|
|
Ett modernt och stärkt skydd för Sveriges säkerhet – ny säkerhetsskyddslag
Sammanfattning
Utskottet föreslår att riksdagen antar regeringens förslag till en ny säkerhetsskyddslag. Den nya säkerhetsskyddslagen ersätter den nuvarande säkerhetsskyddslagen (1996:627).
Den nya lagen innehåller krav på åtgärder som syftar till att skydda uppgifter som är av betydelse för Sveriges säkerhet eller som ska skyddas enligt ett internationellt åtagande om säkerhetsskydd. Även skyddet av andra säkerhetskänsliga verksamheter, t.ex. samhällsviktiga informationssystem, förbättras. Det förtydligas att lagen gäller i både allmänna och enskilda verksamheter. Den nya lagen tydliggör vidare skyldigheterna för den som bedriver säkerhetskänslig verksamhet och vikten av att verksamhetsutövarna genomför säkerhetsskyddsanalyser för sina verksamheter.
Den nya lagen och de följdändringar i andra lagar som den för med sig föreslås träda i kraft den 1 april 2019.
Utskottet föreslår även tre tillkännagivanden med anledning av yrkanden i en följdmotion. Förslagen rör följande frågor:
• Tillsynsmyndigheternas ansvar och befogenheter bör regleras i säkerhetsskyddslagen.
• En översyn bör göras av tillsynsmyndigheternas ansvar, organisation och resursfördelning.
• Det bör utredas om säkerhetsskyddslagen i större omfattning ska gälla för Regeringskansliet.
I betänkandet finns en reservation (V).
Behandlade förslag
Proposition 2017/18:89 Ett modernt och stärkt skydd för Sveriges säkerhet – ny säkerhetsskyddslag.
Fyra yrkanden i motioner som väckts med anledning av propositionen.
Utskottets förslag till riksdagsbeslut
Ett modernt och stärkt skydd för Sveriges säkerhet - ny säkerhetsskyddslag
Riktlinjer för utkontraktering av it-verksamhet, punkt 2 (V)
Bilaga 1
Förteckning över behandlade förslag
Bilaga 2
Regeringens lagförslag
Bilaga 3
Utskottets lagförslag
Bilaga 4
Konstitutionsutskottets yttrande 2017/18:KU4y
Bilaga 5
Försvarsutskottets yttrande 2017/18:FöU8y
Utskottets förslag till riksdagsbeslut
|
1. |
Ett modernt och stärkt skydd för Sveriges säkerhet – ny säkerhetsskyddslag |
Riksdagen antar regeringens förslag till
1. säkerhetsskyddslag,
2. lag om ändring i polislagen (1984:387),
3. lag om ändring i elberedskapslagen (1997:288),
4. lag om ändring i lagen (1998:938) om behandling av personuppgifter om totalförsvarspliktiga,
5. lag om ändring i lagen (2006:128) om säkerhetsskydd i riksdagen och dess myndigheter,
6. lag om ändring i lagen (2007:258) om behandling av personuppgifter i Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst,
7. lag om ändring i offentlighets- och sekretesslagen (2009:400),
8. lag om ändring i polisdatalagen (2010:361),
9. lag om ändring i lagen (2018:1767) om geografisk miljöinformation med den ändringen att 15 § ska ha den lydelse som utskottet föreslår i bilaga 3,
10. lag om ändring i lagen (2011:1029) om upphandling på försvars- och säkerhetsområdet med den ändringen att ordet "har" före orden "kunnat konstaterats" i 11 kap. 2 § första stycket 5 ska utgå,
11. lag om ändring i lagen (2014:514) om ansvar för vissa säkerhetsfrågor vid statsministerns tjänstebostäder.
Därmed bifaller riksdagen proposition 2017/18:89 punkterna 1–11.
|
2. |
Riktlinjer för utkontraktering av it-verksamhet |
Riksdagen avslår motion
2017/18:3980 av Linda Snecker m.fl. (V).
Reservation (V)
|
3. |
Tillsynsmyndigheternas ansvar och befogenheter |
Riksdagen ställer sig bakom det som utskottet anför om att tillsynsmyndigheternas ansvar och befogenheter ska regleras i säkerhetsskyddslagen och tillkännager detta för regeringen.
Därmed bifaller riksdagen motion
2017/18:3999 av Tomas Tobé m.fl. (M, L, C, KD) yrkande 1.
|
4. |
Tillsynsmyndigheternas ansvar, organisation och resursfördelning |
Riksdagen ställer sig bakom det som utskottet anför om en översyn av tillsynsmyndigheternas ansvar, organisation och resursfördelning och tillkännager detta för regeringen.
Därmed bifaller riksdagen motion
2017/18:3999 av Tomas Tobé m.fl. (M, L, C, KD) yrkande 2.
|
5. |
Säkerhetsskyddet i Regeringskansliet |
Riksdagen ställer sig bakom det som utskottet anför om att utreda om säkerhetsskyddslagen i större omfattning bör gälla för Regeringskansliet och tillkännager detta för regeringen.
Därmed bifaller riksdagen motion
2017/18:3999 av Tomas Tobé m.fl. (M, L, C, KD) yrkande 3.
Stockholm den 3 maj 2018
På justitieutskottets vägnar
Annika Hirvonen Falk
Följande ledamöter har deltagit i beslutet: Annika Hirvonen Falk (MP), Helene Petersson i Stockaryd (S), Elin Lundgren (S), Krister Hammarbergh (M), Anders Hansson (M), Petter Löberg (S), Adam Marttinen (SD), Roger Haddad (L), Linda Snecker (V), Andreas Carlson (KD), Lawen Redar (S), Sanne Lennström (S), Ellen Juntti (M), Pål Jonson (M), Rickard Nordin (C), Patrick Reslow (-) och Sultan Kayhan (S).
I detta betänkande behandlar utskottet proposition 2017/18:89 Ett modernt och stärkt skydd för Sveriges säkerhet – ny säkerhetsskyddslag. I propositionen föreslår regeringen en ny säkerhetsskyddslag som ersätter den nuvarande säkerhetsskyddslagen (1996:627).
Regeringens förslag till riksdagsbeslut återges i bilaga 1. Regeringens lagförslag finns i bilaga 2.
Riksdagen beslutade den 18 april 2018 om ändringar i lagen (2010:1767) om geografisk miljöinformation i en bestämmelse som omfattas av det nu aktuella lagförslaget (prop. 2017/18:133, bet. 2017/18:CU21, rskr. 2017/18:233). Lagändringen träder i kraft den 25 maj 2018. För att samordna de aktuella lagändringarna har utskottet tagit fram ett förslag till lag om ändring i lagen om geografisk miljöinformation. Utskottets förslag finns i bilaga 3.
Två motioner har väckts med anledning av propositionen. Förslagen i motionerna återges i bilaga 1.
Utskottet beslutade den 22 mars 2018 att ge konstitutionsutskottet och försvarsutskottet tillfälle att yttra sig över propositionen och följdmotionerna i de delar som berör respektive utskott.
Konstitutionsutskottets yttrande finns i bilaga 4. Försvarsutskottets yttrande finns i bilaga 5.
Ett modernt och stärkt skydd för Sveriges säkerhet - ny säkerhetsskyddslag
Utskottets förslag i korthet
Riksdagen antar regeringens förslag till ny säkerhetsskyddslag och de föreslagna följdändringarna i övriga lagar.
Riksdagen ställer sig bakom det som utskottet anför om att tillsynsmyndigheternas ansvar och befogenheter ska regleras i säkerhetsskyddslagen och tillkännager detta för regeringen.
Riksdagen ställer sig även bakom det som utskottet anför om en översyn av tillsynsmyndigheternas ansvar, organisation och resursfördelning och tillkännager detta för regeringen.
Riksdagen ställer sig slutligen bakom det som utskottet anför om att utreda om säkerhetsskyddslagen i större omfattning bör gälla för Regeringskansliet och tillkännager detta för regeringen.
