Kompletteringar till den nya säkerhetsskyddslagen

Betänkande av Utredningen om vissa säkerhetsskyddsfrågor

Stockholm 2018

SOU 2018:82

Innehåll

SOU 2018:82

3.4.5	De olika säkerhetsskyddsåtgärderna......................	84
3.4.6	Säkerhetsskyddsavtal ..............................................	86
3.4.7	Bemyndigande.........................................................	87
3.4.8	Säkerhetsprövning...................................................	88

3.4.9Internationell säkerhetsskyddssamverkan

		och säkerhetsintyg...................................................	89
	3.4.10	Tystnadsplikt...........................................................	90
	3.4.11	Tillsyn ......................................................................	90
3.5	Sekretessreglerna ....................................................................		90
3.6	Skyddet för enskildas rättigheter...........................................		93
	3.6.1	Egendomsskyddet i regeringsformen ....................	93
	3.6.2	Egendomsskyddet i Europakonventionen ............	94
	3.6.3	Näringsfriheten .......................................................	95
	3.6.4	Rätten till domstolsprövning .................................	96
	3.6.5	Rättsprövningslagen..............................................	104
4	Nordisk utblick........................................................		107
4.1	Inledning ...............................................................................		107
4.2	Norge ....................................................................................		107
4.3	Finland ..................................................................................		111
4.4	Danmark................................................................................		115
5	Skyldigheten att ingå säkerhetsskyddsavtal.................		117
5.1	Uppdraget .............................................................................		117
5.2	Den relevanta regleringen ....................................................		119

5.3Förhållandet mellan säkerhetsskyddslagen

och offentlighets- och sekretesslagen .................................		127
5.4 Skyldigheten att ingå säkerhetsskyddsavtal bör utvidgas ..		129
5.4.1	Utgångspunkter för våra överväganden...............	129

5.4.2Situationer där avsaknaden av säkerhetsskyddsavtal kan medföra negativa

konsekvenser .........................................................

130

6

SOU 2018:82

Innehåll

5.4.3Skyldigheten att ingå säkerhetsskyddsavtal bör utgå från exponeringen av säkerhetsskyddsklassificerade uppgifter eller

i övrigt säkerhetskänslig verksamhet....................

136

5.4.4Samverkan och samarbeten mellan statliga

myndigheter bör undantas i vissa fall ...................

141

5.4.5Andra än statliga myndigheter bör normalt omfattas av en skyldighet att ingå

säkerhetsskyddsavtal .............................................

149

5.4.6Regeringen bör kunna föreskriva och besluta

	om undantag ..........................................................	150
5.4.7	Bestämmelsernas närmare utformning.................	151
5.5 Reglerna om behörighet bör övervägas ...............................		155

5.6Kopplingen mellan säkerhetsskyddsavtal

	och säkerhetsprövning bör förtydligas ................................		157
6	Utkontraktering och upplåtelse av säkerhetskänslig
	verksamhet samt vissa andra förfaranden...................		159
6.1	Uppdraget..............................................................................		159
6.2	Förhållandet till angränsande utredningar och reglering....		164
	6.2.1	Förhållandet till områdesreglering .......................	164

6.2.2Förhållandet till utredningen om förbättrat

		skydd för totalförsvarsverksamhet.......................	165
6.3	Den relevanta regleringen.....................................................		168
	6.3.1	Säkerhetsskyddsavtal.............................................	168
	6.3.2	Samrådsskyldighet, föreläggande och förbud......	169
	6.3.3	Upphandling ..........................................................	171
6.4	Problembeskrivning..............................................................		176

6.4.1Teknikutvecklingen har ökat Sveriges

sårbarhet.................................................................

177

6.4.2Verksamhetsutövare tillämpar inte

	säkerhetsskyddslagen ............................................	178
6.4.3	Bristande kunskaper om egna skyddsvärden .......	179

6.4.4Bristande eller utebliven bedömning av

	lämpligheten...........................................................	181
6.4.5	Brister i arbetet med säkerhetsskyddsavtal..........	185

7

Innehåll

SOU 2018:82

6.4.6	Bristande eller utebliven uppföljning...................	186
6.4.7	Svårigheter att pröva leverantörens lämplighet...	188
6.4.8	Begränsade möjligheter att ingripa.......................	189

6.5Inledning till våra överväganden om förebyggande

åtgärder	..................................................................................	190
6.5.1	Inriktning på våra överväganden ..........................	191
6.5.2	Disposition av våra överväganden........................	196

6.6Säkerhetsskyddschefens roll i organisationen

bör stärkas.............................................................................

197

6.7En första kontrollstation – särskild

säkerhetsbedömning och egen lämplighetsprövning .........		200
6.7.1	Lämpligheten måste prövas ..................................	201

6.7.2Det behövs ytterligare åtgärder för att skapa

garantier för att lämpligheten prövas...................

205

6.7.3Kravet på särskild säkerhetsbedömning

bör utvidgas ...........................................................

206

6.7.4Det bör införas ett uttryckligt krav

på lämplighetsprövning.........................................

210

6.7.5Reglerna bör omfatta hela det planerade

	förfarandet.............................................................	211
6.7.6	Reglerna förebygger mer än ett problem.............	212

6.7.7Reglerna bör föras in i ett nytt kapitel

i säkerhetsskyddslagen..........................................

212

6.8En andra kontrollstation – samråd, förelägganden

och förbud.............................................................................

212

6.8.1Det bör finnas en samrådsskyldighet och

	en möjlighet att meddela förelägganden
	eller förbjuda vissa förfaranden............................	214
6.8.2	Bestämmelserna bör inte bara avse
	upphandlingar........................................................	216
6.8.3	Alla verksamhetsutövare bör omfattas ................	216

6.8.4Den andra kontrollstationen bör bara gälla

i vissa särskilt angelägna situationer.....................

217

6.8.5Situationer som bör omfattas av den andra

kontrollstationen...................................................

224

6.8.6Tillsynsmyndigheterna bör ansvara för

den andra kontrollstationen .................................

227

8

SOU 2018:82		Innehåll
6.8.7	När bör samrådet aktualiseras?.............................	230

6.8.8Vad bör samrådet och möjligheten att

	meddela förelägganden och förbud omfatta? ......	232
6.8.9	Reglerna om nödvändigt utlämnade
	aktualiseras i samrådet...........................................	235
6.8.10	Förfarandet hos tillsynsmyndigheten ..................	236

6.8.11Tillsynsmyndigheten bör kunna initiera

ett samråd...............................................................

246

6.9 En tredje kontrollstation – möjligheter för
tillsynsmyndigheterna att ingripa i efterhand .....................	247

6.9.1Det bör införas en möjlighet att ingripa under

	ett pågående förfarande.........................................	248
6.9.2	Ingripandet bör ha formen av ett föreläggande ...	250

6.9.3Ingripande bör kunna ske vid alla pågående

	förfaranden som omfattas av ett krav på
	säkerhetsskyddsavtal .............................................	253
6.9.4	Förutsättningar för ett ingripande .......................	254

6.9.5Tillsynsmyndigheterna bör fatta beslut

	om förelägganden ..................................................	255
6.9.6	Anmälningsplikt gäller ..........................................	256
6.10 Överklagande ........................................................................		257
6.10.1	Inledning ................................................................	257

6.10.2Både enskilda och offentliga aktörer

bör kunna överklaga besluten ...............................

258

6.10.3Överklagande av beslut enligt

den andra kontrollstationen..................................

259

6.10.4Överklagande av beslut enligt

den tredje kontrollstationen..................................

266

6.10.5Om domstolsprövningen och rätten till

partsinsyn m.m. .....................................................	267
6.11 Uppföljning under avtalstiden och ändrade
förhållanden...........................................................................	270

6.11.1Uppföljning behöver beaktas när avtal

	utformas .................................................................	271
6.11.2	Kontroll av att säkerhetsskyddsavtalet följs ........	271
6.11.3	Revidering av säkerhetsskyddsavtal
	efter ändrade förhållanden ....................................	272

9

Innehåll

SOU 2018:82

6.12 Det bör införas tvångsåtgärder............................................

274

6.12.1Föreläggande och förbud bör kunna

kompletteras med tvångsåtgärder ........................

274

6.12.2Stockholms tingsrätt bör besluta om

tvångsåtgärder .......................................................

276

6.12.3Tillsynsmyndigheten bör vara behörig

		att begära att tvångsåtgärder beslutas ..................	277
	6.12.4	Övriga frågor om förfarandet...............................	278
6.13	Förslagens förhållande till egendomsskyddet
	och näringsfriheten samt rätten till ersättning ...................		279
6.14	Bemyndiganden ....................................................................		286
7	Överlåtelse av säkerhetskänslig verksamhet ................		287
7.1	Uppdraget .............................................................................		287
7.2	Förhållandet till angränsande utredningar och reglering ...		296
7.3	Viss relevant reglering ..........................................................		297
	7.3.1	Säkerhetsskyddsregleringen om överlåtelser.......	297
	7.3.2	Skyddet för enskildas rättigheter .........................	298
	7.3.3	Angränsande nationell reglering ..........................	298
7.4	Nordisk reglering .................................................................		300
7.5	Problembeskrivning .............................................................		301

7.5.1Överlåtelser av säkerhetskänslig verksamhet kan medföra ökade sårbarheter för Sveriges

säkerhet..................................................................

