad upphandling med säkerhetsskyddsavtal kan föranleda kostnader. Det har också ansetts att behovet av ett säkerhetsskyddsavtal torde vara mindre om en upphandling berör uppgifter i den lägsta säkerhetsskyddsklassen (prop. 2017/18:89 s. 106). Det finns dock inget som hindrar att säkerhetsskyddsavtal ingås i de fall då upphandlingen eller avtalet omfattar uppgifter i säkerhetsskyddsklassen begränsat hemlig (prop. 2017/18:89 s. 106).

Utländska leverantörer

Säkerhetsskyddslagens krav på att verksamhetsutövaren ingår säkerhetsskyddsavtal gäller även för det fall leverantören har sin juridiska hemvist i ett annat land. Dock kan det var svårt att få in ett tillräckligt bra underlag för att verksamhetsutövaren ska kunna bedöma om den utländska leverantören är lämplig från ett säkerhetsperspektiv. Detta har utvecklats närmare i SOU 2015:25 s. 433435.

SOU 2018:82 Skyldigheten att ingå säkerhetsskyddsavtal

125

Det finns också särskilda regler i 3 kap. 9 § andra stycket nya säkerhetsskyddsförordningen om utländska leverantörer. Enligt bestämmelsen får säkerhetsskyddsklassificerade uppgifter inte lämnas till en utländsk leverantör om inte Sverige har ingått en överenskommelse om säkerhetsskydd med den andra staten och leverantören godkänts genom en kontroll enligt den andras statens säkerhetsskyddslagstiftning.

Det kan tilläggas att det i första stycket samma paragraf finns en bestämmelse om säkerhetsskyddsklassificerade uppgifter som lämnas till en utländsk myndighet eller en mellanfolklig organisation. Bestämmelsen innebär att sådana uppgifter ska omfattas av ett internationellt säkerhetsskyddsåtagande hos den mottagande myndigheten eller organisationen, om det inte finns särskilda skäl för att sådana uppgifter ändå kan lämnas.

Uppdragets avslutande

När leverantören har fullgjort uppdraget som har omgetts av säkerhetsskydd ska verksamhetsutövaren säga upp säkerhetsskyddsavtalet, se 8 kap. 6 § Försvarsmaktens föreskrifter om säkerhetsskydd (FFS 2015:2) och 7 kap. 7 § Säkerhetspolisens föreskrifter och allmänna råd om säkerhetsskydd (PMFS 2015:3). Enligt den vägledning för säkerhetsskyddad upphandling som Säkerhetspolisen upprättat bör det finnas rutiner för vilka åtgärder som ska vidtas när ett säkerhetsskyddsavtal sägs upp.

4

Där anges vidare att det också är lämpligt att i säker-

hetsskyddsavtalet reglera vem som ska ansvara för dessa åtgärder. Myndigheten ska säkerställa att vad som avtalats om tystnadsplikt och sekretess i övrigt ska bestå (8 kap. 6 § FFS 2015:2 och 7 kap. 7 § PMFS 2015:3).

Anmälningsskyldighet m.m.

En enskild verksamhetsutövare som avser att ingå ett säkerhetsskyddsavtal ska utan dröjsmål anmäla det till sin tillsynsmyndighet (2 kap. 5 § nya säkerhetsskyddsförordningen). Anmälan syftar till

4 Säkerhetspolisen (2009), Säkerhetsskyddad upphandling – en vägledning s. 15.

Skyldigheten att ingå säkerhetsskyddsavtal SOU 2018:82

126

att uppmärksamma tillsynsmyndigheten på eventuellt behov av placering i säkerhetsklass och ska också utgöra underlag för myndighetens arbete med tillsyn över säkerhetsskyddet.

Alla verksamhetsutövare som ingår säkerhetsskyddsavtal är vidare skyldiga att anmäla det till Säkerhetspolisen (2 kap. 7 § nya säkerhetsskyddsförordningen). En sådan anmälan ska också göras när ett säkerhetsskyddsavtal upphör att gälla.

Något om tystnadsplikt

I 5 kap. 2 § första stycket nya säkerhetsskyddslagen finns en bestämmelse om tystnadsplikt för personer som på grund av anställning eller på annat sätt deltar eller har deltagit i säkerhetskänslig verksamhet hos en enskild verksamhetsutövare. Tystnadsplikten innebär att personen inte obehörigen får röja eller utnyttja säkerhetsskyddsklassificerade uppgifter som han eller hon fått del av. I andra stycket samma paragraf erinras det om att bestämmelsen inte gäller i det allmännas verksamhet, där man i stället tillämpar bestämmelserna i offentlighets- och sekretesslagen (2009:400, OSL).

Varken bestämmelsen i 5 kap. 2 § nya säkerhetsskyddslagen eller reglerna i OSL tar sikte på enskilda leverantörer som verksamhetsutövaren har ingått säkerhetsskyddsavtal med. Det vanliga förfarandet har hittills varit att verksamhetsutövaren i avtal ställer krav på att leverantören i sin tur ingår individuella sekretessförbindelser med sina medarbetare där de förbinder sig att inte avslöja eller på annat sätt sprida säkerhetsskyddsklassificerade uppgifter som de tar del av när de utför sina arbetsuppgifter (SOU 2018:25 s. 354). Medarbetarnas sekretessförbindelser gäller i förhållande till arbetsgivaren och en eventuell överträdelse kan inte leda till ansvar för brott mot tystnadsplikt. Som nyss sagts åligger det verksamhetsutövaren att se till att det som avtalats om sekretess och tystnadsplikt ska bestå även efter det att säkerhetsskyddsavtalet har sagts upp.

SOU 2018:82 Skyldigheten att ingå säkerhetsskyddsavtal

127

I en diskussion om en utvidgning av skyldigheten att ingå säkerhetsskyddsavtal är det relevant att undersöka om behovet av skydd för säkerhetskänslig verksamhet kan uppnås på något annat och mindre ingripande sätt, t.ex. genom regler om sekretess och tystnadsplikt. Den grundläggande sekretessregleringen finns i OSL, men det finns också särskilda regler om tystnadsplikt i annan lagstiftning, däribland i 5 kap. 1 och 2 §§ nya säkerhetsskyddslagen.

Det finns ett tydligt samband mellan OSL och säkerhetsskyddslagen, eftersom förutsättningen för att en uppgift ska vara säkerhetsskyddsklassificerad är att den rör säkerhetskänslig verksamhet och därför omfattas av sekretess enligt OSL, eller skulle ha omfattats av sekretess om den lagen hade varit tillämplig (1 kap. 2 § andra stycket nya säkerhetsskyddslagen). Det sista ledet i bestämmelsen tar sikte på enskilda verksamhetsutövare som normalt inte omfattas av OSL:s regler.

OSL innehåller bl.a. bestämmelser om tystnadsplikt i det allmännas verksamhet och om förbud att lämna ut allmänna handlingar. Dessa bestämmelser avser förbud att röja uppgifter, vare sig detta sker muntligen, genom utlämnande av en allmän handling eller på något annat sätt. Bestämmelserna innebär begränsningar i yttrandefriheten enligt regeringsformen, begränsningar i den rätt att ta del av allmänna handlingar som följer av tryckfrihetsförordningen samt, i vissa särskilt angivna fall, även begränsningar i den rätt att meddela och offentliggöra uppgifter som följer av tryckfrihetsförordningen och yttrandefrihetsgrundlagen. Lagen innehåller alltså både regler om handlingssekretess och tystnadsplikt.

I 2 kap. 2 § tryckfrihetsförordningen finns en uttömmande uppräkning av de intressen som får skyddas genom begränsningar av rätten att ta del av allmänna handlingar, de s.k. sekretessgrunderna. Sådana intressen är bl.a. hänsynen till rikets säkerhet eller dess förhållande till annan stat eller mellanfolklig organisation. Vilka handlingar som omfattas av en begränsning i handlingsoffentligheten ska anges noga i OSL. Det är även tillåtet att ta in sådana bestämmelser i andra lagar under förutsättning att OSL hänvisar dit. Den möjligheten har utnyttjats i ett fåtal lagar.

Skyldigheten att ingå säkerhetsskyddsavtal SOU 2018:82

128

En uppgift för vilken sekretess gäller enligt OSL får inte röjas för enskilda eller för andra myndigheter, om inte annat anges i lagen eller i någon lag eller förordning som OSL hänvisar till (8 kap. 1 § OSL). Sekretess gäller även inom olika verksamhetsgrenar i en myndighet, när de är att betrakta som självständiga i förhållande till varandra (8 kap. 2 § OSL). Av det sagda följer att sekretessreglerna syftar till att skapa ett skydd för uppgifters konfidentialitet.

Även säkerhetsskyddsregleringen har bl.a. som syfte att värna konfidentialiteten hos vissa slags uppgifter, nämligen säkerhetsskyddsklassificerade uppgifter. Men regleringen har ett bredare syfte än så. Detta framgår bl.a. av bestämmelserna om säkerhetsskyddsåtgärden informationssäkerhet, där det anges att informationssäkerhet inte bara ska förebygga att säkerhetsskyddsklassificerade uppgifter obehörigen röjs, utan också att de ändras, görs otillgängliga eller förstörs samt förebygga skadlig inverkan i övrigt på uppgifter och informationssystem som gäller säkerhetskänslig verksamhet. Informationssäkerhet kan bl.a. bestå i krav som ställs på hur säkerhetsskyddsklassificerade uppgifter får hanteras och på säkerheten i informationssystem där sådana uppgifter behandlas. Dessutom är verksamhetsutövarna skyldiga att vidta andra säkerhetsskyddsåtgärder som ytterst syftar bl.a. till att skydda säkerhetsklassificerade uppgifter. Verksamhetsutövarna ska nämligen förebygga att obehöriga får tillträde till platser där de kan få tillgång till säkerhetsklassificerade uppgifter (fysisk säkerhet). De ska även vidta personalsäkerhetsåtgärder som ska förebygga att personer som inte är pålitliga deltar i en verksamhet där de kan få tillgång till sådana uppgifter (personalsäkerhet). Sekretessregleringen innehåller inga bestämmelser med sådana syften.

En annan viktig skillnad mellan sekretessregleringen och säkerhetsskyddsregleringen är att den förstnämnda är inriktad på hemlighållande av de sekretessbelagda uppgifterna i enskilda fall medan säkerhetsskyddsregleringen är inriktad mot att skapa ett förebyggande skydd i verksamheten genom de samverkande säkerhetsskyddsåtgärderna informationssäkerhet, fysisk säkerhet och personalsäkerhet. En verksamhet kan vara säkerhetskänslig utan att den hanterar några säkerhetsskyddsklassificerade uppgifter.

SOU 2018:82 Skyldigheten att ingå säkerhetsskyddsavtal

129

5.4 Skyldigheten att ingå säkerhetsskyddsavtal bör utvidgas

Förslag: Skyldigheten att ingå säkerhetsskyddsavtal utvidgas på

så sätt att den gäller även andra förfaranden än upphandlingar och andra anskaffningar. Den utvidgade skyldigheten innebär att den som bedriver säkerhetskänslig verksamhet ska ingå ett säkerhetsskyddsavtal så snart verksamhetsutövaren avser att genomföra en upphandling, ingå ett avtal eller inleda någon annan form av samverkan eller samarbete med en utomstående part, om förfarandet

1. innebär att den utomstående parten kan få tillgång till säker-

hetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller

2. i övrigt avser eller kan ge den utomstående parten tillgång till

säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet.

Skyldigheten att ingå säkerhetsskyddsavtal gäller inte samarbeten och samverkan mellan två eller flera statliga myndigheter som avser något annat än en anskaffning av varor, tjänster och byggentreprenader.

Regeringen bemyndigas att föreskriva om undantag från skyldigheten att ingå säkerhetsskyddsavtal och får även besluta om undantag i enskilda fall.

5.4.1 Utgångspunkter för våra överväganden

Skyldigheten att ingå säkerhetsskyddsavtal omfattar enligt 2 kap. 6 § nya säkerhetsskyddslagen dels offentliga verksamhetsutövare som avser att genomföra en upphandling och ingå ett avtal om varor, tjänster eller byggentreprenader, dels enskilda verksamhetsutövare som ingår ett sådant avtal som nyss sagts med en utomstående leverantör. Vårt uppdrag är att överväga om skyldigheten bör gälla även i andra situationer och i så fall vilka. En viktig utgångspunkt för våra resonemang är då vilka situationer som kan vara känsliga från säkerhetssynpunkt och som inte redan omfattas av skyldigheten att ingå

Skyldigheten att ingå säkerhetsskyddsavtal SOU 2018:82

130

ett säkerhetsskyddsavtal. Vi syftar då på situationer där verksamhetsutövare som bedriver säkerhetskänslig verksamhet ingår avtal eller på något annat sätt samarbetar eller samverkar med utomstående på ett sätt som medför att den utomstående parten kan få tillgång till säkerhetsskyddsklassificerade uppgifter eller i övrigt säkerhetskänslig verksamhet. Med ett samlat uttryck beskriver vi dessa situationer som sådana situationer där uppgifterna eller verksamheten exponeras för någon utomstående.

Gränsdragningen mellan samverkan och samarbete är inte knivskarp. Oftast brukar ordet samverkan användas för att beskriva t.ex. gemensamt utbyte av information eller planering av gemensamma aktiviteter, medan samarbete brukar beskriva en mer integrerad gemensam aktivitet. I det följande använder vi för enkelhets skull ofta ordet samverkan som ett samlat begrepp, och avser då även sådana mer integrerade aktiviteter som brukar benämnas samarbete.

5.4.2 Situationer där avsaknaden av säkerhetsskyddsavtal kan medföra negativa konsekvenser

Inledning

När säkerhetsskyddslagen (1996:627), i det följande kallad gamla

säkerhetsskyddslagen, kom till var det naturligt att koppla skyldig-

heten att ingå säkerhetsskyddsavtal till upphandlingssituationer. Sedan dess har det dock skett stora förändringar när det gäller olika former av samverkan, särskilt mellan myndigheter och enskilda rättssubjekt. Sådan samverkan kan involvera säkerhetsskyddsklassificerade uppgifter och i övrigt säkerhetskänslig verksamhet. Våra överväganden börjar därför med en diskussion om olika situationer där det enligt den nya säkerhetsskyddslagen inte finns, eller eventuellt inte finns, en skyldighet att ingå säkerhetsskyddsavtal och där detta kan medföra negativa konsekvenser från säkerhetsskyddssynpunkt.

En annan problematik hänger samman med att regleringen om säkerhetsskyddsavtal utgår från beställarens skyddsvärden och att kraven på säkerhetsskydd i ett säkerhetsskyddsavtal gäller leverantören. Det har uppmärksammats att situationen också kan vara den omvända, dvs. att leverantörens skyddsvärden kan behöva skyddas hos beställaren. Vi tar även upp denna fråga.

SOU 2018:82 Skyldigheten att ingå säkerhetsskyddsavtal

131

Samverkan som inte rör anskaffning

Den nya säkerhetsskyddslagens bestämmelser innebär att skyldigheten att ingå ett säkerhetsskyddsavtal bara gäller när det är fråga om ett avtal om varor, tjänster eller byggentreprenader från en (utomstående) leverantör. För offentliga verksamhetsutövare krävs det dessutom att det är fråga om en upphandling. I förarbetena till 2 kap. 6 § nya säkerhetsskyddslagen anges det att man med upphandling brukar avse åtgärder i syfte att anskaffa en vara, tjänst eller byggentre-

prenad från en leverantör (prop. 2017/18:89 s. 105). Reglerna om

säkerhetsskyddsavtal tar alltså enbart sikte på anskaffningar och inte på andra typer av samverkan.

Som anges i våra direktiv förekommer det numera att offentliga och enskilda aktörer samverkar på många fler sätt än vid offentliga upphandlingar. Exempel på samverkan där det många gånger inte är fråga om en offentlig upphandling eller annan anskaffning är samverkan och samarbete inom ramen för forskning, t.ex. när det gäller utveckling av försvarsmateriel eller it-system. Ett annat exempel kan vara samverkan inom ramen för arbetet med informations- och cybersäkerhet. Vid samverkan av de angivna slagen kan säkerhetsskyddsklassificerade uppgifter eller i övrigt säkerhetskänslig verksamhet behöva exponeras för den utomstående part som verksamhetsutövaren samverkar med. Den utomstående parten är ofta en juridisk person, t.ex. ett företag, men man kan också tänka sig samarbeten med exempelvis enskilda forskare utan anknytning till någon juridisk person. Om den utomstående parten inte vidtar tillräckliga säkerhetsskyddsåtgärder kan det innebära sårbarheter för att Sveriges säkerhet. Ett exempel på detta kan vara att den utomstående parten inte vidtar de informationssäkerhetsåtgärder som behövs för att förhindra att obehöriga får tillgång till säkerhetsskyddsklassificerade uppgifter som parten fått del av inom ramen för samverkan. Det kan därför vara problematiskt att det inte finns någon skyldighet för verksamhetsutövaren att ingå ett säkerhetsskyddsavtal där det klargörs hur den utomstående parten ska tillgodose kraven på säkerhetsskydd.

Skyldigheten att ingå säkerhetsskyddsavtal SOU 2018:82

132

Anskaffningar mellan statliga myndigheter

För offentliga verksamhetsutövare gäller kravet på säkerhetsskyddsavtal i vissa fall när de avser att genomföra en upphandling och ingå ett avtal om varor, tjänster eller byggentreprenader (2 kap. 6 § första stycket nya säkerhetsskyddslagen). En särskild fråga är vad kravet på att det ska finnas en avsikt att ingå ett avtal innebär i fråga om anskaffningar inom en och samma juridiska person. Det tydligaste exemplet är när en statlig myndighet anskaffar en vara, tjänst eller byggentreprenad från en annan statlig myndighet. Statliga myndigheter ingår i den juridiska personen staten. Detta har i olika sammanhang ansetts innebära att statliga myndigheter inte kan ingå avtal i civilrättslig mening med varandra, eftersom man inte kan ingå avtal med sig själv (se bl.a. SOU 1994:136 s. 181).

Frågan om hur man ska se på möjligheten att ingå avtal i civilrättslig mening med andra enheter inom samma juridiska person får även konsekvenser för upphandlingslagstiftningens tillämplighet. Med upphandling avses nämligen de åtgärder som vidtas i syfte att anskaffa varor, tjänster eller byggentreprenader genom tilldelning av

kontrakt (1 kap. 2 § lagen [2016:1145] om offentlig upphandling,

LOU). Med kontrakt avses ett skriftligt avtal med ekonomiska villkor som ingås mellan en eller flera upphandlande myndigheter och en eller flera leverantörer, och som avser leverans av varor, tillhandahållande av tjänster eller utförande av byggentreprenader (1 kap. 15 § LOU). Upphandlingsreglerna ska dock tillämpas även om upphandlingen inte utmynnar i ett skriftligt avtal (prop. 2015/16:195 s. 321). Det framgår av förarbetena till nya säkerhetsskyddslagen att även upphandlingar som ska undantas från upphandlingslagstiftningens regelverk omfattas av kravet på säkerhetsskyddsavtal (prop. 2017/18:89 s. 105). Att något av undantagen i t.ex. LOU ska tillämpas innebär alltså inte att verksamhetsutövaren är undantagen från kravet på säkerhetsskyddsavtal enligt 2 kap. 6 § nya säkerhetsskyddslagen. Däremot är det oklart om det kan anses vara fråga om en upphandling enligt säkerhetsskyddslagen om en viss anskaffning över huvud taget inte faller inom upphandlingslagstiftningens tillämpningsområde.

Kammarrätten i Stockholm har i ett relativt färskt avgörande uttalat att den tidigare gällande lagen (2007:1091) om offentlig upphandling var tillämplig på en överenskommelse mellan Kungliga

SOU 2018:82 Skyldigheten att ingå säkerhetsskyddsavtal

133

biblioteket och Riksarkivet om digitalisering av pliktlevererade dagstidningar (dom den 23 juni 2017 i mål nr 7355–16). Kammarrätten ansåg att den omständigheten att både Kungliga biblioteket och Riksarkivet är del av den juridiska personen staten inte automatiskt medför att avtalet mellan myndigheterna inte kunde utgöra ett kontrakt enligt upphandlingsregleringen. Kammarrätten menade i stället att myndigheterna, bl.a. med hänsyn till att de tillhör olika departement och har olika myndighetsinstruktioner, måste betraktas som formellt fristående från varandra. Domen överklagades till Högsta förvaltningsdomstolen som inte meddelade prövningstillstånd (mål nr 4106–17).

I avsaknad av prejudikat framstår rättsläget i fråga om upphandlingslagstiftningens tillämplighet på anskaffningar mellan statliga myndigheter alltjämt som oklart. Den bilden bekräftas i den kartläggning som genomförts under arbetet med betänkandet Juridik

som stöd för förvaltningens digitalisering (SOU 2018:25). Det är också

osäkert vad som ska läggas i säkerhetsskyddslagens krav på avtal vid sådana anskaffningar. Om kravet på säkerhetsskyddsavtal inte gäller för vissa anskaffningar finns det enligt vår mening en fara för att kraven på säkerhetsskydd inte upprätthålls i sådana fall. Redan den omständigheten att rättsläget är oklart kan leda till olika tolkningar, vilket också kan medföra sådana konsekvenser.

Direktåtkomst till it-system med stöd av lag

Det finns it-system i säkerhetskänslig verksamhet till vilka myndigheter eller enskilda har eller kan få direktåtkomst med stöd av lag, t.ex. polisdatalagen (2010:361) och lagen (2001:558) om vägtrafikregister. Den utomstående aktören får alltså möjlighet att direkt från sin egen tekniska utrustning ta del av innehållet i databasen eller registret. Sådan direktåtkomst till it-system i säkerhetskänslig verksamhet som medgetts med stöd av lag omfattas inte av bestämmelserna om säkerhetsskyddad upphandling. Detta följer redan av att det inte handlar om någon upphandlingssituation. Dessutom är det ofta ”leverantören”, dvs. den myndighet som tillhandahåller itsystemet för direktåtkomst, vars skyddsvärden kan behöva skyddas genom säkerhetsskyddsåtgärder hos den som får direktåtkomst till systemet, dvs. ”beställaren” i denna situation. Som framgått tidigare

Skyldigheten att ingå säkerhetsskyddsavtal SOU 2018:82

134

gäller regleringen inte för sådana situationer, utan enbart när det är en beställare som har anledning att ställa krav på att en leverantör ska vidta säkerhetsskyddsåtgärder. Om den utomstående aktören genom direktåtkomst får möjlighet att ta del av säkerhetsskyddsklassificerade uppgifter, eller stora mängder andra uppgifter som kan sammanställas och bearbetas på ett sätt som gör att de sammantagna blir säkerhetskänsliga (jfr resonemangen i prop. 2017/18:89 s. 45), kan det vara problematiskt att det inte finns någon skyldighet att ingå ett säkerhetsskyddsavtal med villkor exempelvis om vilken personal som får ta del av uppgifterna. Det bör emellertid tilläggas att man många gånger kan undvika problem med uppgifter som blir känsliga i aggregerad form, om det finns tydliga begränsningar av vilka uppgifter som en viss anställd får tillgång till.

Situationer där leverantörens skyddsvärden behöver skyddas

Säkerhetsskyddsavtalets främsta funktion är att slå vakt om att de intressen som lagstiftningen har att skydda även upprätthålls av leverantörer. Detta sker enligt 2 kap. 6 § nya säkerhetsskyddslagen genom att beställaren i avtalet specificerar vilka säkerhetsskyddskrav som ska uppfyllas av leverantören. Säkerhetsskyddskraven på leverantörer utgår alltså från beställarens kunskap om skyddsvärdena i den egna verksamheten och vad som behövs för att leverantören ska upprätthålla dem. Säkerhetsskyddsavtalet verkar däremot inte i motsatt riktning i den meningen att avtalet också ska tillgodose leverantörens behov av säkerhetsskydd i beställarens verksamhet.

Under remitteringen av betänkandet En ny säkerhetsskyddslag (SOU 2015:25) har det uppmärksammats att det numera lika väl kan vara leverantören som ägnar sig åt säkerhetskänslig verksamhet. Det förekommer exempelvis att myndigheter som omfattas av säkerhetsskyddslagen levererar varor och tjänster till enskilda rättssubjekt eller till andra myndigheter. Givetvis förekommer det även att enskilda verksamhetsutövare enligt säkerhetsskyddslagen levererar varor och tjänster till enskilda rättssubjekt och myndigheter. I de angivna fallen har verksamhetsutövaren, i egenskap av leverantör, ingen möjlighet att kräva ett säkerhetsskyddsavtal där det anges hur kraven på säkerhetsskydd ska tillgodoses av beställaren.

SOU 2018:82 Skyldigheten att ingå säkerhetsskyddsavtal

135

Några praktiska exempel

En situation där leverantörens skyddsvärden kan vara sårbara är när verksamhetsutövare som bedriver säkerhetskänslig verksamhet upplåter en fastighet, lokal eller anläggning – kanske inklusive tekniska resurser – åt någon utomstående part. Upplåtaren får i det fallet betraktas som leverantör. Det finns exempel på såväl offentliga som enskilda verksamhetsutövare med höga skyddsvärden som upplåter hela eller delar av fastigheter till enskilda rättssubjekt. Ett exempel är upplåtelse av plats i skyddsrum eller bergrum till en myndighet eller enskild. Ett annat exempel är att en verksamhetsutövare ger någon utomstående aktör möjlighet att använda ett laboratorium, och att den utomstående aktören därigenom kan få insyn i den säkerhetskänsliga verksamhet som bedrivs i laboratoriet. I dessa fall är hyresvärden i egenskap av leverantör i förhållande till hyresgästerna, inte skyldig att ingå ett säkerhetsskyddsavtal med dem. Konsekvenser av bristande säkerhetsskydd i samband med upplåtelser är en av de frågor som uppmärksammas i våra direktiv.

En annan situation kan vara att myndigheter eller andra verksamhetsutövare som bedriver säkerhetskänslig verksamhet fungerar som leverantörer av varor. Detta är t.ex. en viktig del av den verksamhet som bedrivs av Försvarets materielverk. Det behöver inte vara fråga om att äganderätten övergår genom en försäljning, utan det kan också vara fråga om en upplåtelse. Det kan handla om överlåtelse eller upplåtelse av t.ex. stridsflygplan eller annan lös egendom med höga skyddsvärden. Vi anser att det vid en sådan försäljning eller upplåtelse kan finnas ett behov av att klargöra för beställaren hur olika skyddsvärden ska upprätthållas under t.ex. ett upphandlingsförfarande, en avtalsförhandling eller i samband med leveransen eller under avtalstiden. Trots det finns det inget krav på att verksamhetsutövaren i egenskap av leverantör genom ett säkerhetsskyddsavtal ställer upp krav på säkerhetsskyddet hos beställaren.

Avsaknaden av krav på säkerhetsskyddsavtal kan leda till sårbarheter och skador för Sveriges säkerhet

Eftersom leverantören i våra exempel ovan inte omfattas av kravet på att ingå ett säkerhetsskyddsavtal med beställaren, finns det en fara att leverantörens skyddsvärden inte får ett tillräckligt skydd. Det kan

Skyldigheten att ingå säkerhetsskyddsavtal SOU 2018:82

136

visserligen vara så att även beställaren bedriver säkerhetskänslig verksamhet och således omfattas direkt av säkerhetsskyddslagens krav på säkerhetsskyddsåtgärder. Beställarens eller hyresgästens egna säkerhetsskyddsåtgärder liksom eventuella säkerhetsskyddsavtal som ingås efter krav från denne utgår emellertid från den kunskap som beställaren har om den egna verksamhetens skyddsvärden. Åtgärderna handlar alltså inte om leverantörens skyddsvärden. Dessutom saknar beställaren som regel kunskap om vilka skyddsvärden som finns hos leverantören. Den omständigheten att en beställare omfattas av regleringen och kanske också av en skyldighet att i ett säkerhetsskyddsavtal ange hur leverantören ska tillgodose kraven på säkerhetsskydd kompenserar därför inte för avsaknaden av ett krav på säkerhetsskyddsavtal till skydd för leverantörens skyddsvärden.