Riksdagen avslår en motion om riktlinjer för utkontraktering av it-verksamhet.
Jämför reservationen (V).
Propositionen
Bakgrund
Regeringen beslutade den 8 december 2011 att ge en särskild utredare i uppdrag att göra en översyn av säkerhetsskyddslagstiftningen. Utredningen, som tog namnet Utredningen om säkerhetsskyddslagen, presenterade i mars 2015 betänkandet En ny säkerhetsskyddslag (SOU 2015:25).
När det gäller utkontraktering av säkerhetskänslig verksamhet har händelser i närtid och påpekanden från Säkerhetspolisen visat på att ytterligare åtgärder än dem som föreslagits i betänkandet En ny säkerhetsskyddslag kan behöva vidtas. Regeringen beslutade därför den 23 mars 2017 att tillsätta en utredning med uppdrag att kartlägga och föreslå åtgärder som motverkar att uppgifter som gäller Sveriges säkerhet eller säkerhetskänslig verksamhet utsätts för risker i samband med utkontraktering, upplåtelse och överlåtelse av sådan verksamhet, och föreslå olika förebyggande åtgärder, t.ex. tillståndsprövning. I utredningens uppdrag ingår även att föreslå ett system med sanktioner i säkerhetsskyddslagstiftningen och att föreslå hur en ändamålsenlig tillsyn enligt lagen ska vara utformad (dir. 2017:32). Utredningen om vissa säkerhetsskyddsfrågor (Ju 2017:08) ska redovisa sitt uppdrag senast den 31 oktober 2018. Frågan om tillsyn behandlas därför endast delvis i propositionen.
I avvaktan på utredningens förslag har regeringen beslutat att skärpa kraven på statliga myndigheter när de utkontrakterar säkerhetskänslig verksamhet. Enligt en ändring i säkerhetsskyddsförordningen (1996:633), som trädde i kraft den 1 april 2018, ska statliga myndigheter, innan en utkontraktering inleds, samråda med någon av tillsynsmyndigheterna Säkerhetspolisen eller Försvarsmakten. Säkerhetspolisen eller Försvarsmakten ska också ha möjlighet att besluta att sådana förfaranden inte får genomföras.
Behovet av en ny lag
Säkerhetsskyddslagen har varit i kraft i mer än tjugo år. Förutsättningarna för säkerhetsskyddet har under denna tid förändrats på många sätt. Den nuvarande säkerhetsskyddslagen är i första hand inriktad på att skydda rikets säkerhet, vilket främst förknippas med militära förhållanden. Berörda myndigheter, som Säkerhetspolisen och Försvarsmakten, har pekat på att det behövs relativt omfattande förändringar av det nuvarande regelverket.
Främmande staters underrättelseverksamhet har de senaste decennierna breddats mot forskning och utveckling inom civila områden samt mot politiska frågor och information som rör samhällsviktiga system. It-angrepp i olika former betraktas som ett av de allvarligaste hoten. Samtidigt kvarstår underrättelsehoten mot militär verksamhet och mot information av betydelse för försvaret av Sverige.
Dagens säkerhetspolitiska hot är ofta gränsöverskridande och icke-militära, och utgår inte sällan från icke-statliga aktörer. Exempel på sådana hot är internationell terrorism och andra typer av grov gränsöverskridande brottslighet, informations- och cybersäkerhetshot, spridning av massförstörelsevapen samt framställning och transport av vapen, komponenter och teknologi.
Vidare har sedan säkerhetsskyddslagen trädde i kraft digitaliseringen och användningen av informationsteknik genomgått en betydande förändring. Internet har radikalt förändrat förutsättningarna för informations-säkerhetsarbetet. Informationstekniken genomsyrar i dag i stort sett alla aspekter av samhällsviktiga verksamheter. En rad verksamheter, både hos det allmänna och inom näringslivet, är helt beroende av digitala system för bl.a. styrning, reglering och övervakning. Stora informationsmängder, såväl öppna som hemliga, hanteras i dag i informationssystem. En storskalig it-incident bedöms i dag kunna få allvarliga konsekvenser för samhällsviktig verksamhet och kritisk infrastruktur. På grund av samhällets ökade it-beroende är risken stor för att samhällsviktiga system, t.ex. finansiella system, ledningscentraler för trafiksystem, administrativa och medicinska system inom sjukvården, digitala kontrollsystem för el och vatten samt elektroniska kommunikationer, skulle drabbas med allvarliga konsekvenser som följd.
Avreglering och konkurrensutsättning av samhällsviktig verksamhet har vidare inneburit att det område som ligger utanför det direkta tillämpningsområdet för den nuvarande säkerhetsskyddslagen har kommit att öka alltmer. I dag är en stor del av de verksamheter som är viktiga för det svenska samhällets funktionalitet inte under direkt statligt inflytande. Sådana verksamheter bedrivs och förvaltas i stället i stor utsträckning av enskilda aktörer. Även utländskt ägande eller inflytande är numera en realitet inom samhällsviktiga verksamheter. När verksamhet utkontrakteras ställs säkerhetsskyddet inför särskilda utmaningar, vilket inte minst händelserna vid Transportstyrelsen som uppmärksammades i media sommaren 2017 påvisat.
Globaliseringen och det ökade internationella samarbetet har slutligen medfört att gränserna för vad som är att hänföra till rikets inre respektive rikets yttre säkerhet har ändrats, liksom att uttrycket rikets säkerhet har utvidgats. Sverige deltar i stor omfattning i internationella samarbeten för fred och säkerhet där känsliga uppgifter utbyts med andra länder och mellanfolkliga organisationer. Den ökade samverkan med andra länder har inneburit ett växande behov av att anpassa säkerhetsskyddet till åtaganden som följer av folkrättsliga förpliktelser.
Den nya lagen
Regeringen föreslår att den nuvarande säkerhetsskyddslagen ska ersättas med en ny lag. Även den nya lagen ska benämnas säkerhetsskyddslag. Enligt regeringen fungerar stora delar av den nuvarande lagstiftningen bra, och dessa delar bör behållas. Vissa förtydliganden av reglerna är emellertid nödvändiga, liksom vissa förändringar i sak. Den nya lagen bör dessutom vara mer flexibel över tid än den nuvarande och kunna möta skiftande förhållanden. Liksom nu bör lagen ge ett skydd för de för landet allra viktigaste samhällsfunktionerna samt utgöra ett stöd för internationell samverkan på säkerhetsskyddsområdet.
Tillämpningsområdet
Regeringen föreslår att den nya lagen ska gälla i alla verksamheter som till någon del är av betydelse för Sveriges säkerhet eller som omfattas av ett internationellt avtal om säkerhetsskydd som Sverige åtagit sig att följa. På samma sätt som gäller i dag ska endast sådana verksamheter som har ett kvalificerat skyddsbehov omfattas av säkerhetsskyddslagen. Behovet av skydd för verksamheter som inte anses ha ett så kvalificerat skyddsbehov, men som ändå kan anses samhällsviktiga, får i första hand tillgodoses genom annan kris- och skyddslagstiftning.
Gränsdragningen mellan verksamheter som bör falla under säkerhetsskyddslagens tillämpningsområde och sådan verksamhet som av andra skäl är samhällsviktig är svårdefinierad. Enligt regeringen bör rikets säkerhet också i fortsättningen avgränsa tillämpningsområdet för säkerhetsskyddslagen, men justeras språkligt till Sveriges säkerhet. Uttrycket omfattar sådana övergripande nationella intressen och samhällsvärden som också en reformerad säkerhetsskyddslag bör skydda.
Frågan om vad som kan anses utgöra verksamhet av betydelse för Sveriges säkerhet är grundläggande för att lagstiftningen ska kunna tillämpas och att rätt skyddsnivå ska kunna uppnås i de allra mest skyddsvärda verksamheterna. Det är därför enligt regeringen viktigt att den nya lagen ger bästa möjliga stöd för tillämparna att göra riktiga bedömningar. Regeringen anser dock att det är svårt att konkretisera avgränsningen ytterligare. Att ange alla skyddsvärda verksamheter i författning är enligt regeringen inte lämpligt eftersom det skulle riskera att ge en främmande makt eller andra antagonistiska aktörer information om vilka de mest skyddsvärda verksamheterna i samhället är.