301

7.5.2Brister i säkerhetsskyddet accentueras

vid överlåtelse ........................................................

303

7.5.3Ingen uttrycklig skyldighet för verksamheten

att pröva lämpligheten...........................................

305

7.5.4Inga befogenheter att ingripa i

eller hindra överlåtelser.........................................

305

7.6Inledning till våra överväganden om förebyggande

åtgärder vid överlåtelse.........................................................

306

7.7Det behövs särskilda förebyggande

åtgärder avseende överlåtelse ...............................................

307

10

SOU 2018:82

Innehåll

7.8Ett system med kontrollstationer bör gälla

även vid vissa överlåtelser .....................................................	309
7.9 Den första kontrollstationen................................................	312

7.9.1Det övergripande innehållet i den första

kontrollstationen ...................................................

312

7.9.2Den första kontrollstationen bör bara gälla

verksamhetsutövare...............................................

313

7.9.3Överlåtelse av hela eller någon del av

	den säkerhetskänsliga verksamheten....................	314
7.9.4	Överlåtelse av annan egendom
	än själva verksamheten ..........................................	315
7.9.5	Lämplighetsprövningen.........................................	317
7.10 Den andra kontrollstationen ................................................		320

7.10.1Den andra kontrollstationen bör omfatta

även aktie- och andelsägare...................................

321

7.10.2Tillämpningsområdet bör i övrigt

överensstämma med den första
kontrollstationen ...................................................	322

7.10.3Tillsynsmyndigheterna bör ansvara för

	den andra kontrollstationen..................................	322
7.10.4	Samrådets omfattning ...........................................	323
7.10.5 Förutsättningar för ett förbud..............................		323
7.10.6 Samrådet bör kunna avslutas
	med föreläggande...................................................	324
7.10.7	Handläggningen.....................................................	325
7.10.8 Tillsynsmyndigheten bör kunna initiera
	ett samråd...............................................................	325
7.11 Verkan av att man genomför en överlåtelse utan samråd
eller trots ett förbud .............................................................		326
7.11.1 Överlåtelser bör i vissa fall vara ogiltiga...............		326
7.11.2 Tillsynsmyndigheten bör kunna meddela
	förelägganden mot både överlåtaren och
	förvärvaren .............................................................	329
7.11.3 Det bör inte införas någon tidsgräns
	för ogiltighet och ingripande ................................	331
7.12 Överklagande ........................................................................		332

11

Innehåll

SOU 2018:82

7.13	Det bör införas tvångsåtgärder............................................		333
7.14	Förslagens förhållande till egendomsskyddet
	och rätten till ersättning.......................................................		334
7.15	Anmälnings-, upplysnings- och rapporteringsplikt ...........		336
7.16	Bemyndiganden ....................................................................		337
8	Tillsyn	....................................................................	339
8.1	Uppdraget .............................................................................		339
8.2	Den relevanta regleringen ....................................................		342
	8.2.1	Säkerhetsskyddslagen och
		säkerhetsskyddsförordningen ..............................	342

8.2.2Tillsyn enligt lagen om informationssäkerhet

		för samhällsviktiga och digitala tjänster...............	344
8.3	Utgångspunkter....................................................................		345
8.4	Utvecklingsbehovet..............................................................		348
	8.4.1	Inledning................................................................	348
	8.4.2	Tillsynen är inte definierad och avgränsad ..........	349
	8.4.3	Den samlade bilden över tillsynen saknas ...........	350
	8.4.4	Informationsutbytet är inte reglerat....................	351
	8.4.5	Nödvändiga befogenheter saknas ........................	352
	8.4.6	Tillsynen som bedrivs är begränsad .....................	353
	8.4.7	Tillsynskompetensen behöver öka.......................	353
	8.4.8	Antalet tillsynsobjekt kan inte anges...................	353
8.5	Vi lämnar inte förslag om en central tillsynsmyndighet.....		354

8.6Säkerhetspolisen och Försvarsmakten

bör vara samordningsmyndigheter ......................................		356
8.7 En ny tillsynsstruktur...........................................................		360
8.7.1	Inledning................................................................	362

8.7.2Utgångspunkter för våra överväganden

	om tillsynsstrukturen............................................	362
8.7.3	Fördelningen av tillsynsansvaret..........................	363
8.7.4	Begreppet tillsynsmyndighet................................	390
8.7.5	Organisatoriska faktorer ......................................	390
8.7.6	Övertagande av tillsynsansvar ..............................	392

12

SOU 2018:82Innehåll

8.8	Tillsynens syfte och innehåll................................................		395
8.9	Handläggningen av tillsynsärenden .....................................		397
8.10	Tillsynsmyndigheternas undersökningsbefogenheter........		398
	8.10.1	Inledning och utgångspunkter
		för våra överväganden............................................	398
	8.10.2	Tillträdesrätt för tillsynsmyndigheterna ..............	399
	8.10.3	Verksamhetsutövarens uppgiftsskyldighet..........	400
	8.10.4	Förelägganden och handräckning.........................	401
8.11	Åtgärdsförelägganden...........................................................		402
8.12	Omedelbar verkställighet och inhibition.............................		404
8.13	Överklagande ........................................................................		405
8.14	En sanktionerad anmälningsplikt.........................................		406
8.15	Systematisk kartläggning och dokumentation
	av tillsynsobjekt.....................................................................		409
8.16	Tillsyn bör ske med viss regelbundenhet ............................		411
8.17	Tillsyn bör inte förenas med rådgivning..............................		411
8.18	Ett nytt kapitel i säkerhetsskyddslagen...............................		412
9	Sanktioner ..............................................................		415
9.1	Uppdraget..............................................................................		415
9.2	Straffrättsliga och administrativa sanktioner ......................		416
9.3	Ingen straffbestämmelse i säkerhetsskyddslagen................		417

9.4Tillämpningsområdet för befintliga straffbestämmelser

bör inte utvidgas....................................................................	418
9.5 Sanktionsavgift bör införas ..................................................	422

9.6Utgångspunkter för utformningen

	av sanktionsavgiftssystemet .................................................	427
9.7	Vem ska betala sanktionsavgiften? ......................................	429
9.8	Överträdelser som ska leda till sanktionsavgift ..................	431

13

Innehåll

SOU 2018:82

9.9	Sanktionsavgift ska alltid tas ut ...........................................		439
9.10	Tillsynsmyndigheten ska besluta om sanktionsavgift........		441
9.11	Sanktionsavgiftens storlek ...................................................		442
9.12	Hur sanktionsavgiften ska bestämmas
	i det enskilda fallet ................................................................		445
9.13	Hinder mot sanktionsavgift.................................................		446
9.14	Förfarandet vid beslut om sanktionsavgift .........................		447
9.15	Överklagande........................................................................		448
9.16	Ett nytt kapitel i säkerhetsskyddslagen...............................		449
10	Ikraftträdande- och övergångsbestämmelser ...............		451
10.1	Ikraftträdande.......................................................................		451
	10.1.1	Allmänna överväganden........................................	451
	10.1.2 Särskilt om vitesförelägganden och
		sanktionsavgift ......................................................	452
10.2	Övergångsbestämmelser ......................................................		453
	10.2.1	Säkerhetsskyddsavtal ............................................	453
	10.2.2	Samråd....................................................................	454
	10.2.3	Vitesförelägganden................................................	454
	10.2.4	Sanktionsavgift......................................................	454

10.2.5Tillsynsmyndighetens möjlighet att ingripa

		i efterhand..............................................................	455
	10.2.6	Tvångsåtgärder ......................................................	455
11	Konsekvenser ..........................................................		457
11.1	Kommittéförordningens och utredningsdirektivens
	krav ........................................................................................		457
11.2	Utgångspunkter och underlag för konsekvensanalysen.....		458
11.3	Aktörer som berörs av våra förslag .....................................		460
	11.3.1	Verksamhetsutövare..............................................	460
	11.3.2	Verksamhetsutövarens motpart ...........................	474

11.3.3Aktie- och andelsägare i säkerhetskänsliga

verksamheter .........................................................

475

14

SOU 2018:82		Innehåll
11.3.4	Tillsynsmyndigheter..............................................	476
11.3.5	Domstolarna ..........................................................	480
11.3.6	Regeringen .............................................................	481
11.4 Ekonomiska konsekvenser och finansiering .......................		482
11.4.1 Ekonomiska konsekvenser för det allmänna .......		482
11.4.2 Ekonomiska konsekvenser för enskilda...............		499
11.4.3	Finansiering av tillsynsverksamheten...................	499

11.4.4Åtgärder för att etablera det föreslagna

tillsynssystemet .....................................................

501

11.4.5Kompetensförsörjning och behov av

utbildning...............................................................

503

11.4.6Särskilt om beslut om placering

i säkerhetsklass.......................................................	504
11.5 Övriga konsekvenser ............................................................	505
11.5.1 Sveriges säkerhet....................................................	505

11.5.2Förslagens konsekvenser för den kommunala

självstyrelsen ..........................................................