5.4.3 Skyldigheten att ingå säkerhetsskyddsavtal bör utgå från exponeringen av säkerhetsskyddsklassificerade uppgifter eller i övrigt säkerhetskänslig verksamhet

Kravet på säkerhetsskyddsavtal bör inte vara begränsat till upphandling eller andra anskaffningar

Som tidigare framgått är det en grundläggande princip inom säkerhetsskyddet att de intressen som lagstiftningen slår vakt om ska ha samma skydd oavsett om verksamheten bedrivs av det allmänna eller av enskilda (se t.ex. prop. 1995/96:129 s. 34). En naturlig konsekvens av denna princip är att informationens eller verksamhetens skyddsvärde ska upprätthållas när en aktör som bedriver säkerhetskänslig verksamhet avser att ge någon utomstående tillgång till säkerhetsskyddsklassificerade uppgifter eller i övrigt säkerhetskänslig verksamhet. Detta framhålls också i våra direktiv. Regleringen om säkerhetsskyddsavtal i 2 kap. 6 § nya säkerhetsskyddslagen bygger på denna tanke och är tillämplig just när säkerhetsskyddsklassificerade uppgifter eller i övrigt säkerhetskänslig verksamhet ska exponeras för någon utomstående. Regleringen är dock begränsad till vissa situationer, nämligen till situationer där en verksamhetsutövare som omfattas av lagen avser att anskaffa en vara, tjänst eller byggentreprenad av en leverantör.

SOU 2018:82 Skyldigheten att ingå säkerhetsskyddsavtal

137

Som vi tidigare nämnt finns det numera ett antal situationer där utomstående aktörer kan få del av säkerhetsskyddsklassificerade uppgifter eller i övrigt få tillgång till säkerhetskänslig verksamhet utan att det är fråga om en anskaffning. I takt med samhällsutvecklingen kan nya sådana situationer uppstå. Det finns också fall där det visserligen är fråga om en anskaffning, men där behovet av säkerhetsskydd gäller för leverantörens säkerhetsskyddsklassificerade uppgifter eller i övrigt säkerhetskänsliga verksamhet. I sådana fall gäller det inte någon skyldighet för leverantören att kräva att beställaren undertecknar ett säkerhetsskyddsavtal där det anges hur beställaren ska tillgodose kravet på säkerhetsskydd. Slutligen finns det situationer där det är osäkert om det gäller ett krav på säkerhetsskyddsavtal, i synnerhet vid anskaffningar mellan olika statliga myndigheter.

Om det inte ställs krav på säkerhetsskyddsavtal i alla relevanta situationer där säkerhetsskyddsklassificerade uppgifter eller i övrigt säkerhetskänslig verksamhet ska exponeras för utomstående, ökar sannolikheten för att motparten inte vidtar de säkerhetsskyddsåtgärder som behövs. Detta gäller även om den utomstående parten också bedriver säkerhetskänslig verksamhet och därmed omfattas av säkerhetsskyddslagens bestämmelser. Avsaknad av säkerhetsskyddsavtal kan ytterst innebära sårbarheter och skador för Sveriges säkerhet.

Det sagda talar starkt för att skyldigheten att träffa ett säkerhetsskyddsavtal inte bör vara begränsad till offentlig upphandling och andra anskaffningar. Det bör framhållas i sammanhanget att regleringen om offentlig upphandling har helt andra syften än säkerhetsskyddsregleringen. Reglerna om offentlig upphandling, som delvis styrs av EU-direktiv, syftar bl.a. till att främja ett kostnadseffektivt användande av skattemedel genom att ta tillvara konkurrensen på marknaden och att säkerställa att offentlig upphandling överensstämmer med principerna i fördraget om Europeiska unionens funktionssätt.

5

Säkerhetsskyddslagstiftningen, som är en rent natio-

nell reglering, är i stället ämnad att skydda Sveriges säkerhet från i första hand antagonistiska hot (prop. 2017/18:89 s. 1). Även dessa viktiga skillnader mellan säkerhetsskyddsregleringen och regleringen om offentlig upphandling talar för att det inte är ändamålsenligt att koppla kravet på säkerhetsskyddsavtal till just upphandling, även om

5 Europaparlamentets och rådets direktiv 2014/24/EU av den 26 februari 2014 om offentlig upphandling och om upphävande av direktiv 2004/18/EG.

Skyldigheten att ingå säkerhetsskyddsavtal SOU 2018:82

138

upphandling naturligtvis är en situation där det vid behov bör gälla en skyldighet att träffa ett säkerhetsskyddsavtal.

I stället bör exponeringen av information eller verksamhet vara avgörande

Med hänsyn till det som anförts under föregående rubrik är vår bedömning att kravet på säkerhetsskyddsavtal inte bör begränsas till upphandling eller någon viss typ av avtal eller förfarande. För denna bedömning talar också risken för att en reglering som är inriktad på t.ex. en viss typ av förfarande eller avtal blir överspelad. I stället bör skyldigheten att ingå säkerhetsskyddsavtal knytas till sådana omständigheter som framhålls i direktiven, dvs. att en verksamhetsutövare som bedriver säkerhetskänslig verksamhet avser att ge någon utomstående tillgång till säkerhetsskyddsklassificerade uppgifter, eller i övrigt ge någon utomstående tillgång till säkerhetskänslig verksamhet.

Av det anförda följer att verksamhetsutövaren som utgångspunkt bör vara skyldig att ingå ett säkerhetsskyddsavtal oavsett om denne är leverantör eller beställare och oavsett vilken typ av avtal, samverkan eller samarbete det är fråga om. Reglerna bör alltså gälla såväl vid upphandling och ingående av avtal som vid andra former av samarbeten och samverkan.

Det sagda innebär att båda parter i ett avtal eller samarbete bör kunna vara skyldiga att i ett säkerhetsskyddsavtal ställa krav på säkerhetsskyddet hos den andre.

Exponering av säkerhetskänslig verksamhet på grund av författning

I föregående avsnitt har vi gjort bedömningen att skyldigheten att ingå säkerhetsskyddsavtal som utgångspunkt bör gälla såväl vid upphandling och ingående av avtal som vid andra former av samarbeten och samverkan, förutsatt att verksamhetsutövaren – oavsett om denne är beställare eller leverantör – genom förfarandet ifråga exponerar säkerhetsskyddsklassificerade uppgifter eller i övrigt säkerhetskänslig verksamhet för någon utomstående.

SOU 2018:82 Skyldigheten att ingå säkerhetsskyddsavtal

139

En typ av förfarande som kan ta sig olika uttryck, och som därmed kan vara svårt att klassificera, är när verksamhetsutövare lämnar ifrån sig säkerhetsskyddsklassificerade uppgifter eller ger tillgång till i övrigt säkerhetskänslig verksamhet på grund av författ-

ning. En sådan situation kan vara myndigheter som har till uppgift

att samarbeta eller samverka med varandra, t.ex. genom utbyte av uppgifter. En myndighet kan exempelvis vara skyldig att låta utomstående få tillgång till vissa register som myndigheten ansvarar för. Ett annat exempel kan vara att myndigheter är skyldiga att utnyttja en viss tjänst, eller har rätt att begära att någon utför en viss tjänst, och att detta innebär att säkerhetsskyddsklassificerade uppgifter eller säkerhetskänslig verksamhet i övrigt exponeras för den som utför tjänsten. Vår uppfattning är att även sådana situationer som nu beskrivits utgör en form av avtal, samarbete eller samverkan, och att det kan finnas ett behov av att parterna kommer överens om vilket säkerhetsskydd som behövs. Den omständigheten att lagstiftaren gjort bedömningen att en viss samverkan ska äga rum betyder inte att frågan om vilket säkerhetsskydd som kan behövas har fått sin lösning eller ens har övervägts. Som utgångspunkt anser vi därför att skyldigheten att ingå säkerhetsskyddsavtal bör gälla även för avtal, samarbeten och samverkan som följer av författning. Vissa undantag är dock befogade, vilket vi utvecklar i avsnitt 5.4.4 och 5.4.6.

En situation som dock inte bör omfattas av begreppen avtal, samarbete eller samverkan är när en myndighet har makt att med tvång bereda sig tillgång till säkerhetsskyddsklassificerade uppgifter eller i övrigt säkerhetskänslig verksamhet. Vi tänker då främst på åtgärder som kan vidtas inom ramen för tillsyn eller brottsutredningar. Det kan t.ex. handla om husrannsakan, beslag eller motsvarande åtgärder. Det rör sig då inte om något som språkligt kan betecknas som ett avtal, ett samarbete eller en samverkan. Redan därför framstår det som mindre naturligt att ställa krav på att det ska ingås ett säkerhetsskyddsavtal. Vidare framstår det som svårt att genomföra praktiskt, särskilt i de fall där det krävs skyndsamhet eller där det är viktigt att den som åtgärden vidtas hos inte underrättas i förväg. Vi bedömer därför att övervägande skäl talar för att skyldigheten att träffa säkerhetsskyddsavtal inte bör gälla i de angivna situationerna. Detta behöver inte anges särskilt utan framgår av att det inte är fråga om avtal, samarbete eller samverkan.

Skyldigheten att ingå säkerhetsskyddsavtal SOU 2018:82

140

Det bör inte krävas någon särskild varaktighet

Under vårt arbete har frågan aktualiserats om det bör krävas att en samverkan eller ett samarbete har någon viss varaktighet eller stabilitet för att omfattas av skyldigheten att ingå ett säkerhetsskyddsavtal. Ett skäl för en sådan ordning är att det kan framstå som onödigt omständligt och kostnadsdrivande att ställa sådana krav vid mer lösliga och kortvariga former av samverkan eller samarbete. Vår bedömning är dock att en sådan begränsning av skyldigheten att ingå säkerhetsskyddsavtal inte bör införas. Om samverkan eller samarbetet är mycket kortvarigt eller lösligt får det förmodas att det många gånger inte heller medför att den utomstående parten får tillgång till verksamheten eller uppgifter i säkerhetsskyddsklassen konfidentiell eller högre. I så fall bör det, liksom vid upphandling i motsvarande fall, inte krävas ett säkerhetsskyddsavtal. Men om samverkan eller samarbetet innebär att sådana uppgifter eller i övrigt säkerhetskänslig verksamhet på motsvarande nivå exponeras för den utomstående parten, menar vi att behovet av säkerhetsskydd är lika stort som om det varit fråga om ett mer långvarigt och fast samarbete. Man kan t.o.m. hävda att behovet kan vara större, eftersom det i ett långvarigt samarbete kan finnas en högre grad av ömsesidig lojalitet och förståelse för den andra partens verksamhet och skyddsvärden.

Inget krav på säkerhetsskyddsavtal i den lägsta säkerhetsskyddsklassen

Som nämnts i avsnitt 5.1 har vi inte övervägt om kravet på säkerhetsskyddsavtal bör gälla i fråga om uppgifter i säkerhetsskyddsklassen begränsad, eller om verksamhet av motsvarande betydelse för Sveriges säkerhet. Vi föreslår alltså inte några ändringar i detta avseende.

Sammanfattande bedömning

Sammanfattningsvis gör vi bedömningen att skyldigheten att kräva säkerhetsskyddsavtal som utgångspunkt bör gälla i alla fall där en verksamhetsutövare enligt säkerhetsskyddslagen avser att genomföra

SOU 2018:82 Skyldigheten att ingå säkerhetsskyddsavtal

141

en upphandling, ingå ett avtal eller inleda någon annan form av samverkan eller samarbete med en utomstående part, om förfarandet

1. innebär att den utomstående parten kan få tillgång till säkerhets-

skyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller

2. i övrigt avser eller kan ge den utomstående parten tillgång till

säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet.

Det kan dock finnas skäl för vissa undantag i fall där kraven på säkerhetsskydd kan tillgodoses även utan ett säkerhetsskyddsavtal. Vi diskuterar detta i avsnitten 5.4.4 och 5.4.6.

5.4.4 Samverkan och samarbeten mellan statliga myndigheter bör undantas i vissa fall

Det finns inte behov av ett generellt krav på säkerhetsskyddsavtal vid samverkan och samarbeten mellan statliga myndigheter

En situation där man kan diskutera om det är nödvändigt med säkerhetsskyddsavtal är samverkan och samarbete mellan statliga myndigheter som inte rör en anskaffning av varor, tjänster eller byggentreprenader. Sådana anskaffningar ger upphov till särskilda överväganden, varför vi diskuterar dem särskilt. Tills vidare talar vi därför bara om andra former av samverkan och samarbeten mellan statliga myndigheter. Sådan samverkan och sådana samarbeten kan ha många former. I vissa fall kan det handla om enstaka eller regelbundna avstämningar eller om överföring eller utbyte av information. I andra fall kan det handla om mer långvariga samarbeten eller samverkan på ett visst område och mot ett gemensamt mål. Skyldigheten att samverka kan följa av författning eller regeringsbeslut, men kan också ske på myndigheternas eget initiativ som ett led i strävan att på bästa sätt utföra myndigheternas uppdrag. Om en myndighet som är verksamhetsutövare enligt säkerhetsskyddslagen samverkar med en annan myndighet finns det varken enligt gamla eller nya säkerhetsskyddslagen någon skyldighet att ingå ett säkerhetsskyddsavtal.

Skyldigheten att ingå säkerhetsskyddsavtal SOU 2018:82

142

Enligt vår mening finns det starka skäl som talar mot att det införs en generell skyldighet att ingå säkerhetsskyddsavtal vid samverkan och samarbete mellan statliga myndigheter. Först och främst bör det beaktas att statliga myndigheter hör till samma juridiska person, nämligen staten, och att de därmed företräder samma övergripande intresse även om myndigheterna givetvis har olika uppdrag. En statlig myndighet företräder inte i första hand lokala eller regionala intressen, som i vissa fall kan stå i strid med nationella intressen. I detta avseende skiljer sig myndighetssamverkan från överenskommelser om anskaffningar av olika slag, t.ex. försäljning av varor och tjänster. Vid utkontraktering och andra anskaffningar kan det inte sällan finnas intressen – inte minst effektivitetsskäl – som kan stå i motsats till kraven på säkerhetsskydd. När statliga myndigheter däremot samverkar om annat än anskaffningar är risken betydligt mindre för att det finns sådana mot säkerhetsskyddet stridande intressen.

Ett annat skäl som talar för att det inte ställs ett generellt krav på säkerhetsskyddsavtal vid myndighetssamverkan är att det på båda sidor handlar om en verksamhet som i hög grad är regelstyrd. Som nämnts inledningsvis följer många gånger en skyldighet att samverka av författning eller regeringsbeslut.

Det anförda talar för att det inte finns något påtagligt behov av en generell skyldighet att ingå säkerhetsskyddsavtal i de fall som nu diskuteras. Även de uppgifter som våra experter och sakkunniga lämnat talar för att det inte finns något påtagligt sådant behov. Enligt deras uppgifter brukar man nämligen hantera säkerhetsskyddet vid samverkan mellan statliga myndigheter på ett tillfredsställande sätt även utan säkerhetsskyddsavtal. Lösningen anpassas som regel till behoven i det enskilda fallet. I vissa fall kan det bli fråga om att myndigheterna skriver en överenskommelse som liknar ett säkerhetsskyddsavtal. I andra fall sker det genom att man på annat sätt kommer överens om hur behovet av säkerhetsskydd ska tillvaratas, t.ex. genom att man bestämmer vilka personer som får delta i samverkan och att dessa ska vara placerade i viss säkerhetsklass eller genom att man ställer krav på säkerheten i möteslokalerna och vilken teknisk utrustning som får förekomma vid mötena. Det anförda talar för att man i centrala avseenden kan tillvarata behovet av säkerhetsskydd genom organisatoriska och andra åtgärder, utan att det behöver ingås ett säkerhetsskyddsavtal.

SOU 2018:82 Skyldigheten att ingå säkerhetsskyddsavtal

143

Till det ovanstående kommer att myndighetssamverkan bör ses i ljuset av att båda samverkansparter omfattas av regleringen i OSL. Avsaknaden av säkerhetsskyddsavtal innebär därför inte att säkerhetsskyddsklassificerade uppgifter helt saknar skydd vid samverkan och samarbeten mellan statliga myndigheter. De säkerhetsskyddsklassificerade uppgifter som det handlar om är normalt sådana att de kan omfattas av sekretess oavsett i vilken verksamhet de förekommer (se t.ex. 15 kap. 1 och 2 §§ OSL om utrikes- respektive försvarssekretess). Uppgifter som en verksamhetsutövare delar med sig av till en annan myndighet inom ramen för en myndighetssamverkan eller liknande kommer alltså regelmässigt att ha samma sekretesskydd hos mottagaren. Myndigheter är som regel vana vid att hantera sekretessbelagd information och har normalt rutiner för hur så ska ske.

En generell skyldighet att ingå säkerhetsskyddsavtal vid samverkan och samarbeten mellan statliga myndigheter har påtagliga nackdelar

Utöver det begränsade behovet, finns det dessutom påtagliga nackdelar med en ordning som går ut på ett generellt krav på säkerhetsskyddsavtal vid samverkan och samarbeten mellan statliga myndigheter som berör säkerhetsskyddsklassificerade uppgifter eller i övrigt säkerhetskänslig verksamhet över en viss nivå. En sådan ordning skulle nämligen medföra stora praktiska olägenheter. Samverkan mellan statliga myndigheter bedrivs i mycket stor omfattning och kan, som vi utvecklade inledningsvis, ta sig ett flertal olika former. I många fall handlar det enbart om avstämningar eller samråd. Det skulle leda till en stor administrativ belastning för de samverkande myndigheterna om det införs ett oinskränkt krav på säkerhetsskyddsavtal för all samverkan med myndigheter som kan aktualisera exponering av säkerhetsskyddsklassificerade uppgifter och i övrigt säkerhetskänslig verksamhet över en viss nivå. Med hänsyn till kravet på att säkerhetsskyddsavtal ska anmälas till Säkerhetspolisen både när de ingås och när de upphör att gälla, skulle det också innebära en ökad arbetsbörda för Säkerhetspolisen (2 kap. 7 § nya säkerhetsskyddsförordningen).

Skyldigheten att ingå säkerhetsskyddsavtal SOU 2018:82

144

Det bör inte gälla en generell skyldighet om statliga myndigheter finns på båda sidor

Även om behovet av säkerhetsskydd är ett mycket tungt vägande intresse, anser vi att det inte har framkommit tillräckliga skäl för ett generellt krav på säkerhetsskyddsavtal när statliga myndigheter samverkar eller samarbetar med varandra på ett sätt som innebär exponering av uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller av i övrigt säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet. Det huvudsakliga skälet för vår bedömning är att det inte finns ett tillräckligt behov av en sådan skyldighet eftersom kravet på skydd i många fall kan tillgodoses i centrala avseenden även utan säkerhetsskyddsavtal. Men vi beaktar också de stora olägenheter som en sådan skyldighet skulle innebära, samtidigt som det mervärde den skulle ge är begränsat.

Anskaffningar bör dock omfattas av kravet på säkerhetsskyddsavtal

De skäl som talar emot ett generellt krav på säkerhetsskyddsavtal gäller främst vid ren samverkan och rena samarbeten mellan statliga myndigheter. De har däremot inte samma aktualitet när det gäller situationer där två statliga myndigheter agerar beställare och leverantör i förhållande till varandra, dvs. där den ena myndigheten anskaffar en vara, tjänst eller byggentreprenad av den andra myndigheten. I denna situation handlar det inte främst om att myndigheterna samverkar mot ett gemensamt mål, utan de agerar snarare som aktörer på en marknad.

Statliga myndigheter kan tillhandahålla tjänster åt andra statliga myndigheter och därigenom i vissa fall handha stora skyddsvärden. Ett exempel kan vara att en myndighet hanterar andra myndigheters personaladministration. Myndigheter som bedriver säkerhetskänslig verksamhet kan i samband med det lämna över säkerhetsskyddsklassificerade uppgifter till den utförande myndigheten. Även om parterna på ömse sidor är statliga myndigheter anser vi att det kan finnas ett stort behov av att de myndigheter som t.ex. lämnar över sin lönehantering till en annan myndighet klargör vilka krav på säkerhetsskydd som gäller i fråga om säkerhetsskyddsklassificerade uppgifter som utföraren behandlar. Som vi har utvecklat tidigare i

SOU 2018:82 Skyldigheten att ingå säkerhetsskyddsavtal

145

kapitlet är det ju enbart den myndighet som lämnar över uppgifterna som har en fullständig insyn i och överblick över myndighetens skyddsvärden. Den myndighet som utför tjänsten kan normalt inte förväntas ha sådana kunskaper, vilket kan leda till att rätt säkerhetsskyddsåtgärder inte vidtas och att säkerhetsskyddet inte blir tillräckligt. Detta motverkas enligt vår mening bäst genom ett säkerhetsskyddsavtal där det anges hur utföraren ska tillgodose kraven på säkerhetsskydd. Genom att reglerna om säkerhetsskyddsavtal blir tillämpliga skapas det en uttrycklig skyldighet för den myndighet som lämnar över arbetsuppgifter eller liknande till en annan myndighet att kontrollera att säkerhetsskyddsavtalet följs. Det blir därigenom tydligt för den myndighet som lämnar över uppgifterna att myndigheten inte befrias från ansvaret för att uppgifterna omgärdas av ett tillräckligt säkerhetsskydd.

Vi anser inte att ett krav på säkerhetsskyddsavtal vid anskaffning mellan statliga myndigheter skulle innebära några större nackdelar i form av en onödigt stor administrativ belastning. Vi ser inte heller några andra påtagliga nackdelar med en sådan ordning. Att myndigheten får ett ansvar för att kontrollera att den andra myndigheten följer säkerhetsskyddsavtalet innebär inte någon rubbning av det generella tillsynsansvaret (se kapitel 8), utan handlar enbart om förhållandet mellan de två aktuella myndigheterna.

Sammantaget gör vi alltså bedömningen att det inte bör gälla något undantag för situationer där statliga myndigheter anskaffar varor, tjänster eller byggentreprenader från varandra. Om förutsättningarna i övrigt är uppfyllda bör det alltså gälla ett krav på säkerhetsskyddsavtal vid sådan anskaffning. Det bör sakna betydelse om reglerna om offentlig upphandling anses tillämpliga eller inte.

Undantaget bör gälla all samverkan och alla samarbeten som avser annat än en anskaffning

Våra bedömningar i det föregående innebär att det inte bör gälla något generellt krav på säkerhetsskyddsavtal vid samverkan och samarbeten mellan statliga myndigheter som avser något annat än en anskaffning av en vara, tjänst eller byggentreprenad. Nästa fråga är då om man bör undanta all sådan samverkan och alla sådana samarbeten mellan statliga myndigheter, eller om det trots allt bör finnas

Skyldigheten att ingå säkerhetsskyddsavtal SOU 2018:82

146

en skyldighet att ingå säkerhetsskyddsavtal i vissa fall. Vi har identifierat fyra tänkbara regleringslösningar.

Alternativa lösningar

Alternativ 1 är ett generellt undantag, dvs. att all samverkan och alla

samarbeten om annat än en anskaffning undantas. En fördel med detta alternativ är att myndigheterna inte behöver ta ställning till om ett säkerhetsskyddsavtal ska ingås när det är fråga om något annat än en anskaffning. En sådan ordning stämmer bäst överens med intresset av att inte skapa merarbete för myndigheterna själva och för Säkerhetspolisen. Givetvis innebär detta inte att myndigheten kan underlåta att beakta behovet av säkerhetsskydd vid samarbeten och samverkan där det inte gäller ett krav på säkerhetsskyddsavtal, men det kan ändå innebära en administrativ lättnad.

Samtidigt kan det inte helt uteslutas att det kan finnas situationer där det skulle finnas fördelar med ett säkerhetsskyddsavtal. Så skulle kunna vara fallet när det är fråga om samverkan eller samarbeten mellan statliga myndigheter där den ena parten avser att dela med sig av sådant som är skyddsvärt till en annan myndighet som har en mindre utvecklad säkerhetskultur. Samverkan eller samarbetet kan då medföra negativa konsekvenser för Sveriges säkerhet. Detta kan tala för alternativ 2, nämligen en regel som går ut på att den myndighet som exponerar säkerhetsskyddsklassificerade uppgifter eller i övrigt säkerhetskänslig verksamhet får kräva att det ingås ett säkerhetsskyddsavtal, om det behövs för att kraven på säkerhetsskydd ska tillgodoses. Det bör dock understrykas att bestämmelserna i 2 kap. 6 § nya säkerhetsskyddslagen inte hindrar en verksamhetsutövare från att ställa krav på en motpart att ingå säkerhetsskyddsavtal även om det inte finns någon sådan skyldighet enligt lag (prop. 2017/18:89 s. 105). En verksamhetsutövare kan t.ex. kräva ett säkerhetsskyddsavtal i situationer där en upphandling enbart omfattar uppgifter i säkerhetsskyddsklassen begränsat hemlig. Därmed framstår det som överflödigt att uttryckligen ange att det finns en sådan möjlighet i vissa fall. En sådan regel kan dessutom komma att uppfattas som att verksamhetsutövaren inte har rätt att kräva ett säkerhetsskyddsavtal i andra fall än de som pekas ut i bestämmelsen. Detta

SOU 2018:82 Skyldigheten att ingå säkerhetsskyddsavtal

147

vore olyckligt och är inte förenligt med lagstiftarens intention (se det nyss redovisade propositionsuttalandet).

Alternativ 3 skulle kunna vara att utgångspunkten är att säker-

hetsskyddsavtal ska ingås, men att det anges att ett sådant avtal inte

behöver ingås om kraven på säkerhetsskydd ändå är uppfyllda eller kan uppfyllas. Genom en sådan skrivning skulle man betona vikten av att

säkerhetsskyddet inte urholkas. Samtidigt kan man ifrågasätta värdet av en sådan bestämmelse, eftersom det som vi nyss konstaterat även utan en sådan finns en möjlighet för en verksamhetsutövare att kräva att ett säkerhetsskyddsavtal ingås. En myndighet som avser att inleda en samverkan eller ett samarbete med en annan myndighet kan alltså kräva att det ingås ett säkerhetsskyddsavtal, om den förstnämnda myndigheten anser att det behövs. Vidare finns det enligt vår uppfattning nackdelar med en bestämmelse av det slag som vi nu diskuterar. Till att börja med måste man, för att bestämmelsen ska få önskad effekt, klargöra vad som krävs för att kraven på säkerhetsskydd ska vara uppfyllda utan ett säkerhetsskyddsavtal. I annat fall är risken stor att tillämpningen blir ojämn. Risken att bedömningen i efterhand anses som felaktig kan leda till att myndigheter väljer att ingå säkerhetsskyddsavtal när det inte är nödvändigt hellre än att ta risken att göra fel. Detta leder i sin tur till en ökad administrativ belastning för både de samverkande myndigheterna och Säkerhetspolisen. En regel av detta slag innebär vidare att det knappast går att koppla skyldigheten att vidta andra förebyggande åtgärder, t.ex. att samråda med tillsynsmyndigheten i vissa fall, på att det finns en skyldighet att ingå ett säkerhetsskyddsavtal (se våra resonemang i kapitel 6). För att en sådan koppling ska kunna göras krävs det enligt vår mening att det är tydligt när det finns en skyldighet att ingå säkerhetsskyddsavtal. Det framstår då inte som lämpligt att knyta andra skyldigheter till myndighetens egen bedömning av vilka krav på säkerhetsskydd som bör ställas. För att det i efterhand ska kunna kontrolleras om bestämmelsen har följts, krävs det dessutom att övervägandena i fråga om behovet av säkerhetsskyddsavtal dokumenteras. Om en sådan dokumentation krävs ökar den administrativa belastningen för myndigheterna.

Ett sista alternativ – alternativ 4 – skulle kunna vara att man i stället för säkerhetsskyddsavtal inför någon särskild figur just för samarbeten mellan statliga myndigheter. Ett argument för en sådan

Skyldigheten att ingå säkerhetsskyddsavtal SOU 2018:82

148

lösning skulle kunna vara att det är tveksamt om statliga myndigheter kan ingå civilrättsligt giltiga avtal med varandra (se våra resonemang i avsnitt 5.4.2) och att ordet avtal därför kan förefalla oegentligt. Man kan samtidigt ifrågasätta värdet av att man inför en ny rättslig figur för att åstadkomma i allt väsentligt samma sak som ett säkerhetsskyddsavtal. Vi har svårt att se några större fördelar med en sådan ordning.