Det är grundläggande för såväl den nu gällande som den nya lagstiftningen att ansvaret för identifiering och bedömning av behovet av säkerhetsskydd är knutet till verksamhetsutövarna. Att ge tillsynsmyndigheter ansvar och mandat att utifrån sin analys peka ut vilka verksamheter som omfattas av lagstiftningen bedömer regeringen inte vara lämpligt. På samma sätt som gäller inom t.ex. kris- och beredskapslagstiftningen måste det vara den enskilda verksamhetsutövarens ansvar att hålla sig informerad och bedriva sin verksamhet enligt lagar och regler även på detta område. Säkerhetspolisen, Försvarsmakten och de övriga tillsynsmyndigheterna kan dock genom föreskrifter, rekommendationer och rådgivning bidra till att underlätta arbetet med sådana frågeställningar för berörda verksamhetsutövare. Arbetet med säkerhetsskydd behöver i princip föregås av ett aktivt ställningstagande från verksamhetsutövaren till frågan om man till någon del bedriver säkerhetskänslig verksamhet. Om verksamhetsutövaren landar i att så är fallet ska verksamhetsutövaren utreda behovet av säkerhetsskydd i en säkerhetsskyddsanalys. Regeringen uppmärksammar att många remiss-instanser har påpekat att det kan vara svårt att avgöra om en verksamhet, helt eller till viss del, har betydelse för Sveriges säkerhet. Regeringen räknar därför i propositionen upp olika faktorer som är av betydelse vid verksamhetsutövarens bedömning (s. 44 f.).
Regeringen bedömer vidare att den nya lagen behöver innebära ett tydligare stöd för skyddsåtgärder i fråga om uppgifter som omfattas av internationella säkerhetsskyddsåtaganden. För att detta ska få ett tydligt genomslag i lagstiftningen bör det direkt i lagtext anges att säkerhetsskydd ska avse även verksamhet som omfattas av ett internationellt säkerhetsskyddsåtagande, dvs. uppgifter som Sverige i förhållande till någon annan stat eller mellanfolklig organisation genom någon form av säkerhetsskyddsavtal har åtagit sig att skydda.
Säkerhetsskyddslagens huvudsakliga funktion är att säkerställa ett skydd för de verksamheter som är allra mest skyddsvärda för nationen. Den typen av verksamhet kan finnas i såväl offentlig som enskild regi, och det saknas enligt regeringen skäl att göra skillnader i lagens tillämpningsområde beroende på verksamhetsform. Det bör tydligt framgå av lagen att den gäller för alla typer av verksamheter som bedriver säkerhetskänslig verksamhet. De skyddsintressen som lagen tar sikte på bör anges i ett gemensamt uttryck. Den verksamhet som lagstiftningen ska skydda ska enligt förslaget benämnas säkerhetskänslig verksamhet.
Regeringen anför slutligen att det särskilda tillägg om skydd mot terrorism som finns i den gällande säkerhetsskyddslagen bör tas bort, eftersom uttrycket Sveriges säkerhet också täcker in de verksamheter som tillägget tar sikte på.
Säkerhetsskydd
Säkerhetsskydd definieras i den nya lagen som skydd av säkerhetskänslig verksamhet mot spioneri, sabotage, terroristbrott och andra brott som kan hota verksamheten samt skydd i andra fall av säkerhetsskyddsklassificerade uppgifter. Med säkerhetsskyddsklassificerade uppgifter avses i lagen uppgifter som rör säkerhetskänslig verksamhet och som av den anledningen omfattas av sekretess enligt offentlighets- och sekretesslagen (2009:400) eller som skulle ha omfattats av sekretess enligt den lagen, om den hade varit tillämplig. Det senare är ett tillägg i den nya lagen för att tydliggöra att säkerhetsskyddslagen ska tillämpas i såväl allmän som enskild verksamhet. Verksamhetsutövaren behöver alltså enligt förslaget göra en fiktiv sekretessbedömning för att avgöra om uppgifterna i verksamheten är sådana att säkerhetsskyddslagen är tillämplig på verksamheten. Regeringen noterar att detta kan innebära svårigheter för verksamhetsutövarna men anser att problematiken får lösas i samverkan med Försvarsmakten, Säkerhetspolisen och övriga tillsynsmyndigheter.
Verksamhetsutövarens skyldigheter
Det behöver enligt regeringen vara tydligt i den nya lagen vilka krav som ställs på verksamhetsutövarna. Det införs därför enligt förslaget en särskild bestämmelse som anger dessa skyldigheter. Enligt bestämmelsen ska den som bedriver säkerhetskänslig verksamhet utreda behovet av säkerhetsskydd, dvs. göra en säkerhetsskyddsanalys. Analysen ska dokumenteras. Med utgångspunkt i analysen ska verksamhetsutövaren sedan planera och vidta de säkerhetsskyddsåtgärder som behövs med hänsyn till verksamhetens art och omfattning, förekomsten av säkerhetsskyddsklassificerade uppgifter och övriga omständigheter. Verksamhetsutövaren ska även kontrollera säkerhetsskyddet i den egna verksamheten och anmäla och rapportera sådant som är av vikt för säkerhetsskyddet samt i övrigt vidta de åtgärder som krävs enligt den nya säkerhetsskyddslagen. Så långt det är möjligt ska säkerhetsskyddsåtgärderna utformas så att de inte medför skada eller någon annan olägenhet för andra allmänna eller enskilda intressen.
Regeringen eller den myndighet som regeringen bestämmer får enligt förslaget meddela föreskrifter om vad som krävs för att verksamhetsutövarna ska fullgöra sina skyldigheter i fråga om säkerhetsskyddsanalys, anmälan och rapportering, säkerhetsskyddsåtgärder, säkerhetsskyddsklassificering och säkerhetsskyddsavtal.
Indelning i säkerhetsskyddsklasser
I den nuvarande lagen saknas det bestämmelser om klassificering av uppgifter utifrån skyddsvärde. För att uppnå en lämplig skyddsnivå för känslig information ska säkerhetsskyddsklassificerade uppgifter enligt förslaget delas in i fyra nivåer. Uppdelningen ska ske efter den skada för Sveriges säkerhet som kan uppstå om uppgifterna röjs. Indelningen i säkerhetsskyddsklasser ska göras enligt följande:
• kvalificerat hemlig vid en synnerligen allvarlig skada
• hemlig vid en allvarlig skada
• konfidentiell vid en inte obetydlig skada eller
• begränsat hemlig vid endast ringa skada.
Säkerhetsskyddsklassificerade uppgifter som omfattas av ett internationellt åtagande om säkerhetsskydd ska på motsvarande sätt delas in i en säkerhetsskyddsklass utifrån den skada som ett röjande av uppgifterna kan medföra för Sveriges förhållande till en annan stat eller mellanfolklig organisation, om de inte redan har klassificerats av en annan stat eller mellanfolklig organisation.
Säkerhetsskyddsåtgärder
De tre säkerhetsskyddsåtgärderna ska i den nya lagen benämnas informationssäkerhet, fysisk säkerhet och personalsäkerhet.
Informationssäkerhet ska dels förebygga att säkerhetsskyddsklassificerade uppgifter obehörigen röjs, ändras, görs otillgängliga eller förstörs, dels förebygga skadlig inverkan i övrigt på uppgifter och informationssystem som gäller säkerhetskänslig verksamhet. Enligt regeringen är det av stor vikt att det finns en medvetenhet hos verksamhetsutövare om att intrångsförsök i informationssystem och operationer för att bedöma systemens robusthet ständigt pågår. Dagens lagstiftning har brister i detta avseende. Den nya lagen ska därför klargöra att säkerhetsskyddet inte enbart gäller uppgifter som omfattas av sekretess och som berör rikets säkerhet, utan även informationens tillgänglighet och riktighet.