507

11.5.3Förslagen överensstämmer med de skyldigheter som följer av Sveriges anslutning

	till EU.....................................................................	508
	11.5.4 Behov av speciella informationsinsatser...............	509
	11.5.5 Övrigt.....................................................................	509
12	Författningskommentar ............................................	511
12.1	Förslaget till lag om ändring i säkerhetsskyddslagen
	(2018:585)..............................................................................	511

Bilagor
Bilaga 1	Kommittédirektiv 2017:32 ...........................................	539
Bilaga 2	Kommittédirektiv 2018:2 .............................................	549

15

Förklaring av begrepp och förkortningar

SOU 2018:82

NIS-direktivet	Europaparlamentets och rådets
	direktiv	(EU) 2016/1148 av
	den 6 juli 2016 om åtgärder för
	en hög gemensam nivå på säker-
	het i nätverks- och informa-
	tionssystem i hela unionen
NIS-lagen	lagen (2018:1174) om informa-
	tionssäkerhet för samhällsviktiga
	och digitala tjänster
Nya säkerhetsskyddslagen	Säkerhetsskyddslag (2018:585)
Nya	(Säkerhetsskyddsförordning
säkerhetsskyddsförordningen	(2018:658)
PMFS	Polismyndighetens
	författningssamling
Verksamhetsutövare	En offentlig eller enskild aktör
	som bedriver verksamhet som
	omfattas	av säkerhetsskydds-
	lagen

18

Sammanfattning

SOU 2018:82

–kartlägga behovet av att förebygga att säkerhetsskyddsklassificerade uppgifter eller i övrigt säkerhetskänslig verksamhet utsätts för risker i samband med utkontraktering, upplåtelse och överlåtelse av sådan verksamhet, och föreslå olika förebyggande åtgärder, t.ex. tillståndsprövning,

–föreslå ett system med sanktioner i säkerhetsskyddslagstiftningen,

–föreslå hur en ändamålsenlig tillsyn enligt säkerhetsskyddslag- stiftningen ska vara utformad, och

–analysera och föreslå i vilken utsträckning verksamhetsutövare som bedriver säkerhetskänslig verksamhet ska vara skyldiga att ingå säkerhetsskyddsavtal vid överenskommelser med utomstå- ende som berör den säkerhetskänsliga verksamheten.

Våra huvudsakliga förslag sammanfattas i det följande.

Skyldigheten att ingå säkerhetsskyddsavtal utvidgas

Skyddet ska upprätthållas oavsett var verksamheten bedrivs

En grundläggande princip inom säkerhetsskyddet är att de intressen som lagstiftningen slår vakt om bör ha samma skydd oavsett om verksamheten bedrivs av det allmänna eller av enskilda. Bestämmel- serna om säkerhetsskyddsavtal är ett uttryck för denna princip. En- ligt 2 kap. 6 § nya säkerhetsskyddslagen ska statliga myndigheter, kommuner och landsting som avser att genomföra en upphandling och ingå ett avtal om varor, tjänster eller byggentreprenader i vissa fall vara skyldiga att ingå ett säkerhetsskyddsavtal med leverantören. I avtalet ska det anges hur kraven på säkerhetsskydd ska tillgodoses. Skyldigheten att ingå säkerhetsskyddsavtal kommer enligt reglerna att gälla även för enskilda verksamhetsutövare i motsvarande situa- tioner. En utgångspunkt för våra resonemang om en utvidgad skyl- dighet att ingå säkerhetsskyddsavtal är att informationens eller verk- samhetens skydd ska upprätthållas när en aktör som bedriver säker- hetskänslig verksamhet avser att ge någon utomstående tillgång till säkerhetsskyddsklassificerade uppgifter eller i övrigt till säkerhets- känslig verksamhet.

20

SOU 2018:82

Sammanfattning

Det finns situationer där avsaknaden av säkerhetsskyddsavtal kan medföra negativa konsekvenser

Det finns situationer där säkerhetsskyddsklassificerade uppgifter eller i övrigt säkerhetskänslig verksamhet exponeras för utomstå- ende, men där det inte finns någon skyldighet att ingå säkerhets- skyddsavtal. Ett exempel på detta kan vara olika former av samarbeten och samverkan som inte handlar om anskaffning av varor, tjänster eller byggentreprenader. Ett annat exempel kan vara situationer där det är leverantörens och inte beställarens skyddsvärden som behöver skyddas. Regleringen om säkerhetsskyddsavtal omfattar inte sådana fall, utan utgår ifrån att det är beställaren som ställer krav på säker- hetsskydd hos en leverantör. Det finns också situationer där det är oklart om det gäller krav på säkerhetsskyddsavtal.

Om det inte ställs krav på säkerhetsskyddsavtal i alla relevanta situationer där säkerhetsskyddsklassificerade uppgifter eller i övrigt säkerhetskänslig verksamhet kommer att exponeras för utomstå- ende, ökar sannolikheten för att motparten inte vidtar de säkerhets- skyddsåtgärder som behövs. Detta gäller även om den utomstående parten också bedriver säkerhetskänslig verksamhet och därmed om- fattas av säkerhetsskyddslagens bestämmelser. Avsaknad av säkerhets- skyddsavtal kan ytterst leda till skada för Sveriges säkerhet.

Skyldigheten bör gälla i betydligt fler situationer

Vi föreslår att skyldigheten att ingå säkerhetsskyddsavtal utvidgas på så sätt att den också ska gälla för andra förfaranden än upphandlingar och andra anskaffningar. Den utvidgade skyldigheten innebär att den som bedriver säkerhetskänslig verksamhet (verksamhetsutövaren) ska ingå ett säkerhetsskyddsavtal så snart verksamhetsutövaren avser att genomföra en upphandling, ingå ett avtal eller inleda någon annan form av samverkan eller samarbete med en utomstående part, om förfarandet

1.innebär att den utomstående parten kan få tillgång till säker- hetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfi- dentiell eller högre, eller

21

Sammanfattning

SOU 2018:82

2.i övrigt avser eller kan ge den utomstående parten tillgång till säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet.

Förfaranden mellan statliga myndigheter undantas

Vi bedömer att det inte finns något påtagligt behov av att statliga myndigheter som samverkar eller samarbetar om något annat än en anskaffning ska vara skyldiga att ingå säkerhetsskyddsavtal och att en sådan skyldighet dessutom skulle ha nackdelar. Vi föreslår därför att skyldigheten att ingå säkerhetsskyddsavtal inte ska gälla samarbeten och samverkan mellan två eller flera statliga myndigheter som avser något annat än en anskaffning av varor, tjänster och byggentreprenader.

Regeringen kan föreskriva och besluta om undantag

Vi anser vidare att regeringen bör kunna föreskriva om undantag från skyldigheten att ingå säkerhetsskyddsavtal, t.ex. när det gäller anskaffning mellan vissa myndigheter, och besluta om undantag i enskilda fall. Vi föreslår därför ett bemyndigande i dessa avseenden.

22

SOU 2018:82

Sammanfattning

Förebyggande åtgärder i samband med utkontraktering, upplåtelse och vissa andra förfaranden

Utvecklingsbehovet

Vår kartläggning visar att det finns flera brister i säkerhetsskydds- arbetet som bl.a. yttrar sig vid utkontraktering av säkerhetskänslig verksamhet men också vid vissa upplåtelser och andra förfaranden där utomstående involveras i den säkerhetskänsliga verksamheten.

23

Sammanfattning

SOU 2018:82

Vissa av bristerna gäller säkerhetsskyddet generellt, t.ex. att verksam- hetsutövaren inte tillämpar säkerhetsskyddsreglerna eller har bristande kunskap om sina skyddsvärden. Sådana brister accentueras när verk- samhetsutövaren utkontrakterar en del av den säkerhetskänsliga verk- samheten eller på annat sätt kopplar in utomstående i verksamheten. Andra brister handlar specifikt om olika förfaranden där utomstå- ende involveras i den säkerhetskänsliga verksamheten, däribland ut- kontraktering och upplåtelse men också andra förfaranden. Bristerna handlar om att man inte alltid prövar om förfarandet är lämpligt eller att det är svårt att pröva lämpligheten, att säkerhetsskyddsavtal kan vara bristfälliga, att man inte följer upp förfarandet medan det pågår och att det saknas tillräckliga möjligheter för samhället att ingripa mot förfaranden som är olämpliga från säkerhetsskyddssynpunkt.

En bred ansats

Med utgångspunkt i kartläggningen av utvecklingsbehovet föreslår

viett antal förebyggande åtgärder som inte enbart är inriktade på utkontraktering och upplåtelse, utan som kan aktualiseras även vid vissa andra förfaranden med utomstående parter. Vi har delat upp åtgärderna i steg, som vi kallar kontrollstationer. Förslagen i de första två kontrollstationerna bygger delvis på bestämmelserna i 2 kap. 6 § nya säkerhetsskyddsförordningen. Förslagen går ut på följande.

Kontrollstation 1 – Särskild säkerhetsbedömning och egen lämplighetsprövning

Den första kontrollstationen gäller för den som bedriver säkerhets- känslig verksamhet och som avser att genomföra ett förfarande som kräver säkerhetsskyddsavtal. Innan förfarandet inleds ska verksam- hetsutövaren genom en särskild säkerhetsbedömning identifiera vilka säkerhetsskyddsklassificerade uppgifter eller vilken säkerhetskänslig verksamhet i övrigt som den utomstående parten kan få tillgång till och som kräver säkerhetsskydd. Med utgångspunkt i den särskilda säkerhetsbedömningen och övriga omständigheter ska verksamhets- utövaren pröva om det planerade förfarandet är lämpligt från säker- hetsskyddssynpunkt (lämplighetsprövning).