Sammanfattande bedömning

Vår bedömning är att alternativ 1 är den bästa lösningen. En sådan reglering skulle vara flexibel och lämna utrymme för de samverkande statliga myndigheterna att använda sitt omdöme i frågan om ett säkerhetsskyddsavtal behövs eller inte i det enskilda fallet. Den hindrar inte att säkerhetsskyddsavtal ingås om det finns skäl för det. Alternativ 2, dvs. en regel som innebär att statliga myndigheter får ingå säkerhetsskyddsavtal, tillför enligt vår mening inget utöver alternativ 1 och har dessutom flera nackdelar. Alternativ 3 innebär visserligen en viss betoning av vikten av att myndigheter som önskar samverka tar ansvar för säkerhetsskyddet, men har samtidigt flera nackdelar som vi har utvecklat i det föregående. Vi anser inte heller att det skulle vara lämpligt att i enlighet med alternativ 4 införa någon form av ”säkerhetsskyddsavtal light”. Säkerhetsskyddsregleringen bör inte göras mer komplicerad genom införande av nya figurer som inte tillför något väsentligt nytt. Det framstår i stället som mer naturligt och lämpligt att säkerhetsskyddsavtalen – i de fall de ingås – anpassas till behoven i det enskilda fallet. Med beaktande av det anförda föreslår vi en reglering i enlighet med alternativ 1, dvs. att samarbeten och samverkan mellan statliga myndigheter undantas från kravet på säkerhetsskyddsavtal – förutom om det är fråga om en anskaffning av en vara, tjänst eller byggentreprenad.

En följd av förslaget om undantag från skyldigheten att ingå säkerhetsskyddsavtal är att andra typer av överenskommelser än säkerhetsskyddsavtal kan komma att aktualiseras mellan statliga myndigheter. Det kan handla om såväl skriftliga som muntliga överenskommelser om hur säkerhetsskyddet ska ordnas i en viss situation. Frågan är om och när denna typ av överenskommelse ska betecknas som säkerhetsskyddsavtal. Av skäl som vi utvecklar i det

SOU 2018:82 Skyldigheten att ingå säkerhetsskyddsavtal

149

följande bedömer vi att det bör finnas utrymme för statliga myndigheter att komma överens i fråga om säkerhetsskydd utan att det för den delen blir fråga om säkerhetsskyddsavtal i formell mening. I annat fall skulle t.ex. kraven enligt 2 kap. 7 § nya säkerhetsskyddsförordningen på anmälan och avanmälan av säkerhetsskyddsavtal bli tillämpliga vid varje sådan överenskommelse, vilket skulle innebära merarbete både för myndigheten som ingår avtalet och för Säkerhetspolisen. Enligt vår mening är det viktigt att undantaget från skyldigheten att ingå säkerhetsskyddsavtal inte skapar merarbete eller försvårar för statliga myndigheter att komma överens i frågor om säkerhetsskydd. Att beteckna alla former av överenskommelser mellan statliga myndigheter om säkerhetsskydd som säkerhetsskyddsavtal skulle enligt vår mening få den effekten att undantaget blir verkningslöst.

Undantaget från skyldigheten att ingå säkerhetsskyddsavtal bör därför ha den innebörden att statliga myndigheter får använda sitt omdöme i varje enskilt fall. Det innebär att om det finns ett behov av exempelvis genomföra säkerhetsprövning av personal hos den andra myndigheten så ska ett säkerhetsskyddsavtal ingås. Om det däremot är tillräckligt med en överenskommelse om att endast personal i en viss säkerhetsklass ska få delta i samverkan mellan myndigheter, så bör myndigheterna kunna komma överens om detta utan att reglerna om säkerhetsskyddsavtal tillämpas.

5.4.5 Andra än statliga myndigheter bör normalt omfattas av en skyldighet att ingå säkerhetsskyddsavtal

Resonemangen om undantag för samarbeten och samverkan mellan statliga myndigheter avser de förhållanden som typiskt sett råder mellan de statliga myndigheterna. Nästa fråga är om samma argument väger lika tungt för andra myndigheter, t.ex. för samverkan och samarbete mellan statliga och kommunala myndigheter eller mellan kommunala myndigheter. Vi menar att så inte är fallet.

Kommunerna sköter lokala och regionala angelägenheter av allmänt intresse på den kommunala självstyrelsens grund och kan därför inte sägas företräda samma övergripande intresse som statliga myndigheter gör (se 14 kap. 2 § regeringsformen). Det kan alltså finnas ett spänningsförhållande mellan kommunala och statliga intressen,

Skyldigheten att ingå säkerhetsskyddsavtal SOU 2018:82

150

vilket har uppmärksammats i ett flertal ärenden med säkerhetspolitiska inslag, t.ex. när det gäller uthyrningen av hamnkapacitet på Gotland och i Blekinge inom ramen för naturgasprojektet Nordstream 2. Vi noterar också att kommittén Förbättrat skydd för totalförsvarsverksamhet (dir. 2017:31) har fått i uppdrag att kartlägga det befintliga regelverk som syftar till att skydda Sveriges totalförsvarsverksamhet mot yttre hot, och utifrån kartläggningen bedöma om ansvarsförhållandet mellan staten, kommunerna och enskilda är tydligt och lämpligt reglerat. Även landstingen kan företräda motstående regionala intressen.

Med hänsyn till det anförda bör andra myndigheter än statliga ha samma skyldighet att ingå säkerhetsskyddsavtal vid samverkan och samarbeten som vid upphandling. Det bör dock framhållas att det många gånger kan finnas andra lösningar än ingående av säkerhetsskyddsavtal, inte minst genom att verksamhetsutövare minimerar utomståendes insyn i verksamheten till situationer där det verkligen är nödvändigt, och även minimerar utomståendes tillgång till säkerhetsskyddsklassificerade uppgifter. Myndigheter och andra som deltar i olika former av samverkan bör alltså noga tänka igenom om det är nödvändigt att exempelvis ge motparten tillgång till säkerhetsskyddsklassificerade uppgifter eller om ändamålet med samverkan kan uppnås ändå. Om man kommer fram till att det inte är nödvändigt att ge motparten tillgång till säkerhetsskyddsklassificerade uppgifter eller i övrigt säkerhetskänslig verksamhet behöver man inte heller ingå ett säkerhetsskyddsavtal.

5.4.6 Regeringen bör kunna föreskriva och besluta om undantag

I det föregående har vi kommit fram till att kravet på säkerhetsskyddsavtal bör utvidgas och att det normalt bör gälla bl.a. för anskaffningar mellan statliga myndigheter. Det kan dock finnas vissa relationer mellan myndigheter där det inte framstår som rimligt eller nödvändigt med ett krav på säkerhetsskyddsavtal. Ett exempel skulle kunna vara relationen mellan Försvarsmakten och Försvarets materielverk. Dessa två myndigheter har ett mycket omfattande samarbete och är tätt sammanflätade. Även andra liknande relationer mellan myndigheter kan tänkas. Det bör därför finnas en möjlighet

SOU 2018:82 Skyldigheten att ingå säkerhetsskyddsavtal

151

att undanta vissa myndigheter från kravet att ingå säkerhetsskyddsavtal med varandra. Behoven kan variera över tid, varför sådan reglering bör finnas i förordning. Det bör dock anges i säkerhetsskyddslagen att regeringen får föreskriva om undantag från kravet på säkerhetsskyddsavtal. Detta kan lämpligen ske genom ett tillägg i bemyndigandet i 2 kap. 7 § nya säkerhetsskyddslagen.

Det kan vidare finnas ett behov av undantag i vissa specifika fall. Ett exempel kan vara den typen av samarbeten som enligt våra direktiv inte bör omfattas av en skyldighet att ingå säkerhetsskyddsavtal, nämligen sådant samarbete som en myndighet bedriver i enlighet med författning eller regeringsbeslut och som förutsätter ett utbyte av säkerhetskänsliga uppgifter och där förtroendet mellan parterna bygger på ett ömsesidigt intresse av att säkerheten för uppgifterna upprätthålls. I princip handlar det om viss samverkan på underrättelseområdet, t.ex. partnersamarbeten. Man kan också tänka sig andra situationer där ett undantag är lämpligt, exempelvis i ett tillstånd av höjd beredskap där det finns möjlighet att snabbt anskaffa vissa varor eller tjänster. Det kan även vara lämpligt att undanta anskaffningar mellan vissa myndigheter genom särskilda beslut hellre än genom förordning. Regeringen har det övergripande ansvaret för Sveriges säkerhet. Vår bedömning är att regeringen i denna roll bör ha möjlighet att, på de skäl som regeringen finner lämpliga, fatta beslut i enskilda fall om undantag från skyldigheten att ingå säkerhetsskyddsavtal.

5.4.7 Bestämmelsernas närmare utformning

Bestämmelserna i 2 kap. 6 § nya säkerhetsskyddslagen gäller när en offentlig verksamhetsutövare avser att genomföra en upphandling eller en enskild verksamhetsutövare ingår ett avtal om varor, tjänster eller byggentreprenader med utomstående leverantörer. Skyldigheten att ingå ett säkerhetsskyddsavtal gäller bara om det i upphandlingen eller avtalet förekommer säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller upphandlingen i övrigt avser eller ger leverantören tillgång till säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet.

Skyldigheten att ingå säkerhetsskyddsavtal SOU 2018:82

152

Våra bedömningar i det föregående innebär att skyldigheten att ingå säkerhetsskyddsavtal bör gälla i fler fall än som följer av den nyss beskrivna regleringen i 2 kap. 6 § nya säkerhetsskyddslagen. Förutom upphandling och andra avtal bör skyldigheten att ingå säkerhetsskyddsavtal även gälla vid andra typer av samverkan och samarbete. Det är varken möjligt eller lämpligt att i en föränderlig värld försöka uttömmande definiera vilken sorts samverkan och vilka slags samarbeten det kan röra sig om. Bestämmelsen bör därför vara så neutralt utformad att den omfattar även nya samverkans- och samarbetsformer som uppkommer i framtiden. Vilka undantag från skyldigheten som bör gälla eller vara möjliga har vi utvecklat i avsnitt 5.4.4–5.4.6.

Vi ser i övrigt endast anledning till mindre ändringar i fråga om villkoren för att det ska råda ett krav på säkerhetsskyddsavtal. Som vi har utvecklat i avsnitt 5.4.3 bör det avgörande vara om säkerhetsskyddsklassificerade uppgifter eller i övrigt säkerhetskänslig verksamhet kan exponeras för någon utomstående. Regleringen bör därför även i fortsättningen bygga på i allt väsentligt motsvarande förutsättningar, även om ordalydelsen i 2 kap. 6 § nya säkerhetsskyddslagen måste anpassas något för att passa för även annat än upphandlingar och avtal om anskaffningar. Regleringen bör innebära ett krav på säkerhetsskyddsavtal om det planerade förfarandet innebär att den utomstående parten kan få tillgång till säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller i övrigt avser eller kan ge den utomstående parten tillgång till säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet. Dessa skrivningar innebär att kravet på exponering mjukas upp något, eftersom det blir tillräckligt att förfarandet

kan leda till exponering.

Bestämmelserna om säkerhetsskyddsavtal bör även i fortsättningen vara framåtsyftande på så sätt det de ska tillämpas redan när verksamhetsutövaren avser att genomföra en upphandling, ingå ett avtal eller inleda någon annan form av samverkan eller samarbete med en utomstående part. Uttrycket utomstående part är tänkt att omfatta exempelvis en annan myndighet eller ett annat företag, även sådana som ingår i samma koncern. När det gäller anskaffningar mellan statliga myndigheter bör det enligt vår bedömning sakna betydelse att dessa ingår i samma juridiska person, nämligen staten.

SOU 2018:82 Skyldigheten att ingå säkerhetsskyddsavtal

153

Däremot bör det, som vi tidigare kommit fram till, göras ett undantag för andra former av samverkan och samarbeten mellan sådana myndigheter.

Ordet avser innebär en markering av att säkerhetsskyddsavtalet i princip måste vara på plats när samarbetet eller samverkan inleds, eller avtalet ingås.

Bestämmelsen om avtalets innehåll bör av redaktionella skäl flyttas till en egen paragraf i 2 kap. Det finns också skäl att komplettera den med en bestämmelse om att verksamhetsutövaren har en rätt att revidera säkerhetsskyddsavtalet vid ändrade förhållanden. Vi utvecklar skälen för detta i avsnitt 6.11.3. Revideringen bör självfallet ske i samverkan med den utomstående part som man ingått säkerhetsskyddsavtal med.

Det bör även i fortsättningen krävas att verksamhetsutövaren kontrollerar att motparten lever upp till kraven i säkerhetsskyddsavtalet. Även denna bestämmelse bör dock av redaktionella skäl flyttas till en egen paragraf i 2 kap. I konsekvens med tillägget om rätt till revidering vid ändrade förhållanden bör det också införas en skyldighet för verksamhetsutövaren att se till att sådan revidering sker. Skälen för detta utvecklas i avsnitt 6.11.3.

Särskilt om aggregerade uppgifter

Som vi har angett i avsnitt 5.1 ingår det inte i vårt uppdrag att överväga ändringar när det gäller kravet på att de uppgifter som exponeras för den utomstående parten har en viss säkerhetsskyddsklassificering. Våra resonemang utgår alltså ifrån att det handlar om uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller om i övrigt säkerhetskänslig verksamhet av motsvarande betydelse. En särskild fråga är dock hur man bör hantera situationen att ett planerat förfarande, t.ex. en utkontraktering av viss it-drift, involverar en stor mängd uppgifter som sedda var för sig är klassificerade som begränsat hemliga, eller som inte är säkerhetsskyddsklassificerade alls, men som sammantagna kan vara betydligt känsligare i förhållande till Sveriges säkerhet. Det kan t.ex. handla om situationer där uppgifter som sammanställts har bearbetats eller kan bearbetas så att man av sammanställningen kan utvinna en annan och mer känslig information än av uppgifterna var för sig. En annan situation kan

Skyldigheten att ingå säkerhetsskyddsavtal SOU 2018:82

154

vara att den sammanställda informationen visar på exempelvis beroenden mellan olika verksamheter, förmåga, sårbarheter eller andra förhållanden som kan leda till en inte obetydlig skada för Sveriges säkerhet om den röjs.

Det kan av förarbetena utläsas att sammanställningar av uppgifter från olika källor kan göra att den sammanställda informationen kan anses utgöra säkerhetsskyddsklassificerade uppgifter även om informationen härrör från öppna källor (prop. 2017/18:89 s. 45). Uppgifterna i en sammanställning kan alltså vara säkerhetsskyddsklassificerade, fastän de i ett annat sammanhang inte är det var och en för sig. Det framgår vidare av förarbetena att verksamhetsutövarna, vid sin klassificering av uppgifter, måste bedöma om en samling av uppgifter i en viss säkerhetsskyddsklass medför att en högre säkerhetsskyddsklass ska tillämpas. Samtidigt påpekas det att man med hänsyn till behovet av att undvika onödiga administrativa kostnader och ingrepp i enskildas integritet m.m. inte bör göra klassificeringen i större utsträckning och med placering i högre klass än vad som är nödvändigt (prop. 2017/18:89 s. 67).

Förarbetsuttalandena kan tolkas så att verksamhetsutövarna i sitt arbete med säkerhetsskyddsklassificering är skyldiga att beakta mängden uppgifter och konsekvenserna av att de sammanställs. Rättsläget kan alltså uppfattas på det sättet att en mängd uppgifter som, sedda var för sig, är att bedöma som begränsat hemliga bör klassificeras som konfidentiella om de finns i en samling och skadan vid röjande skulle bli inte obetydlig. Detta är en lämplig ordning och föranleder inte några förslag från vår sida.

Säkerhetsskyddsavtalet är normalt ett särskilt avtal

Under vårt arbete har frågan aktualiserats om säkerhetsskyddsavtalet måste vara ett särskilt avtal, eller om det kan utgöra en del av affärsavtalet eller samverkansavtalet mellan parterna. Vår uppfattning är att det normalt bör vara fråga om ett tydligt urskiljbart särskilt avtal. Ett skäl för detta är skyldigheten att ingå ett säkerhetsskyddsavtal gäller redan för den som avser att vidta vissa åtgärder. Normalt måste säkerhetsskyddsavtalet ingås före affärs- eller samarbetsavtalet. Detta gäller i synnerhet om det redan i t.ex. ett förfrågnings-

SOU 2018:82 Skyldigheten att ingå säkerhetsskyddsavtal

155

underlag inför en upphandling ska tas in säkerhetsskyddsklassificerade uppgifter. Ett annat skäl för att säkerhetsskyddsavtalet bör hållas separat är att det annars blir svårare för tillsynsmyndigheterna att kontrollera att verksamhetsutövare fullgör sina skyldigheter när det gäller säkerhetsskyddsavtal. Detta blir än viktigare om man, som vi föreslår i avsnitt 9.8, inför sanktioner för den verksamhetsutövare som åsidosätter sina skyldigheter. Det bör också framhållas att det av andra skäl kan vara viktigt att säkerhetsskyddsavtalet hålls utanför affärsavtalet. Det kan t.ex. vara så att affärsavtalet innehåller affärshemligheter som inte är relevanta för tillsynsmyndigheterna att ta del av. Slutligen är ett viktigt argument att säkerhetsskyddsavtalet utgör en rättslig grund för vissa ingripande åtgärder, däribland säkerhetsprövning av motpartens personal. Det är då ytterst viktigt att det är tydligt att det är fråga om ett sådant avtal som avses i 2 kap. 6 § nya säkerhetsskyddslagen.

5.5 Reglerna om behörighet bör övervägas

Bedömning: Det bör övervägas om bestämmelsen i nya säker-

hetsskyddsförordningen om behörighet att delta i säkerhetskänslig verksamhet bör göras tillämplig även i fråga om utomstående som genom t.ex. ett samarbete får tillgång till säkerhetsskyddsklassificerade uppgifter eller i övrigt till den säkerhetskänsliga verksamheten.

Som nämnts i avsnitt 5.2 finns det i 2 kap. 3 § nya säkerhetsskyddsförordningen en bestämmelse om behörighet att delta i säkerhetskänslig verksamhet. Där anges följande. Behörig att ta del av säkerhetsskyddsklassificerade uppgifter eller i övrigt delta i säkerhetskänslig verksamhet är, om inte något annat följer av bestämmelser i lag, endast den som

1. har bedömts pålitlig från säkerhetssynpunkt,

2. har tillräckliga kunskaper om säkerhetsskydd, och

3. behöver uppgifterna eller annan tillgång till verksamheten för att

kunna utföra sitt arbete eller på annat sätt delta i den säkerhetskänsliga verksamheten.

Skyldigheten att ingå säkerhetsskyddsavtal SOU 2018:82

156

Bestämmelsen riktar sig till verksamhetsutövarens ledning och innebär att den som ska anställas eller på något annat sätt delta i säkerhetskänslig verksamhet ska uppfylla krav på pålitlighet, kunskap om säkerhetsskydd och behov av uppgifterna eller tillgång till verksamheten. En särskild fråga är om bestämmelsen också träffar personer som verksamhetsutövaren samverkar eller samarbetar med, utan att personerna är t.ex. anställda eller uppdragstagare i den säkerhetskänsliga verksamheten. Med detta avser vi bl.a. de personer som från en annan myndighet deltar i en myndighetssamverkan med den myndighet som är en verksamhetsutövare enligt säkerhetsskyddslagen. En tolkning som går ut på att sådana personer omfattas skulle vara rationell och mest förenlig med kraven på ett väl anpassat säkerhetsskydd. Det framstår som naturligt att de krav som ställs på anställda och uppdragstagare ska gälla för alla utomstående som involveras i verksamheten. Det är dock tveksamt om bestämmelsen kan tolkas så, av de skäl som utvecklas i det följande.

Rubriken före bestämmelsen lyder Behörighet att delta i säkerhets-

känslig verksamhet. Vidare framgår av själva paragrafen att den avser

personer som får del av säkerhetsskyddsklassificerade uppgifter eller

i övrigt deltar i säkerhetskänslig verksamhet. Det sagda ger vid handen

att bestämmelsen enbart träffar personer som anses delta i den säkerhetskänsliga verksamheten. I nya säkerhetsskyddslagen används nämligen uttrycket ”delta i säkerhetskänslig verksamhet” enbart för sådana personer som arbetar i själva verksamheten, exempelvis anställda och uppdragstagare (se t.ex. 3 kap. 1 § och 5 kap. 2 § lagen). Uttrycket och de bestämmelser där det används anses alltså inte träffa exempelvis anställda hos en leverantör som verksamhetsutövaren ingår ett säkerhetsskyddsavtal med eller andra utomstående. Av 1 kap. 1 § nya säkerhetsskyddsförordningen framgår att ord och uttryck i förordningen har samma innebörd som i lagen. Med hänsyn till det anförda får uttrycket ”delta i säkerhetskänslig verksamhet” i 2 kap. 3 § förordningen förstås på samma sätt som i lagen. Det innebär att det är tveksamt om den kan läsas på det sätt som vi diskuterade inledningsvis. En minst lika rimlig tolkning är att den inte kan anses träffa anställda hos leverantörer, samverkanspartner och andra utomstående.

Vi ifrågasätter om detta i så fall är en lämplig ordning. Med hänsyn till vikten av att ett tillräckligt säkerhetsskydd upprätthålls även vid olika slags kontakter med utomstående bör det övervägas om det

SOU 2018:82 Skyldigheten att ingå säkerhetsskyddsavtal

157

uttryckligen bör framgå även vilka krav som måste ställas på personer som deltar i exempelvis en myndighetssamverkan och därigenom får del av säkerhetsskyddsklassificerade uppgifter. Frågan omfattas inte av vårt uppdrag, men vi anser att den bör övervägas i något annat sammanhang. Det bör dock framhållas att verksamhetsutövare som är skyldiga att ingå säkerhetsskyddsavtal givetvis i säkerhetsskyddsavtalet måste ställa upp de krav på motpartens personal m.m. som behövs för att säkerhetsskyddet ska kunna upprätthållas.

5.6 Kopplingen mellan säkerhetsskyddsavtal och säkerhetsprövning bör förtydligas

Förslag: Det införs ett tillägg i 2 kap. 6 § nya säkerhetsskydds-

lagen som innebär att bestämmelserna om säkerhetsprövning i 3 kap. samma lag får tillämpas när säkerhetsskyddsavtal har ingåtts.

Som angetts i avsnitt 5.2 är säkerhetsskyddsavtalet en grund för att besluta om vilka anställningar och annat deltagande hos motparten som ska placeras i säkerhetsklass (prop. 2017/18:89 s. 104). I såväl den gamla som den nya säkerhetsskyddslagen förutsätts att ett säkerhetsskyddsavtal ska kunna innehålla krav på placering i säkerhetsklass, vilket i sin tur förutsätter säkerhetsprövning med registerkontroll. I förarbetena till den nya säkerhetsskyddslagen anges också att bestämmelserna om säkerhetsprövning i 3 kap. gäller vid ingående av säkerhetsskyddsavtal (prop. 2017/18:89 s. 141).

Trots vad som angetts ovan framgår det inte tydligt av lagtexten att ett säkerhetsskyddsavtal kan utgöra grund för att anställningar och annat deltagande i motpartens verksamhet föranleder krav på säkerhetsprövning och registerkontroll. Genomförandet av en säkerhetsprövning kan innebära att det behöver ställas frågor om levnadsbakgrund och levnadssituation som kan uppfattas som privata och känsliga. Även skyldigheten att genomgå en registerkontroll kan uppfattas som ett integritetskänsligt moment. Det gäller inte minst när behovet av säkerhetsprövning har uppstått för en person som redan är anställd när det förfarande som föranleder säkerhetsskyddsavtalet – och därmed säkerhetsprövningen – påbörjas. Med hänsyn till det anförda bör det framgå direkt av lag att det finns en möjlighet

Skyldigheten att ingå säkerhetsskyddsavtal SOU 2018:82

158

att ställa krav på säkerhetsprövning av t.ex. leverantörens personal efter att ett säkerhetsskyddsavtal har ingåtts.

159

6 Utkontraktering och upplåtelse av säkerhetskänslig verksamhet samt vissa andra förfaranden

6.1 Uppdraget

Bakgrunden till uppdraget

Utkontraktering

Alla förvaltningsmyndigheter under regeringen ska enligt myndighetsförordningen (2007:515) bedriva sin verksamhet effektivt och hushålla väl med statens resurser. Detta är ett berättigat krav på all verksamhet i offentlig regi. I förlängningen innebär myndighetsförordningens krav i detta avseende att offentligt drivna verksamheter måste analysera om alla arbetsuppgifter bör utföras inom den egna organisationen eller om varor och tjänster i stället ska upphandlas externt från enskilda utförare. Motiven för att genom upphandling lägga ut viss verksamhet på en extern aktör kan t.ex. vara effektivitets- eller besparingsskäl. Ett annat skäl kan vara att få tillgång till ny kunskap och nya idéer, kunskap som myndigheterna annars inte hade haft möjlighet att få internt. Det kan också röra sig om större projekt där samverkan mellan offentlig och privat sektor är nödvändig. Att lägga ut verksamhet på entreprenad kallas ibland för outsourcing. Detta begrepp har ingen legaldefinition och uttrycks på olika sätt i olika sammanhang. När outsourcing sker till en aktör i ett annat land används ibland begreppet offshoring men inte heller för det begreppet finns någon enhetlig tillämpning. I direktiven används den övergripande termen utkontraktering och det är också denna term vi hädanefter kommer att använda i detta kapitel.

Utkontraktering och upplåtelse av säkerhetskänslig verksamhet... SOU 2018:82

160

Det som kännetecknar en utkontraktering, så som vi använder begreppet, är att det är en del av den egna verksamheten som läggs ut på en annan aktör. Gränsen mellan utkontraktering och andra förfaranden är dock inte alltid helt lätt att dra.

Även om utkontraktering av säkerhetskänslig verksamhet i många sammanhang kan innebära stora kostnadsbesparingar eller andra fördelar för den utkontrakterande verksamheten, kan det också innebära att Sveriges säkerhet utsätts för ökade sårbarheter eller nya former av hot. Säkerhetspolisen har under senare år uppmärksammat flera händelser där olika verksamhetsutövare anlitat externa aktörer för arbete som berört säkerhetskänslig verksamhet och där säkerhetsskyddet varit bristfälligt. I vissa fall har avtalsförhållanden reglerats genom säkerhetsskyddsavtal som varit otillräckligt utformade. Det finns också exempel på att bestämmelser i säkerhetsskyddsavtal inte har följts. Säkerhetspolisen har vidare framhållit att utkontraktering ofta kan innebära att flera kunders system och information samlas i samma lagringsmedium, t.ex. en molntjänst, vilket innebär en ökad sårbarhet för bl.a. säkerhetskänsliga uppgifter. Myndigheten har vidare konstaterat att leverantören därigenom riskerar att bli ett attraktivt mål för bl.a. andra länders underrättelseinhämtning.

I säkerhetsskyddslagen (2018:585), i det följande kallad nya

säkerhetsskyddslagen, görs flera ändringar som innebär ett förstärkt

skydd för säkerhetskänslig verksamhet. I direktiven anges att dessa åtgärder dock inte fullt ut tar hand om den aktuella problemställningen. Den 1 april 2018 har det, i avvaktan på våra förslag, införts vissa regler om bl.a. samrådsskyldighet vid säkerhetsskyddad upphandling i vissa fall, se 16 a § säkerhetsskyddsförordningen (1996:633), i det följande kallad gamla säkerhetsskyddsförordningen). Reglerna innebär vidare att Försvarsmakten eller Säkerhetspolisen får förelägga en upphandlande myndighet att vidta åtgärder och, ytterst, besluta att myndigheten inte får genomföra upphandlingen. En motsvarande men något omarbetad bestämmelse finns också i säker-hetsskyddsförordningen (2018:658), i det följande kallad nya säker-

hetsskyddsförordningen. Vi går närmare in på de nya reglerna i av-

snitt 6.3.2.

Vårt uppdrag bör förstås mot den beskrivna bakgrunden.

SOU 2018:82 Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...