Fysisk säkerhet ska förebygga att obehöriga får tillträde till områden, byggnader och andra anläggningar eller objekt där de kan få tillgång till säkerhetsskyddsklassificerade uppgifter eller där säkerhetskänslig verksamhet i övrigt bedrivs. Åtgärden ska också förebygga skadlig inverkan på sådana områden, byggnader, anläggningar eller objekt.
Personalsäkerhet ska förebygga att personer som inte är pålitliga från säkerhetssynpunkt deltar i en verksamhet där de kan få tillgång till säkerhetsskyddsklassificerade uppgifter eller i en verksamhet som av någon annan anledning är säkerhetskänslig, samt säkerställa att de som deltar i säkerhetskänslig verksamhet har en tillräcklig kunskap om säkerhetsskydd. Huvuddragen i det nuvarande systemet för personalkontroll behålls. Det bör enligt regeringen inte ske någon övergång till ett system med inslag av s.k. säkerhetsklarering. Med säkerhetsklarering avses i princip att en person godkänns – klareras – i en viss skyddsklass och ges behörighet att befatta sig med uppgifter upp t.o.m. en viss skyddsnivå. I stället bör säkerhetsprövningen även enligt den nya lagen knytas till de krav som befattningen eller verksamheten ställer i det enskilda fallet.
Säkerhetsprövning och säkerhetsklasser
Säkerhetsskyddslagens bestämmelser om säkerhetsprövning överförs i stora delar till den nya säkerhetsskyddslagen. En säkerhetsprövning ska göras av den som genom anställning eller på något annat sätt ska delta i säkerhetskänslig verksamhet. Någon säkerhetsprövning ska dock inte göras när det gäller uppdrag som bl.a. statsråd eller ledamot av Europaparlamentet, riksdagen eller kommun- och landstingsfullmäktige. En säkerhetsprövning ska göras innan deltagandet i den säkerhetskänsliga verksamheten påbörjas och ska som huvudregel innefatta en grundutredning samt registerkontroll och särskild personutredning i vissa fall. Säkerhetsprövningen ska följas upp under den tid som deltagandet i den säkerhetskänsliga verksamheten pågår.
Enligt regeringens förslag ska, till skillnad från vad som gäller i dag, en anställning eller ett annat deltagande i säkerhetskänslig verksamhet placeras i olika säkerhetsklasser: säkerhetsklass 1, 2 eller 3. Vilka säkerhets-skyddsklassificerade uppgifter den berörda personen får del av – kvalificerat hemliga, hemliga, konfidentiella eller begränsat hemliga – styr vilken klass anställningen eller deltagandet placeras i. Liksom enligt nuvarande lagstiftning ska regeringen, med undantag för riksdagens förvaltningsområde, ytterst ha rätten att besluta om placering i säkerhetsklass. Regeringen får dock meddela föreskrifter om att myndigheter och andra får besluta om placering i säkerhetsklass. Sådan beslutanderätt får även överlåtas till enskilda om det finns särskilda skäl.
En säkerhetsprövning aktualiserar ofta frågor som kan uppfattas som mycket integritetskänsliga för den enskilde. Det är bl.a. därför mycket viktigt med en restriktiv tillämpning i fråga om placering i säkerhetsklass och att det bara sker när det verkligen är nödvändigt.
Regeringen anser att de nuvarande bestämmelserna om registerkontroll, särskild personutredning och krav på samtycke bör behållas och finnas även i den nya säkerhetsskyddslagen, dock med vissa förtydliganden bl.a. i fråga om vilka uppgifter som får inhämtas. Säkerhets- och integritetsskyddsnämnden beslutar om huruvida uppgifter som kommit fram vid en registerkontroll och särskild personutredning ska lämnas ut för säkerhetsprövning.
Bedömningen i samband med en säkerhetsprövning ska utgå från uppgifter som kommit fram vid genomförandet av grundutredningen och den kännedom som i övrigt finns om den som ska prövas, uppgifter som har lämnats ut efter en registerkontroll och särskild personutredning, arten av den verksamhet som prövningen gäller samt omständigheterna i övrigt. Bedömningen ska som huvudregel göras av den som beslutar om anställning eller annat deltagande i den säkerhetskänsliga verksamheten. Om det finns anledning till det, ska en tidigare gjord bedömning av en persons lämplighet att delta i den säkerhetskänsliga verksamheten omprövas.
Bestämmelsen i offentlighets- och sekretesslagen om sekretess till skydd för en enskilds personliga förhållanden för uppgifter som kommer fram vid en registerkontroll och särskild personutredning enligt säkerhetsskyddslagen, utvidgas enligt förslaget till att avse även andra uppgifter om en enskilds personliga förhållanden som kommer fram vid säkerhetsprövningen. En bestämmelse om tystnadsplikt införs dessutom i säkerhetsskyddslagen i fråga om säkerhetsprövningsärenden i enskilda verksamheter.
Säkerhetsskyddsavtal
Enligt den nuvarande säkerhetsskyddslagen gäller att om staten, en kommun eller ett landsting avser att begära in anbud eller träffa avtal om upphandling där det förekommer uppgifter som med hänsyn till rikets säkerhet omfattas av sekretess, ska ett skriftligt avtal (säkerhetsskyddsavtal) ingås med anbudsgivaren eller leverantören om det säkerhetsskydd som behövs i det särskilda fallet. Avtalet utgör en grund för att besluta om vilka anställningar och annat deltagande hos leverantören som ska placeras i säkerhetsklass.
Grundtanken inom säkerhetsskyddet är att de intressen som lagstiftningen slår vakt om ska ha samma skydd oavsett om verksamheten bedrivs av det allmänna eller av enskilda. Regeringen bedömer att bestämmelserna om säkerhetsskyddsavtal behöver utvidgas till att även gälla upphandlingar och ingående av avtal om varor, tjänster eller byggentreprenader som i övrigt avser säkerhetskänslig verksamhet. Förslaget innebär en skyldighet för verksamhetsutövarna att skydda uppgifter och informationssystem också ur ett riktighets- och tillgänglighetsperspektiv. Enligt regeringens mening finns det även anledning att överväga om det i lagen bör införas krav på att säkerhetsskyddsavtal ska ingås även i andra avtalssituationer än vid upphandling, då en utomstående part får ta del av säkerhetsskyddsklassificerade uppgifter eller i övrigt säkerhetskänslig verksamhet. Detta gäller särskilt med anledning av grundtanken inom säkerhetsskyddet att information ska ha samma skydd hos en leverantör eller annan motpart som hos verksamhetsutövaren. Det saknas dock enligt regeringen beredningsunderlag för att utvidga utredningens förslag i denna riktning. Utredningen om vissa säkerhetsskyddsfrågor har emellertid fått i uppdrag att även utreda denna fråga (dir. 2018:02).
Regeringen anser vidare att det är befogat att utvidga kravet på säkerhetsskyddsavtal vid upphandling till att gälla även enskilda verksamhetsutövare. Till skillnad från statliga myndigheter, kommuner och landsting omfattas enskilda aktörer i huvudsak inte av upphandlingslagstiftningen. Regeringen föreslår därför att det tydliggörs i den nya lagen att bestämmelsens tillämpningsområde för enskilda är oberoende av om ett avtal med en extern leverantör ingås efter ett upphandlingsförfarande eller inte. I situationer där en enskild verksamhetsutövare ingår säkerhetsskyddsavtal ska beslut om placering av en tjänst eller annat deltagande i säkerhetsklass fattas av en myndighet.
Verksamhetsutövaren ska kontrollera att leverantören följer säkerhetsskyddsavtalet.
Kravet på säkerhetsskyddsavtal gäller bara om det i upphandlingen förekommer säkerhetsskyddsklassificerade uppgifter i säkerhetsskydds-klassen konfidentiell eller högre.