24

SOU 2018:82

Sammanfattning

Om lämplighetsprövningen leder till bedömningen att det plane- rade förfarandet är olämpligt från säkerhetsskyddssynpunkt, får det inte inledas. Detta anges uttryckligen i regleringen. Den särskilda säkerhetsbedömningen och lämplighetsprövningen ska dokumenteras.

Kontrollstation 2 – Samråd, förelägganden och förbud

Den andra kontrollstationen går bl.a. ut på att verksamhetsutövare som planerar att inleda ett förfarande i vissa fall ska samråda med tillsynsmyndigheten. Samrådsskyldigheten gäller om det planerade förfarandet innebär krav på säkerhetsskyddsavtal, och

1.innebär att den utomstående parten kan få tillgång till eller möj- lighet att förvara säkerhetsskyddsklassificerade uppgifter i säker- hetsskyddsklassen hemlig eller högre utanför verksamhetsutöv- arens lokaler,

2.utgör en upplåtelse som kan ge den utomstående parten tillgång till säkerhetskänslig verksamhet i övrigt av motsvarande betydel- se för Sveriges säkerhet, eller

3.ger den utomstående parten tillgång till informationssystem utan- för verksamhetsutövarens lokaler och åtkomst till systemen kan medföra allvarlig skada för Sveriges säkerhet.

I den andra kontrollstationen ingår även en möjlighet för tillsyns- myndigheten att förelägga verksamhetsutövaren att vidta åtgärder enligt säkerhetsskyddslagen och de föreskrifter som har meddelats i anslutning till lagen. Om ett föreläggande inte följs eller om tillsyns- myndigheten bedömer att det planerade förfarandet är olämpligt från säkerhetsskyddssynpunkt även om ytterligare åtgärder vidtas, får tillsynsmyndigheten besluta att verksamhetsutövaren inte får genom- föra det planerade förfarandet. Ett föreläggande eller förbud får bara beslutas om skälen för åtgärden uppväger den skada eller annan olägen- het som åtgärden medför för allmänna eller enskilda intressen.

Vi föreslår att ett föreläggande ska få överklagas till Förvaltnings- rätten i Stockholm, varvid tillsynsmyndigheten bör vara motpart. Prövningstillstånd bör krävas vid överklagande till kammarrätten. Ett förbud föreslås få överklagas till regeringen. Enskilda kan begära

25

Sammanfattning

SOU 2018:82

att regeringens beslut prövas enligt lagen (2006:304) om rättspröv- ning av vissa regeringsbeslut.

Förslagen bygger på att verksamhetsutövaren själv är skyldig att initiera samrådet. Det kan dock förekomma att en verksamhetsutövare försummar att göra det, antingen medvetet eller av förbiseende. Vi före- slår därför att även tillsynsmyndigheten ska kunna ta initiativ till samråd om förutsättningarna för samrådsskyldighet är uppfyllda.

Kontrollstation 3

Den tredje kontrollstationen är en sorts ”nödbroms”, som innebär en möjlighet för tillsynsmyndigheten att ingripa mot ett pågående förfarande, t.ex. en pågående utkontraktering eller ett annat pågå- ende samarbete. Om ett sådant pågående förfarande som omfattas av ett krav på säkerhetsskyddsavtal är olämpligt från säkerhetsskydds- synpunkt, får tillsynsmyndigheten förelägga verksamhetsutövaren eller den utomstående parten i förfarandet att vidta de åtgärder som är nödvändiga för att förhindra skada för Sveriges säkerhet. Före- läggandet kan bl.a. innebära ett krav på att hela eller delar av för- farandet ska upphöra. Ett föreläggande får bara beslutas om skälen för åtgärden uppväger den skada eller annan olägenhet som åtgärden medför för allmänna eller enskilda intressen.

Föreläggandet får förenas med vite och får överklagas till regeringen.

Förtydligade krav på uppföljning

Det är av stor vikt att verksamhetsutövare följer upp pågående ut- kontrakteringar och andra pågående samarbeten och förfaranden där det har ingåtts ett säkerhetsskyddsavtal. Vi föreslår därför bestäm- melser som går ut på att verksamhetsutövaren har både rätt och skyl- dighet att revidera säkerhetsskyddsavtalet om det krävs på grund av ändrade förhållanden.

26

SOU 2018:82

Sammanfattning

Figur 1.2 Förfarandet vid utkontraktering, upplåtelse och vissa andra förfaranden

Förebyggande åtgärder i samband med överlåtelse av säkerhetskänslig verksamhet och egendom med betydelse för Sveriges säkerhet

Utvecklingsbehovet

Överlåtelser av säkerhetskänslig verksamhet och egendom som har betydelse för Sveriges säkerhet kan medföra sårbarheter för Sveriges säkerhet. Till skillnad från andra förfaranden så som utkontraktering

27

Sammanfattning

SOU 2018:82

och upplåtelse innebär överlåtelser dessutom att den som tidigare bedrivit verksamheten förlorar möjligheten att påverka hur den säkerhetskänsliga verksamheten och de säkerhetsskyddsklassificerade uppgifterna kommer att användas efter överlåtelsen. Det är proble- matiskt att det inte finns någon uttrycklig skyldighet för verksam- hetsutövaren att pröva lämpligheten av en överlåtelse av hela eller delar av verksamheten eller av egendom i verksamheten som har bety- delse för Sveriges säkerhet. Det är även problematiskt att det inte finns några möjligheter för samhället att ingripa mot överlåtelser som är olämpliga från säkerhetsskyddssynpunkt.

Kontrollstation 1 och 2 tillämpas även vid vissa överlåtelser

Vi föreslår att kontrollstation 1 och 2 ska gälla även när en verksam- hetsutövare som omfattas av säkerhetsskyddslagen avser att överlåta

1.hela eller någon del av den säkerhetskänsliga verksamheten, eller

2.någon egendom i den säkerhetskänsliga verksamheten som har betydelse för Sveriges säkerhet eller för ett för Sverige förplikt- ande internationellt åtagande om säkerhetsskydd.

Om dessa förutsättningar är uppfyllda ska verksamhetsutövaren alltså genomföra en särskild säkerhetsbedömning och lämplighetspröv- ning och därefter samråda med tillsynsmyndigheten, som får före- lägga överlåtaren att vidta åtgärder enligt säkerhetsskyddslagen och de föreskrifter som har meddelats i anslutning till lagen. Om ett föreläggande inte följs eller om tillsynsmyndigheten bedömer att överlåtelsen är olämplig från säkerhetsskyddssynpunkt även om ytter- ligare åtgärder vidtas, får tillsynsmyndigheten besluta att överlåtel- sen inte får genomföras. En skillnad i förhållande till utkontraktering, upplåtelse och vissa andra förfaranden är att samrådet vid överlåtelse även får avslutas med ett föreläggande som innebär att överlåtelsen endast får genomföras på vissa villkor, vid påföljd att överlåtelsen annars är ogiltig.

Vi föreslår vidare att kontrollstation 2 ska gälla även den som av- ser att överlåta aktier eller andelar i säkerhetskänslig verksamhet. Skälet är bl.a. att det annars blir för lätt att kringgå reglerna. Kraven föreslås dock inte gälla i fråga om den som avser att överlåta aktier i publika aktiebolag.

28

SOU 2018:82

Sammanfattning

Även här föreslår vi att ett föreläggande ska få överklagas till För- valtningsrätten i Stockholm, varvid tillsynsmyndigheten bör vara motpart, och att förbud ska få överklagas till regeringen. Prövnings- tillstånd bör krävas vid överklagande av förvaltningsrättens beslut.

Liksom när det gäller utkontraktering m.m. förslår vi att det är den samrådsskyldige som ska inleda samrådet, men att det ska vara tillåtet för tillsynsmyndigheten att initiera samrådet om förutsätt- ningarna för samrådsskyldighet är uppfyllda.

Vissa överlåtelser anses ogiltiga

Vi föreslår att en överlåtelse av säkerhetskänslig verksamhet eller egendom ska vara ogiltig om den har genomförts trots att tillsyns- myndigheten förbjudit överlåtelsen. Samma sak föreslås gälla om samrådet har avslutats med ett föreläggande vid påföljd av ogiltighet och överlåtelsen genomförts i strid med de villkor som ställts upp i föreläggandet.

Om en samrådspliktig överlåtelse har genomförts utan samråd och förutsättningarna för ett förbud enligt kontrollstation 2 är upp- fyllda, föreslår vi att tillsynsmyndigheten ska kunna förbjuda över- låtelsen i efterhand. Även i det fallet föreslår vi att överlåtelsen ska anses ogiltig.

Om en överlåtelse är ogiltig föreslår vi att tillsynsmyndigheten ska ha en möjlighet att meddela de förelägganden mot överlåtaren och förvärvaren som behövs för att förhindra skada för Sveriges säkerhet, och att förena föreläggandet med vite.

Vi föreslår att förelägganden och förbud som nu avses ska få över- klagas till regeringen.