161

Upplåtelse

En närbesläktad situation där det kan uppstå liknande problematik som vid utkontraktering är när verksamhetsutövare står i begrepp att upplåta eller överlåta säkerhetskänslig verksamhet eller delar av en sådan verksamhet. Vi behandlar överlåtelser av säkerhetskänslig verksamhet i kapitel 7. Vi har dock gjort bedömningen att upplåtelse har så många beröringspunkter med utkontraktering att frågorna bör behandlas tillsammans i detta kapitel. Exempel på upplåtelser där det kan uppstå en problematik i förhållande till behovet av säkerhetsskydd är att verksamhetsutövare till någon utomstående aktör upplåter en lokal i en anläggning där säkerhetskänslig verksamhet bedrivs. Det kan också förekomma att man upplåter själva den lokal, t.ex. ett laboratorium, där det bedrivs säkerhetskänslig verksamhet.

Uppdraget

Vi har i uppdrag att utreda vilka ytterligare åtgärder som skulle kunna vidtas för att komma till rätta med riskerna för Sveriges säkerhet som utkontraktering och upplåtelse av säkerhetskänslig verksamhet kan innebära. Närmare bestämt ska vi

• kartlägga behovet av att förebygga att säkerhetsskyddsklassificerade uppgifter eller i övrigt säkerhetskänslig verksamhet utsätts för risker i samband med utkontraktering och upplåtelse av sådan verksamhet,

• utifrån kartläggningen föreslå olika förebyggande åtgärder, och

• utarbeta nödvändiga författningsförslag.

I direktiven anges det att ett tänkbart sätt att minska riskerna med utkontraktering skulle kunna vara införandet av bestämmelser om förhandskontroll vid ingående av säkerhetsskyddsavtal i samband med upphandling eller annat avtalsingående. En sådan möjlighet skulle enligt direktiven exempelvis kunna innebära en tillståndsprövning som ger Säkerhetspolisen och Försvarsmakten möjlighet att, inom respektive myndighets ansvarsområde, hindra eller ställa ytterligare villkor för utkontraktering när det är nödvändigt för att upprätthålla

Utkontraktering och upplåtelse av säkerhetskänslig verksamhet... SOU 2018:82

162

verksamhetens skyddsvärde eller i fall då tänkta eller vidtagna säkerhetsskyddsåtgärder är bristfälliga. Som tidigare nämnts har vissa bestämmelser redan införts i avvaktan på våra förslag (16 a § gamla säkerhetsskyddsförordningen och 2 kap. 6 § nya säkerhetsskyddsförordningen).

I direktiven anges bl.a. följande om upplåtelse. Bestämmelserna behöver ses över bl.a. ur perspektivet att säkerhetskänslig verksamhet även måste kunna skyddas vid upplåtelse av en viss funktion eller en del av en verksamhet. Det kan t.ex. innebära krav på en särskild bedömning av verksamhetens betydelse för annan skyddsvärd verksamhet och en möjlighet för staten att ingripa om upplåtelsen kan antas inverka negativt på Sveriges säkerhet. Upplåtelse av såväl hela som delar av verksamheter eller viss egendom bör omfattas av övervägandena.

Det betonas i direktiven att frågorna om utkontraktering och upplåtelse nära knyter an till vilka befogenheter som tillsynsmyndigheterna bör ha för att ingripa vid ett bristande säkerhetsskyddsarbete. Vidare betonas det att utredningen måste beakta andra närliggande regelverk, t.ex. lagstiftningen om offentlig upphandling.

I direktiven används uttrycket ”risker för Sveriges säkerhet”. Eftersom ordet risk i dessa sammanhang oftast används i en annan bemärkelse har vi dock valt att använda andra uttryck, såsom hot, sårbarhet eller negativa konsekvenser. Vi använder dock oftast ordet ”risk” när vi hänför oss till det som sägs i direktiven. Se vidare om begreppen i avsnitt 2.2.

En bred ansats

En av våra uppgifter är att förebygga att säkerhetsskyddsklassificerade uppgifter eller i övrigt säkerhetskänslig verksamhet utsätts för sårbarheter i samband med utkontraktering och upplåtelse. Vi har också fått i uppgift att överväga om skyldigheten att ingå säkerhetsskyddsavtal bör utvidgas. Våra förslag i fråga om skyldigheten att ingå säkerhetsavtal har redovisats i kapitel 5. Vi anser att uppdraget bör ses som en helhet där det övergripande syftet är att stärka förmågan att effektivt och samordnat förebygga och möta omedelbara hot mot och utmaningar för Sveriges säkerhet. Vi därför valt att inte begränsa oss till utkontraktering och upplåtelse, utan att också

SOU 2018:82 Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...

163

överväga hur man kan förebygga sårbarheter och skador vid andra närliggande situationer, som vi anser kan medföra motsvarande konsekvenser för Sveriges säkerhet. Denna bredare ansats – som är i linje med vårt uppdrag att överväga i vilken utsträckning verksamhetsutövare ska vara skyldiga att ingå säkerhetsskyddsavtal och våra förslag i den delen – utvecklas närmare i avsnitt 6.5.

Vad avses med utkontraktering och upplåtelse?

Utkontraktering

Uppdraget handlar i den här delen om bl.a. utkontraktering av säkerhetskänslig verksamhet. Utkontraktering innebär att en verksamhetsutövare lägger ut en del av den egna verksamheten på entreprenad. Närmare bestämt handlar det om att verksamheten lägger ut en tjänst, process eller verksamhet som annars skulle ha utförts av verk-

samhetsutövaren själv.

1

Ett annat sätt att uttrycka saken är att verk-

samhetsutövaren lägger ut drift, underhåll eller skötsel av en viss del

av sin verksamhet till en utomstående leverantör (se promemorian Skärpt kontroll av statliga myndigheters utkontraktering och överlåtelse av säkerhetskänslig verksamhet, Ju 2017/07544/L4 s. 27). Det kan

t.ex. handla om att man lägger ut underhållet av ett system eller utveckling av någon produkt på en extern leverantör. Oavsett vilken definition man använder, torde det leda till i allt väsentligt samma resultat. Det centrala är att det handlar om en del av den egna verksamheten. Vidare är det centralt att det handlar om någon form av tjänst eller verksamhet och inte om ett köp av varor. Det rör sig således om utkontraktering när en verksamhetsutövare lägger ut hela eller delar av sin it-drift på en extern aktör. Däremot utgör det inte utkontraktering att upphandla teknisk utrustning som behövs för den egna it-driften.

Utkontraktering från en myndighet sker ofta genom en upphandling, men därmed inte sagt att all upphandling avser utkontraktering. Om en myndighet ska anskaffa teknisk utrustning till verksamheten måste många gånger ett upphandlingsförfarande

1 En motsvarande definition finns i artikel 2.3 kommissionens delegerade förordning (EU) 2017/565 av den 25 april 2016 om komplettering av Europaparlamentets och rådets direktiv 2014/64/EU vad gäller organisatoriska krav och villkor för verksamheten i värdepappersföretag. Se även betänkandet Juridik som stöd för förvaltningens digitalisering (SOU 2018:25) s. 333 och 334.

Utkontraktering och upplåtelse av säkerhetskänslig verksamhet... SOU 2018:82

164

tillämpas. Som framgått i det föregående handlar det dock inte om någon utkontraktering. Reglerna om upphandling gäller dessutom i huvudsak inte för enskilda verksamhetsutövare. Dessa kan alltså utkontraktera hela eller delar av sin verksamhet utan ett upphandlingsförfarande.

Upplåtelse

I rättsliga sammanhang brukar begreppet överlåtelse användas för att beteckna en övergång av äganderätt genom försäljning, byte eller gåva. När avtalet avser en mer begränsad rätt än äganderätt används i stället termen upplåtelse. Typexempel på upplåtelser är bl.a. avtal om hyra, leasing, arrende och andra nyttjanderätter som inte innebär att ägaren lämnar över sin äganderätt.

6.2 Förhållandet till angränsande utredningar och reglering

Parallellt med den här utredningen pågår det ett antal utredningar som har att överväga frågor som angränsar till vårt uppdrag. Med anledning av detta har vi haft underhandskontakter med dessa utredningar, vilket vi har redogjort för i avsnitt 2.3. Våra överväganden i det här kapitlet och i kapitel 7 ger anledning till vissa resonemang om hur vårt uppdrag förhåller sig till andra utredningar på angränsande områden, och till reglering på olika områden där det kan bedrivas säkerhetskänslig verksamhet.

6.2.1 Förhållandet till områdesreglering

En första fråga är hur säkerhetsskyddsregleringen, och i synnerhet bestämmelser som inskränker verksamhetsutövares rätt att i olika avseenden disponera över sin verksamhet och egendom som används i verksamheten, förhåller sig till annan reglering. Vi tänker då i första hand på sådan reglering som specifikt avser en viss sorts verksamhet, t.ex. elektronisk kommunikation, finansiella tjänster eller kärnteknisk verksamhet. I sådan reglering finns det ofta krav på t.ex. tillstånd för att bedriva verksamheten och regler om återkallelse av

SOU 2018:82 Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...

165

tillstånd. Det kan också finnas särskilda bestämmelser om överlåtelse eller utkontraktering av verksamheten eller en del av den, eller av tillstånd att bedriva en viss verksamhet. Ett exempel på det är lagen (2003:389) om elektronisk kommunikation (LEK), som innehåller bestämmelser om överlåtelse av tillstånd att använda radiosändare eller nummer (2 kap. 23 § LEK).

Säkerhetsskyddsregleringen är generell och gäller för säkerhetskänslig verksamhet oavsett inom vilket område som verksamheten bedrivs. Dess bestämmelser är allmänt hållna, och är begränsade på så sätt att de bara ska tillämpas på den del av en verksamhet som är säkerhetskänslig. Enligt vår uppfattning är det oundvikligt att säkerhetsskyddslagens bestämmelser i vissa delar kan komma att överlappa områdesspecifik lagstiftning. Så förhåller det sig redan i dag. Det är inte möjligt att i säkerhetsskyddslagen beakta sådana tänkbara överlappningar. Detta gäller särskilt som säkerhetsskyddsregleringen ska kunna stå sig över tid och vara utformad så att den ska kunna omfatta nya verksamheter (prop. 2017/18:89 s. 35). Eventuella regler om t.ex. utkontraktering eller upplåtelse av säkerhetskänslig verksamhet ersätter inte områdesspecifika regler och kompenserar heller inte för eventuella ofullständigheter i dem. Det är alltså fråga om ett kompletterande system som bara gäller i de fall det är fråga om säkerhetskänslig verksamhet.

Våra överväganden i detta kapitel och kapitel 7 bör läsas mot bakgrund av ovanstående.

6.2.2 Förhållandet till utredningen om förbättrat skydd för totalförsvarsverksamhet

Det som sagts under föregående rubrik har styrt vårt förhållningssätt till angränsande utredningar. Vi har alltså i princip haft hållningen att förhållandena på olika områden inte kan beaktas i den generellt utformade säkerhetsskyddslagen, utan att andra utredningar i stället måste förhålla sig till säkerhetsskyddslagen. Även med beaktande av detta finns det anledning att uppehålla sig något vid utredningen om förbättrat skydd för totalförsvarsverksamhet (dir. 2017:31). I direktiven till den utredningen anges följande.

Det finns ett behov av att närmare analysera om det bör finnas ett särskilt kontrollsystem eller liknande vid överlåtelse och upplåtelse av viktigare infrastruktur som ägs av staten, kommunerna,

Utkontraktering och upplåtelse av säkerhetskänslig verksamhet... SOU 2018:82

166

landstingen, företag eller andra enskilda och som bedöms vara av väsentligt intresse för totalförsvaret. Som exempel på viktigare infrastruktur kan nämnas hamnar, flygplatser, energianläggningar och förmedlingsstationer för telekommunikation. Kommittén ska därför bl.a., om det finns behov, föreslå åtgärder, t.ex. tillståndsprövning, för att förebygga och hindra att väsentliga totalförsvarsintressen exponeras för risker i samband med överlåtelse och upplåtelse av viktigare infrastruktur som bedöms vara av väsentligt intresse för totalförsvaret. Denna del av uppdraget angränsar till vårt uppdrag, varför vi har övervägt hur uppdragen förhåller sig till varandra. För att förstå relationen mellan utredningarnas uppdrag är det nödvändigt att titta närmare på hur säkerhetsskyddslagens tillämpningsområde förhåller sig till totalförsvarsverksamheten.

Under högsta beredskap är totalförsvaret all samhällsverksamhet som då ska bedrivas. Totalförsvaret består av militär verksamhet och civil verksamhet, se lagen (1992:1402 om totalförsvar och höjd beredskap. Försvarsmakten ska upprätthålla och utveckla ett militärt försvar, se 1 § förordningen (2007:1266) med instruktion för Försvarsmakten. Det civila försvaret utgörs av verksamhet som ansvariga aktörer genomför i syfte att göra det möjligt för samhället att hantera situationer då beredskapen höjs. Det bedrivs av statliga myndigheter, kommuner, landsting, privata företag och frivilligorganisationer och avser skydd av befolkningen, säkerställande av samhällsviktiga funktioner och övriga samhällets stöd till Försvarsmakten. I prop. 2017/18:89 anges att de senaste årens omvärldsutveckling och återupptagandet av planeringen för totalförsvaret talar för att det militära och civila försvaret alltjämt bör ses som en central del av säkerhetsskyddslagstiftningens skyddsområde (s. 41).

Det finns således ett klart samband mellan totalförsvarsverksamheten och säkerhetsskyddslagen. Samtidigt ska det vägas in att säkerhetsskyddslagen tar sikte på verksamhet som är av betydelse för Sveriges säkerhet.

2

Det räcker alltså inte att verksamheten är

samhällsviktig för att den ska anses vara av betydelse för Sveriges säkerhet. Avgörande för om samhällsviktig verksamhet också kan anses röra Sveriges säkerhet, och därmed omfattas av säkerhetsskyddslagens tillämpningsområde, är i stället att en antagonistisk

2 Enligt 1 § första stycket nya säkerhetsskyddslagen gäller lagen också för den som till någon del bedriver verksamhet som omfattas av ett för Sverige förpliktande internationellt åtagande om säkerhetsskydd.

SOU 2018:82 Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...

167

handling mot verksamheten skulle kunna medföra skadekonsekvenser på nationell nivå. Emellertid kompliceras bilden av att begreppet Sveriges säkerhet inte ska tolkas så kategoriskt. Skyddsvärda verksamheter kan trots kravet på nationell betydelse finnas på regional eller till och med lokal nivå (prop. 2017/18:89 s. 43 och 44). Enligt vår bedömning är det rimligt att anta att en betydande del av totalförsvarets militära verksamhet ryms inom säkerhetsskyddslagens tillämpningsområde medan en något mindre del av den civila verksamheten omfattas (jfr Ds 2017:66 s. 2932 och prop. 2017/18:89 s. 3849 och 52). Vår slutsats är därför att en relativt stor del av totalförsvarsverksamheten kan komma att inrymmas inom säkerhetsskyddslagens tillämpningsområde.

När det gäller sambandet mellan vårt uppdrag och den infrastruktur som omfattas av uppdraget för utredningen Förbättrat skydd för

totalförsvarsverksamhet så kan det konstateras att säkerhetsskyddslag-

stiftningen är inriktad på säkerhetskänslig verksamhet och skyddet av uppgifter om sådan verksamhet. Det framgår dock att fysiska objekt har en framträdande roll inom säkerhetsskyddet. Bland annat är verksamhetsutövare skyldiga att vidta säkerhetsskyddsåtgärder som förebygger att obehöriga får tillträde till fysiska objekt där de kan få tillgång till säkerhetsskyddsklassificerade uppgifter eller där den säkerhetskänsliga verksamheten bedrivs. Skyldigheten gäller också att förebygga skadlig inverkan på sådana fysiska objekt (2 kap. 3 § nya säkerhetsskyddslagen). En rimlig slutsats är därför att den infrastruktur som pekas ut i direktiven till utredningen om förbättrat skydd för totalförsvarsverksamhet, dvs. viktigare infrastruktur som hamnar, flygplatser, energianläggningar och förmedlingsstationer för telekommunikation, också kan vara en del av säkerhetskänslig verksamhet.

Även de kontrollsystem som omnämns i respektive direktiv uppvisar likheter. Enligt våra direktiv kan det handla om en möjlighet för staten att ingripa om en överlåtelse eller upplåtelse kan antas inverka negativt på Sveriges säkerhet. I direktiven till utredningen om förbättrat skydd för totalförsvarsverksamhet omnämns ett särskilt kontrollsystem eller liknande vid upplåtelse eller överlåtelse av viktigare infrastruktur. I båda direktiven nämns tillståndsprövning som en möjlig åtgärd.

Utkontraktering och upplåtelse av säkerhetskänslig verksamhet... SOU 2018:82

168

Mot denna bakgrund är vår bedömning att det finns en överlappning mellan vårt uppdrag och uppdraget till utredningen om förbättrat skydd för totalförsvarsverksamhet när det kommer till frågan om upplåtelser och överlåtelser. Med hänsyn till detta har vi löpande samrått med ordföranden och sekretariatet i utredningen om förbättrat skydd för totalförsvarsverksamhet. Vi konstaterar dock att säkerhetsskydd avser det allra mest skyddsvärda i samhället, oavsett om det hör till totalförsvaret eller inte. Det är bl.a. därför inte lämpligt för oss att lämna förslag som tar höjd för de förslag som kan komma att lämnas av utredningen om förbättrat skydd för totalförsvarsverksamhet. Våra förslag måste gälla och vara lämpliga för all slags säkerhetskänslig verksamhet. Den lämpligaste lösningen är därför att den reglering som läggs fram i en totalförsvarskontext förhåller sig till säkerhetsskyddslagen snarare än tvärtom.

6.3 Den relevanta regleringen

Liksom i övrigt i betänkandet utgår vår beskrivning av regleringen från den nya säkerhetsskyddslagen och nya säkerhetsförordningen som träder i kraft den 1 april 2019. Nu gällande säkerhetsskyddslag respektive förordning beskrivs endast om det är relevant. En överblick av den nya säkerhetsskyddslagen finns i avsnitt 3.4.

6.3.1 Säkerhetsskyddsavtal

Som har utvecklats i kapitel 5 finns det i 2 kap. 6 § nya säkerhetsskyddslagen bestämmelser om att verksamhetsutövare som omfattas av lagen i vissa fall är skyldiga att ingå säkerhetsskyddsavtal med leverantörer. I ett säkerhetsskyddsavtal ska verksamhetsutövaren ange hur leverantören ska tillgodose kraven på säkerhetsskydd enligt 2 kap. 1 § nya säkerhetsskyddslagen. Syftet är att skapa en garanti för att säkerhetsskyddet är lika starkt oavsett vem som utför den säkerhetskänsliga verksamheten. Enligt bestämmelserna i 2 kap. 6 § är statliga myndigheter, kommuner och landsting som avser att genomföra en upphandling och ingå ett avtal om varor, tjänster eller byggentreprenader skyldiga att teckna ett säkerhetsskyddsavtal med leverantören om

SOU 2018:82 Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...

169

1. det i upphandlingen förekommer säkerhetsskyddsklassificerade

uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller

2. upphandlingen i övrigt avser eller ger leverantören tillgång till

säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet.

Skyldigheten att ingå ett säkerhetsskyddsavtal med leverantören gäller också i motsvarande fall för enskilda verksamhetsutövare som ingår avtal om varor, tjänster och byggentreprenader med utomstående leverantörer.

En närmare beskrivning av reglerna om säkerhetsskyddsavtal finns i avsnitt 5.2. I avsnitt 5.4 har vi lämnat förslag som i korthet går ut på att skyldigheten att ingå säkerhetsskyddsavtal utvidgas.

6.3.2 Samrådsskyldighet, föreläggande och förbud

Den 1 april 2018 infördes en ny paragraf – 16 a § – i gamla säkerhetsskyddsförordningen. De nya bestämmelserna innebär att en statlig myndighet som avser att inleda en upphandling som innebär krav på säkerhetsskyddsavtal måste vidta vissa åtgärder innan upphandlingen inleds, om leverantören kan få tillgång till eller möjlighet att förvara hemliga uppgifter utanför myndighetens lokaler. När paragrafen är tillämplig måste myndigheten redan innan upphandlingen inleds

1. undersöka och dokumentera vilka hemliga uppgifter som leveran-

tören kan få del av och som kräver säkerhetsskydd (särskild säker-

hetsanalys), och

2. samråda med den tillsynsmyndighet som har tillsyn över myn-

digheten.

Enligt bestämmelserna får tillsynsmyndigheten förelägga myndigheten att vidta åtgärder enligt säkerhetsskyddslagen och de föreskrifter som har meddelats i anslutning till den lagen. Om ett föreläggande inte följs eller om tillsynsmyndigheten bedömer att säkerhetsskyddslagens krav inte kan tillgodoses trots att ytterligare åtgärder vidtas får tillsynsmyndigheten vidare besluta att myndigheten inte får genom-

Utkontraktering och upplåtelse av säkerhetskänslig verksamhet... SOU 2018:82

170

föra upphandlingen. Ytterst finns det alltså en möjlighet för tillsynsmyndigheten att stoppa en planerad upphandling, om det bedöms att kraven på säkerhetsskydd inte kan uppfyllas.

Bestämmelser med ett liknande innehåll finns även i 2 kap. 6 § nya säkerhetsskyddsförordningen som träder i kraft den 1 april 2019. Vissa förändringar har gjorts i förhållande till 16 a § gamla förordningen. Även de nya bestämmelserna tar sikte på statliga myndigheter som avser att genomföra en upphandling som innebär krav på säkerhetsskyddsavtal. Reglerna innebär att statliga myndigheter under vissa förutsättningar ska vidta särskilda åtgärder innan ett sådant förfarande inleds. Om bestämmelserna är tillämpliga ska myndigheten dels göra och dokumentera en särskild analys – i nya förordningen kallad särskild säkerhetsbedömning – dels samråda med en tillsynsmyndighet. De beskrivna skyldigheterna gäller i två fall.

Det ena fallet motsvarar delvis vad som gäller enligt 16 a § gamla förordningen och avser situationer där leverantören kan få tillgång till eller möjlighet att förvara säkerhetsskyddsklassificerade uppgifter utanför myndighetens lokaler. En viktig skillnad i förhållande till den tidigare regleringen är dock att skyldigheterna har kopplats till de nya bestämmelserna om säkerhetsskyddsklassificering av uppgifter (2 kap. 5 § nya lagen). Skyldigheten att göra en särskild säkerhetsbedömning och att samråda gäller enligt den nya bestämmelsen bara om uppgifterna hör till säkerhetsskyddsklassen hemlig eller högre. Skyldigheterna gäller alltså bara för uppgifter som hör till de två högsta säkerhetsskyddsklasserna; hemlig och kvalificerat hemlig.

Det andra fallet där skyldigheterna enligt paragrafen gäller är om leverantören kan få tillgång till säkerhetskänsliga informationssystem utanför myndighetens lokaler och obehörig åtkomst till systemen kan medföra allvarlig skada för Sveriges säkerhet. Detta är en nyhet i förhållande till 16 a § gamla förordningen. Valet av nivån allvarlig skada innebär att skadan motsvarar vad som gäller för placering av uppgifter i den näst högsta säkerhetsskyddsklassen, dvs. hemlig.

I likhet med vad som gäller enligt 16 a § gamla förordningen får tillsynsmyndigheten dels förelägga myndigheten att vidta åtgärder enligt säkerhetsskyddslagen och de föreskrifter som har meddelats i anslutning till den lagen, dels besluta att myndigheten inte får genomföra upphandlingen om ett föreläggande inte följs eller om

SOU 2018:82 Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...

171

tillsynsmyndigheten bedömer att säkerhetsskyddslagens krav inte kan tillgodoses trots att ytterligare åtgärder vidtas.

Det finns inte några särskilda bestämmelser i nya säkerhetsskyddslagen eller förordningen som handlar om upplåtelser. Verksamhetsutövare som upplåter hela eller delar av den säkerhetskänsliga verksamheten, t.ex. en lokal där sådan verksamhet bedrivs, omfattas inte av något krav på att ingå säkerhetsskyddsavtal med hyresgästen. Vi utvecklar detta närmare i kapitel 5, där vi också föreslår att skyldigheten att ingå ett säkerhetsskyddsavtal utvidgas till bl.a. dessa situationer.

6.3.3 Upphandling

Allmänt om offentlig upphandling

Som har framgått i det föregående kommer en utkontraktering från en myndighet normalt ske genom en upphandling. Med upphandling avses de åtgärder som vidtas i syfte att anskaffa varor, tjänster eller byggentreprenader genom tilldelning av kontrakt (1 kap. 2 § lagen [2016:1145] om offentlig upphandling, LOU). Reglerna om offentlig upphandling bygger till stor del på EU-direktiv och syftar bl.a. till att främja ett kostnadseffektivt användande av skattemedel genom att ta tillvara konkurrensen på marknaden och att säkerställa att offentlig upphandling överensstämmer med principerna i fördraget om Europeiska unionens funktionssätt.

3

Grundprinciperna bygger

på objektivitet och öppenhet. De upphandlande myndigheterna ska vara sakliga och välja leverantör utifrån det som köps. Det får inte förekomma lojalitet mot det egna landets leverantörer eller tidigare leverantörer. Valet av leverantör ska ske på affärsmässig grund och baseras på vilken leverantör som erbjuder den bästa varan eller tjänsten till de bästa villkoren. Alla leverantörer, oavsett nationellt ursprung, ska få möjlighet att tävla på samma villkor i varje upphandling.

En upphandlande myndighet måste först och främst avgöra om upphandlingen kommer över eller under vissa tröskelvärden, som i sin tur avgör om de nationella reglerna eller de regler som följer av EU-direktiv ska tillämpas. Tröskelvärdena är fastställda till en nivå

3 Europaparlamentets och rådets direktiv 2014/24/EU av den 26 februari 2014 om offentlig upphandling och om upphävande av direktiv 2004/18/EG. Se även prop. 2017/18:1, utgiftsområde 2, avsnitt 8.2 angående regeringens mål med offentlig upphandling.

Utkontraktering och upplåtelse av säkerhetskänslig verksamhet... SOU 2018:82

172

där företag inom EU och EES förväntas vara intresserade av att lägga anbud över nationsgränserna. För den upphandlande myndigheten finns ett antal möjliga upphandlingsförfaranden att välja mellan beroende på om upphandlingens värde hamnar över eller under tröskelvärdena. Vissa förfaranden kan användas såväl under som över tröskelvärdena. Den upphandlande myndigheten måste givetvis också ta ställning till om LOU eller någon av de andra upphandlingslagarna ska tillämpas på upphandlingen (se vidare i det följande).

Det första ledet i själva upphandlingen är att den upphandlande myndigheten tar fram ett förfrågningsunderlag. Det är det underlag som den upphandlande myndigheten ger leverantörerna. Förfrågningsunderlaget ska innehålla samtliga handlingar för upphandlingen. Genom förfrågningsunderlaget ska den upphandlande myndigheten säkerställa att upphandlingen tillgodoser verksamhetens behov, utnyttjar konkurrensen på marknaden och genomförs rättssäkert och effektivt. Som vi kommer att uppmärksamma i avsnitt 6.7 är det viktigt att myndigheter som omfattas av säkerhetsskyddslagen noga tänker igenom vilka krav på säkerhetsskydd och andra villkor som kan behövas i en säkerhetsskyddad upphandling med säkerhetsskyddsavtal.

I ett förfrågningsunderlag anges bl.a. administrativa villkor för upphandlingens genomförande, krav på leverantören, krav på upphandlingsföremålet (kallas ibland teknisk specifikation eller kravspecifikation), anbudsutvärdering och tilldelningskriterier samt kontraktsvillkor som ska gälla under avtalstiden. Leverantörer på marknaden får därefter tillfälle att lämna in anbud. De närmare förutsättningarna för detta beror på vilket upphandlingsförfarande som tillämpas.

Vissa omständigheter, däribland allvarlig ekonomisk brottslighet, medför att en anbudsgivare måste uteslutas från upphandlingen. Andra omständigheter medför att anbudsgivaren får uteslutas – men bara om myndigheten har angett det i förfrågningsunderlaget. I LOU finns det inte någon uteslutningsgrund som specifikt tar sikte på konsekvenser för nationell säkerhet. Dock finns det i vissa situationer grund för att inte tillämpa LOU om detta skulle äventyra Sveriges väsentliga säkerhetsintressen. Vi återkommer till detta under rubriken Undantag från LOU.

