Motion till riksdagen
2017/18:3999
av Tomas Tobé m.fl. (M, L, C, KD)

med anledning av prop. 2017/18:89 Ett modernt och stärkt skydd för Sveriges säkerhet – ny säkerhetsskyddslag


Förslag till riksdagsbeslut

  1. Riksdagen ställer sig bakom det som anförs i motionen om att tillsynsmyndigheternas ansvar och befogenheter ska regleras i säkerhetsskyddslagen och tillkännager detta för regeringen.
  2. Riksdagen ställer sig bakom det som anförs i motionen om att regeringen bör genomföra en översyn av tillsynsmyndigheternas ansvar, organisation och resursfördelning och tillkännager detta för regeringen.
  3. Riksdagen ställer sig bakom det som anförs i motionen om att Regeringskansliet ska omfattas av säkerhetsskyddslagens samtliga bestämmelser och tillkännager detta för regeringen.

Motivering

Det finns ett starkt behov av en ny säkerhetsskyddslag. Vi välkomnar därför att regeringen har presenterat propositionen Ett modernt och stärkt skydd för Sveriges säkerhet – ny säkerhetsskyddslag.

Kraven på säkerhetsskydd har förändrats och höjts som en konsekvens av den säkerhetspolitiska omvärldsutvecklingen och digitaliseringen. Vidare kräver utvecklingen av totalförsvaret ett väsentligt bättre säkerhetsskydd, framför allt kopplat till bevakningsmyndigheterna inom detta område. En allt större del av de verksamheter som är viktiga för samhällets funktionalitet ägs eller drivs numera av privata aktörer. Som framgår av propositionen är även utländskt ägande eller inflytande numera en realitet i samhällsviktiga verksamheter.

Skandalen kring Transportstyrelens utkontraktering av sin it-verksamhet samt regeringens bristfälliga hantering av denna fråga understryker behovet av ett bredare omtag avseende säkerhetsskyddsarbetet. Detta infattar såväl säkerhetsskyddslagen som säkerhetskyddsförordningen, men även de föreskrifter och anvisningar som tillsynsmyndigheterna utfärdar generellt eller riktar mot berörda aktörer. Vi konstaterar att regeringen har försökt att hantera denna situation genom propositionen och genom vissa förändringar i säkerhetskyddsförordningen, men även genom tillsättandet av utredningen Utkontraktering av säkerhetskänslig verksamhet, sanktioner och tillsyn. Vi anser dock att det finns brister kopplat till propositionen som behöver hanteras.

Tillsynsmyndigheternas ansvar och befogenheter ska regleras i lag

För det första bör det i lagstiftningen föras in att en statlig myndighet som avser att inleda en upphandling, som innebär krav på säkerhetsskyddsavtal, ska samråda med ansvarig tillsynsmyndighet och att tillsynsmyndigheten i sådana fall får förelägga den upphandlande myndigheten att vidta åtgärder enligt säkerhetsskyddslagen. Det bör vidare föras in i lagstiftningen att tillsynsmyndigheten får besluta att den upphandlande myndigheten inte får genomföra upphandlingen om ett föreläggande inte följs eller om tillsynsmyndigheten bedömer att säkerhetsskyddslagens krav inte kan tillgodoses trots att ytterligare åtgärder vidtas.

När statliga myndigheter ska överlåta eller utkontraktera säkerhetskänslig verksamhet krävs en ökad medvetenhet och bättre kontroll. Det innebär bl.a. att Säkerhetspolisen och Försvarsmakten bör ges ett tydligare tillsynsansvar med rejäla befogenheter.

Vi välkomnar därför även innehållet i de förordningsändringar som träder i kraft den 1 april 2018. Enligt dessa ska en statlig myndighet som avser att inleda en upphandling som innebär krav på säkerhetsskyddsavtal, om leverantören kan få tillgång till eller möjlighet att förvara hemliga uppgifter utanför myndighetens lokaler, innan ett sådant förfarande inleds

  1. undersöka och dokumentera vilka hemliga uppgifter som leverantören kan få del av och som kräver säkerhetsskydd (särskild säkerhetsanalys)
  2. samråda med relevant tillsynsmyndighet.

Enligt nu nämnda förordningsändringar föreslås vidare att tillsynsmyndigheten ska få förelägga den upphandlande myndigheten att vidta åtgärder enligt säkerhetsskyddslagen och de föreskrifter som har meddelats i anslutning till lagen. Vidare att tillsynsmyndigheten får besluta att den upphandlande myndigheten inte ska få genomföra upphandlingen om ett föreläggande inte följs eller om tillsynsmyndigheten bedömer att säkerhetsskyddslagens krav inte kan tillgodoses trots att ytterligare åtgärder vidtas.

Vi anser dock att Försvarsmaktens och Säkerhetspolisens ansvar när det gäller tillsyn och möjligheterna att stoppa en överlåtelse eller utkontraktering av säkerhetskänslig verksamhet är av sådan vikt att dessa befogenheter bör regleras i lagstiftning i stället för, som regeringen nu föreslagit, i förordning. Det skulle skapa ett mer robust regelverk som blir svårare att ändra.

Översyn av tillsynsmyndigheternas ansvar, organisation och resursfördelning

För det andra behöver det genomföras en bredare översyn av tillsynsmyndigheternas ansvar, organisation och resursfördelning. Detta har även påtalats i Försvarsberedningens rapport Motståndskraft  i anslutning till informationssäkerhetsområdet, som är en central del av säkerhetsskydd.