En ändrad anmälningsplikt

Vi föreslår att anmälningsplikten i 2 kap. 9 § första stycket nya säker- hetsskyddsförordningen vid överlåtelser av säkerhetskänslig verk- samhet upphävs till följd av våra förslag om samråd. Vi föreslår vidare att denna ersätts av en anmälningsplikt för en verksamhetsutövare som får kännedom om att någon annan än verksamhetsutövaren pla- nerar att överlåta eller har överlåtit verksamheten eller sådan egen- dom i verksamheten som har betydelse för Sveriges säkerhet eller för

29

Sammanfattning

SOU 2018:82

ett för Sverige förpliktande åtagande om säkerhetsskydd. Verksamhets- utövaren ska i ett sådant fall skyndsamt anmäla förhållandet till till- synsmyndigheten.

Figur 1.3 Förfarandet vid överlåtelser av säkerhetskänslig verksamhet och viss egendom

Avser verksamhetsutövaren att överlåta 1) hela eller någon del av den säkerhetskänsliga verksamheten, eller 2) egendom i den säkerhetskänsliga verksamheten som har betydelseför Sveriges säkerhet eller för ett för Sverige förpliktande internationellt åtagande om säkerhetsskydd?
		Kontrollstation 1 Steg 1: Gör särskild säkerhetsbedömning Steg 2: Gör egen lämplighetsprövning	Olämpligt
	Ja			FÅR INTE INLEDAS

30

SOU 2018:82

Sammanfattning

Figur 1.4 Överlåtelse som genomförts utan samråd

Tvångsåtgärder

Som har framgått i det föregående föreslår vi att tillsynsmyndigheten under vissa förhållanden ska kunna besluta om förelägganden och förbud i samband med utkontraktering, upplåtelse, överlåtelse och vissa andra förfaranden. Om ett sådant förbud eller föreläggande meddelats, föreslår vi att tillsynsmyndigheten även ska kunna ansöka om att Stockholms tingsrätt beslutar om sådana tvångsåtgärder som avses i 15 kap. 1–3 §§ rättegångsbalken, dvs. bland annat kvarstad.

31

Sammanfattning

SOU 2018:82

Ansökan ska kunna beviljas om tvångsåtgärden behövs för att ända- målet med förbudet eller föreläggandet inte ska motverkas och det är proportionerligt med en sådan tvångsåtgärd. En tvångsåtgärd ska kunna beslutas även om föreläggandet eller förbudet inte fått laga kraft.

Vidare föreslår vi att följande ska gälla. Tillsynsmyndigheten åläggs en skyldighet att genast meddela rätten när syftet med en tvångsåtgärd har uppnåtts, eller det av någon annan anledning inte längre finns skäl för åtgärden. Rätten ska omedelbart upphäva åtgärden om det inte längre finns skäl för den och ska ompröva åtgärden med fyra veckors mellanrum. Åtgärden får inte upphävas utan hörande av till- synsmyndigheten.

Figur 1.5 Tvångsåtgärder

Har det meddelats ett föreläggande eller förbud som avses i figur 1.2, 1.3 eller 1.4?		Behövs en tvångsåtgärd enligt 15 kap. 1–3 rättegångsbalken för att ändamålet med förbudet eller föreläggandet inte ska motverkas?
								Stockholms tingsrätt får meddela tvångsåtgärd • Omprövas var fjärde vecka • Ska upphävas när den inte längre behövs
	Ja				Ja	Är det proportionerligt med en tvångsåtgärd?	Ja
		Nej
			Ingen tvångsåtgärd

32

SOU 2018:82

Sammanfattning

En förbättrad tillsyn med utökade befogenheter

Utvecklingsbehovet

Vi har identifierat ett antal brister när det gäller tillsynsverksam- heten och regleringen av tillsynen på säkerhetsskyddsområdet. Vi har till att börja med konstaterat att det inte är definierat och av- gränsat vad tillsynen syftar till och avser. Ingen myndighet har en samlad bild över tillsynen. Vidare saknas det reglering om hur till- synsmyndigheterna ska utbyta hotinformation med Säkerhetspolisen och Försvarsmakten.

När det gäller själva tillsynen konstaterar vi att tillsyn hittills har bedrivits i alltför begränsad omfattning. Vidare anser vi att tillsyns- myndigheterna saknar de befogenheter som krävs för att de ska kunna genomföra en effektiv tillsyn och åstadkomma rättelse. Tillsyns- kompetensen behöver öka hos många tillsynsmyndigheter och det behöver skapas en överblick över vilka tillsynsobjekt som finns inom respektive tillsynsområde.

Säkerhetspolisen och Försvarsmakten blir samordningsmyndigheter

Med utgångspunkt i utvecklingsbehovet föreslår vi att Säkerhets- polisen och Försvarsmakten ska vara samordningsmyndigheter. I denna roll ligger att de ska ansvara för att följa upp, utvärdera och utveckla tillsynsarbetet, i samråd utveckla och tillhandahålla metod- stöd för tillsyn, verka för erfarenhetsutbyte och förmedla relevant hotinformation till tillsynsmyndigheterna.

En utvecklad tillsynsstruktur

Vi föreslår även en delvis ny tillsynsstruktur som bygger på att Säker- hetspolisens och Försvarsmaktens resurser i huvudsak ska läggas på ansvaret som samordningsmyndighet och tillsyn över de allra mest skyddsvärda verksamheterna. Vi föreslår en tillsynsmyndighet för varje sakområde där det typiskt sett bedrivs säkerhetskänslig verksam- het, och bygger valet bl.a. på befintlig sak- och tillsynskompetens.

33

Sammanfattning

SOU 2018:82

Ett antal myndigheter föreslås få fortsatt ansvar för att bedriva tillsyn enligt nya säkerhetsskyddslagen, nämligen Försvarsmakten, Säkerhetspolisen, Affärsverket svenska kraftnät, Transportstyrelsen, Post- och telestyrelsen samt länsstyrelserna i Stockholms, Skåne, Västra Götalands och Norrbottens län. Vi föreslår också att Försva- rets materielverk, Finansinspektionen, Statens energimyndighet och Strålsäkerhetsmyndigheten blir nya tillsynsmyndigheter. Vidare före- slår vi att ett antal länsstyrelser inte längre ska bedriva tillsyn, näm- ligen länsstyrelserna i Blekinge, Dalarnas län, Gotlands län, Gävle- borg, Hallands län, Jämtlands län, Jönköpings län, Kalmar län, Krono- bergs län, Södermanlands län, Uppsala län, Värmland, Västerbotten, Västernorrland, Västmanlands län, Örebro län och Östergötland.

Säkerhetspolisen och Försvarsmakten kan ta över tillsynsansvaret

Det kan uppstå situationer där det finns ett behov av att Säkerhets- polisen eller Försvarsmakten utövar tillsyn över ett tillsynsobjekt som ligger under någon annan myndighets ordinarie tillsynsansvar. Ett exempel kan vara när det på grund av förändrade omständigheter är nödvändigt för att snabbt kunna agera och se till att åtgärder vidtas. Ett annat exempel kan vara att det inom ramen för ett samrådsför- farande inför t.ex. en utkontraktering eller överlåtelse av säkerhets- känslig verksamhet uppmärksammas att ärendet inrymmer särskilt känsliga uppgifter som inte bör hanteras av den ordinarie tillsyns- myndigheten. Vi föreslår därför att Säkerhetspolisen och Försvars- makten ges möjlighet att ta över tillsynsansvaret över tillsynsobjekt som tillhör en annan tillsynsmyndighets ansvarsområde om det finns särskilda skäl. När det inte längre finns skäl för övertagandet ska till- synsansvaret enligt förslaget återgå till tillsynsmyndigheten.

Tillsynens syfte och innehåll förtydligas

Det bör även i fortsättningen anges i säkerhetsskyddslagen att till- synsmyndigheten ska utöva tillsyn över säkerhetsskyddet hos myn- digheter och andra som lagen gäller för. Möjligheten att utöva tillsyn hos den som träffat ett säkerhetsskyddsavtal bör anpassas till våra

34

SOU 2018:82

Sammanfattning

förslag om att sådana avtal inte bara ska kunna ingås med leveran- törer utan också med andra utomstående aktörer. Vi föreslår vidare att det förtydligas att tillsynen går ut på kontroll av att säkerhets- skyddslagen och föreskrifter som har meddelats i anslutning till lagen följs.

Tillsynsmyndigheterna får nya undersökningsbefogenheter

I syfte att förstärka och effektivisera tillsynen föreslår vi flera nya undersökningsbefogenheter och dessutom en informationsskyldig- het för tillsynsobjekten. Vi föreslår att tillsynsmyndigheten ges rätt att

–i den omfattning det behövs för tillsynen få tillträde till områden, lokaler och andra utrymmen, dock inte bostäder, som används i verksamhet som omfattas av tillsyn,

–begära handräckning av Kronofogdemyndigheten för att genom- föra tillsynsåtgärder, och

–förelägga den som står under tillsyn att tillhandahålla information och att ge tillträde till lokaler och liknande och att förena före- läggandet med vite.

Vi föreslår vidare en uttrycklig skyldighet för den som står under tillsyn att på begäran ge tillsynsmyndigheten den information som behövs för tillsynen.