Nationell säkerhetsmyndighet
Av många internationella överenskommelser om säkerhetsskydd som Sverige har ingått framgår att varje land ska ha en nationell säkerhetsmyndighet (National Security Agency, NSA) som gentemot motparterna ansvarar för skyddet av den säkerhetsklassificerade informationen. Funktionen som NSA är i Sverige fördelad på flera myndigheter. Regeringen bedömer inte att det i lag behöver tas in en upplysning om att regeringen bestämmer vilken myndighet som ska fullgöra uppgiften som nationell säkerhetsmyndighet, utan anser att det räcker att ett utpekande av funktionerna sker i förordning.
Säkerhetsintyg
Regeringen föreslår att det, till skillnad från i den nuvarande säkerhetsskyddslagen, ska finnas tydliga regler om säkerhetsintyg på begäran av en annan stat eller en mellanfolklig organisation i den nya lagen. Enligt förslaget ska ett säkerhetsintyg, under vissa angivna förutsättningar, få utfärdas för personer som har hemvist i Sverige och leverantörer med säte i Sverige när en annan stat eller en mellanfolklig organisation har ansökt om ett sådant underlag, om det finns behov av sådant intyg vid internationell samverkan om säkerhetskänslig verksamhet enligt den nya säkerhetsskyddslagen eller om intyget kan underlätta för en person eller för en leverantör att delta i en verksamhet som en annan stat eller en mellanfolklig organisation bedömer vara i behov av säkerhetsskydd.
Tystnadsplikt
Eftersom säkerhetsklassificerade uppgifter ska ha samma skydd oavsett i vilken verksamhet uppgifterna finns, även i sådana enskilda verksamheter där offentlighets- och sekretesslagen (2009:400) inte gäller, anser regeringen att det bör införas en bestämmelse om tystnadsplikt i den nya lagen. Den som på grund av anställning eller på något annat sätt deltar eller har deltagit i säkerhetskänslig verksamhet får enligt förslaget inte obehörigen röja eller utnyttja säkerhetsskyddsklassificerade uppgifter. I det allmännas verksamhet tillämpas i stället bestämmelserna i offentlighets- och sekretesslagen.
Säkerhetsskyddet i riksdagen och Regeringskansliet
Den nuvarande säkerhetsskyddslagen gäller endast i viss utsträckning för riksdagen och dess myndigheter och för Regeringskansliet. Det handlar bl.a. om bestämmelserna om placering i säkerhetsklass och om registerkontroll. Säkerhetsskyddsförordningen gäller inte för riksdagen och gäller bara i begränsad utsträckning för Regeringskansliet. När det gäller riksdagen finns det bestämmelser om säkerhetsskydd även i lagen (2006:128) om säkerhetsskydd i riksdagen och dess myndigheter. Den lagen, som kompletteras med föreskrifter, har nuvarande säkerhetsskyddslag som förebild. För Regeringskansliet gäller på motsvarande sätt även föreskrifter om säkerhetsskydd i Regeringskansliet. I de särskilda bestämmelserna om säkerhetsskydd för riksdagen respektive Regeringskansliet finns i stor utsträckning en reglering som svarar mot den som finns i den nuvarande säkerhetsskyddslagen.
Regeringen konstaterar att utredningen i sitt betänkande har föreslagit att stora delar av gällande bestämmelser om säkerhetsskyddslagens tillämplighet i fråga om riksdagen och Regeringskansliet ska föras över till förslaget om en ny säkerhetsskyddslag utan någon ändring i sak. För att riksdagen och Regeringskansliet ska kunna tillämpa säkerhetsskyddslagens bestämmelser om placering i säkerhetsklass föreslås emellertid, utöver vad som gäller enligt den nuvarande säkerhetsskyddslagen, att även den föreslagna bestämmelsen om säkerhetsskyddsklasser ska gälla för dessa verksamheter. Även bestämmelserna om säkerhetsintyg för internationella behov föreslås gälla för riksdagen och Regeringskansliet. Regeringen noterar att Försvarsmakten har invänt mot utredningens förslag och ansett att den nya regleringen bör gälla i sin helhet även för Regeringskansliet med hänsyn till de skyddsvärden som finns där samt att Riksrevisionen anser att lagen (2006:128) om säkerhetsskydd i riksdagen och dess myndigheter bör ses över i sin helhet. Regeringen anför att man kan förstå den kritik som framförs och att man kan ifrågasätta lämpligheten av att det inte finns likvärdiga krav på säkerhetsskydd i alla verksamheter. Några närmare skäl för den gällande ordningen – där säkerhetsskyddslagen endast delvis gäller för riksdagen och Regeringskansliet – redovisas inte i förarbetena till säkerhetsskyddslagen (prop. 1995/96:129 s. 73 och 89). Regeringen anser dock att den reglering som finns för Regeringskansliet, bl.a. genom föreskrifter, är tillräcklig. Regeringen anför vidare att det, när det gäller riksdagen, kan finnas behov av att överväga om ytterligare ändringar ska göras i regleringen. Enligt regeringen saknas det dock beredningsunderlag för att i det nu förevarande lagstiftningsärendet göra andra ändringar än de som utredningen har föreslagit. Regeringen uppger att man kan komma att återkomma i frågan.
Regeringen föreslår mot bakgrund av det anförda att endast bestämmelserna om säkerhetsskyddsklasser, säkerhetsprövning och säkerhetsintyg i den nya säkerhetsskyddslagen ska gälla för riksdagen och dess myndigheter. För Regeringskansliet, utlandsmyndigheterna och kommittéväsendet föreslås den nya lagen gälla i sin helhet, men regeringen ska enligt förslaget få besluta om undantag från andra bestämmelser i lagen än dem som gäller säkerhetsskyddsklasser, säkerhetsprövning och säkerhetsintyg.
Tillsyn m.m.
Ansvaret för tillsyn enligt säkerhetsskyddslagen är i dag uppdelat mellan flera myndigheter. Säkerhetsskyddet kontrolleras av Försvarsmakten när det gäller Fortifikationsverket, Försvarshögskolan och de myndigheter som hör till Försvarsdepartementet. I fråga om övriga myndigheter förutom Justitiekanslern kontrolleras säkerhetsskyddet av Säkerhetspolisen. Säkerhetsskyddet hos bolag, föreningar, stiftelser och enskilda kontrolleras av Affärsverket svenska kraftnät, Transportstyrelsen och Post- och telestyrelsen inom verksamhetsområdena elförsörjning, flygtransport och elektronisk kommunikation. Aktörer som är verksamma inom andra områden än dessa kontrolleras av länsstyrelsen i det län där bolaget, stiftelsen eller föreningen har sitt säte. Formerna för tillsynen av säkerhetsskyddet avviker i väsentliga avseenden från hur offentlig tillsyn normalt är ordnad. Samtidigt har tillsynen på området ett stort inslag av råd och stöd till verksamhetsutövarna.
Regeringen konstaterar att den nya säkerhetsskyddslagen i viss mån utvidgar kraven på offentliga aktörer och också på ett tydligare sätt kommer att omfatta enskilda verksamheter. Det svårt att förutsäga hur många enskilda verksamhetsutövare som kommer att vara skyldiga att tillämpa lagstiftningen, men antalet verksamheter som har betydelse för Sveriges säkerhet, och som drivs i enskild regi, har ökat i takt med privatiseringen av offentlig verksamhet. Det innebär sammantaget med den snabba digitaliseringen av samhället att det kan antas att verksamheter med central betydelse för Sveriges säkerhet även i framtiden kommer att drivas av enskilda aktörer. Att tillsynen över såväl offentliga som enskilda verksamhetsutövare även framöver fungerar på ett tillfredsställande sätt är därför enligt regeringen mycket angeläget. Regeringen noterar vidare att ett flertal remissinstanser har ställt sig kritiska till både tillsynsstrukturen och utredningens bedömning att det inte bör införas sanktioner i lagstiftningen.