Det finns i dag brister i samspelet mellan tillsynsmyndigheterna och berörda intressenter på säkerhetsskyddsområdet. Säkerhetspolisen framhåller i sin årsbok för 2017 en rad faktorer som anknyter till detta problem. Det handlar bl.a. om brister i säkerhetskulturen, dåliga säkerhetsanalyser och svagheter i informationssäkerheten på många svenska myndigheter. Vi anser att detta är mycket allvarligt och att det säkerligen finns organisatoriska och strukturella skäl till att dessa problem existerar.

De flesta EU-länder har en nationell säkerhetsmyndighet som har huvudansvaret för säkerhetskyddsverksamhet som sin kärnverksamhet. Dessa myndigheter har sedan – typiskt sett – erhållit tillsynsansvar inom identifierade sektorer och mot berörda aktörer inklusive tredje parter. NIS-direktivet med sju identifierade sektorer bygger delvis på denna modell.

Sverige har valt en annan organisatorisk modell så till vida att säkerhetsskyddslagen inte identifierar sektorer och det inte finns en identifierad nationell säkerhetsmyndighet.  I stället innefattar lagen alla verksamheter som till någon del är av betydelse för Sveriges säkerhet eller landets internationella åtaganden. Sådan verksamhet ska benämnas säkerhetskänslig verksamhet enligt lagförslaget.

I avsaknad av identifierade sektorer och aktörer ankommer det därför, enligt ansvarsprincipen, på myndigheter och andra aktörer att själva genom en aktiv handling identifiera om de har någon säkerhetskänslig verksamhet som kan påverka Sveriges säkerhet och i så fall genomföra en säkerhetsanalys (som enligt lagförslaget i fortsättningen ska benämnas säkerhetsskyddsanalys). 

Vi konstaterar att ett antal remissinstanser anser att begreppen Sveriges säkerhet och säkerhetskänslig verksamhet är otydligt definierade, vilket kan medföra en inkonsekvent tolkning och tillämpning. Vidare har det framkommit att de anvisningar och råd som ges från tillsynsmyndigheterna i vissa fall är för bristfälliga för att ge konkret vägledning för säkerhetsanalysarbetet samt att tillsynsmyndigheterna i några fall har haft svårt att prioritera tillsynsarbetet.

Regeringen svarar till del på denna kritik genom att ange att de problem som kan uppstå får lösas i samverkan mellan Försvarsmakten, Säkerhetspolisen och övriga tillsynsmyndigheter. Regeringen överlämnar med andra ord ett stort ansvar till dessa aktörer.

Med anledning av det ökade stöd som myndigheter och andra aktörer kommer att behöva från tillsynsmyndigheterna när den nya lagstiftningen ska tillämpas anser vi att det är angeläget att en översyn görs av detta område. Syftet bör vara att tillgodose att tillsynsmyndigheternas ansvar, organisation och resursfördelning är ändamålsenlig för att främja ett effektivt säkerhetsskydd bland de aktörer som bedriver säkerhetskänslig verksamhet. 

Regeringskansliet bör omfattas av säkerhetsskyddslagens samtliga bestämmelser

För det tredje bör Regeringskansliet omfattas av säkerhetsskyddslagens samtliga bestämmelser. Enligt propositionen ska den nya säkerhetsskyddslagen visserligen tillämpas hos Regeringskansliet, utlandsmyndigheterna och kommittéväsendet, men samtidigt ska regeringen få besluta om undantag från andra bestämmelser i lagen än de som gäller säkerhetsskyddsklasser, säkerhetsprövning och säkerhetsintyg.

Vi anser att det är märkligt att regeringen har valt att göra detta undantag. Erfarenheterna från it-skandalen på Transportstyrelsen har påvisat betydande brister inom Regeringskansliet i att hantera säkerhetskänslig verksamhet. Även efter att it-skandalen blev känd har Regeringskansliets och regeringens hantering av olika frågeställningar och säkerhetsfrågor präglats av bristande vilja att gå till botten med vad som hänt trots att uppenbara brister har blivit kända i fråga om hur information hanterats inom Regeringskansliet. Detta påtalades från vår sida även i samband med riksdagens behandling av regeringens informations- och cybersäkerhetsstrategi.

Informations- och cybersäkerhetsstrategin syftar till att vara en strategi för hela det svenska samhället. Trots detta berörs inte eller redogörs inte för Regeringskansliets egen organisation för att hantera informations- och cybersäkerhetsfrågor. Detta ska ses mot bakgrund av att Regeringskansliet och regeringen hade vetskap om det ”haveri” som ägt rum på Transportstyrelsen när strategin skrevs. Sammantaget är det uppenbart att Regeringskansliet inte är organiserat på ett adekvat sätt för att hantera dessa frågor.

Försvarsmakten har i sitt remissvar, avseende den utredning som ligger till grund för regeringens förslag, understrukit att säkerhetsskyddslagen och säkerhetsskyddsförordningens bestämmelser bör gälla i sin helhet även för Regeringskansliet, eftersom det i Regeringskansliet finns sådana skyddsvärden att förlusten av säkerhetsskyddsklassificerade uppgifter kan ge mycket allvarliga konsekvenser för Sverige.

Om Regeringskansliet inte till fullo omfattas av säkerhetsskyddslagens bestämmelser finns en ökad risk att likande haverier som it-skandalen vid Transportstyrelsen även kan uppstå i framtiden. Därför anser vi, i likhet med Försvarsmakten, att säkerhetsskyddslagen och säkerhetsskyddsförordningens bestämmelser bör gälla i sin helhet även för Regeringskansliet.

 

 

Tomas Tobé (M)

 

Roger Haddad (L)

Johan Hedin (C)

Andreas Carlson (KD)