Tillsynsmyndigheten får meddela åtgärdsförelägganden för att åstadkomma rättelse

Vi föreslår att tillsynsmyndigheten ska få besluta de förelägganden som behövs för att de som omfattas av tillsyn enligt säkerhetsskydds- lagen ska fullgöra skyldigheter enligt lagen eller föreskrifter som har meddelats i anslutning till den (åtgärdsföreläggande) och att sådana förelägganden ska få förenas med vite.

35

Sammanfattning

SOU 2018:82

Överklagande

Vi föreslår att förelägganden som utfärdas i samband med tillsyn ska kunna överklagas till Förvaltningsrätten i Stockholm, varvid tillsyns- myndigheten bör vara motpart. Prövningstillstånd bör krävas vid över- klagande till kammarrätten.

Förbättrad överblick över tillsynsobjekten

Utan en samlad bild över den säkerhetskänsliga verksamhet som be- drivs inom respektive ansvarsområde är det enligt vår mening inte möjligt för tillsynsmyndigheten att planera och bedriva en effektiv tillsyn. Vi föreslår därför att den som bedriver säkerhetskänslig verk- samhet åläggs en skyldighet att utan dröjsmål anmäla detta till till- synsmyndigheten, och att även utan dröjsmål anmäla när den säker- hetskänsliga verksamheten upphör. Som kommer att utvecklas under nästa rubrik föreslår vi vidare att underlåtelse att fullgöra anmäl- ningsplikten beläggs med sanktionsavgift.

Vidare föreslår vi att tillsynsmyndigheten genom en systematisk och regelbunden kartläggning ska identifiera de verksamheter inom tillsynsmyndighetens ansvarsområde som omfattas av säkerhets- skyddslagen och hålla en uppdaterad förteckning över dessa.

Ett system med sanktioner

Sanktionsavgift i stället för straffsanktioner

Vi har övervägt om det bör införas särskilda straffbestämmelser för överträdelse av bestämmelserna i säkerhetsskyddslagen och de före- skrifter som meddelats med stöd av den lagen. Vår bedömning är dock att det är mer lämpligt att man inför regler om att tillsyns- myndigheten kan besluta om sanktionsavgift.

36

SOU 2018:82

Sammanfattning

Sanktionerade överträdelser

Vi föreslår att tillsynsmyndigheten ska ta ut en sanktionsavgift av den verksamhetsutövare som underlåter att

–anmäla att den säkerhetskänsliga verksamheten bedrivs eller har upphört,

–utföra eller uppdatera en säkerhetsskyddsanalys,

–vidta säkerhetsskyddsåtgärder,

–säkerhetsskyddsklassificera uppgifter,

–kontrollera säkerhetsskyddet i den egna verksamheten eller att fullgöra anmälnings- eller rapporteringsplikt,

–ingå ett säkerhetsskyddsavtal eller som ingår ett säkerhetsskydds- avtal som är bristfälligt i väsentlig mån, eller

–utse en säkerhetsskyddschef (se längre fram om våra förslag i fråga om en utvidgad skyldighet att ha en sådan chef).

Vi föreslår också att sanktionsavgift ska tas ut av en verksamhets- utövare som inleder ett förfarande eller genomför en samrådspliktig överlåtelse i strid med ett meddelat förbud eller utan att fullgöra samrådsskyldigheten. Detsamma föreslås gälla en verksamhetsutövare som genomför en överlåtelse i strid med villkor som meddelats i samband med att samrådet avslutades. Vi föreslår vidare att en verk- samhetsutövare som lämnar oriktiga uppgifter i samband med tillsyn eller samråd ska kunna åläggas sanktionsavgift.

Enligt våra förslag ska sanktionsavgift även tas ut av en aktie- eller andelsägare som genomför en överlåtelse utan att fullgöra sin sam- rådsskyldighet eller i strid med ett meddelat förbud eller villkor, eller som lämnar oriktiga uppgifter vid samrådet.

Sanktionsavgift ska alltid tas ut

Vi föreslår att regleringen om sanktionsavgifter ska bygga på strikt ansvar och att det ska vara obligatoriskt att ta ut sanktionsavgift när en bestämmelse i säkerhetsskyddslagstiftningen som kan föranleda avgift har överträtts.

37

Sammanfattning

SOU 2018:82

Sanktionsavgiftens storlek

Avgiften bör bestämmas till lägst 5 000 kronor och högst 10 miljo- ner kronor. När sanktionsavgiftens storlek bestäms i det enskilda fallet föreslår vi att särskild hänsyn ska tas till den skada eller sårbar- het för Sveriges säkerhet som uppstått till följd av överträdelsen, till om den avgiftsskyldige tidigare begått en överträdelse och till de kost- nader som den avgiftsskyldige undvikit till följd av överträdelsen. Vi föreslår att sanktionsavgiften ska kunna efterges helt eller delvis om överträdelsen är ringa eller ursäktlig eller om det annars med hänsyn till omständigheterna skulle vara oskäligt att ta ut avgiften.

Hinder mot sanktionsavgift

Vi föreslår att tillsynsmyndigheten inte ska få ingripa med sank- tionsavgift om överträdelsen omfattas av ett föreläggande om vite och överträdelsen ligger till grund för en ansökan om utdömande av vitet.

Förfarandet vid beslut om sanktionsavgift

I fråga om förfarandet föreslår vi att följande ska gälla. Sanktions- avgift får inte beslutas om den som anspråket riktas mot inte har getts tillfälle att yttra sig inom två år efter överträdelsen. Ett beslut om sanktionsavgift ska delges. Sanktionsavgiften ska betalas till till- synsmyndigheten inom 30 dagar från det att beslutet om att ta ut avgiften har fått laga kraft eller inom den längre tid som anges i beslutet. Om sanktionsavgiften inte betalas inom denna tid, ska till- synsmyndigheten lämna den obetalda avgiften för indrivning. Vid indrivning ska verkställighet få ske enligt utsökningsbalken. En be- slutad sanktionsavgift ska falla bort till den del beslutet om avgiften inte har verkställts inom fem år från det att beslutet fick laga kraft. Sanktionsavgifter ska tillfalla staten. Beslutet överklagas till Förvalt- ningsrätten i Stockholm, varvid tillsynsmyndigheten är motpart. Pröv- ningstillstånd bör krävas vid överklagande till kammarrätten.

38

SOU 2018:82

Sammanfattning

Tre nya kapitel i säkerhetsskyddslagen

Våra förslag om förebyggande åtgärder i samband med bl.a. utkon- traktering och överlåtelse är omfattande och bestämmelserna passar inte särskilt väl in i något av de befintliga kapitlen i nya säkerhets- skyddslagen. Vi föreslår därför att det införs ett nytt kapitel, kallat 2 a kap. Vi föreslår också att det införs ett nytt 4 a kap. om tillsyn och ett 4 b kap. om ingripande och sanktioner.

Övriga förslag

Vi lämnar även vissa andra förslag, däribland om skärpta krav på upp- datering av säkerhetsskyddsanalys och en förtydligad koppling mellan säkerhetsskyddsavtal och säkerhetsprövning. Ett viktigt förslag hand- lar om säkerhetsskyddschefer. Vår kartläggning visar att säkerhets- skyddsfrågor ofta får en alltför undanskymd roll i verksamheten och att andra hänsyn, inte minst ekonomiska sådana, ges en överordnad roll. Detta kan bl.a. innebära att säkerhetsskyddsfrågor inte beaktas tillräckligt i samband med utkontraktering och andra förfaranden där utomstående aktörer involveras i den säkerhetskänsliga verksam- heten. Vi föreslår därför att alla säkerhetskänsliga verksamheter ska ha en säkerhetsskyddschef, om det inte är uppenbart obehövligt. Vi föreslår vidare att säkerhetsskyddschefens roll förtydligas och att det ställs krav på att säkerhetsskyddschefen ska vara direkt under- ställd den person som är ansvarig för verksamhetsutövarens verk- samhet.

39

Författningsförslag

SOU 2018:82

6 §

Statliga myndigheter, kom- muner och landsting som avser att genomföra en upphandling och ingå ett avtal om varor, tjänster eller byggentreprenader ska se till att det i ett säkerhetsskyddsavtal anges hur kraven på säkerhets- skydd enligt 1 § ska tillgodoses av leverantören om

1.det i upphandlingen före- kommer säkerhetsskyddsklassi- ficerade uppgifter i säkerhets- skyddsklassen konfidentiell eller högre, eller

2.upphandlingen i övrigt av- ser eller ger leverantören tillgång till säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet.

Verksamhetsutövaren ska kon- trollera att leverantören följer säker- hetsskyddsavtalet.

Det som anges i första och andra styckena gäller även för enskilda verksamhetsutövare som ingår avtal om varor, tjänster och byggentreprenader med utom- stående leverantörer.

42

SOU 2018:82

Författningsförslag

2.att verksamhetsutövaren har rätt att revidera säkerhetsskydds- avtalet om det krävs på grund av ändrade förhållanden.

6 b §

Den verksamhetsutövare som avses i 6 § ska kontrollera att den utomstående parten följer säker- hetsskyddsavtalet och se till att säkerhetsskyddsavtalet revideras om det krävs på grund av ändrade förhållanden.

6 c §

Vid en verksamhet som om- fattas av lagen ska det finnas en säkerhetsskyddschef, om det inte är uppenbart obehövligt.