Regeringen har mot den bakgrunden beslutat att ge en särskild utredare i uppdrag att föreslå ett system med sanktioner i säkerhetsskyddslagen och att också lämna ett förslag på hur en ändamålsenlig tillsyn ska vara utformad (dir. 2017:32). I direktiven till utredningen (Utredningen om vissa säkerhetsskyddsfrågor) konstaterar regeringen att avsaknaden av sanktioner i säkerhetsskyddslagen mot den verksamhetsutövare som har brustit i sitt säkerhetsskyddsarbete riskerar att medföra mindre följsamhet hos de aktörer som omfattas av lagstiftningen. Den risken gör sig inte minst gällande eftersom den nya lagstiftningen i viss mån kommer att innebära hårdare krav på förebyggande åtgärder och att den på ett tydligare sätt kommer att rikta sig mot enskilda aktörer. En situation där avsaknaden av sanktioner i säkerhetsskyddslagen resulterar i att verksamhetsutövare inte vidtar nödvändiga säkerhetsskyddsåtgärder skulle vara skadlig för Sveriges säkerhet. Regeringen anser därför att en ny säkerhetsskyddslag bör kompletteras med en möjlighet att utfärda sanktioner mot aktörer som brister i sitt säkerhetsskyddsarbete. När det gäller frågan om tillsyn konstateras det i direktiven att det bl.a. mot bakgrund av de remissynpunkter som framkommit över betänkandet En ny säkerhetsskyddslag finns anledning att på nytt utreda vilka myndigheter som bör ha uppgifter att utöva tillsyn enligt säkerhetsskyddslagen. Även ett införande av sanktionsmöjligheter medför ett behov av att se över tillsynsstrukturen eftersom det också innebär att tillsynens karaktär behöver förändras från dagens inriktning mot rådgivning och stöd till tillsyn i en mer traditionell mening.
I avvaktan på förslag från utredningen bedömer regeringen att den nuvarande tillsynsstrukturen bör bestå. Regeringen föreslår därför att det även i den nya säkerhetsskyddslagen tas in en upplysning om att tillsyn över säkerhetsskyddet hos myndigheter och andra som lagen gäller för ska utövas av den myndighet som regeringen bestämmer.
I fråga om säkerhetskänslig verksamhet gäller redan i dag att en verksamhetsutövare som har ingått ett säkerhetsskyddsavtal ska underrätta Säkerhetspolisen om detta och om ett säkerhetsskyddsavtal upphört att gälla. Detta bör enligt regeringen finnas med även i den nya regleringen. Tillsynsmyndigheterna föreslås även kunna utöva tillsyn över enskilda verksamhetsutövare och bistå med råd och stöd till enskilda i samband med att de ingår säkerhetsskyddsavtal enligt den nya lagen. Det faktum att det är den enskilda verksamhetsutövaren som kontrollerar att bestämmelserna i ett säkerhetsskyddsavtal upprätthålls hos motparten innebär dock en viss minskad statlig kontroll på området jämfört med i dag. Det finns därför, enligt regeringen, skäl att ge Säkerhetspolisen och Försvarsmakten möjlighet att utöva tillsyn direkt mot sådana enskilda aktörer som har ingått säkerhetsskyddsavtal med verksamhetsutövare som omfattas av lagen.
Ett stort antal remissinstanser har framfört att det bör framgå av lagstiftningen att tillsynsmyndigheterna ska svara för utbildning i säkerhetsskydd och att behovet av en strukturerad utbildning är stort. Regeringen anser att utbildning är en mycket viktig faktor för att höja kunskapsnivån om vikten av ett grundläggande säkerhetsskyddsarbete och att tillsynsmyndigheterna har en viktig roll att fylla i detta. Trots den betydelse som tillsynsmyndigheterna har i sin rådgivande och stödjande verksamhet anser regeringen dock att det alltid är den som är ansvarig för en säkerhetskänslig verksamhet som ska utbilda sin personal i frågor som rör säkerhetsskydd.
Regeringen föreslår slutligen att bestämmelsen om föreskriftsrätt i den nuvarande säkerhetsskyddslagen förs över till den nya säkerhetsskyddslagen med i huvudsak samma ordalydelse, dvs. att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om verkställighet av lagen.
Ikraftträdande
Den nya säkerhetsskyddslagen och de övriga föreslagna lagändringarna föreslås träda i kraft den 1 april 2019. Den nuvarande säkerhetsskyddslagen upphör då att gälla.
Motionerna
Linda Snecker m.fl. (V) yrkar i kommittémotion 2017/18:3980 att regeringen ska ta fram riktlinjer för hur utkontraktering av it-verksamhet så långt som möjligt ska kunna undvikas i den offentliga förvaltningen. Motionärerna anför att dagens informationshantering i stor utsträckning sker med hjälp av olika it-system, vilket innebär digitala säkerhetsrisker. Enligt en rapport från Riksrevisionen finns det stora brister i it- och informationssäkerheten hos myndigheter. Samtidigt läggs allt fler it-områden ut på entreprenad hos externa aktörer. När det gäller säkerhetskänslig information är detta ett riskmoment i sig, och utkontraktering bör därför endast ske i undantagsfall.
I kommittémotion 2017/18:3999 av Tomas Tobé m.fl. (M, L, C, KD) yrkande 1 begärs att Försvarsmaktens och Säkerhetspolisens ansvar i fråga om tillsyn och möjligheter att stoppa en överlåtelse eller utkontraktering av säkerhetskänslig verksamhet ska regleras i den nya säkerhetsskyddslagen och inte, som regeringen nu föreslagit, i säkerhetsskyddsförordningen.
I samma motion yrkande 2 begärs att regeringen genomför en bred översyn av tillsynsmyndigheters ansvar, organisation och resursfördelning. Sverige har ingen nationell säkerhetsmyndighet och inga identifierade skyddsvärda sektorer på samma sätt som de flesta andra EU-länder har. I stället har myndigheter och andra aktörer till uppgift att själva genom en aktiv handling identifiera om de har någon säkerhetskänslig verksamhet som kan påverka Sveriges säkerhet och i så fall genomföra en säkerhetsskyddsanalys, vilket innebär att dessa aktörer är i behov av ett ökat och ändamålsenligt stöd från tillsynsmyndigheterna när den nya lagstiftningen ska tillämpas. Det är därför angeläget med en översyn av detta område.
Slutligen begär motionärerna i yrkande 3 att Regeringskansliet ska omfattas av säkerhetsskyddslagens samtliga bestämmelser. Enligt motionärerna finns det i Regeringskansliet sådana skyddsvärden att förlusten av säkerhetsskyddsklassificerade uppgifter kan ge mycket allvarliga konsekvenser för Sverige, samtidigt som it-skandalen vid Transportstyrelsen visat att Regeringskansliet inte är organiserat för att på ett adekvat sätt hantera informations- och cybersäkerhetsfrågor.
Konstitutionsutskottets och försvarsutskottets yttranden
Konstitutionsutskottet har yttrat sig över det förslag i propositionen som gäller säkerhetsskyddslagstiftningens tillämpning för Regeringskansliet och yrkandet om ett tillkännagivande till regeringen om att Regeringskansliet ska omfattas av samtliga bestämmelser i den nya säkerhetsskyddslagen i motion 2017/18:3999 av Tomas Tobé m.fl. (M, L, C, KD) yrkande 3 (bilaga 4).
Konstitutionsutskottet anför i sitt yttrande att innebörden av regeringens förslag när det gäller den nya säkerhetsskyddslagens tillämpning för Regeringskansliet i huvudsak är att den nu gällande ordningen ska behållas. Visserligen föreslås att den nya lagen ska gälla i sin helhet för Regeringskansliet, utlandsmyndigheterna och kommittéväsendet, men regeringen ska få meddela föreskrifter om undantag från andra bestämmelser i lagen än de som gäller säkerhetsskyddsklasser, säkerhetsprövning och säkerhetsintyg.