Det finns inga regler i LOU om när en påbörjad upphandling får avbrytas. Enligt praxis krävs att det finns sakliga skäl för att avbryta upphandlingen och att avbrytandet följer de upphandlingsrättsliga

SOU 2018:82 Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...

173

principerna om objektivitet m.m. Det är den upphandlande myndigheten som ska bevisa att det faktiskt föreligger sakliga skäl för avbrytande. Sakliga skäl för att avbryta har i praxis ansetts vara exempelvis bristande konkurrens, oförutsedda händelser, felaktigt utformad utvärderingsmodell och ett alltför högt pris.

Om upphandlingen fullföljs ska den upphandlande myndigheten tilldela uppdraget till en eller flera av anbudsgivarna och meddela samtliga som lämnat anbud om detta. Efter att tilldelningsbeslutet fattats måste myndigheten avvakta under en viss tid innan den ingår ett affärsavtal med den eller dem som vunnit upphandlingen (avtalsspärr).

Lagen om upphandling på försvars- och säkerhetsområdet

Upphandlingar som rör försvar eller säkerhet undantas från LOU:s tillämpningsområde. När det gäller upphandling av bl.a. militär utrustning och utrustning av känslig karaktär finns i stället bestämmelser i lagen (2011:1029) om upphandling på försvars- och säkerhetsområdet, LUFS.

LUFS gäller, med vissa särskilt angivna undantag, för upphandling på försvars- och säkerhetsområdet av

1. militär utrustning, inklusive alla tillhörande delar, komponenter

och delar av komponenter,

2. utrustning av känslig karaktär, inklusive alla tillhörande delar,

komponenter och delar av komponenter,

3. byggentreprenader, varor och tjänster som direkt hänför sig till

den utrustning som avses i 1 och 2, under hela dess livslängd, eller

4. byggentreprenader och tjänster särskilt avsedda för militära syf-

ten eller byggentreprenader och tjänster av känslig karaktär.

Syftet med reglerna är att skapa förutsättningar för upphandlingar av sådan materiel och sådana tjänster som är av så känslig natur att det inte är lämpligt att tillämpa de ordinarie upphandlingsreglerna. Till stora delar stämmer reglerna överens med vad som gäller vid ordinarie upphandling, exempelvis när det gäller förfarandet och reglerna om överprövning. Men det finns också vissa skillnader. Till

Utkontraktering och upplåtelse av säkerhetskänslig verksamhet... SOU 2018:82

174

skillnad från övriga upphandlingslagar innehåller LUFS bestämmelser om informationssäkerhet, försörjningstrygghet och underentreprenad.

Det finns undantagsregler som innebär att lagen i vissa fall inte gäller. Bland annat får regeringen enligt 1 kap. 9 § LUFS i enskilda fall besluta om de undantag från bestämmelserna i lagen som är nödvändiga med hänsyn till Sveriges väsentliga säkerhetsintressen när det gäller upphandling som avser sådan tillverkning av eller handel med vapen, ammunition och krigsmateriel som omfattas av artikel 346.1 b i EUF-fördraget och där vissa andra undantagsbestämmelser inte är tillämpliga. Andra undantag handlar bl.a. om kontrakt för vilka tillämpningen av lagen skulle kräva att en upphandlande myndighet eller enhet tillhandahåller information vars avslöjande strider mot Sveriges väsentliga säkerhetsintressen och vissa kontrakt som avser underrättelseverksamhet.

Som nämndes tidigare finns det i LUFS särskilda regler om informationssäkerhet. Skälet till det är att det i upphandlingar enligt lagen ofta förekommer uppgifter av känslig karaktär. Uppgifter som omfattas av sekretess eller på annat sätt är känsliga kan bl.a. förekomma i kravspecifikationer eller i kontrakt. Sådana uppgifter kan också komma en leverantör till del i ett senare skede, t.ex. i samband med fullgörandet av ett kontrakt. Det har därför i LUFS införts bestämmelser som avser att säkerställa att uppgifter av känslig karaktär, vilka lämnas av den upphandlande myndigheten eller enheten under eller efter ett upphandlingsförfarande, behandlas på ett så säkert sätt som möjligt av en leverantör (prop. 2010/11:150 del 1 s. 252–268).

Vidare finns det i LUFS särskilda regler om uteslutning av en leverantör med hänsyn till Sveriges säkerhet. I 11 kap. 2 § LUFS anges att en leverantör får uteslutas från att delta i en upphandling om leverantören, på grundval av någon form av bevis som även kan bestå av skyddade uppgiftskällor, har kunnat konstaterats inte vara så tillförlitlig som krävs för att inte äventyra Sveriges säkerhet. I preamblarna till det direktiv som ligger till grund för lagen finns det viss vägledning till hur kravet på tillförlitlighet ska förstås.

4

Det

anges där bl.a. att tillförlitligheten hos leverantörer på de känsliga försvars- och säkerhetsområdena särskilt beror på leverantörens möjlighet att möta de krav som den upphandlande enheten ställer på

4 Europaparlamentets och rådets direktiv 2009/81/EG av den 13 juli 2009 om samordning av förfarandena vid tilldelning av vissa kontrakt för byggentreprenader, varor och tjänster av upphandlande myndigheter och enheter på försvars- och säkerhetsområdet och om ändring av direktiven 2004/17/EG och 2004/18/EG, preambeln p. 65, 67 och 68.

SOU 2018:82 Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...

175

”security of supply” och informationssäkerhet. Vidare anges det att direktivet inte hindrar en upphandlande enhet från att utesluta en leverantör i vilket som helst skede av en upphandling, om den upphandlande enheten har information som visar att det skulle kunna innebära en risk

5

för medlemsstatens väsentliga säkerhetsintressen

(essential security interests) att tilldela hela eller delar av kontraktet till leverantören i fråga. Sådana risker kan enligt direktivet antingen handla om egenskaper hos de produkter som anbudsgivaren tillhandahåller, eller anbudsgivarens ägarstruktur. Det är möjligt att även i ett sent skede av en upphandling utesluta en leverantör som inte möter tillförlitlighetskraven.

Lagen om upphandling inom försörjningssektorerna

Upphandlingar som genomförs av en upphandlande enhet för verksamhet inom områdena vatten, energi, transporter eller posttjänster (de s.k. försörjningssektorerna) regleras i lagen (2016:1146) om upphandling inom försörjningssektorerna, LUF. Lagen gäller inte om LUFS är tillämplig eller något undantag enligt LUFS gäller. Det finns också i denna lag ett antal undantagsregler där det räknas upp situationer då lagen inte ska tillämpas.

Undantag från LOU

LOU ska tillämpas om en upphandling på försvars- och säkerhetsområdet inte omfattas av LUFS eller någon undantagsbestämmelse i den lagen. Det finns emellertid vissa undantag från detta. Enligt det första undantaget, som finns i 3 kap. 4 § LOU, ska LOU inte gälla för upphandlingen eller projekttävlingen om

1. skyddet av Sveriges väsentliga säkerhetsintressen inte kan säker-

ställas om upphandlingen eller projekttävlingen genomförs enligt lagen, eller

2. en tillämpning av lagen skulle kräva att en upphandlande myn-

dighet tillhandahåller information vars avslöjande strider mot Sveriges väsentliga säkerhetsintressen.

5 I direktivet används ordet risk, varför vi använder det även här för att återge direktivets innehåll.

Utkontraktering och upplåtelse av säkerhetskänslig verksamhet... SOU 2018:82

176

En förutsättning för att ett kontrakt ska kunna undantas med stöd av första punkten är att det inte är möjligt att tillgodose behovet genom tillämpning av LOU. Om det går att uppnå skyddet genom mindre ingripande åtgärder under upphandlingsförfarandet eller projekttävlingen, som t.ex. genom att ingå ett säkerhetskyddsavtal med berörda leverantörer enligt säkerhetsskyddslagen eller lämna ut handlingar med förbehåll enligt offentlighets- och sekretesslagen (2009:400, OSL), får undantaget inte tillämpas.

Ett annat undantag finns i 3 kap. 5 § LOU. Enligt den paragrafen gäller inte LOU när upphandlingen och fullgörandet av kontraktet eller projekttävlingen omfattas av sekretess eller rör Sveriges väsentliga intressen, om det skydd som behövs inte kan säkerställas vid en upphandling eller en projekttävling enligt LOU. Paragrafen möjliggör undantag för upphandlingar och projekttävlingar på grund av sekretess eller Sveriges väsentliga intressen. Bestämmelsen riktar in sig på situationer då undantag krävs utan att det är fråga om ett försvars- eller säkerhetsintresse, exempelvis upphandlingar som avser sådana säkerhets- eller bevakningsåtgärder som omfattas av sekretess enligt 18 kap. 8 § OSL (prop. 2010/11:150 del 1 s. 450).

Det finns även vissa andra undantag i 3 kap. LOU, som vi dock avstår från att gå närmare in på här.

6.4 Problembeskrivning

Vi ska enligt direktiven kartlägga behovet av att förebygga att säkerhetsskyddsklassificerade uppgifter eller i övrigt säkerhetskänslig verksamhet utsätts för risker i samband med utkontraktering och upplåtelse. Som ett första steg i den kartläggningen kommer vi i detta avsnitt att beskriva problem som i dag förekommer i samband med bl.a. utkontraktering och upplåtelse av säkerhetskänslig verksamhet. Problembeskrivningen bygger på det skriftliga material som vi redovisar och på vad som framkommit vid våra möten med myndigheter, enskilda och utredningens experter.

Flera av de exempel som vi använder handlar om utkontraktering. Vi ser dock att exemplen också har relevans när det kommer till upplåtelse av säkerhetskänslig verksamhet, eftersom det i grunden handlar om samma eller liknande brister i verksamhetsutövarnas arbete med säkerhetsskyddet. Som antyddes i beskrivningen av vårt

SOU 2018:82 Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...

177

uppdrag (avsnitt 6.1) ser vi också att de problem som vi lyfter fram har relevans för andra situationer än just utkontraktering och upplåtelse av säkerhetskänslig verksamhet. Vi återkommer till denna fråga i avsnitt 6.5.

Innan vi går in på själva problembeskrivningen finns det anledning att säga några ord om hur teknikutvecklingen har medfört en ökad sårbarhet vid bland annat utkontraktering. Beskrivningen bygger på uppgifter från Säkerhetspolisen och Försvarsmakten.

6

6.4.1 Teknikutvecklingen har ökat Sveriges sårbarhet

Digitaliseringen är den enskilt största förändringsfaktorn i vår tid och påverkar alla delar av samhället. I ett digitaliserat samhälle och en globaliserad omvärld är elektroniska angrepp ett av de allvarligare hoten. Det innebär samtidigt att bristande informationssäkerhet är en av de allvarligare sårbarheterna, vilket ger upphov till stora konsekvenser för säkerhetsskyddet. Offentlig it-infrastruktur utsätts allt mer för elektroniska angrepp och underrättelseverksamhet.

I dag ansvarar varje myndighet för sin egen it-verksamhet samtidigt som investeringar i it-säkerhet kan upplevas som alltför kostsamma. Inför stora investeringar ställs myndigheter ofta inför frågan om alla arbetsuppgifter bör utföras inom den egna organisationen eller utkontrakteras. Utkontraktering kan innebära att myndigheter visserligen effektiviserar men att de samtidigt förlorar kontrollen över vem som har åtkomst till skyddsvärd information. Även åtkomst till den egna informationen kan försvåras. Samtidigt medför utkontraktering en risk för att kompetens försvinner.

En utgångspunkt i allt säkerhetsskyddsarbete är att säkerkänsliga uppgifter ska ha samma nivå av skydd oavsett i vilken verksamhet de förekommer. För att bibehålla ett högt säkerhetsskydd vid utkontraktering av säkerhetskänslig verksamhet krävs därför en förberedande säkerhetsskyddsanalys. Det krävs också insikt om den egna verksamhetens nationella betydelse och beroendeförhållanden. I varje enskilt fall finns det dessutom anledning att bedöma om det över huvud taget är lämpligt att utkontraktera verksamheten.

6 Säkerhetspolisens skrivelse den 1 september 2017 med diarienummer 845897 och Försvarsmaktens skrivelse den 25 augusti 2017 med diarienummer FM2017-15532:2.

Utkontraktering och upplåtelse av säkerhetskänslig verksamhet... SOU 2018:82

178

Stora konsekvenser kan uppstå när it-drift läggs ut hos privata företag. Utkontraktering kan innebära att flera kunders system och information samlas i samma lagringsmedium eller lagringsmiljö, vilket innebär en ökad exponering.

Vissa företag ser ett bra säkerhetsarbete som en konkurrensfördel och satsar därför resurser på säkerhet. Andra företag har inga incitament för att investera i säkerhetshöjande åtgärder som ofta är kostsamma och produktionshämmande.

Även i den nationella säkerhetsstrategin understryks att digitaliseringen har påverkan på Sveriges säkerhet.

7

I säkerhetsstrategin

nämns att digitaliseringen medför risker och hot som är förknippade med några av de mest komplexa säkerhetsutmaningarna. Som exempel anges antagonistiska hot som informationsoperationer och elektroniska angrepp mot skyddsvärda informations- och kommunikationssystem, t.ex. i form av dataintrång, sabotage eller spionage.

6.4.2 Verksamhetsutövare tillämpar inte säkerhetsskyddslagen

I betänkandet En ny säkerhetsskyddslag (SOU 2015:25) anges att det antagligen finns verksamheter av stor betydelse för Sveriges säkerhet som över huvud taget inte tillämpar säkerhetsskyddslagstiftningen (s. 477). Bilden stöds av det som framkommit under våra möten med myndigheter, enskilda och utredningens experter. Den stöds också av en enkät som tidningen Dagens samhälle låtit göra.

8

Enligt

enkäten hade 118 av 165 kommuner som svarade på enkäten över huvud taget inte gjort någon säkerhetsanalys (numera säkerhetsskyddsanalys, jfr 5 § gamla säkerhetsskyddsförordningen och 2 kap. 1 § första stycket nya säkerhetsskyddslagen). Resultatet är anmärkningsvärt eftersom samtliga kommuner enligt 3 och 5 §§ gamla säkerhetsskyddsförordningen ska undersöka vilka uppgifter i deras verksamhet som ska hållas hemliga med hänsyn till rikets säkerhet och vilka anläggningar som kräver säkerhetsskydd. I artikeln i Dagens samhälle ges också exempel på utkontraktering som inte föregåtts av någon säkerhetsanalys. Med hänsyn till det anförda utgår vi i våra

7 Nationell säkerhetsstrategi, Statsrådsberedningen 2017 s. 17–20. 8 Kleja, Dagens samhälle, Dålig koll på känsliga uppgifter i kommuner, publicerad den 5 oktober 2017.

SOU 2018:82 Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...

179

överväganden ifrån att det finns säkerhetskänsliga verksamheter som inte tillämpar reglerna om säkerhetsskydd.

Att verksamhetsutövare som bedriver säkerhetskänslig verksamhet inte tillämpar säkerhetsskyddslagstiftningen är i sig allvarligt eftersom det innebär en sårbarhet för de värden som lagstiftningen ska skydda. Inte minst innebär det en överhängande risk för att man inte gör en säkerhetsskyddsanalys, vilket i sin tur kan leda till bristande kunskap om de egna skyddsvärdena. Det framstår som särskilt allvarligt med brister i tillämpningen vid utkontraktering och upplåtelse, eftersom säkerhetskänslig verksamhet och säkerhetsskyddsklassificerade uppgifter därigenom kan utsättas för ytterligare sårbarheteter. En utebliven eller bristande säkerhetsskyddsanalys kan leda till att verksamhet utkontrakteras eller andra slags förfaranden inleds i fall där det av säkerhetsskyddskäl inte borde ske. I andra fall kan det leda till att en i och för sig lämplig utkontraktering, upplåtelse eller något annat förfarande äger rum utan att det ingås ett säkerhetsskyddsavtal. Detta innebär givetvis en ökad risk för att motparten i avtalet inte vidtar de säkerhetsskyddsåtgärder som behövs, vilket kan leda till sårbarheter och skador för Sveriges säkerhet. Detsamma gäller om säkerhetsskyddsavtalet får ett bristfälligt innehåll. Vi anser därför att det finns behov av förebyggande åtgärder som minimerar risken för att verksamhetsutövare som bedriver säkerhetskänslig verksamhet inte tillämpar säkerhetsskyddslagstiftningen. Den omständigheten att den nya säkerhetsskyddslagen i större utsträckning än tidigare kommer att gälla för enskilda verksamhetsutövare understryker enligt vår bedömning behovet av förebyggande åtgärder.

6.4.3 Bristande kunskaper om egna skyddsvärden

En bild som tydligt framträtt under utredningens möten med experter, myndigheter och enskilda är att många verksamhetsutövare saknar tillräcklig kunskap om vilka skyddsvärden som finns i den egna verksamheten. Sådana brister har ofta blivit synliga inför och under utkontrakteringar. Säkerhetspolisen har bland annat observerat att det har förekommit utkontraktering av säkerhetskänslig verksamhet utan säkerhetsskyddsavtal, att säkerhetsskyddet vid utkontraktering har dimensionerats på fel sätt och att verksamhetsutövare har saknat

Utkontraktering och upplåtelse av säkerhetskänslig verksamhet... SOU 2018:82

180

kunskap om verksamhetens roll i samhället, dess betydelse för Sveriges säkerhet och om beroenden mellan den utkontrakterade verksamheten och annan verksamhet av betydelse för Sveriges säkerhet. Iakttagelsen att det finns brister i det interna säkerhetsskyddsarbetet inför utkontrakteringar bekräftas i Säkerhetspolisens rapport om säkerhetsskyddet hos myndigheter med höga skyddsvärden.

9

Bristerna kan enligt vår mening i stor utsträckning härledas till bristande kunskaper om den egna verksamhetens skyddsvärden. Vi har sett exempel på verksamhetsutövare som inte känt till vilka känsliga uppgifter som hanterats i verksamheten. Vi har också sett exempel på verksamhetsutövare som inte varit medvetna om vilka beroenden som finns till den egna verksamheten och hur dessa beroenden påverkar Sveriges säkerhet. Sådana brister utgör enligt vår bedömning ett påtagligt problem vid utkontrakteringar eftersom kunskap om egna skyddsvärden är en förutsättning för att verksamhetsutövaren ska kunna formulera krav på hur leverantören ska tillgodose kraven på säkerhetsskydd. Som har framgått av våra resonemang i kapitel 5 menar vi att det är lika viktigt att ställa sådana krav även i många andra situationer där säkerhetsskyddsklassificerade uppgifter och i övrigt säkerhetskänslig verksamhet exponeras för någon utomstående genom t.ex. ett avtal om en upplåtelse eller något annat samarbete. Vi har därför föreslagit att skyldigheten att ingå säkerhetsskyddsavtal utvidgas till fler sådana situationer. Kunskap om egna skyddsvärden är då en förutsättning för att säkerhetsskyddsavtalet ska få ett lämpligt innehåll som tillgodoser kraven på säkerhetsskydd.

Vår bedömning att bristande kunskaper om skyddsvärden utgör ett problem vid bl.a. utkontrakteringar får även stöd av den granskning som gjorts av Transportstyrelsens upphandling av it-drift som presenterades i promemorian Granskningen av Transportstyrelsens

upphandling av it-drift (Ds 2018:6). En av slutsatserna av gransk-

ningen var att den helt grundläggande orsaken till att Transportstyrelsens upphandling kom att leda till ett röjande av uppgifter om rikets säkerhet och en bristfällig hantering av känsliga personuppgifter var att man i allt för hög grad saknade relevant kunskap om vilken information myndigheten hade, kännedom om hur denna

9 Säkerhetspolisens rapport Säkerhetsskydd hos myndigheter med mest skyddsvärd verksamhet s. 4, dnr 2017-25007-5.

SOU 2018:82 Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...

181

information hanterades och vilka krav som ställdes på informationshanteringen (s. 220).

Det förekommer att skyddsvärden i och för sig genereras hos leverantörer men ändå är en del av beställarens verksamhet. Flera enskilda aktörer har till utredningen framfört att de för myndigheters räkning skapar skyddsvärden, antingen direkt eller över tid genom exempelvis aggregering av uppgifter. Enligt dessa enskilda aktörer saknas det dock såväl kunskap som intresse hos myndigheterna för denna typ av skyddsvärden. Även detta kan leda till att uppgifter får ett otillräckligt skydd vid utkontraktering. Problemet kan förväntas öka, eftersom den tekniska utvecklingen har skapat möjligheter att dela, inhämta, sammanställa och analysera uppgifter på ett sätt som tidigare varit omöjligt. Ur ett säkerhetsskyddsperspektiv är det mycket problematiskt att verksamhetsutövare som utkontrakterat en del av sin verksamhet inte följer sina skyddsvärden och upprätthåller kunskap om i vilka sammanhang uppgifterna används eller hur de skyddas.

Med hänsyn till det anförda bedömer vi att det behöver införas förebyggande åtgärder som syftar till att höja verksamhetsutövarnas kunskap om egna skyddsvärden. Detta är inte bara viktigt för att förebygga negativa konsekvenser vid utkontraktering utan också vid upplåtelser, upphandlingar och andra förfaranden där utomstående får tillgång till säkerhetsskyddsklassificerade uppgifter eller i övrigt säkerhetskänslig verksamhet.

6.4.4 Bristande eller utebliven bedömning av lämpligheten

En samhällsförändring som har haft stor inverkan på säkerhetsskyddet är avregleringen av offentlig verksamhet. De senaste decenniernas konkurrensutsättningar har medfört att verksamheter som rör Sveriges säkerhet i relativt stor utsträckning bedrivs i enskild regi. Samtidigt innebär den tekniska utvecklingen i förening med kraven på effektivitet och hushållning med statens resurser att offentliga verksamheter i större utsträckning ställts inför frågan om alla delar av verksamheten bör utföras inom den egna organisationen eller om tjänster i stället ska utföras av andra. Utkontraktering av it-

Utkontraktering och upplåtelse av säkerhetskänslig verksamhet... SOU 2018:82

182

verksamhet nämns ofta som en möjlighet för att minska verksamheters kostnader.

10

Vi har vid flera tillfällen uppmärksammats på att det förekommer att myndigheter mer eller mindre tar för givet att delar av deras verksamheter ska utkontrakteras, utan att myndigheterna dessförinnan har prövat det lämpliga i att utkontraktera säkerhetskänslig verksamhet. Denna bild bekräftas av Upphandlingsmyndigheten, som till utredningen har framfört att om säkerhetsfrågor över huvud taget tas upp med dem så sker det nästan alltid efter att de upphandlande myndigheterna redan har fattat beslut om konkurrensutsättning. Samma bild framträder också i granskningen av Transportstyrelsens upphandling av it-drift (Ds 2018:6). I promemorian dras nämligen slutsatsen att Transportstyrelsen inte hade gjort ett tillfredsställande arbete med informationsklassning, säkerhetsanalys och dokumentation av it-system vid tidpunkten då upphandlingen inleddes. Dessutom saknade myndighetens it-försörjningsstrategi allmänna överväganden om lämpligheten att utkontraktera verksamhet, och strategin behandlade inte heller säkerhetsfrågor. Fokus låg i stället på effektivitet, kostnader och utvecklingspotential (s. 225).

Det är uppenbart att säkerhetskänslig verksamhet, och i förlängningen Sveriges säkerhet, kan äventyras när säkerhetsfrågor får en så undanskymd roll som beskrivits ovan. Den centrala fråga som inte besvaras om någon lämplighetensprövning inte genomförs är om det alls är möjligt för leverantören att upprätthålla skyddet av den säkerhetskänsliga verksamheten och de säkerhetsskyddsklassificerade uppgifterna vid en utkontraktering. Det kan finnas verksamheter där det aldrig är lämpligt med en utkontraktering av t.ex. it-driften eller där bara begränsade delar kan utkontrakteras. Det finns också en risk för att man utelämnar frågan hur beställaren ska kunna följa sina skyddsvärden när utkontrakteringen väl är inledd.

För att vi ska kunna föreslå lämpliga förebyggande åtgärder vid utkontraktering har vi försökt att konkretisera några av de problem som enligt vår bedömning förklarar varför lämpligheten att utkontraktera säkerhetskänslig verksamhet har fått en så undanskymd roll i offentligt drivna verksamheter. Problembeskrivningen bygger på vad som framkommit i våra möten med experter, myndigheter och enskilda. Vi ser i huvudsak följande problem.

10 Riksrevisionens rapport IT inom statsförvaltningen – har myndigheterna på ett rimligt sätt

prövat frågan om outsourcing bidrar till ökad effektivitet? (RiR 2011:4) s. 14.

SOU 2018:82 Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...

183

1. Verksamhetsutövare har otillräcklig kunskap om verksamhetens egna skyddsvärden, vilket vi har behandlat i avsnitt 6.4.3. Vi bedömer att bristande kunskap om egna skyddsvärden bidrar till att beslut om utkontraktering fattas på undermåliga underlag.

2. Verksamhetsutövare har otillräcklig kunskap om utkontraktering när det gäller internationella förhållanden. Det handlar enligt vår mening om i huvudsak två problem.

a) För det första saknas det kunskap om leverantörsförhållanden

och regelverken om upphandling. Vi syftar här på att marknaden, inte minst när det gäller it-tjänster, är internationell och att många leverantörer erbjuder tjänster som utförs i olika länder för att vara konkurrenskraftiga. Vi syftar även på att upphandlingslagstiftningen tar sikte på hela den inre marknaden i Europeiska unionen och att diskriminering av leverantörer på grund av nationalitet är förbjudet. Detta problem illustrerades i granskningen av Transportstyrelsens upphandling av it-drift (Ds 2018:6). En av iakttagelserna vid granskningen var nämligen att Transportstyrelsen hade svårt att besvara anbudsgivarnas frågor om eventuella restriktioner för leveransmodeller och att Transportstyrelsen därmed öppnade upp för leverans med utländska underleverantörer (s. 142). En annan iakttagelse var att det inte från början stod klart för Transportstyrelsen att leveransen faktiskt omfattade utländska leverantörer (s. 101).

b) Det andra problemet handlar om okunskap om hur säkerhets-

skyddet fungerar i ett internationellt sammanhang. Vi tänker då framför allt på att flera viktiga verktyg går förlorade eller får begränsad betydelse när leverantören verkar utanför Sverige; underlaget för personalkontroll blir kraftigt begränsat, möjligheten att utöva kontroll och utnyttja maktbefogenheter faller bort och det blir svårare att bedöma hotbilden mot den säkerhetskänsliga verksamheten som utkontrakterats. Även detta problem illustrerades i Ds 2018:6, där det konstaterades att det dröjde lång tid innan Transportstyrelsen insåg att registerkontroll av utländska medborgare som arbetar i utlandet inte kunde genomföras på ett meningsfullt sätt (s. 228).

Utkontraktering och upplåtelse av säkerhetskänslig verksamhet... SOU 2018:82

184

3. I den mån det finns kunskap om verksamhetens skyddsvärden når kunskapen inte alltid fram till rätt funktion inom organisationen. Vår bild är att beslut om utkontraktering ofta fattas på en hög nivå inom organisationen. Ofta saknas det ett naturligt samspel mellan funktionen som äger frågan om utkontraktering och säkerhetsfunktionen. Vi anser att det är av högsta vikt att information om verksamhetens skyddsvärden och överväganden om säkerhetsskyddet alltid ingår i underlaget inför beslut om utkontraktering.

4. Vår bild är att myndigheter inför beslut om utkontraktering ofta ställs inför målkonflikter där andra krav regelmässigt överordnas säkerhetsskyddet. Ett annat sätt att uttrycka det är att effektivisering och kostnadsbesparingar nästan alltid tillmäts betydligt större värde än säkerhetsskyddet. Offentligt drivna verksamheter har generellt en hög kostnadsmedvetenhet men betydligt lägre medvetenhet när det kommer till konsekvenserna av bristande säkerhet. I granskningen av Transportstyrelsens upphandling av it-drift (Ds 2018:6) beskrivs Transportstyrelsen som en myndighet där man upplevt sig ha stränga besparings- och effektiviseringskrav och där synpunkter som gått på tvärs med dessa ambitioner haft svårt att vinna gehör (s. 231). Vi anser att det är en beskrivning som kan appliceras på fler myndigheter och som väl beskriver de spänningsförhållanden som ofta uppstår inför beslut om utkontraktering.