Säkerhetsskyddschefen ska leda och samordna säkerhetsskydds- arbetet samt kontrollera att verk- samheten bedrivs i enlighet med vad som föreskrivs i denna lag och de föreskrifter som meddelats i an- slutning till lagen. Detta ansvar får inte delegeras.

Säkerhetsskyddschefen ska vara direkt underställd den person som är ansvarig för verksamhets- utövarens verksamhet.

7 §

Regeringen eller den myndighet som regeringen bestämmer får meddela ytterligare föreskrifter om säkerhetsskyddsanalys samt anmäl- nings- och rapporteringsskyldighet enligt 1 §, säkerhetsskyddsåtgärder enligt 2–4 §§, säkerhetsskyddsklassificering enligt 5 § och säkerhets- skyddsavtal enligt 6 §.

43

Författningsförslag

SOU 2018:82

Regeringen får meddela före- skrifter om undantag från skyldig- heten att ingå säkerhetsskydds- avtal enligt 6 § samt i enskilda fall besluta om undantag från denna skyldighet.

2 a kap. Skyldigheter och befogenheter i samband med vissa förfaranden

Proportionalitet

1 §

Ett föreläggande eller förbud enligt detta kapitel eller en åtgärd enligt 12 § får bara beslutas om skälen för åtgärden uppväger den skada eller annan olägenhet som åtgärden medför för allmänna eller enskilda intressen.

Upphandling och vissa andra förfaranden

2 §

Den som bedriver säkerhets- känslig verksamhet och avser att genomföra ett förfarande som inne- bär ett krav på säkerhetsskydds- avtal enligt 2 kap. 6 § ska, innan förfarandet inleds,

1.identifiera vilka säkerhets- skyddsklassificerade uppgifter eller vilken säkerhetskänslig verksam- het i övrigt som den utomstående parten kan få tillgång till och som kräver säkerhetsskydd (särskild säkerhetsbedömning), och

44

SOU 2018:82

Författningsförslag

2.med utgångspunkt i den sär- skilda säkerhetsbedömningen och övriga omständigheter pröva om det planerade förfarandet är lämp- ligt från säkerhetsskyddssynpunkt (lämplighetsprövning).

Om lämplighetsprövningen leder till bedömningen att det planerade förfarandet är olämpligt från säker- hetsskyddssynpunkt, får det inte inledas.

Den särskilda säkerhetsbedöm- ningen och lämplighetsprövningen ska dokumenteras.

3 §

Innan en verksamhetsutövare inleder ett förfarande som innebär krav på säkerhetsskyddsavtal en- ligt 2 kap. 6 § ska verksamhets- utövaren samråda med den myn- dighet som enligt 4 a kap. 1 § första stycket utövar tillsyn över verk- samhetsutövaren (tillsynsmyndig- heten), om det planerade förfaran- det

1.innebär att den utomstående parten kan få tillgång till eller möjlighet att förvara säkerhets- skyddsklassificerade uppgifter i säkerhetsskyddsklassen hemlig eller högre utanför verksamhetsutövar- ens lokaler,

2.utgör en upplåtelse som kan ge den utomstående parten tillgång till säkerhetskänslig verksamhet i övrigt av motsvarande betydelse för Sveriges säkerhet, eller

45

Författningsförslag

SOU 2018:82

3.ger den utomstående parten tillgång till informationssystem ut- anför verksamhetsutövarens lok- aler och åtkomst till systemen kan medföra allvarlig skada för Sveriges säkerhet.

Tillsynsmyndigheten får före- lägga verksamhetsutövaren att vid- ta åtgärder enligt denna lag och de föreskrifter som har meddelats i anslutning till lagen. Om ett före- läggande inte följs eller om till- synsmyndigheten bedömer att det planerade förfarandet är olämpligt från säkerhetsskyddssynpunkt även om ytterligare åtgärder vidtas, får tillsynsmyndigheten besluta att verksamhetsutövaren inte får ge- nomföra det planerade förfaran- det. Tillsynsmyndigheten får även ansöka om tvångsåtgärder enligt 12 §.

4 §

Om förutsättningarna i 3 § första stycket är uppfyllda får även tillsynsmyndigheten ta initiativ till samråd. Bestämmelserna i andra stycket samma paragraf gäller då.

5 §

Om ett pågående förfarande som omfattas av ett krav på säker- hetsskyddsavtal enligt 2 kap. 6 § är olämpligt från säkerhetsskydds- synpunkt, får tillsynsmyndigheten förelägga verksamhetsutövaren och den utomstående parten i förfar- andet att vidta de åtgärder som är

46

SOU 2018:82

Författningsförslag

nödvändiga för att förhindra skada för Sveriges säkerhet.

Föreläggandet får förenas med vite.

Tillsynsmyndigheten får även ansöka om tvångsåtgärder enligt 12 §.

Överlåtelse av säkerhetskänslig verksamhet och viss egendom

6 §

Det som anges i 2 § om skyl- dighet göra en särskild säkerhets- bedömning och lämplighetspröv- ning gäller också den som bedriver säkerhetskänslig verksamhet och som avser att överlåta

1.hela eller någon del av den säkerhetskänsliga verksamheten, eller

2.någon egendom i den säker- hetskänsliga verksamheten som har betydelse för Sveriges säkerhet eller ett för Sverige förpliktande inter- nationellt åtagande om säkerhets- skydd.

Skyldigheterna enligt första stycket ska fullgöras innan ett för- farande för överlåtelse inleds. Om lämplighetsprövningen leder till bedömningen att den planerade överlåtelsen är olämplig från säker- hetsskyddssynpunkt, får den inte inledas.

47

Författningsförslag

SOU 2018:82

7 §

Om lämplighetsprövningen en- ligt 6 § leder till bedömningen att överlåtelsen får ske, ska verksam- hetsutövaren samråda med den myndighet som enligt 4 a kap. 1 § första stycket utövar tillsyn över den verksamhet som överlåtelsen gäller.

Tillsynsmyndigheten får före- lägga verksamhetsutövaren att vid- ta åtgärder enligt denna lag och de föreskrifter som har meddelats i anslutning till lagen. Om ett före- läggande inte följs eller om till- synsmyndigheten bedömer att över- låtelsen är olämplig från säkerhets- skyddssynpunkt även om ytterligare åtgärder vidtas, får tillsynsmyn- digheten besluta att överlåtelsen inte får genomföras. Samrådet får även avslutas med ett föreläggande som innebär att överlåtelsen endast får genomföras på vissa angivna villkor, vid påföljd att överlåtelsen annars är ogiltig. Tillsynsmyndig- heten får även ansöka om tvångs- åtgärder enligt 12 §.

Det som anges i första och andra styckena om verksamhets- utövaren gäller även den som av- ser att överlåta aktier eller andelar i säkerhetskänslig verksamhet, dock inte aktier i aktiebolag som är publika enligt aktiebolagslagen (2005:551).

48

SOU 2018:82

Författningsförslag

8 §

Om förutsättningarna i 7 § första eller tredje stycket är upp- fyllda får även tillsynsmyndig- heten ta initiativ till samråd. Be- stämmelserna i andra och tredje styckena samma paragraf gäller då.

9 §

En överlåtelse är ogiltig om den har genomförts i strid med ett förbud enligt 7 § eller ett förelägg- ande enligt samma paragraf som meddelats vid påföljd av ogiltighet.

Om en överlåtelse har gjorts utan att samråd skett enligt 7 eller 8 § och förutsättningarna för ett förbud enligt 7 § är uppfyllda, får tillsynsmyndigheten i efterhand meddela ett sådant förbud. Över- låtelsen är då ogiltig.

10§

Om en överlåtelse är ogiltig

enligt 9 § får tillsynsmyndigheten meddela de förelägganden mot överlåtaren och förvärvaren som behövs för att förhindra skada för Sveriges säkerhet. Ett sådant före- läggande får förenas med vite.

11§

En verksamhetsutövare som av-

ser att överlåta hela eller delar av den säkerhetskänsliga verksam- heten ska upplysa förvärvaren om att denna lag gäller för verksam- heten. En sådan upplysning ska innehålla en påminnelse om de

49

Författningsförslag

SOU 2018:82

skyldigheter som enligt 2 kap. 1 § gäller för den som är ansvarig för en säkerhetskänslig verksamhet.

Tvångsåtgärder

12 §

Om det behövs för att ända- målet med ett förbud eller före- läggande enligt detta kapitel inte ska motverkas får Stockholms tings- rätt besluta om sådana åtgärder som avses i 15 kap. 1–3 §§ rätte- gångsbalken. Frågan tas upp på yrkande av tillsynsmyndigheten. En åtgärd får beslutas även om föreläggandet eller förbudet inte fått laga kraft.

13 §

Vid behandlingen av en fråga enligt 12 § tillämpar rätten vad som gäller när en fråga om åtgärd enligt 15 kap. 1, 2 eller 3 § rätte- gångsbalken uppkommer i en rätte- gång.

Ett yrkande får inte bifallas utan att motparten har fått tillfälle att yttra sig. Om det är fara i dröjsmål får dock rätten omedel- bart bevilja åtgärden till dess annat beslutas.

14 §

Tillsynsmyndigheten ska genast meddela rätten när syftet med en tvångsåtgärd enligt 12 § har upp- nåtts, eller det av någon annan anledning inte längre finns skäl för

50

SOU 2018:82

Författningsförslag

åtgärden. Rätten ska omedelbart upphäva en åtgärd som har be- viljats enligt 12 § om det inte längre finns skäl för åtgärden.