Konstitutionsutskottet har, liksom regeringen, viss förståelse för den kritik mot detta som remissinstanserna – Försvarsmakten och Riksrevisionen – anför om att lämpligheten av att det inte finns likvärdiga krav på säkerhetsskydd i alla verksamheter kan ifrågasättas. Samtidigt finner konstitutionsutskottet att en ordning som skulle innebära att Regeringskansliet omfattas av samtliga bestämmelser i den nya säkerhetsskyddslagen väcker vissa frågor av konstitutionellt slag. Exempelvis innehåller såväl den nuvarande säkerhetsskyddslagen som den nya lagen bestämmelser om tillsyn. I propositionen anges att ansvaret för tillsyn enligt säkerhetsskyddslagen i dag är uppdelat mellan flera myndigheter. I avvaktan på förslagen från Utredningen om vissa säkerhetsskyddsfrågor bedömer regeringen att den nuvarande tillsynsstrukturen bör bestå. Regeringen föreslår därför att det även i den nya säkerhetsskyddslagen tas in en upplysning om att tillsyn över säkerhetsskyddet hos myndigheter och andra som lagen gäller för ska utövas av den myndighet som regeringen bestämmer.
I regeringsformen slås fast att statliga förvaltningsmyndigheter som inte är myndigheter under riksdagen lyder under regeringen. Mot bakgrund av bestämmelserna i regeringsformen är, enligt konstitutionsutskottet, en ordning som skulle innebära att en eller möjligen flera statliga förvaltningsmyndigheter har tillsyn över Regeringskansliet inte självklar. Härtill kommer att det inom Regeringskansliet hanteras en typ av i detta sammanhang känsliga uppgifter som knappast förekommer i annan offentlig verksamhet, vilket ställer särskilda krav på regelverk och organisation. Konstitutionsutskottet framhåller att det utöver detta kan finnas andra aspekter som behöver beaktas ur ett konstitutionellt perspektiv när det gäller förslaget att samtliga bestämmelser i den nya säkerhetsskyddslagen ska omfatta Regeringskansliet. Avslutningsvis konstaterar dock konstitutionsutskottet att det inte finns några formella hinder mot ett tillkännagivande om att regeringen närmare ska utreda i vilken utsträckning Regeringskansliet bör omfattas av bestämmelserna i den nya säkerhetsskyddslagen.
Försvarsutskottet har yttrat sig över informationssäkerhetsmässiga aspekter av propositionen och följdmotionerna (bilaga 5). Försvarsutskottet anser sammanfattningsvis att justitieutskottet bör tillstyrka förslagen i propositionen på de skäl som anförs av regeringen. Utskottet anser också att justitieutskottet bör tillstyrka motion 2017/18:3999 (M, L, C, KD) yrkandena 1–3 och avstyrka motion 2017/18:3980 (V).
Utskottets ställningstagande
Utskottet anser i likhet med regeringen att förutsättningarna för säkerhetsskyddet har förändrats sedan den nuvarande lagen trädde i kraft för tjugo år sedan och att det finns ett omfattande behov av en förändring av regelverket. Samhällsutvecklingen, inte minst digitaliseringen och den ökade användningen av informationsteknik, innebär nya krav på och förutsättningar för säkerhetsskyddet, liksom den säkerhetspolitiska utvecklingen i omvärlden och den ökade globaliseringen. För att anpassa säkerhetsskyddet till dessa nya krav måste lagen moderniseras och förtydligas. Som anförs i propositionen är behoven av förändring så stora att den nuvarande säkerhetsskyddslagen bör upphävas och ersättas av en ny lag. Utskottet ser därför positivt på att regeringen nu har lämnat ett förslag till en ny säkerhetsskyddslag.
Även om utskottet mot denna bakgrund är berett att tillstyrka regeringens lagförslag kan det dock noteras vissa brister i förslaget.
För det första bör tillsynsmyndigheternas ansvar och befogenheter regleras i den nya säkerhetsskyddslagen och inte, som regeringen föreslår, i en förordning. Enligt utskottets mening är t.ex. Försvarsmaktens och Säkerhetspolisens ansvar när det gäller tillsyn och möjligheter att stoppa en överlåtelse eller utkontraktering av säkerhetskänslig verksamhet av sådan vikt att dessa befogenheter bör regleras i lag och inte i en förordning. Detta skulle ge ett mer robust regelverk. Regeringen bör enligt utskottets mening skyndsamt återkomma till riksdagen med ett sådant förslag. Utskottet föreslår därför att riksdagen tillkännager detta för regeringen. Därmed tillstyrker utskottet motion 2017/18:3999 (M, L, C, KD) yrkande 1.
För det andra anser utskottet att det behöver genomföras en bred översyn av samtliga tillsynsmyndigheters ansvar, organisation och resursfördelning. Säkerhetsskyddslagen ska enligt förslaget omfatta alla verksamheter som till någon del har betydelse för Sveriges säkerhet eller landets internationella åtaganden. Det ankommer på myndigheterna och övriga aktörer att själva, genom en aktiv handling, identifiera om de bedriver någon sådan säkerhetskänslig verksamhet. Regeringen noterar i propositionen att detta kan innebära svårigheter för verksamhetsutövarna men anser att problematiken får lösas i samverkan med Försvarsmakten, Säkerhetspolisen och övriga tillsynsmyndigheter. Begreppen Sveriges säkerhet och säkerhetskänslig verksamhet kan emellertid medföra betydande tolkningssvårigheter, inte minst för enskilda verksamhetsutövare. Mot bakgrund av det ökade stöd som myndigheter och andra aktörer kommer att behöva från tillsynsmyndigheterna när den nya lagen ska tillämpas är det viktigt att dessa myndigheter har en ändamålsenlig organisation och på ett effektivt sätt kan främja säkerhetsskyddet hos aktörerna. Enligt utskottet är det därför angeläget med en översyn av tillsynsmyndigheternas ansvar, organisation och resursfördelning. Utskottet ser positivt på att regeringen har tillsatt en utredning som bl.a. ska se över hur en ändamålsenlig tillsyn enligt säkerhetsskyddslagstiftningen ska vara utformad (dir. 2017:32). Det är emellertid viktigt att detta arbete innebär en bred översyn av tillsynens organisation och tillsynsmyndigheternas funktioner och också leder fram till nödvändiga förändringar på området. För att säkerställa detta föreslår utskottet därför att riksdagen tillkännager det som utskottet anför om en översyn av tillsynsmyndigheternas ansvar, organisation och resursfördelning för regeringen. Därmed tillstyrker utskottet motion 2017/18:3999 (M, L, C, KD) yrkande 2.
Den nuvarande säkerhetsskyddslagen gäller, som framgått ovan, endast delvis för Regeringskansliet. Enligt regeringens förslag ska den nu gällande ordningen i princip behållas i den nya säkerhetsskyddslagen. Den nya lagen ska visserligen gälla i sin helhet för Regeringskansliet, men regeringen ska få meddela föreskrifter om undantag från andra bestämmelser i lagen än de som gäller säkerhetsskyddsklasser, säkerhetsprövning och säkerhetsintyg. Utskottet finner att lämpligheten i detta undantag kan ifrågasättas. Bland annat har de uppmärksammade händelserna vid Transportstyrelsen enligt utskottet visat på vikten av att det inom Regeringskansliet finns en förmåga att hantera säkerhetskänslig verksamhet. Utgångspunkten måste vidare vara att det ställs likvärdiga krav på säkerhetsskydd i alla verksamheter, vilket regeringen också berör i propositionen.