5. Många verksamhetsutövare upplever att de inte får tillräckligt stöd när det kommer till utkontraktering och andra externa kontakter som rör den säkerhetskänsliga verksamheten.

I våra resonemang ovan har vi framför allt utgått från offentligt drivna verksamheter. Vi ser dock att de problem som har uppmärksammats lika väl kan uppstå i säkerhetskänsliga verksamheter som bedrivs i enskild regi. Det finns därmed behov av förebyggande åtgärder i ovanstående avseenden för såväl enskilda som offentliga verksamhetsutövare. Vi ser även att en bristande prövning av lämpligheten kan ha allvarliga negativa konsekvenser i samband med andra förfaranden än utkontraktering, t.ex. vid vissa upplåtelser och upphandlingar där utomstående på något sätt får tillgång till den säkerhetskänsliga verksamheten.

SOU 2018:82 Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...

185

6.4.5 Brister i arbetet med säkerhetsskyddsavtal

Under utredningens gång har vi träffat enskilda aktörer som har slutit ett stort antal säkerhetsskyddsavtal med myndigheter. Det har vid dessa möten framkommit att det finns brister både när det gäller processen som leder fram till säkerhetsskyddsavtal och i avtalens innehåll.

När det gäller processen som leder fram till säkerhetsskyddsavtalet har flera enskilda aktörer berättat att det saknas en dialog om vad som är skyddsvärt i uppdragen och att de i vissa fall – för att få sluta ett affärsavtal – måste godkänna säkerhetsskyddsavtal där det inte framgår vad som ska skyddas. Det har vidare framkommit att det ofta förs kontinuerliga dialoger om vad affärsavtalet ska innehålla men att det inte sker någon dialog om säkerhetsskyddsavtalet. Ibland tecknas till och med affärsavtalet före säkerhetsskyddsavtalet. De enskilda aktörerna har betonat vikten av att gemensamt med beställaren hitta ett adekvat skydd.

När det gäller brister i säkerhetsskyddsavtalen så har det under våra samtal med enskilda aktörer framkommit att arbetet med säkerhetsskyddsavtal ofta får slagsida mot administrativt arbete på bekostnad av säkerhetsskyddsavtalens innehåll. Detta problem har uttryckts som att arbetet med säkerhetsskyddsavtal till allra största delen består av dokumenthantering och bara till mindre del handlar om vad som ska uppnås med avtalet. Det kan bland annat visa sig genom att säkerhetsskyddsavtal i stora drag följer framtagna mallar, med följd att de krav som ställs på leverantören blir mycket allmänt hållna. Vi har vidare fått exempel på att det i säkerhetsskyddsavtal förekommit hänvisningar till bilagor om skyddsvärden, men att bilagorna aldrig fyllts med något innehåll.

Om leverantörer inte får delta i processen som leder fram till säkerhetsskyddsavtalet kan det leda till att leverantörens säkerhetsskyddsåtgärder blir otillräckliga eller missriktade på grund av bristande kunskap om de skyddsvärden som förekommer i utkontrakteringen. Det kan i sin tur leda till att den säkerhetskänsliga verksamhet som utkontrakteras skadas. Det innebär också att utkontrakteringar kan stå i strid med säkerhetsskyddslagens grundläggande princip att skyddet för det skyddsvärda bör vara detsamma oavsett i vilken verksamhet det skyddsvärda förekommer. Detsamma gäller om

Utkontraktering och upplåtelse av säkerhetskänslig verksamhet... SOU 2018:82

186

säkerhetsskyddsavtalet av någon annan orsak får ett otillräckligt innehåll som inte har anpassats efter behoven i det enskilda fallet.

Uppgiften att säkerhetsskyddsavtal ibland tecknas efter att affärsavtal har ingåtts är oroande eftersom det kan innebära att det inte finns ett tillfredsställande skydd när leverantören får tillgång till säkerhetsskyddsklassificerade uppgifter eller i övrigt säkerhetskänslig verksamhet. I enstaka fall kan det visserligen vara så att behovet av ett säkerhetsskyddsavtal uppkommer först efter att affärsavtalet slutits. Men under alla förhållanden måste säkerhetsskyddsavtalet senast ha ingåtts innan den utomstående parten har fått del av de säkerhetsskyddsklassificerade uppgifterna eller tillgång till den säkerhetskänsliga verksamheten i övrigt.

De problem som har utvecklats i det föregående har inte bara betydelse vid utkontraktering utan i alla situationer där det föreligger en skyldighet att ingå säkerhetsskyddsavtal. Som har framgått av våra överväganden i kapitel 5 anser vi att denna skyldighet bör utvidgas så att den inte bara träffar upphandling utan också andra förfaranden där säkerhetsskyddsklassificerade uppgifter och i övrigt säkerhetskänslig verksamhet exponeras för någon utomstående part.

6.4.6 Bristande eller utebliven uppföljning

Avtalsslutande myndigheter är enligt 41 § gamla säkerhetsskyddsförordningen skyldiga att kontrollera säkerhetsskyddet hos anbudsgivare och leverantörer som man träffat säkerhetsskyddsavtal med. Den generella bild som tillsynsmyndigheter och utredningens experter har förmedlat till oss är att många verksamhetsutövare trots detta inte följer upp om leverantören tillgodoser kraven på säkerhetsskydd efter en utkontraktering. Vi har fått exempel på myndigheter som i praktiken har avhänt sig möjligheten att kontrollera den funktion som har utkontrakterats och som har haft uppfattningen att leverantören har tagit över ansvaret för säkerhetsskyddet. I sammanträden med enskilda verksamhetsutövare har det beskrivits för oss hur myndighetens säkerhetsskyddsarbete har avstannat så snart ett affärsavtal har ingåtts. Andra enskilda har upplevt att det har funnits ett stort fokus på pappersarbete i början av upphandlingsprocessen men att det inte har skett någon reell uppföljning av om leverantören har uppfyllt sina åtaganden enligt de avtal som tecknats.

SOU 2018:82 Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...

187

Bristande eller utebliven uppföljning kan i värsta fall få mycket allvarliga konsekvenser för Sveriges säkerhet eftersom det utan en sådan kontroll inte är möjligt att slå fast om leverantören verkligen lever upp till sina skyldigheter när det gäller att skydda den säkerhetskänsliga verksamheten.

För att de förebyggande åtgärder som vi ska föreslå ska vara så verkningsfulla som möjligt behöver vi i möjligaste mån identifiera vilka konkreta problem som kan tänkas förklara varför så många myndigheter brister i sin uppföljning av utkontrakteringar. Ett centralt problem är enligt vår bedömning att många myndigheter verkar ha utgått från att ansvaret för att upprätthålla ett väl anpassat säkerhetsskydd övergår från myndigheten till den leverantör som åtar sig utkontrakteringen. Att en del av den egna verksamheten bedrivs av någon annan ses felaktigt som synonymt med att ansvaret för denna verksamhetsdel övergår. Ett annat problem som vi tror kan förklara bristande uppföljning är att beställare uppfattar att säkerhetsskyddsarbetet i princip är avklarat när ett säkerhetsskyddsavtal har slutits och att beställare därför inte avsätter tid för att kontrollera att leverantören uppfyller sina åtaganden. En sådan uppfattning får också till följd att beställaren kan komma att bortse från vilka åtgärder som måste vidtas när leverantörens uppdrag är avklarat, till exempel att återlämna hemliga handlingar eller att försäkra sig om att behörigheter till it-system tas bort.

En konsekvens av den bristande uppföljningen är att verksamhetsutövaren kan komma att sakna kunskap om hur det skyddsvärda som ingår i utkontrakteringen hanteras och sprids. Det kan bli så att verksamhetsutövaren inte längre kan spåra en eventuell spridning av säkerhetsskyddsklassificerade uppgifter. Vi har i avsnitt 6.4.3 uppmärksammat att det också kan skapas skyddsvärden hos leverantören.

Ovanstående beskrivning av bristande eller utebliven uppföljning utgår från att en utkontraktering har skett genom en upphandlingsprocess och att det har ingåtts ett säkerhetsskyddsavtal. Det kan dock även finnas situationer där det enligt gällande reglering inte finns någon skyldighet att ingå säkerhetsskyddsavtal, men där det ändå är viktigt med uppföljning. Ett exempel kan vara verksamhetsutövare som upplåter en lokal till en utomstående aktör, som därigenom får tillgång till den säkerhetskänsliga verksamheten. Vi

Utkontraktering och upplåtelse av säkerhetskänslig verksamhet... SOU 2018:82

188

har i avsnitt 5.4 föreslagit att skyldigheten att ingå säkerhetsskyddsavtal utvidgas till att bl.a. sådana situationer.

6.4.7 Svårigheter att pröva leverantörens lämplighet

Vid utkontraktering av säkerhetskänslig verksamhet är det viktigt att leverantören är lämplig från säkerhetsskyddssynpunkt. Detsamma gäller vid alla upphandlingar och andra förfaranden som innebär att någon utomstående får tillgång till säkerhetsskyddsklassificerade uppgifter eller i övrigt till den säkerhetskänsliga verksamheten. Betydelsen av att lämpligheten kan granskas illustreras bl.a. i Säkerhetspolisens årsbok för 2017, där det framgår att det förekommer att andra stater försöker påverka Sveriges politiska beslutsfattande genom att försöka vinna upphandlingar hos svenska myndigheter.

11

För-

svarsmakten har bl.a. beskrivit att främmande makt i vissa fall använder företag som en till synes legitim fasad för underrättelseverksamhet.

12

Möjligheterna att inför utkontrakteringar och andra

förfaranden granska leverantörens lämplighet har alltså stor betydelse för säkerhetsskyddet.

En faktor som påverkar möjligheten att granska leverantörers lämplighet är hur företag väljer att organisera sin verksamhet. I dag är det inte ovanligt att tjänsteleverantörer är en del av internationella koncerner. Det kan medföra att den tjänst som upphandlas i Sverige helt eller delvis kan utföras i ett annat land. Det är också vanligt att leverantörer i sin tur anlitar underleverantörer som bedriver sin verksamhet på annan ort. Även om det i och för sig anses föreligga en skyldighet för verksamhetsutövaren att ingå säkerhetsskyddsavtal med eventuella underleverantörer kan ovanstående leda till att det blir svårare att ta reda på vilka personer och intressen som äger eller på annat sätt kontrollerar leverantörer. Motsvarande begränsningar aktualiseras även när det handlar om att bedöma lämpligheten av att upplåta hela eller delar av den säkerhetskänsliga verksamheten till en enskild aktör, t.ex. upplåtelse av lokaler eller immateriella rättigheter. Begränsningarna gör sig också gällande i andra situationer där en verksamhetsutövare avser att ge någon utomstående aktör tillgång till verksamheten eller säkerhetsskyddsklassificerade uppgifter.

11 Säkerhetspolisens årsbok 2017 s. 50. 12 Försvarsmaktens skrivelse den 25 augusti 2017 med diarienummer FM2017-15532:2.

SOU 2018:82 Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...

189

Ovanstående leder oss till bedömningen att behovet av att kunna kontrollera leverantörers lämplighet har ökat. Samtidigt är säkerhetsskyddsregleringen enligt vår mening inte alldeles klar när det gäller vilken skyldighet verksamhetsutövare har att göra en lämplighetsprövning.

6.4.8 Begränsade möjligheter att ingripa

I 16 a § gamla säkerhetsskyddsförordningen respektive 2 kap. 6 § nya säkerhetsskyddsförordningen finns det ett krav på samråd och en möjlighet för Säkerhetspolisen och Försvarsmakten att vägra en planerad utkontraktering eller annan upphandling i vissa fall (se avsnitt 6.3.2). Möjligheten gäller dock bara vid vissa upphandlingar som görs av statliga myndigheter och innebär ingen möjlighet till ingripande mot enskilda verksamhetsutövare.

Säkerhetsskyddsregleringen ger inte heller några verktyg för att ingripa i en pågående utkontraktering när säkerhetsskyddsklassificerade uppgifter eller i övrigt säkerhetskänslig verksamhet är sårbara eller utsatta för hot.

Möjligheten att ingripa i ett ansträngt läge berördes i granskningen av Transportstyrelsens upphandling av it-drift (Ds 2018:6). I rapporten angavs att Säkerhetspolisen informerades om Transportstyrelsens beslut att göra avsteg från gällande lagstiftning ungefär samtidigt som personal hos leverantören började få behörighet med priviligierad åtkomst till Transportstyrelsens it-system (s. 152, 167, 168 och 183). Säkerhetspolisen inledde tillsyn hos Transportstyrelsen och skickade senare en rekommendation om att omedelbart vidta säkerhetsskyddshöjande åtgärder och att säkerställa att hemliga uppgifter inte kom obehöriga till handa (s. 187). Några andra möjligheter än att i skarpa ordalag rekommendera Transportstyrelsen att vidta åtgärder hade Säkerhetspolisen inte (s. 189). Transportstyrelsen ansåg det dock inte som realistiskt att avbryta utkontrakteringen (s. 188). Utredningens underlag tydde på att Transportstyrelsen inte kom igång med konkreta och systematiska åtgärder förrän ungefär ett och ett halvt år efter att Säkerhetspolisen informerades om Transportstyrelsens beslut om avsteg (s. 193).

Utkontraktering och upplåtelse av säkerhetskänslig verksamhet... SOU 2018:82

190

Bristen på möjligheter att ingripa i efterhand innebär i praktiken att det i många fall står verksamhetsutövaren fritt att välja om tillsynsmyndigheternas rekommendationer ska följas eller inte. Införandet av kravet på samråd och möjligheten för Säkerhetspolisen och Försvarsmakten att vägra upphandling i vissa fall genom 16 a § gamla säkerhetsskyddsförordningen respektive 2 kap. 6 § nya säkerhetsskyddsförordningen tillgodoser endast delar av problemet. Till att börja med gäller bestämmelserna bara för statliga myndigheters upphandlingar. Vidare kan även en utkontraktering som har genomgått kontroll vid ett senare tillfälle visa sig olämplig från säkerhetsskyddssynpunkt. Det kan ske t.ex. när säkerhetskänsliga verksamheter ändrar karaktär, när hotbilder förändras eller när den tekniska utvecklingen ändrar förutsättningarna. Även förändrade ägarförhållanden på leverantörssidan kan innebära att utkontrakteringen inte längre är lämplig. Om det i en sådan situation finns olika uppfattningar om allvaret i situationen eller vilka åtgärder som behöver vidtas så är det fortfarande upp till verksamhetsutövaren att avgöra om tillsynsmyndighetens rekommendationer ska följas, oavsett hur allvarlig den potentiella skadan för Sveriges säkerhet är.

De problem som beskrivits i detta avsnitt är inte begränsade till utkontraktering, utan kan även aktualiseras vid t.ex. andra upphandlingar, upplåtelser av någon del av säkerhetskänslig verksamhet eller andra förfaranden där någon utomstående får tillgång till säkerhetsskyddsklassificerade uppgifter eller i övrigt till den säkerhetskänsliga verksamheten.

6.5 Inledning till våra överväganden om förebyggande åtgärder

Vi har i avsnitt 6.4 redovisat de problem som framkommit när det gäller utkontraktering av säkerhetskänslig verksamhet. Där har vi bl.a. konstaterat att teknikutvecklingen i sig har medfört en ökad sårbarhet. Därutöver har vi identifierat sju huvudsakliga brister och problem. Dessa är följande.

1. Det finns verksamhetsutövare som inte tillämpar säkerhetsskyddslagen (problem 1).

SOU 2018:82 Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...

191

2. Många verksamhetsutövare har bristande kunskap om egna skyddsvärden, inbegripet verksamhetens roll för Sveriges säkerhet och beroenden mellan verksamheten och andra verksamheter med betydelse för Sveriges säkerhet (problem 2).

3. Utkontraktering sker i vissa fall utan en tillräcklig bedömning av om det är lämpligt (problem 3).

4. Det förekommer att säkerhetsskyddsavtalen är bristfälliga (pro-

blem 4).

5. Det förekommer att uppföljningen av utkontraktering brister eller uteblir helt (problem 5).

6. Möjligheterna att pröva leverantörens lämplighet är begränsade (problem 6).

7. De rättsliga möjligheterna att ingripa är otillräckliga när en planerad utkontraktering är olämplig från säkerhetsskyddssynpunkt eller en påbörjad eller pågående utkontraktering eller upplåtelse blir olämplig på grund av ändrade förhållanden (problem 7).

Vår bedömning är att samtliga dessa brister och problem är sådana att det finns ett behov av förebyggande åtgärder. Vi konstaterar vidare att bristerna kan aktualiseras även i andra sammanhang än vid utkontraktering, t.ex. i samband med vissa upplåtelser och andra förfaranden där utomstående aktörer involveras i den säkerhetskänsliga verksamheten.

6.5.1 Inriktning på våra överväganden

Bedömning: De förebyggande åtgärder som införs bör inte vara

knutna till den rättsliga rubriken på ett visst förfarande, t.ex. utkontraktering, utan bör i stället knytas till om förfarandet innebär att säkerhetsskyddsklassificerade uppgifter eller i övrigt säkerhetskänslig verksamhet exponeras för någon utomstående. Vissa åtgärder för att generellt stärka säkerhetsskyddet i centrala avseenden bör övervägas.

Utkontraktering och upplåtelse av säkerhetskänslig verksamhet... SOU 2018:82

192

Förhållandet till våra förslag om säkerhetsskyddsavtal

Vi har bl.a. fått i uppgift att utreda vilka ytterligare åtgärder som skulle kunna vidtas för att komma till rätta med de negativa konsekvenser för Sveriges säkerhet som utkontraktering och upplåtelse av säkerhetskänslig verksamhet kan innebära. Genom tilläggsdirektiv har vi också fått i uppgift att analysera och föreslå i vilken utsträckning verksamhetsutövare ska vara skyldiga att ingå säkerhetsskyddsavtal vid överenskommelser med utomstående som berör den säkerhetskänsliga verksamheten. Vi har redovisat våra överväganden om säkerhetsskyddsavtal i kapitel 5 och där föreslagit en bred ansats, där skyldigheten att ingå säkerhetsskyddsavtal omfattar betydligt fler fall än i dag. Som vi har angett i avsnitt 6.1 anser vi att dessa två delar av uppdraget måste ses som en helhet, mot bakgrund av det övergripande syftet med vårt utredningsuppdrag som är att stärka förmågan att effektivt och samordnat förebygga och möta omedelbara hot mot och utmaningar för Sveriges säkerhet.

Utgångspunkten för våra förslag om en utvidgad skyldighet att ingå säkerhetsskyddsavtal är att det bör krävas ett säkerhetsskyddsavtal när den som bedriver säkerhetskänslig verksamhet inleder ett förfarande som innebär att någon utomstående kan få tillgång till uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller i övrigt till säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet. Med ett samlat uttryck har vi beskrivit detta som att uppgifterna eller verksamheten exponeras för någon utomstående. Vi har med hänsyn till den utgångspunkten föreslagit att man i reglerna slopar kopplingen till upphandling och andra anskaffningar, och i stället fokuserar på om uppgifter eller verksamhet i övrigt exponeras. Det blir då de möjliga negativa konsekvenserna av ett visst förfarande som står i centrum, och inte den rättsliga rubriken på förfarandet. Ett motiv till förslaget är att det finns situationer där det kan finnas ett lika stort behov av säkerhetsskyddsåtgärder hos motparten som vid en anskaffning. Ett annat motiv är att behovet av säkerhetsskydd inte behöver vara kopplat till att verksamhetsutövaren är just beställare.

Om våra förslag i kapitel 5 genomförs, kommer kravet på säkerhetsskyddsavtal att träffa betydligt fler fall, och i princip omfatta alla slags avtal och samarbeten och all slags samverkan, förutsatt att förfarandet innebär en exponering för någon utomstående part av

SOU 2018:82 Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...

193

uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller i övrigt säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet. Därigenom kommer bl.a. upplåtelser att omfattas, om förutsättningarna i övrigt är uppfyllda. Kravet på säkerhetsskyddsavtal kommer också att gälla vid olika former av samverkan, t.ex. mellan myndigheter och enskilda. Det föreslås däremot inte gälla vid samverkan och samarbete mellan två eller flera statliga myndigheter som rör något annat än en viss anskaffning.

Våra överväganden i detta kapitel måste ses mot bakgrund av förslagen i kapitel 5. De förebyggande åtgärder som föreslås i det här kapitlet är med andra ord tänkta att komplettera reglerna om säkerhetsskyddsavtal med andra typer av förebyggande åtgärder.

Våra överväganden om förebyggande åtgärder begränsas inte till utkontraktering och upplåtelse

Vår kartläggning visar att de problem som aktualiseras vid utkontraktering också aktualiseras vid andra slags förfaranden, t.ex. vissa upplåtelser och upphandlingar. Som vi har angett tidigare, bör man enligt vår mening betrakta vårt uppdrag som en helhet, där uppgiften att överväga ändringar i fråga om skyldigheten att ingå säkerhetsskyddsavtal ingår. Vi anser därför att det finns starka skäl för att man – så som vi gjort i fråga om säkerhetsskyddsavtal – väljer en bred ansats och i regleringen utgår från om ett visst förfarande medför en exponering av säkerhetsskyddsklassificerade uppgifter eller säkerhetskänslig verksamhet i övrigt. Ett sådant angreppssätt skulle innebära att de förebyggande åtgärderna inte begränsas till utkontraktering och upplåtelse. Det finns också andra tungt vägande skäl för detta.

Ett skäl som talar för en bred ansats är att det kan finnas andra situationer än just utkontraktering och upplåtelse som medför motsvarande konsekvenser ur säkerhetsskyddsperspektiv. Det är svårt att förutse precis vilka situationer det kan handla om, men man kan t.ex. tänka sig forskningssamarbeten och vissa anskaffningar som kan vara väl så känsliga som en utkontraktering. Behovet av att verksamhetsutövaren, utifrån en gedigen kunskap om de egna skyddsvärdena, bl.a. överväger om förfarandet är lämpligt och vidtar lämpliga åtgärder för att skydda dessa värden, kan vara lika stort som vid en utkontraktering eller upplåtelse. Som vi ser det kan det innebära en aktualisering av de flesta av de problem som vi har identifierat

Utkontraktering och upplåtelse av säkerhetskänslig verksamhet... SOU 2018:82

194

beträffande utkontraktering och upplåtelse av säkerhetskänslig verksamhet. Detta talar för en reglering som inte enbart träffar utkontraktering och upplåtelse, utan i stället utgår ifrån om säkerhetsskyddsklassificerade uppgifter eller i övrigt säkerhetskänslig verksamhet kan exponeras för någon utomstående. Just detta moment, dvs. att verksamhetsutövaren kopplar in en utomstående aktör som kan få tillgång till känsliga uppgifter eller till själva verksamheten, är kännetecknande för både utkontraktering och upplåtelse, varför dessa förfaranden skulle omfattas av regleringen med en sådan bredare ansats. Samtidigt skulle också andra förfaranden, som medför en motsvarande exponering, kunna omfattas. Med en sådan mer generell skrivning blir regleringen mer lättillämpad och får bättre förutsättningar att stå sig över tid. Bland annat kan den lättare omfatta nya verksamheter och skydda mot hot av olika karaktär (jfr prop. 2017/18:89 s. 35).

Som vi anfört ovan skulle vidare en bred ansats vara bäst förenlig med våra principiella ställningstaganden och förslag i kapitel 5. En bred ansats skulle också vara bäst förenlig med bestämmelserna om samrådsskyldighet, föreläggande och förbud i 2 kap. 6 § nya säkerhetsskyddsförordningen. Bestämmelserna gäller nämligen generellt för statliga myndigheters upphandlingar i den mån dessa omfattas av krav på säkerhetsskyddsavtal enligt 2 kap. 6 § nya säkerhetsskyddslagen, och vissa ytterligare förutsättningar är uppfyllda. Om våra förslag skulle begränsas till utkontrakteringar och upplåtelser så skulle det innebära att de förebyggande åtgärderna skulle omfatta färre situationer än vad som gäller enligt de nyss nämnda bestämmelserna. Detta skulle innebära en försvagning av skyddet, inte en förstärkning. Det kan knappast vara i linje med vårt uppdrag.

Ett ytterligare skäl som talar för en bredare ansats är att det är svårt att uttömmande definiera i synnerhet begreppet utkontraktering. Begreppet används visserligen redan i viss svensk lagstiftning, men saknar en legaldefinition (jfr 3 kap. 24 § lagen [2017:630] om åtgärder mot penningtvätt och finansiering av terrorism samt förordningen [2001:911] om avgifter för prövning av ärenden hos Finansinspektionen). Vi befarar att gränsdragningsfrågor skulle kunna uppstå när det gäller förhållandet mellan utkontraktering och att anlita uppdragstagare eller att köpa en tjänst som i framtiden skulle kunna

SOU 2018:82 Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...

195

komma att utföras av verksamhetsutövaren själv.

13

Det kan också

tänkas att i grunden liknande förfaranden paketeras på olika sätt, vilket kan medföra att de rättsliga bedömningarna av vad det är för typ av förfarande kan variera. En oklar definition av vilka förfaranden som träffas av en viss reglering kan leda till osäkerhet om dels vilka skyldigheter som åligger verksamhetsutövare i fråga om förebyggande åtgärder, dels vilka befogenheter som tillsynsmyndigheterna har i olika situationer. En sådan osäkerhet om skyldigheter och befogenheter kan i sin tur leda till att kraven på förebyggande åtgärder inte får tillräckligt genomslag i praktiken. Det kan medföra att den önskade förbättringen av säkerhetsskyddet inte uppnås. Slutligen finns det en risk för att verksamhetsutövarna lägger onödigt mycket energi på att utreda om det förfarande man planerar verkligen är en utkontraktering, samtidigt som man lägger mindre energi på att överväga vilka eventuella konsekvenser och sårbarheter som förfarandet kan medföra ur säkerhetsskyddsperspektiv. En sådan risk finns särskilt eftersom olika förebyggande åtgärder, och säkerhetsskyddsåtgärder, kan vara kostsamma och medföra administrativa påfrestningar för verksamhetsutövarna. Ett sådant skifte av fokus skulle inte vara till fördel ur ett säkerhetsskyddsperspektiv.

Det anförda talar starkt för en sådan bred ansats som vi beskrivit inledningsvis i avsnittet. Vi kan inte se några egentliga nackdelar med en sådan lösning, förutsatt att åtgärderna får en i övrigt lämplig utformning och avgränsning. Med hänsyn till detta har vi valt att överväga förebyggande åtgärder som omfattar, men inte begränsas till, utkontraktering och upplåtelse av säkerhetskänslig verksamhet. Vår utgångspunkt i det följande är därmed att det är utomståendes tillgång till säkerhetsskyddsklassificerade uppgifter eller i övrigt till säkerhetskänslig verksamhet eller som är styrande för när de förebyggande åtgärderna ska gälla. Det är en annan sak att det också kan behöva ställas ytterligare villkor för att olika åtgärder ska bli aktuella, och att villkoren kan behöva vara strängare ju mer ingripande åtgärder det är fråga om.

13 Jfr med definitionen av utkontraktering i Vägledning – informationssäkerhet i upphandling (2013), Myndigheten för samhällsskydd och beredskap s. 40.

Utkontraktering och upplåtelse av säkerhetskänslig verksamhet... SOU 2018:82

196

Vi överväger vissa åtgärder som går ut på att stärka säkerhetsskyddet generellt

Flera av de problem som vi har identifierat i avsnitt 6.4 kan kopplas till att kunskapen och medvetenheten om säkerhetsskyddsregleringen är för dålig hos vissa verksamhetsutövare och att säkerhetsskyddsarbetet inte har en tillräckligt framskjuten roll inom verksamheten. Med hänsyn till det har vi sett det som nödvändigt att överväga vissa åtgärder som syftar till att mer generellt förstärka säkerhetsskyddet. Vi utvecklar detta närmare i nästa avsnitt.

6.5.2 Disposition av våra överväganden

I problembeskrivningen har vi lyft fram vissa allmänna brister i säkerhetsskyddsarbetet som kan medföra negativa konsekvenser vid bl.a. utkontraktering, upplåtelse och säkerhetsskyddade upphandlingar i allmänhet. Ett sådant generellt problem är att det finns verksamheter av stor betydelse för Sveriges säkerhet som inte alls tillämpar säkerhetsskyddslagens bestämmelser (problem 1). Det finns därför skäl att överväga åtgärder för att stärka medvetenheten om säkerhetsskydd generellt. En sådan tänkbar åtgärd är införande av en anmälningsplikt för verksamhetsutövare som bedriver säkerhetskänslig verksamhet. En sådan anmälningsplikt skulle inte bara ha betydelse för verksamhetsutövarnas säkerhetsskyddsarbete, utan också för tillsynsmyndigheternas möjligheter att få kunskap om vilka tillsynsobjekt de ansvarar för. Med hänsyn till frågans starka koppling till frågor om tillsyn har vi valt att behandla den i kapitel 8 och närmare bestämt i avsnitt 8.14. Vi lämnar där förslag som går ut på att den som bedriver säkerhetskänslig verksamhet utan dröjsmål ska anmäla detta till tillsynsmyndigheten, och även anmäla när den säkerhetskänsliga verksamheten upphör. Våra överväganden i detta kapitel bör ses mot bakgrund av detta förslag.

Ett annat generellt problem som accentueras och som kan leda till särskilda negativa konsekvenser i samband med bl.a. utkontraktering är att säkerhetsfunktionen ofta har en undanskymd roll i organisationen och inte ges ett tillräckligt inflytande inför beslut om exempelvis utkontraktering. Med hänsyn till detta finns det enligt

SOU 2018:82 Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...

197

vår mening anledning att överväga om man bör stärka säkerhetsskyddschefens roll i säkerhetskänsliga verksamheter. Vi börjar därför våra egentliga överväganden med denna fråga (avsnitt 6.6).

I avsnitt 6.7–6.9 överväger vi vissa specifika ”kontrollstationer” inför och under vissa förfaranden. I avsnitt 6.10 överväger vi frågor om överklagande. I avsnitt 6.11 överväger vi vissa frågor som har att göra med uppföljning under avtalstiden, i 6.12 frågor om tvångsåtgärder och i avsnitt 6.13 frågor om förslagens förhållande till bl.a. egendomsskyddet. Kapitlet avslutas med ett kort avsnitt om behovet av bemyndiganden.

6.6 Säkerhetsskyddschefens roll i organisationen bör stärkas

Förslag: Bestämmelser om säkerhetsskyddschef, som hittills funnits

i förordning, förs in i säkerhetsskyddslagen. Bestämmelserna innebär att det liksom tidigare ska finnas en säkerhetsskyddschef vid en säkerhetskänslig verksamhet, om det inte är uppenbart obehövligt. Säkerhetsskyddschefens uppdrag förtydligas genom att det anges att han eller hon ska leda och samordna säkerhetsskyddsarbetet samt kontrollera att verksamheten bedrivs i enlighet med vad som föreskrivs i säkerhetsskyddslagen och de föreskrifter som meddelats med stöd av lagen. Det föreskrivs att detta ansvar inte får delegeras. Det hittillsvarande kravet på att säkerhetsskyddschefen ska vara direkt underställd myndighetens chef görs tillämpligt på alla verksamhetsutövare genom att det anges att säkerhetsskyddschefen ska vara direkt underställd den person som är ansvarig för verksamhetsutövarens verksamhet.

Det yttersta ansvaret för säkerhetsskyddet åvilar den som är chef för verksamhetsutövaren, t.ex. en myndighetschef eller verkställande direktör. De förslag som vi lämnar i detta avsnitt utgår från att den som är chef för verksamhetsutövaren även i fortsättningen kommer att ha det yttersta ansvaret för säkerhetsskyddet.

I 2 kap. 2 § nya säkerhetsskyddsförordningen finns det bestämmelser som innebär en skyldighet för en verksamhet som förordningen gäller för att ha en säkerhetsskyddschef, om det inte är uppenbart obehövligt. Det anges vidare att säkerhetsskyddschefens

Utkontraktering och upplåtelse av säkerhetskänslig verksamhet... SOU 2018:82

198

uppgift är att kontrollera att verksamheten bedrivs i enlighet med vad som föreskrivs i nya säkerhetsskyddslagen och förordningen. Vid myndigheter ska säkerhetsskyddschefen vara direkt underställd myndighetens chef.

Regler om säkerhetsskyddschef bör finnas i lag

Vi har i problembeskrivningen konstaterat att det förekommer brister i kommunikationen mellan verksamhetsutövares säkerhetsfunktion och den funktion, ofta i ledningen, som beslutar om t.ex. utkontraktering. Detta kan leda till och bidra till brister i flera avseenden bl.a. i samband med utkontraktering och andra förfaranden där utomstående involveras i den säkerhetskänsliga verksamheten.

Säkerhetsskyddschefens roll i verksamheten uppmärksammades vid granskningen av Transportstyrelsens upphandling av it-drift (Ds 2018:6). I promemorian angavs att säkerhetsskyddschefen uppfattade att det var svårt att få genomslag för säkerhetsskyddsfrågor både på ledningsnivå och i verksamheten samt att säkerhetsfrågorna kom in alldeles för sent i upphandlingarna av it-drift och stordatormigrering (s. 98). Utredaren beskriver Transportstyrelsens säkerhetskultur på så sätt att säkerhetsskyddet har uppfattats som något som primärt har varit säkerhetsskyddschefens ansvar och inte en del av verksamhetens ansvar (s. 86).

Det anförda visar på vikten av att säkerhetsskyddschefen organisatoriskt finns nära verksamhetens chef. En sådan ordning skapar förutsättningar för att säkerhetsskyddsfrågorna i allmänhet får en högre prioritet i organisationen än i dag, vilket framstår som nödvändigt mot bakgrund av de brister som framkommit. Som beskrivits ovan gäller det för myndigheter redan ett krav på att säkerhetsskyddschefen är direkt underställd myndighetschefen. Vi anser dock att skälen för en sådan regel även gör sig gällande i fråga om andra verksamhetsutövare på säkerhetsskyddslagens område. Motsvarande skyldighet bör därför gälla även för enskilda verksamhetsutövare, liksom för kommuner och landsting. Eftersom det får anses handla om en bestämmelse som innebär åligganden för kommuner och enskilda bör den finnas i lag; lämpligen i en ny paragraf i 2 kap. i nya säkerhetsskyddslagen.

SOU 2018:82 Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...

199

Vi anser det inte lämpligt att i lagtexten närmare ange vem som i olika slags organisationer är verksamhetens chef. Det bör dock handla om den högsta chefen hos den verksamhetsutövare som bedriver den säkerhetsskyddskänsliga verksamheten. Vem detta är beror på hur verksamheten har organiserats. I ett aktiebolag är den högsta chefen normalt verkställande direktören, men det finns också aktiebolag utan verkställande direktör, 8 kap. 27 § aktiebolagslagen (2005:551). I en kommun ska det utses en högsta tjänsteman, en direktör, som leder förvaltningen i enlighet med en instruktion som kommunstyrelsen fastställer, 7 kap.1 och 2 §§kommunallagen (2017:725). Normalt torde denne vara att anses som verksamhetsutövarens chef när det gäller säkerhetsskyddsfrågor.

I likhet med bestämmelsen i säkerhetsskyddsförordningen bör det av den nya paragrafen framgå att verksamhetsutövare enligt säkerhetsskyddslagen ska ha en säkerhetsskyddschef om det inte är uppen-

bart obehövligt. Så kan exempelvis vara fallet om den säkerhets-

känsliga verksamheten har mycket liten omfattning. Det kan också ha betydelse vilka säkerhetsskyddsklassificerade uppgifter det gäller eller hur säkerhetskänslig verksamhet det i övrigt är fråga om.

Säkerhetsskyddschefens roll bör utvecklas och förtydligas

En fråga som uppkommit under vårt arbete är om det även finns skäl för att överväga ändringar av säkerhetsskyddschefens roll. Som ovan nämnts följer det av nya säkerhetsskyddsförordningen att säkerhetsskyddschefens uppgift är att kontrollera att verksamheten bedrivs i enlighet med vad som föreskrivs i nya säkerhetsskyddslagen och förordningen. Denna skyldighet bör säkerhetsskyddschefen ha även i framtiden.

Enligt vår mening är det dock viktigt att säkerhetsskyddschefen, utöver sin kontrollerande roll, även har en aktiv roll och är drivande i arbetet med att ta fram och bibehålla ett väl anpassat säkerhetsskydd. Detta bör klart framgå av bestämmelsens ordalydelse. Vi föreslår därför att det i paragrafen anges att säkerhetsskyddschefen ska leda och samordna säkerhetsskyddsarbetet inom verksamheten. Förslaget innebär ingen förändring vad gäller det yttersta ansvaret för säkerhetsskyddet, som alltjämt bör ligga hos den som är chef för verksamhetsutövaren.

Utkontraktering och upplåtelse av säkerhetskänslig verksamhet... SOU 2018:82

200

Säkerhetsskyddschefen bör rapportera till organisationens högsta chef och bör normalt ingå i en eventuell ledningsgrupp. Med en sådan ordning skapas det enligt vår mening förutsättningar för att säkerhetsskyddet uppmärksammas och beaktas i den dagliga styrningen av verksamheten. Säkerhetsskyddschefen, och det eventuella säkerhetsskyddsteam som rapporterar till honom eller henne, bör därmed i god tid involveras i alla frågor som aktualiserar säkerhetsskydd. Det kan då handla om allt från säkerhetsskyddsavtal till driftsättning av nya informationssystem (se t.ex. reglerna i 3 kap. nya säkerhetsskyddsförordningen).

En särskild fråga är om säkerhetsskyddschefens ansvar bör kunna delegeras till någon annan person i organisationen än säkerhetsskyddschefen. Vår uppfattning är att detta inte bör vara tillåtet. Skälet till vår bedömning är att det alltid bör finnas en person som har ansvaret för att kontrollera att säkerhetsskyddsskyddsregleringen följs och som har en helhetsbild av verksamhetens skyddsvärden och säkerhetsskydd. Om ansvaret får delegeras uppnår man inte de viktiga fördelar som finns med att denna person, dvs. säkerhetsskyddschefen, är direkt underställd verksamhetsutövarens chef. Vi föreslår därför att paragrafen ska innehålla en bestämmelse som går ut på att säkerhetsskyddschefens ansvar inte får delegeras. En annan sak är att det naturligtvis måste vara möjligt att delegera olika arbetsuppgifter på säkerhetsskyddsområdet till andra än säkerhetsskyddschefen.

6.7 En första kontrollstation – särskild säkerhetsbedömning och egen lämplighetsprövning

Förslag: Det införs i säkerhetsskyddslagen bestämmelser om

vissa åligganden för den som bedriver säkerhetskänslig verksamhet och som avser att inleda ett förfarande som kräver säkerhetsskyddsavtal. Bestämmelserna motsvarar delvis 2 kap. 6 § nya säkerhetsskyddsförordningen. Innan förfarandet inleds ska verksamhetsutövaren genom en särskild säkerhetsbedömning identifiera vilka säkerhetsskyddsklassificerade uppgifter eller vilken säkerhetskänslig verksamhet i övrigt som den utomstående parten kan få tillgång till och som kräver säkerhetsskydd. Med utgångspunkt i den särskilda säkerhetsbedömningen och övriga omständigheter

SOU 2018:82 Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...

201

ska verksamhetsutövaren pröva om det planerade förfarandet är lämpligt från säkerhetsskyddssynpunkt (lämplighetsprövning). Den särskilda säkerhetsbedömningen och lämplighetsprövningen ska dokumenteras. Kravet på särskild säkerhetsbedömning enligt den nya bestämmelsen har ett bredare tillämpningsområde än bestämmelsen i nya säkerhetsskyddsförordningen. Det uttryckliga kravet på lämplighetsprövning är nytt.

Det införs ett uttryckligt krav på att det planerade förfarandet inte får inledas om lämplighetsprövningen leder till bedömningen att det är olämpligt från säkerhetsskyddssynpunkt.

Vi övergår nu till att diskutera förebyggande åtgärder som mer specifikt tar sikte på utkontraktering och upplåtelse av säkerhetskänslig verksamhet och andra förfaranden som medför att säkerhetsskyddsklassificerade uppgifter och i övrigt säkerhetskänslig verksamhet exponeras för någon utomstående aktör. I det här avsnittet överväger vi vilka skyldigheter som bör åligga den verksamhetsutövare som överväger att utkontraktera en viss del av sin säkerhetskänsliga verksamhet, eller på något annat sätt involvera någon utomstående aktör på ett sådant sätt att säkerhetsskyddsklassificerade uppgifter eller i övrigt säkerhetskänslig verksamhet exponeras.

6.7.1 Lämpligheten måste prövas

En grundpelare i säkerhetsskyddslagstiftningen är att det är verksamhetsutövaren som bär ansvaret för säkerhetsskyddet. I det måste det enligt vår mening ligga ett krav på att verksamhetsutövare noga analyserar och bedömer om en viss utkontraktering eller annat förfarande som innebär att säkerhetsskyddsklassificerade uppgifter eller säkerhetskänslig verksamhet i övrigt exponeras för utomstående är lämpligt från säkerhetsskyddssynpunkt.

Utkontraktering är ett typexempel på en situation som ofta innebär en sådan exponering som nyss sagts och som därför aktualiserar ett behov av lämplighetsprövning. Det är av yttersta vikt att fördelarna med ett visst förfarande ställs mot de sårbarheter och skador för Sveriges säkerhet som förfarandet kan innebära. I vissa fall kan dessa hanteras genom ett väl formulerat säkerhetsskyddsavtal, där det klargörs vad motparten måste göra för att leva upp till kraven på

Utkontraktering och upplåtelse av säkerhetskänslig verksamhet... SOU 2018:82

202

säkerhetsskydd. I andra fall kan man inte genom ens ett optimalt utformat säkerhetsskyddsavtal motverka de säkerhetsskyddsproblem som uppstår genom en utkontraktering. Det kan t.ex. handla om utkontraktering av kritisk verksamhet till ett land som inte har ingått en överenskommelse med Sverige om säkerhetsskydd och där det inte är meningsfullt att göra en säkerhetsprövning av personal som ska få del av säkerhetsskyddsklassificerade uppgifter.

Av det sagda följer att en av de första frågor som en verksamhetsutövare måste ställa sig när man överväger en utkontraktering är om det över huvud taget är lämpligt att utkontraktera den aktuella delen av verksamheten. Som vi har konstaterat tidigare kan det finnas verksamheter som av säkerhetsskyddskäl aldrig bör utkontrakteras.

Det som har anförts om utkontraktering gör sig till stor del gällande även i fråga om andra förfaranden där utomstående involveras i den säkerhetskänsliga verksamheten, t.ex. andra slags upphandlingar, upplåtelser och samarbeten av olika slag. Den verksamhetsutövare som planerar ett sådant förfarande måste alltså i ett tidigt skede ställa sig frågan om förfarandet är lämpligt från säkerhetsskyddssynpunkt.

Upphandlingslagstiftningen måste beaktas från början

När det är fråga om ett planerat förfarande för vilken regleringen om offentlig upphandling kan vara tillämplig, måste den myndighet som planerar förfarandet beakta upphandlingslagstiftningen redan från början. Upphandlingslagstiftningen måste alltså beaktas inom ramen för den lämplighetsprövning som ska göras. Upphandlingslagstiftningen är i de flesta fall tillämplig när det gäller myndigheters anskaffning av varor, tjänster och byggentreprenader. Detta innebär bl.a. att någon av upphandlingslagarna normalt ska tillämpas vid en utkontraktering av säkerhetskänslig verksamhet och många andra anskaffningar. Vid bedömningen av om en tänkt upphandling är lämplig är det viktigt att verksamhetsutövaren redan från början tar ställning till vad upphandlingslagstiftningen kan innebära i fråga om möjligheten för verksamhetsutövaren att styra över vem man ska sluta avtal med och i övrigt ställa upp de krav som behövs för att upprätthålla säkerhetsskyddet. Verksamhetsutövaren måste då börja med att ta ställning till om upphandlingslagstiftningen är tillämplig

SOU 2018:82 Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...

203

och i så fall vilken av upphandlingslagarna som kan komma att tillämpas. En del i denna bedömning är ett ställningstagande till om den aktuella upphandlingen träffas av något undantag som innebär att upphandlingsreglerna eller vissa av dem inte gäller. Vi har översiktligt redogjort för regelverket och undantagsbestämmelserna i avsnitt 6.3.3.

För att man ska kunna bedöma vilka bestämmelser som gäller för den aktuella upphandlingen, och om upphandlingen är lämplig, är det nödvändigt att redan när en upphandling planeras noggrant beskriva vad upphandlingen avser – t.ex. vilken verksamhet som ska utkontrakteras – och vilka krav som måste ställas på leverantören samt i vilket skede kraven ska ställas. Det kan exempelvis vara krav på säkerhetsskyddsåtgärder, säkerhetsåtgärder, företagets och personalens lämplighet från säkerhetsskyddssynpunkt, att kunna kontrollera säkerhetsskyddskraven, internationellt åtagande om säkerhetsskydd, att skapad information eller immaterialrätter kan återtas när kontraktet avslutats, leverans eller support inom viss tid, att leverantören själv ska utföra verksamheten, personalens kompetens, att endast viss personal ska ta del av vissa uppgifter, att verksamheten ska vara etablerad i Sverige på grund av någon identifierad omständighet m.m. I bedömningen måste man också pröva vilka krav som går att ställa med hänsyn till upphandlingslagstiftningens regler om proportionalitet, icke-diskriminering och transparens.

Det är först när samtliga krav på säkerhetsskydd har identifierats som det är möjligt att göra en bedömning av om en utkontraktering eller annan anskaffning kan komma att undantas från upphandlingslagstiftningen, exempelvis för att skyddet av Sveriges väsentliga säkerhetsintressen inte kan säkerställas om upphandlingen eller projekttävlingen genomförs enligt upphandlingslagstiftningen. Det är viktigt att framhålla här att den bedömning som verksamhetsutövaren själv gör i någon mån är preliminär, eftersom den kan komma att överprövas av domstol, som kan göra en annan bedömning. En sådan prövning kan ske i en överprövningsprocess där domstolen kan komma till slutsatsen att ett annat förfarande ska användas. Det kan också ske inom ramen för en skadeståndstalan där domstolen bedömer att en leverantör har lidit skada till följd av att den upphandlande myndigheten inte har följt bestämmelserna i upphandlingslagstiftningen.

Utkontraktering och upplåtelse av säkerhetskänslig verksamhet... SOU 2018:82

204

Bedömningen måste göras tidigt

När verksamhetsutövaren har identifierat samtliga krav som behöver ställas måste den första bedömningen vara om det över huvud taget är lämpligt att inleda det planerade förfarandet. Detta gäller oavsett om det är fråga om en utkontraktering eller något annat slags förfarande där säkerhetsskyddsklassificerade uppgifter eller någon del av den säkerhetskänsliga verksamheten i övrigt exponeras förutomstående. Med andra ord måste verksamhetsutövaren bedöma om det är möjligt och lämpligt att uppställa de nödvändiga kraven på en leverantör eller annan motpart. Om detta inte är möjligt eller lämpligt, oavsett om detta beror på upphandlingslagstiftningen eller av någon annan anledning, bör verksamhetsutövaren naturligtvis inte inleda det planerade förfarandet.

Det är viktigt att frågan om det planerade förfarandets lämplighet prövas redan i det första skedet och inte kommer som en eftertanke när beslutet att inleda förfarandet redan är fattat. Detta gäller i synnerhet i fråga om myndigheters utkontrakteringar och andra slags upphandlingar. Det kan nämligen av såväl rättsliga och ekonomiska som praktiska skäl vara svårt att backa när man väl har påbörjat en upphandling. Ett exempel på problem som kan uppstå är att en avbruten upphandling i vissa fall kan leda till skadeståndskrav. Ett annat problem är att verksamhetsutövaren inför en utkontraktering kan ha försatt sig i en situation där inga lämpliga handlingsalternativ återstår, t.ex. för att man har frånhänt sig de resurser som skulle behövas för att man själv skulle kunna bedriva verksamheten. En verksamhetsutövare kan alltså hamna i ett läge där man varken kan bedriva verksamheten själv eller utkontraktera den. Det sistnämnda fallet illustreras av de problem som aktualiserades i fallet med Transportstyrelsens utkontraktering av it-drift (Ds 2018:6 s. 187 och 188).

I avsnitt 6.6 föreslår vi att säkerhetsskyddschefen ska leda och samordna säkerhetsskyddsarbetet samt rapportera till organisationens högsta chef. Genom detta förslag skapas det enligt vår mening bättre förutsättningar för att frågor om säkerhetsskydd aktualiseras i ett tidigt skede av de förfaranden som planeras.

SOU 2018:82 Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...

205

6.7.2 Det behövs ytterligare åtgärder för att skapa garantier för att lämpligheten prövas

Trots vikten av en tidig och noggrann analys av om en utkontraktering är lämplig från säkerhetsskyddssynpunkt visar vår kartläggning att det inte sällan brister just på denna punkt. Det är alltså vanligt att verksamhetsutövaren inte tycks ha gjort någon analys av om en utkontraktering är lämplig från säkerhetsskyddssynpunkt, eller att analysen är bristfällig (problem nr 3). Detta är ett allvarligt problem som enligt vår bedömning kräver förebyggande åtgärder. I enlighet med våra resonemang i avsnitt 6.5 är det lika viktigt att det sker en lämplighetsprövning vid andra slags upphandlingar, avtal, samarbeten och samverkan där utomstående involveras i den säkerhetskänsliga verksamheten.

När det gäller statliga myndigheters upphandlingar finns det redan vissa regler på området, som har införts i avvaktan på våra förslag. I 16 a § gamla säkerhetsskyddsförordningen har det nyligen införts bestämmelser som innebär att det i vissa fall finns en skyldighet för verksamhetsutövaren att göra en särskild säkerhetsanalys och därefter samråda med Försvarsmakten eller Säkerhetspolisen inför en upphandling. En något omarbetad bestämmelse på samma tema finns också i 2 kap. 6 § nya säkerhetsskyddsförordningen (se avsnitt 6.3.2). Det framgår av den promemoria som låg till grund för bestämmelsen i gamla säkerhetsskyddsförordningen att en lämplighetsanalys bör ingå som ett led i den särskilda säkerhetsanalys som krävs enligt bestämmelsen (Skärpt kontroll av statliga myndigheters

utkontraktering och överlåtelse av säkerhetskänslig verksamhet,

Ju 2017/07544/L4 s. 27). Detta framgår dock inte uttryckligen av bestämmelsen, varför det får anses något oklart vad som åligger de statliga myndigheterna i detta avseende. Något klargörande har inte skett i 2 kap. 6 § nya säkerhetsskyddsförordningen. Det förfarande som föregår samrådet, dvs. särskild säkerhetsanalys, kallas i den nya bestämmelsen för särskild säkerhetsbedömning.

Den nuvarande regleringen kan skärpas men inte försvagas

Mot bakgrund av att vårt uppdrag är att överväga en förstärkning av de förebyggande åtgärderna vid bl.a. utkontraktering kan det enligt vår mening inte komma i fråga att lämna förslag som är mindre

Utkontraktering och upplåtelse av säkerhetskänslig verksamhet... SOU 2018:82

206

långtgående än de bestämmelser som redan gäller. Det bör alltså även i fortsättningen gälla ett krav på att statliga myndigheter gör en särskild säkerhetsbedömning inför vissa säkerhetsskyddade upphandlingar. Frågan är således enbart om reglerna ska skärpas i något avseende eller få ett bredare tillämpningsområde.

6.7.3 Kravet på särskild säkerhetsbedömning bör utvidgas

En förutsättning för att en verksamhetsutövare ska kunna göra en välgrundad bedömning av om ett visst planerat förfarande är lämpligt från säkerhetsskyddssynpunkt är att verksamhetsutövaren har kunskap om bl.a. vilka säkerhetsskyddsklassificerade uppgifter som den tänkta motparten kan komma att få tillgång till. Det har därför stor betydelse i vilken omfattning det gäller en skyldighet att göra en särskild säkerhetsbedömning (jfr 2 kap. 6 § nya säkerhetsskyddsförordningen).

Alla verksamhetsutövare bör omfattas

En första fråga är om fler verksamhetsutövare än i dag bör omfattas av kravet på särskild säkerhetsbedömning. De nuvarande och kommande bestämmelserna om särskild säkerhetsanalys respektive säkerhetsbedömning gäller enbart för statliga myndigheters upphandlingar i vissa fall. Med hänsyn till att enskilda aktörer i relativt stor omfattning bedriver säkerhetskänslig verksamhet, och med hänsyn till att säkerhetskänslig verksamhet även bedrivs i kommuner och landsting, anser vi att även den typen av verksamhetsutövare bör omfattas av bestämmelser om särskild säkerhetsbedömning. Dessa bör alltså gälla för alla verksamhetsutövare för vilka säkerhetsskyddslagen gäller.

Särskild säkerhetsbedömning bör göras i alla fall där det krävs säkerhetsskyddsavtal

Härefter måste man ringa in precis vilka slags förfaranden en reglering om särskild säkerhetsbedömning bör omfatta. Som vi redan konstaterat kan det knappast komma i fråga att införa bestämmelser med ett snävare tillämpningsområde än vad som kommer att gälla

SOU 2018:82 Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...

207

enligt nya säkerhetsskyddsförordningen. Det kan knappast heller anföras några sakliga skäl för en sådan inskränkning. Tvärtom finns det enligt vår mening starka skäl som talar för att reglerna får ett bredare tillämpningsområde än de får enligt nya säkerhetsskyddsförordningen.

Skälen för att ge reglerna ett bredare tillämpningsområde är till stor del desamma som har anförts i kapitel 5 till stöd för en utvidgad skyldighet att ingå säkerhetsskyddsavtal. Vi har återgett dessa i avsnitt 6.5 och där lagt fram dem som argument för att inte begränsa våra överväganden om förebyggande åtgärder till enbart utkontraktering och upplåtelse av säkerhetskänslig verksamhet. Skälen gör sig gällande även här. Vi menar alltså att det som i första hand avgör om det finns ett behov av en särskild säkerhetsbedömning är om ett visst förfarande innebär att säkerhetsskyddsklassificerade uppgifter eller säkerhetskänslig verksamhet i övrigt kan exponeras för någon utomstående. Detta kriterium har betydligt större praktisk betydelse än hur ett visst förfarande rubriceras rättsligt. Med hänsyn till detta anser vi, i likhet med vad vi kommit fram till i kapitel 5, att bestämmelserna bör frigöras från kopplingen till upphandling. De bör inte heller begränsas till utkontraktering eller upplåtelse av säkerhetskänslig verksamhet. I stället anser vi att skyldigheten bör knytas till om förfarandet innebär en exponering av säkerhetsskyddsklassificerade uppgifter eller säkerhetskänslig verksamhet i övrigt för någon utomstående. Detta innebär att reglerna som utgångspunkt kan knytas till den reglering som vi i kapitel 5 föreslår om skyldighet att ingå säkerhetsskyddsavtal.

Skyldigheten bör inte kopplas till förvaring av vissa uppgifter eller tillgång till vissa informationssystem

Enligt bestämmelserna i 2 kap. 6 § nya säkerhetsskyddsförordningen gäller kravet på särskild säkerhetsbedömning om upphandlingen omfattas av ett krav på säkerhetsskyddsavtal och leverantören kan få tillgång till eller möjlighet att förvara uppgifter i säkerhetsskyddsklassen hemlig eller högre utanför myndighetens lokaler, eller leverantören kan få tillgång till säkerhetskänsliga informationssystem utanför myndighetens lokaler och obehörig åtkomst till systemen kan medföra allvarlig skada för Sveriges säkerhet. Frågan är om dessa

Utkontraktering och upplåtelse av säkerhetskänslig verksamhet... SOU 2018:82

208

krav ska föras över till den reglering som vi nu diskuterar, eller om tillämpningsområdet ska breddas.