Konstitutionsutskottet anför i sitt yttrande att en ordning som skulle innebära att Regeringskansliet omfattas av samtliga bestämmelser i den nya lagen väcker vissa frågor av konstitutionellt slag. En ordning där en, eller möjligen flera, statliga tillsynsmyndigheter har tillsyn över Regeringskansliet är enligt konstitutionsutskottet mot bakgrund av bestämmelserna i regeringsformen inte självklar. Konstitutionsutskottet konstaterar att det inom Regeringskansliet dessutom hanteras en typ av i detta sammanhang känsliga uppgifter som knappast förekommer i annan offentlig verksamhet, vilket ställer särskilda krav på regelverk och organisation. Vidare kan det finnas andra aspekter som i sammanhanget behöver beaktas ur ett konstitutionellt perspektiv. Justitieutskottet instämmer i detta. I likhet med konstitutionsutskottet finner justitieutskottet dock att det inte finns några formella hinder mot ett tillkännagivande om att regeringen ska närmare utreda i vilken utsträckning Regeringskansliet bör omfattas av bestämmelserna i den nya säkerhetsskyddslagen. Utskottet anser att så många bestämmelser som möjligt i säkerhetsskyddslagen ska omfatta också Regeringskansliet och föreslår därför att riksdagen tillkännager för regeringen att man bör låta utreda om lagen i större omfattning än vad som föreslås i den nu aktuella propositionen bör gälla för Regeringskansliet. Således tillstyrker utskottet motion 2017/18:3999 (M, L, C, KD) yrkande 3.
Som motionärerna som står bakom motion 2017/18:3980 (V) anför har det från olika håll påtalats brister i it- och informationssäkerhetsarbetet inom den offentliga förvaltningen, bl.a. i samband med utkontraktering av verksamhet, vilket även har lett till oönskade och allvarliga konsekvenser. Som framgått har regeringen gett en särskild utredare i uppdrag att bl.a. kartlägga behovet av att förebygga att säkerhetsskyddsklassificerade uppgifter eller i övrigt säkerhetskänslig verksamhet utsätts för risker i samband med utkontraktering, upplåtelse eller överlåtelse av sådan verksamhet och föreslå åtgärder. I likhet med försvarsutskottet anser justitieutskottet att det således för närvarande inte finns skäl att föreslå några nya åtgärder i fråga om utkontraktering, och utskottet avstyrker därmed motionen.
Utskottet anser att regeringens lagförslag i övriga delar är ändamålsenligt utformat och tillstyrker därför propositionen. Utskottet föreslår även en mindre redaktionell ändring i den föreslagna lagtexten och en lagändring för att samordna det aktuella lagförslaget med ett annat lagstiftningsärende.
|
Riktlinjer för utkontraktering av it-verksamhet, punkt 2 (V) |
av Linda Snecker (V).
Förslag till riksdagsbeslut
Jag anser att förslaget till riksdagsbeslut under punkt 2 borde ha följande lydelse:
Riksdagen ställer sig bakom det som anförs i reservationen och tillkännager detta för regeringen.
Därmed bifaller riksdagen motion
2017/18:3980 av Linda Snecker m.fl. (V).
Ställningstagande
Riksrevisionen har återkommande granskat myndigheternas informations-säkerhetsarbete. Nivån på informationssäkerheten hos de granskade myndigheterna ligger märkbart under vad som är tillräckligt. En viktig förklaring är enligt Riksrevisionen att förståelsen för vikten av en god informationssäkerhet överlag är alltför liten, vilket i sin tur får till följd att arbetet inte prioriteras tillräckligt i förhållande till riskerna. Det visar inte minst problemen med Transportstyrelsens upphandling. Också Säkerhets-polisen har tidigare och nyligen riktat kritik mot bristande it- och informationssäkerhet hos myndigheterna.
Samtidigt som myndigheterna inte klarar av att hantera uppgifterna är påbudet att allt fler it-områden ska läggas ut på entreprenad. En allt större andel av it-verksamheten läggs ut på externa aktörer, vilket i flera uppmärksammade fall fått stora negativa konsekvenser. En politisk vilja till ökad utkontraktering av it-tjänster måste sättas i relation till vilka säkerhetsrisker det kan medföra. Även om det i propositionen lämnas förslag som rör säkerhetsprövning m.m. vid exempelvis upphandling så anser jag att det är ett riskmoment i sig att utkontraktera uppgifter som innebär hantering av säkerhetskänslig information. Utkontraktering av skyddsvärda uppgifter bör därför endast ske i undantagsfall. Regeringen bör därför ta fram riktlinjer för hur utkontraktering av it-verksamhet så långt som det är möjligt ska kunna undvikas i den offentliga förvaltningen.
Bilaga 1
Förteckning över behandlade förslag
Proposition 2017/18:89 Ett modernt och stärkt skydd för Sveriges säkerhet – ny säkerhetsskyddslag:
1.Riksdagen antar regeringens förslag till säkerhetsskyddslag.
2.Riksdagen antar regeringens förslag till lag om ändring i polislagen (1984:387).
3.Riksdagen antar regeringens förslag till lag om ändring i elberedskapslagen (1997:288).
4. Riksdagen antar regeringens förslag till lag om ändring i lagen (1998:938) om behandling av personuppgifter om totalförsvarspliktiga.
5.Riksdagen antar regeringens förslag till lag om ändring i lagen (2006:128) om säkerhetsskydd i riksdagen och dess myndigheter.
6.Riksdagen antar regeringens förslag till lag om ändring i lagen (2007:258) om behandling av personuppgifter i Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst.
7.Riksdagen antar regeringens förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400).
8.Riksdagen antar regeringens förslag till lag om ändring i polisdatalagen (2010:361).
9.Riksdagen antar regeringens förslag till lag om ändring i lagen (2010:1767) om geografisk miljöinformation.
10.Riksdagen antar regeringens förslag till lag om ändring i lagen (2011:1029) om upphandling på försvars- och säkerhetsområdet.
11.Riksdagen antar regeringens förslag till lag om ändring i lagen (2014:514) om ansvar för vissa säkerhetsfrågor vid statsministerns tjänstebostäder.
2017/18:3980 av Linda Snecker m.fl. (V):
Riksdagen ställer sig bakom det som anförs i motionen om att regeringen bör ta fram riktlinjer för hur outsourcing av it-verksamhet så långt som det är möjligt ska kunna undvikas i den offentliga förvaltningen och tillkännager detta för regeringen.
2017/18:3999 av Tomas Tobé m.fl. (M, L, C, KD):
1.Riksdagen ställer sig bakom det som anförs i motionen om att tillsynsmyndigheternas ansvar och befogenheter ska regleras i säkerhetsskyddslagen och tillkännager detta för regeringen.
2.Riksdagen ställer sig bakom det som anförs i motionen om att regeringen bör genomföra en översyn av tillsynsmyndigheternas ansvar, organisation och resursfördelning och tillkännager detta för regeringen.
3.Riksdagen ställer sig bakom det som anförs i motionen om att Regeringskansliet ska omfattas av säkerhetsskyddslagens samtliga bestämmelser och tillkännager detta för regeringen.
Bilaga 2
Bilaga 3
Förslag till lag om ändring i lagen (2010:1767) om geografisk miljöinformation
Härigenom föreskrivs att 15 § lagen (2010:1767) om geografisk miljöinformation ska ha följande lydelse.
|
Lydelse enligt SFS 2018:000 |
Utskottets förslag |
15 §
Bestämmelser om
1. behandling av personuppgifter finns i
a) Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning),
b) lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, och
c) föreskrifter som har meddelats i anslutning till den lagen,
2. behandling av personuppgifter i fastighetsregistret finns i lagen (2000:224) om fastighetsregister,
3. krav på tillstånd för spridning av en sammanställning av geografisk information finns i lagen (2016:319) om skydd för geografisk information,
|
4. säkerhetsskydd finns i säkerhetsskyddslagen (1996:627), och |
4. säkerhetsskydd finns i säkerhetsskyddslagen (2018:000), och |
5. upphovsrätt finns i lagen (1960:729) om upphovsrätt till litterära och konstnärliga verk.
Denna lag träder i kraft den 1 april 2019.
Bilaga 4
Konstitutionsutskottets yttrande 2017/18:KU4y
Bilaga 5
Försvarsutskottets yttrande 2017/18:FöU8y