Det bör till att börja med beaktas att bestämmelserna i nya säkerhetsskyddsförordningen inte bara innebär ett krav på en särskild säkerhetsbedömning. Till denna skyldighet har man också kopplat en skyldighet att samråda med en tillsynsmyndighet, och befogenheter för denna tillsynsmyndighet att utfärda förelägganden och dessutom förbjuda den planerade upphandlingen i vissa fall. Det handlar alltså om betydligt mer långtgående skyldigheter och om kraftfulla möjligheter till ingripanden. Det vi nu diskuterar är enbart krav på en egen särskild säkerhetsbedömning. Det framstår då varken som nödvändigt eller lämpligt att begränsa tillämpligheten på det sätt som gjorts i 2 kap. 6 § nya säkerhetsskyddsförordningen.

Vi anser för vår del att alla typer av upphandlingar, samarbeten och liknande förfaranden som innebär krav på säkerhetsskyddsavtal enligt våra förslag i kapitel 5 potentiellt kan medföra negativa konsekvenser för Sveriges säkerhet. Det är då inte avgörande var uppgifter t.ex. förvaras, även om sårbarheterna typiskt sett kan vara större när utomstående får tillgång till eller möjlighet att förvara uppgifter utanför verksamhetsutövarens lokaler. Vidare är de åligganden som följer av bestämmelser om särskild säkerhetsbedömning inte särskilt betungande. Det framstår därför inte som orimligt att bestämmelserna träffar relativt brett. Vi anser följaktligen att kravet på särskild säkerhetsbedömning inte bör begränsas till fall där t.ex. en leverantör kan få tillgång till eller möjlighet att förvara säkerhetsskyddsklassificerade uppgifter eller säkerhetskänsliga informationssystem utanför verksamhetsutövarens lokaler.

Skyldigheten bör inte begränsas till uppgifter i de två högsta säkerhetsskyddsklasserna

Det anförda talar också för att det inte är lämpligt att begränsa bestämmelserna till uppgifter i de två högsta säkerhetsskyddsklasserna på det sätt som gjorts i 2 kap. 6 § nya säkerhetsskyddsförordningen. En sådan begränsning innebär att bara en relativt liten del av alla upphandlingar m.m. kommer att omfattas av regleringen. Detta är enligt vår mening inte önskvärt, eftersom det inte kan förväntas leda till den allmänna förbättring av säkerhetsskyddsarbetet i samband

SOU 2018:82 Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...

209

med bl.a. utkontraktering som behövs. Frågan är då om bestämmelsen i stället ska begränsas på samma sätt som bestämmelsen om säkerhetsskyddsavtal – dvs. att den nedre gränsen för tillämplighet går vid uppgifter i den näst lägsta säkerhetsskyddsklassen. Alternativet skulle vara att det inte finns någon begränsning alls i fråga om säkerhetsskyddsklass och att även uppgifter i den lägsta säkerhetsskyddsklassen får omfattas.

En lösning som går ut på att man fullt ut kopplar bestämmelsen till skyldigheten ingå ett säkerhetsskyddsavtal framstår som mest konsekvent med systemet i övrigt. Det bör också beaktas att regleringen innebär en viss belastning för verksamhetsutövarna och därmed kan vara kostnadsdrivande. I de fall säkerhetsskyddsavtal ska ingås måste verksamhetsutövaren under alla förhållanden göra en analys av vilken exponering som kommer att ske av uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller i övrigt av säkerhetskänslig verksamhet av motsvarande betydelse. Det innebär alltså inte något egentligt merarbete om detta krav anges uttryckligen. Skillnaden blir i den delen endast att det tillkommer ett uttryckligt krav på dokumentation.

Vår bedömning

Vid en avvägning anser vi att skälen överväger för att man fullt ut kopplar regleringen om särskild säkerhetsbedömning till kravet på att ingå säkerhetsskyddsavtal, så som detta har formulerats i våra förslag i kapitel 5. En sådan lösning innebär att alla som bedriver säkerhetskänslig verksamhet måste göra en särskild säkerhetsbedömning innan de inleder en upphandling, ingår ett avtal eller påbörjar en samverkan eller ett samarbete som innebär att den utomstående parten kan få tillgång till säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre. Samma skyldighet bör gälla om förfarandet i övrigt avser eller kan ge den utomstående parten tillgång till säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet. Skyldigheten gäller då med undantag för sådan samverkan och sådana samarbeten som inte omfattas av kravet på säkerhetsskyddsavtal.

Utkontraktering och upplåtelse av säkerhetskänslig verksamhet... SOU 2018:82

210

Den särskilda säkerhetsbedömningen ska dokumenteras

Det bör även i fortsättningen gälla ett krav på att den särskilda säkerhetsbedömningen ska dokumenteras.

6.7.4 Det bör införas ett uttryckligt krav på lämplighetsprövning

I enlighet med vår bedömning att det behövs ytterligare garantier för att lämplighetsprövningen görs, finns det starka skäl att överväga om det bör gälla ett uttryckligt krav på verksamhetsutövaren att göra en sådan prövning i vissa situationer. Vi anser att en sådan regel, i kombination med kravet på särskild säkerhetsbedömning, skulle förstärka principen om att det är verksamhetsutövaren själv som bär ansvaret för säkerhetsskyddet och att detta gäller även när man överväger att utkontraktera en viss verksamhet eller på något annat sätt involvera utomstående i verksamheten.

En bestämmelse som ställer krav på verksamhetsutövaren att noga pröva lämpligheten och att avstå från en ett planerat förfarande om det är olämpligt, innebär vidare att vikten av säkerhetsskydd i samband med exempelvis utkontraktering lyfts fram. Detta är viktigt inte minst eftersom frågor om säkerhetsskydd enligt vår kartläggning ofta är eftersatta och av ledningen uppfattas som bromsklossar för en önskad åtgärd snarare än som centrala frågor. Det kan ge verksamhetsutövarens säkerhetsfunktion ”råg i ryggen” och ett tydligare stöd för att motsätta sig en utkontraktering eller någon annan åtgärd som kanske är önskvärd av andra skäl, men olämplig med hänsyn till säkerhetsskyddet. För myndigheter och andra verksamhetsutövare blir det tydligare att kraven på effektiv resursanvändning måste balanseras mot säkerhetsskyddets krav.

Det finns vidare resursskäl som talar för bestämmelser av det nu diskuterade slaget. Såväl den nuvarande som den kommande regleringen om förfarandet vid vissa säkerhetsskyddade upphandlingar bygger på att en tillsynsmyndighet ska kopplas in genom ett samrådsförfarande. Förutom att det kan uppfattas som att huvudansvaret lyfts från verksamhetsutövaren, är det också viktigt att tillsynsmyndigheterna inte belastas i onödan. En eventuell formell samrådsskyldighet bör alltså enligt vår bedömning inte träda in förrän efter det att

SOU 2018:82 Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...

211

verksamhetsutövaren har gjort en noggrann analys av sina skyddsvärden och behovet av säkerhetsskydd och, utifrån den analysen och andra relevanta faktorer, kommit fram till bedömningen att det är lämpligt från säkerhetsskyddssynpunkt att inleda en utkontraktering eller att annat förfarande som kan innebära exponering av säkerhetsskyddsklassificerade uppgifter eller säkerhetskänslig verksamhet i övrigt. Vi återkommer till frågan om samrådsskyldighet i avsnitt 6.8.

Med hänsyn till det anförda föreslår vi att det införs bestämmelser där det anges att den särskilda säkerhetsbedömningen ska följas av en prövning av om ett planerat förfarande är lämpligt från säkerhetsskyddssynpunkt. Prövningen bör göras med utgångspunkt i den särskilda säkerhetsbedömningen och övriga omständigheter. Förfarandet bör kallas för lämplighetsprövning. Om prövningen leder till bedömningen att förfarandet inte är lämpligt, bör det uttryckligen framgå av regleringen att verksamhetsutövaren ska avstå från att inleda förfarandet.

Det bör råda ett krav på att lämplighetsprövningen dokumenteras

För att man i efterhand ska kunna kontrollera vilka analyser och bedömningar som gjorts bör det krävas att inte bara den särskilda säkerhetsbedömningen utan också lämplighetsprövningen dokumenteras.

6.7.5 Reglerna bör omfatta hela det planerade förfarandet

För att reglerna om särskild säkerhetsbedömning och lämplighetsprövning ska fylla sin funktion och samtidigt inte bli för betungande bör de omfatta samtliga moment i det planerade förfarandet som medför en skyldighet att ingå säkerhetsskyddsavtal. Därmed behöver verksamhetsutövaren i ett tidigt skede identifiera vilka moment i det planerade förfarandet som resulterar i sådan exponering att bestämmelsen om säkerhetsskyddsavtal aktualiseras.

Om det är fråga om offentlig upphandling kan säkerhetsskyddsklassificerade uppgifter eller i övrigt säkerhetskänslig verksamhet exponeras under såväl upphandlingsprocessen som efter att affärsavtalet ingåtts. Verksamhetsutövaren behöver då inkludera båda dessa

Utkontraktering och upplåtelse av säkerhetskänslig verksamhet... SOU 2018:82

212

moment i den särskilda säkerhetsbedömningen och i lämplighetsprövningen.

6.7.6 Reglerna förebygger mer än ett problem

Vår bedömning är att regler om särskild säkerhetsbedömning och lämplighetsprövning kan förebygga både det som vi har kallat problem 2, dvs. att verksamhetsutövare har bristande kunskap om de egna skyddsvärdena och det som vi har kallat problem 3, dvs. bristande lämplighetsprövning. De kan också motverka att lämplighetsprövningen görs för sent i processen, med alla de konsekvenser som detta kan medföra.

6.7.7 Reglerna bör föras in i ett nytt kapitel i säkerhetsskyddslagen

Bestämmelser med den innebörd som vi förordar innebär åligganden för enskilda och kommuner och måste därför finnas i lag (8 kap. 2 § regeringsformen). Några regler om särskild säkerhetsbedömning behöver då inte finnas i säkerhetsskyddsförordningen.

Som framgår längre fram i detta kapitel och även av kapitel 7 föreslår vi, utöver skyldigheten att göra en särskild säkerhetsbedömning och lämplighetsprövning, ett relativt omfattande regelverk om bl.a. samrådsskyldighet och möjligheter att ingripa i planerade och pågående förfaranden. Bestämmelserna passar enligt vår mening inte särskilt väl in i något av de befintliga kapitlen i nya säkerhetsskyddslagen. Vi förordar därför att det införs ett nytt kapitel, kallat 2 a kap.

Skyldigheter och befogenheter i samband med vissa förfaranden.

6.8 En andra kontrollstation – samråd, förelägganden och förbud

Förslag: I 2 kap. 6 § nya säkerhetsskyddsförordningen finns det

bestämmelser om krav på samråd inför vissa av statliga myndigheters upphandlingar och en möjlighet för Säkerhetspolisen eller Försvarsmakten att meddela förelägganden eller besluta att upphandlingen inte får genomföras. Bestämmelser om krav på samråd,

SOU 2018:82 Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...

213

föreläggande och förbud förs i stället in i nya säkerhetsskyddslagen. Samtidigt breddas tillämpningsområdet. Enligt bestämmelserna åläggs alla verksamhetsutövare att samråda med tillsynsmyndigheten innan vissa typer av förfaranden inleds. Skyldigheten gäller om det planerade förfarandet innebär krav på säkerhetsskyddsavtal, och

1. innebär att den utomstående parten kan få tillgång till eller

möjlighet att förvara säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen hemlig eller högre utanför verksamhetsutövarens lokaler,

2. utgör en upplåtelse som kan ge den utomstående parten till-

gång till säkerhetskänslig verksamhet i övrigt av motsvarande betydelse för Sveriges säkerhet, eller

3. ger den utomstående parten tillgång till informationssystem

utanför verksamhetsutövarens lokaler och åtkomst till systemen kan medföra allvarlig skada för Sveriges säkerhet.

Tillsynsmyndigheten får under samrådet förelägga verksamhetsutövaren att vidta åtgärder enligt säkerhetsskyddslagen och de föreskrifter som har meddelats i anslutning till den lagen. Om ett föreläggande inte följs eller om tillsynsmyndigheten bedömer att det planerade förfarandet är olämpligt från säkerhetsskyddssynpunkt även om ytterligare åtgärder vidtas, får tillsynsmyndigheten besluta att verksamhetsutövaren inte får genomföra det planerade förfarandet. Ett föreläggande eller förbud får bara beslutas om skälen för åtgärden uppväger den skada eller annan olägenhet som åtgärden medför för allmänna eller enskilda intressen.

Förvaltningslagen (2017:900) gäller för handläggningen, även hos Säkerhetspolisen. Under förfarandet om samråd, föreläggande och förbud tillämpar tillsynsmyndigheterna dock inte delar av förvaltningslagens bestämmelser om försenad handläggning.

Om samrådet inte utmynnar i ett förbud för verksamhetsutövaren att gå vidare med förfarandet ska ärendet avslutas med ett beslut om att samrådet avslutas.

Om förutsättningarna för samrådsskyldighet är uppfyllda får även tillsynsmyndigheten ta initiativ till samråd. Bestämmelserna om föreläggande och förbud gäller även då.

Utkontraktering och upplåtelse av säkerhetskänslig verksamhet... SOU 2018:82

214

Tillsynsmyndigheten får bestämma att ett beslut om föreläggande ska gälla omedelbart.

Bedömning: Överlämnande av sekretessbelagda uppgifter till till-

synsmyndigheten inom ramen för samrådet omfattas av reglerna om nödvändigt utlämnande i offentlighets- och sekretesslagen (2009:400). Eftersom bestämmelserna i 10 kap. 3 § offentlighets- och sekretesslagen tillgodoser behovet av skydd för känsliga uppgifter i samrådsärendet finns det inte anledning att inskränka reglerna om partsinsyn och kommunikation. Utrymmet för att utelämna beslutsmotiveringar är tillräckligt för att skydda känsliga uppgifter i samrådsärendet.

Som vi har konstaterat i avsnitt 6.7 är det verksamhetsutövaren som har ansvaret för att noggrant analysera om det är lämpligt att inleda ett visst förfarande som innebär en exponering av säkerhetsskyddsklassificerade uppgifter eller i övrigt säkerhetskänslig verksamhet, och i så fall vilka villkor som bör gälla för denna i fråga om säkerhetsskydd.

6.8.1 Det bör finnas en samrådsskyldighet och en möjlighet att meddela förelägganden eller förbjuda vissa förfaranden

Den 1 april 2018 infördes det i 16 a § gamla säkerhetsskyddsförordningen bestämmelser som bl.a. syftar till att motverka de problem som nyss beskrivits. Bestämmelserna, som vi har beskrivit i avsnitt 6.3.2, handlar inte bara om utkontraktering, utan gäller vid statliga myndigheters upphandling generellt. Utöver ett krav på en särskild säkerhetsanalys i vissa fall, innebär bestämmelserna ett krav på att den upphandlande myndigheten samråder med Försvarsmakten eller Säkerhetspolisen, beroende på vilken av dessa myndigheter som har tillsynsansvaret. Tillsynsmyndigheten får vidare förelägga myndigheten att vidta åtgärder enligt säkerhetsskyddslagen och de föreskrifter som har meddelats i anslutning till den lagen. Om ett sådant föreläggande inte följs eller om tillsynsmyndigheten bedömer att säkerhetsskyddslagens krav inte kan tillgodoses trots att ytterligare

SOU 2018:82 Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...

215

åtgärder vidtas, får tillsynsmyndigheten besluta att myndigheten inte får genomföra upphandlingen.

Motsvarande regler om samråd, förelägganden och förbud finns i 2 kap. 6 § nya säkerhetsskyddsförordningen, som träder i kraft den 1 april 2019. En skillnad är att de nya reglerna bara gäller för uppgifter i säkerhetsskyddsklassen hemlig eller högre. Vidare anges att bestämmelserna även ska tillämpas i fall där leverantören kan få tillgång till säkerhetskänsliga informationssystem utanför myndighetens lokaler och obehörig åtkomst till systemen kan medföra allvarlig skada för Sveriges säkerhet. Begreppet särskild säkerhetsanalys här där ersatts med särskild säkerhetsbedömning.

Av beskrivningen i det föregående har framgått att det redan i gällande rätt, och i den kommande regleringen, finns en kontrollstation, som i vissa fall träder in när en statlig myndighet har för avsikt att inleda en säkerhetsskyddad upphandling. Även med beaktande av vårt förslag i avsnitt 6.7 om ett förtydligat ansvar för verksamhetsutövaren själv att pröva lämpligheten, är det vår bedömning att det också i fortsättningen behövs bestämmelser av ett sådant slag, dvs. bestämmelser som skapar ytterligare garantier för att planerade upphandlingar är lämpliga och omgärdas av ett tillräckligt säkerhetsskydd. Med tanke på att bestämmelserna i den gamla säkerhetsskyddsförordningen nyligen har införts och har föregåtts av ett remitteringsförfarande, och att införandet av reglerna har krävt att Försvarsmakten och Säkerhetspolisen anpassar sin organisation för att kunna leva upp till kraven på samrådsförfarande, är det en rimlig utgångspunkt att bestämmelserna i stora drag bör bygga på den ordning som redan gäller. Vi anser också att detta är lämpligt utifrån de problem som vi har identifierat i vår kartläggning.

Vår bedömning är alltså att det i vissa fall bör gälla en andra kontrollstation, som innebär krav på ett samrådsförfarande, att det bör finnas en möjlighet att förelägga verksamhetsutövaren att vidta åtgärder och – ytterst – att besluta om att det planerade förfarandet inte får genomföras. Det finns dock flera frågor som måste besvaras. Dessa måste vidare ses i ljuset av våra övriga förslag, och i synnerhet förslagen som gäller en utvidgad skyldighet att ingå säkerhetsskyddsavtal (se kapitel 5).

Eftersom vårt uppdrag handlar om att stärka skyddet kan det inte bli fråga om att begränsa räckvidden av de bestämmelser som redan gäller, utan enbart om att utvidga eller skärpa dessa.

Utkontraktering och upplåtelse av säkerhetskänslig verksamhet... SOU 2018:82

216

6.8.2 Bestämmelserna bör inte bara avse upphandlingar

Vi har både i kapitel 5 och tidigare i detta kapitel gjort bedömningen att behovet av förebyggande åtgärder inte är begränsat till utkontraktering och upplåtelse och inte heller till upphandlingar och andra anskaffningar. Bedömningen gör sig gällande även i fråga om regler om krav på samråd, förelägganden och förbud. Vår uppfattning är alltså att andra förfaranden kan vara väl så säkerhetskänsliga som en säkerhetsskyddad upphandling och att det i vissa sådana fall kan finnas ett behov av sådana bestämmelser som nu diskuteras. Bestämmelserna bör alltså inte vara begränsade till utkontraktering och upplåtelse, och inte heller till upphandling. I stället anser vi det lämpligt, och mest konsekvent med våra förslag i övrigt, att de som utgångspunkt kan träffa alla de typer av avtal och samverkan m.m. som kan omfattas av ett krav på säkerhetsskyddsavtal i enlighet med vad vi föreslagit i kapitel 5. Vi anser med andra ord att reglerna bör kunna träffa såväl upphandlingar och avtal av vilket slag som helst, som samarbeten och samverkan av olika slag. Sådan myndighetssamverkan m.m. som vi föreslår ska vara undantagen från kravet på säkerhetsskyddsavtal, bör i konsekvens med förslagen i kapitel 5 också vara undantagna från bestämmelser om krav på samråd m.m.

Vårt ställningstagande avser enbart frågan om vilka typer av förfaranden som bör kunna omfattas av regleringen. Det gäller alltså inte frågan om vilka som bestämmelserna ska gälla för och inte heller vilka ytterligare villkor som ska vara uppfyllda – t.ex. i fråga om exponering av säkerhetsskyddsklassificerade uppgifter – för att de ska tillämpas. Vi tar upp dessa frågor i det följande.

6.8.3 Alla verksamhetsutövare bör omfattas

Regleringen om samråd m.m. i såväl gamla som nya säkerhetsskyddsförordningen riktar sig enbart till statliga myndigheter. Vi kan dock inte se att en sådan begränsning är sakligt motiverad. Tvärtom framstår behovet av en samrådsskyldighet och ytterst en möjlighet att förhindra vissa förfaranden som innebär en exponering av exempelvis säkerhetsskyddsklassificerade uppgifter som minst lika stort när det är fråga om enskilda verksamhetsutövare, kommuner och landsting. Förhållanden som talar för att den andra kontroll-

SOU 2018:82 Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...

217

stationen bör omfatta alla verksamhetsutövare under nya säkerhetsskyddslagen kan t.ex. vara spänningsförhållandena mellan säkerhetsskydd och företagsekonomiska respektive regionalpolitiska överväganden. En ordning där alla typer av verksamhetsutövare omfattas stämmer också bäst med hur säkerhetsskyddsregleringen numera är uppbyggd i övrigt och med våra övriga förslag.

Starka skäl talar därför för att regleringen utsträcks så att alla verksamhetsutövare som omfattas av säkerhetsskyddslagen träffas. En sådan förändring väcker frågor om skyddet för enskildas rättigheter. Vi har i avsnitt 3.6 redogjort för viss central reglering rörande bl.a. egendomsskydd. Frågan är om bestämmelser av det slag som vi nu diskuterar är förenliga med denna reglering.

Mot bakgrund av de synnerligen tungt vägande intressen som talar för att man kraftfullt kan motverka olämpliga förfaranden som avser säkerhetskänslig verksamhet, är det vår sammantagna bedömning att ett krav på samråd, en möjlighet att utfärda förelägganden och – ytterst – förbud mot ett planerat förfarande, i och för sig utgör en godtagbar inskränkning av enskildas rättigheter. Emellertid förutsätter denna bedömning att regleringen omgärdas av lämpliga rättssäkerhetsgarantier och inte gäller i allt för bagatellartade fall. I annat fall kan det nämligen ifrågasättas om inskränkningen är proportionerlig och i övrigt godtagbar. Vi återkommer till frågan om regleringens närmare tillämpningsområde under nästa rubrik. En fördjupad analys av förhållandet till egendomsskyddet och näringsfriheten finns i avsnitt 6.13.

Eftersom bestämmelserna innebär åligganden för enskilda och kommuner måste de meddelas i lag. De bör alltså tas in i nya säkerhetsskyddslagen, i det nya 2 a kap. som vi föreslår ska införas (se avsnitt 6.7.7).

6.8.4 Den andra kontrollstationen bör bara gälla i vissa särskilt angelägna situationer

Enligt bestämmelsen i 2 kap. 6 § nya säkerhetsskyddsförordningen gäller samrådsskyldigheten och möjligheten att meddela förelägganden och ytterst förbjuda en viss upphandling enbart om leverantören kan få tillgång till eller möjlighet att förvara säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen hemlig eller högre

Utkontraktering och upplåtelse av säkerhetskänslig verksamhet... SOU 2018:82

218

utanför myndighetens lokaler, eller kan få tillgång till säkerhetskänsliga informationssystem utanför myndighetens lokaler och obehörig åtkomst till systemen kan medföra allvarlig skada för Sveriges säkerhet. Villkoret ”allvarlig skada” överensstämmer med vad som krävs för att en uppgift ska placeras i säkerhetsskyddsklassen hemlig (2 kap. 5 § första stycket nya säkerhetsskyddslagen).

Som vi har anfört i föregående avsnitt är det angeläget att utkontraktering och andra förfaranden som medför en exponering av exempelvis säkerhetsskyddsklassificerade uppgifter inte sker om det är olämpligt. Detta gäller även om den skada som kan orsakas för Sveriges säkerhet inte är allvarlig. Samtidigt får systemet med samråd, föreläggande och förbud inte bli alltför kostnadsdrivande för verksamhetsutövarna. Upphandlingar måste kunna göras utan onödig fördröjning. Detsamma gäller givetvis andra typer av förfaranden som regleringen kan komma att träffa. Till saken hör också att särskilt möjligheten att förhindra ett planerat förfarande, t.ex. en utkontraktering eller anskaffning av annat slag, utgör en inskränkning i verksamhetsutövarens möjlighet att disponera över sin egendom. Ett förbud påverkar inte bara verksamhetsutövaren utan kan också ha stor ekonomisk betydelse för en tänkt motpart. Om reglerna görs tillämpliga på enskilda verksamhetsutövare – vilket vi har föreslagit i det föregående – får dessa aspekter särskild betydelse. Det anförda talar starkt för att bestämmelserna om samråd, förelägganden och förbud begränsas till de fall som kan identifieras som allra mest angelägna från säkerhetsskyddssynpunkt.

Dessutom får bestämmelserna om samråd, förelägganden och förbud inte innebära en onödigt stor arbetsbelastning för myndigheterna som ska ansvara för samrådet. En stor ärendemängd kan leda till långa handläggningstider, vilket kan medföra stora nackdelar för verksamhetsutövarna. Om förfarandet blir alltför krävande, kan det dessutom leda till kostnader för de myndigheter som ansvarar för samrådet som är oproportionerliga i förhållande till nyttan med åtgärden. Även detta talar för att kravet på samråd bara bör gälla i de mest angelägna fallen. Vi diskuterar i det följande vad detta bör innebära i praktiken.

SOU 2018:82 Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...

219

Allvarlig skada är en lämplig nivå

Vår bedömning är för det första att den reglering som finns i nya säkerhetsskyddsförordningen i fråga om nivån på den eventuella skadan, dvs. allvarlig skada, utgör en lämplig avvägning mellan de olika motstående intressena. Bestämmelserna om samråd, förelägganden och förbud bör alltså endast gälla om den skada som kan uppstå är på denna nivå eller högre.

Man bör i huvudsak behålla kopplingen till vissa uppgifter och informationssystem

En annan fråga är om regleringen även i fortsättningen bör vara begränsad på det sätt som gjorts i 2 kap. 6 § nya säkerhetsskyddsförordningen eller om den ska utvidgas i något eller några avseenden.

Den nuvarande regleringen

Som har framgått tidigare omfattar regleringen i den nyss nämnda paragrafen två situationer. Det finns anledning att här uppehålla sig något kring regleringen i fråga om tillgång till vissa informationssystem. Begreppet informationssystem definieras i 1 kap. 5 § nya säkerhetsskyddsförordningen som ett system av sammansatt mjuk- och hårdvara som behandlar information. Däremot finns det ingen definition av vad som avses med ett säkerhetskänsligt informations-

system.

Viss ledning vid tolkning av begreppet kan hämtas i förarbetena. Begreppet säkerhetskänsliga informationssystem används nämligen i propositionen till nya säkerhetsskyddslagen (prop. 2017/18:89 s. 70). Regeringen framhöll där att det fanns ett stort behov av att utöka skyddet för säkerhetskänsliga informationssystem, även om dessa inte innehåller säkerhetsskyddsklassificerade uppgifter. Det sägs vidare att det kan röra system som har ett högt skyddsvärde av andra skäl, t.ex. inom digital infrastruktur eller system för styrning av kraftförsörjning. Vidare angavs att det även kan gälla uppgifter som inte är säkerhetsskyddsklassificerade men ändå bedöms som säkerhetskänsliga. Resonemanget lades till grund för bedömningen att säkerhetsskyddsåtgärden informationssäkerhet inte bara ska handla om

Utkontraktering och upplåtelse av säkerhetskänslig verksamhet... SOU 2018:82

220

skydd för säkerhetsskyddsklassificerade uppgifters konfidentialitet, utan även ska förebygga skadlig inverkan på uppgifter och informationssystem som avser säkerhetskänslig verksamhet, även om dessa inte utgör eller innehåller säkerhetsskyddsklassificerade uppgifter.

Med hänsyn till ordalydelsen och de redovisade förarbetsuttalandena anser vi att bestämmelsen i 2 kap. 6 § första stycket 2 nya säkerhetsskyddsförordningen måste tolkas på så sätt att den inte bara avser informationssystem som innehåller säkerhetsskyddsklassificerade uppgifter, utan att den också träffar informationssystem som av annan anledning är säkerhetskänsliga. Det avgörande kriteriet för bestämmelsens tillämplighet torde då egentligen inte vara begreppet ”säkerhetskänsliga informationssystem” utan bedömningen att obehörig åtkomst till ett visst informationssystem kan medföra allvarlig skada för Sveriges säkerhet. Annorlunda uttryckt kan man säga att begreppet ”säkerhetskänsliga informationssystem” saknar självständig betydelse såvitt vi kan förstå.