Rätten ska ompröva åtgärden med fyra veckors mellanrum.

Åtgärden får inte upphävas utan hörande av tillsynsmyndigheten.

Tillsynsmyndighetens handläggning av samrådsärenden

15§

Vid tillsynsmyndighetens hand-

läggning av ärenden om samråd, föreläggande och förbud enligt detta kapitel gäller inte 12 § förvalt- ningslagen (2017:900).

Bemyndigande

16§

Regeringen eller den myndig-

het som regeringen bestämmer får meddela ytterligare föreskrifter om handläggningen av ärenden om samråd, föreläggande, förbud och tvångsåtgärder enligt 3, 4, 6, 7 och 12 §§.

4 a kap. Tillsyn

Tillsynsmyndighetens uppdrag

1 §

Den myndighet som regeringen bestämmer ska utöva tillsyn över säkerhetsskyddet hos myndigheter och andra som lagen gäller för.

51

Författningsförslag

SOU 2018:82

Den myndighet som regeringen bestämmer får utöva tillsyn hos utomstående aktörer som har in- gått säkerhetsskyddsavtal och utom- stående verksamhetsutövare som aktören har anlitat inom ramen för säkerhetsskyddsavtalet.

Tillsynsmyndigheten ska utöva tillsyn över att denna lag och före- skrifter som har meddelats i anslut- ning till lagen följs.

Tillsynsmyndighetens undersökningsbefogenheter

2 §

Den som står under tillsyn ska på begäran tillhandahålla tillsyns- myndigheten den information som behövs för tillsynen.

3 §

Tillsynsmyndigheten har i den omfattning det behövs för tillsynen rätt att få tillträde till områden, lokaler och andra utrymmen, dock inte bostäder, som används i verk- samhet som omfattas av tillsyn.

4 §

Tillsynsmyndigheten får före- lägga den som står under tillsyn att tillhandahålla information och ge tillträde enligt 2 och 3 §§.

Ett sådant föreläggande får för- enas med vite.

52

SOU 2018:82

Författningsförslag

5 §

Tillsynsmyndigheten får begära handräckning av Kronofogde- myndigheten för att genomföra de åtgärder som avses i 2 och 3 §§. Vid handräckning gäller bestäm- melserna i utsökningsbalken om verkställighet av förpliktelser som inte avser betalningsskyldighet, avhysning eller avlägsnande.

4 b kap. Ingripande och sanktioner

Åtgärdsförelägganden

1 §

Den myndighet som enligt 4 a kap. 1 § första stycket utövar tillsyn över verksamheten (tillsyns- myndigheten) får besluta de före- lägganden som behövs för att de som omfattas av tillsyn enligt denna lag ska fullgöra skyldigheter enligt lagen eller föreskrifter som har med- delats i anslutning till den.

Ett föreläggande får förenas med vite.

Sanktionsavgift

2 §

Tillsynsmyndigheten ska ta ut en sanktionsavgift av den verksam- hetsutövare som

1.underlåter att göra en an- mälan enligt 2 kap. 1 a § eller en- ligt föreskrifter som har meddelats

ianslutning till den paragrafen,

53

Författningsförslag

SOU 2018:82

2.underlåter att utföra eller uppdatera en säkerhetsskyddsana- lys enligt 2 kap. 1 § eller enligt föreskrifter som har meddelats i an- slutning till den paragrafen,

3.underlåter att vidta säkerhets- skyddsåtgärder enligt 2 kap. 2–4 §§ eller enligt föreskrifter som har meddelats i anslutning till de para- graferna,

4.underlåter att säkerhets- skyddsklassificera uppgifter enligt 2 kap. 5 §,

5.underlåter att enligt 2 kap. 1 § eller föreskrifter som har med- delats i anslutning till den para- grafen kontrollera säkerhetsskyddet

iden egna verksamheten eller att fullgöra anmälnings- eller rappor- teringsplikt,

6.underlåter att ingå ett säker- hetsskyddsavtal enligt 2 kap. 6 § eller som ingår ett säkerhetsskydds- avtal som är bristfälligt i väsentlig mån,

7.inleder ett förfarande som av- ses i 2 a kap. 3 § eller genomför en överlåtelse som avses i 2 a kap. 7 § utan att fullgöra den samrådsskyl- dighet som följer av respektive paragraf,

8.inleder ett förfarande i strid med ett förbud som meddelats med stöd av 2 a kap. 3 eller 4 § eller genomför en överlåtelse i strid med ett förbud eller villkor som med- delats med stöd av 2 a kap. 7 eller 8 §,

54

SOU 2018:82

Författningsförslag

9.lämnar oriktiga uppgifter i samband med tillsyn eller samråd enligt de bestämmelser som anges i 7, eller

10.underlåter att enligt 2 kap. 6 c § utse en säkerhetsskyddschef.

Sanktionsavgift ska även tas ut av den som avses i 2 a kap. 7 § tredje stycket och som genomför en överlåtelse som avses där utan att fullgöra sin samrådsskyldighet eller

istrid med ett förbud eller villkor som meddelats med stöd av andra stycket samma paragraf eller 8 §, eller som lämnar oriktiga uppgifter vid samrådet.

3 §

En sanktionsavgift ska bestäm- mas till lägst 5 000 kronor och högst 10 000 000 kronor.

4 §

När sanktionsavgiftens storlek bestäms ska särskild hänsyn tas till den skada eller sårbarhet för Sveriges säkerhet som uppstått till följd av överträdelsen, till om den avgifts- skyldige tidigare begått en över- trädelse och till de kostnader som den avgiftsskyldige undvikit till följd av överträdelsen.

5 §

En sanktionsavgift får efterges helt eller delvis om överträdelsen är ringa eller ursäktlig eller om det

55

Författningsförslag

SOU 2018:82

annars med hänsyn till omstän- digheterna skulle vara oskäligt att ta ut avgiften.

6 §

En sanktionsavgift får inte be- slutas om överträdelsen omfattas av ett föreläggande om vite och överträdelsen ligger till grund för en ansökan om utdömande av vitet.

7 §

En sanktionsavgift får endast beslutas om den som avgiften ska tas ut av har fått tillfälle att yttra sig inom två år från det att över- trädelsen ägde rum.

Ett beslut om sanktionsavgift ska delges.

8 §

En sanktionsavgift ska betalas till tillsynsmyndigheten inom 30 da- gar från det att beslutet om att ta ut avgiften har fått laga kraft eller inom den längre tid som anges i beslutet.

Om sanktionsavgiften inte be- talas inom den tid som anges i första stycket, ska myndigheten lämna den obetalda avgiften för indrivning. Bestämmelser om in- drivning finns i lagen (1993:891) om indrivning av statliga ford- ringar m.m. Vid indrivning får verkställighet ske enligt utsöknings- balken.

En sanktionsavgift tillfaller sta- ten.

56

SOU 2018:82Författningsförslag

9 §

	En beslutad sanktionsavgift faller
	bort till den del beslutet om av-
	giften inte har verkställts inom fem
	år från det att beslutet fick laga
	kraft.
5 kap.
Tillsyn	Förordnande om att ett beslut
	ska gälla omedelbart
4 §
Den myndighet som regeringen	Tillsynsmyndigheten får be-
bestämmer ska utöva tillsyn över	stämma att ett beslut om före-
säkerhetsskyddet hos myndigheter	läggande enligt 2 a kap., 4 a kap.
och andra som lagen gäller för.	eller 4 b kap. denna lag ska gälla
Den myndighet som regeringen	omedelbart.

bestämmer får utöva tillsyn hos leverantörer som har träffat säker- hetsskyddsavtal.

Överklagande

6 §

Beslut om föreläggande enligt 2 a kap. 3, 4, 7 och 8 §§, 4 a kap. 4 § och 4 b kap. 1 § och sanktions- avgift enligt 4 b kap. 2 § överklagas till Förvaltningsrätten i Stockholm. Prövningstillstånd krävs vid över- klagande till kammarrätten.

Beslut om förbud enligt 2 a kap. 3, 4, 7, 8 eller 9 § och föreläggande enligt 2 a kap. 5 och 10 §§ över- klagas till regeringen.

57

Författningsförslag

SOU 2018:82

När ett beslut som avses i första stycket överklagas är tillsynsmyn- digheten motpart.

Andra beslut enligt denna lag får inte överklagas.

1.Denna lag träder i kraft den 1 januari 2021.

2.Ärenden om samråd som har inletts hos Säkerhetspolisen eller Försvarsmakten före ikraftträdandet handläggs enligt äldre föreskrifter.

3.Sanktionsavgift får beslutas endast för överträdelser som har ägt rum eller pågår efter ikraftträdandet.

58

SOU 2018:82

Författningsförslag

1.2Förslag till förordning om ändring

i säkerhetsskyddsförordningen (2018:658)

Regeringen föreskriver i fråga om säkerhetsskyddsförordningen (2018:658)

dels att 2 kap. 2 och 9 §§ ska upphöra att gälla,

dels att 2 kap. 1, 5, 6 och 10 §§, 7 kap. 1–3, 8 och 11 §§ ska ha följande lydelse och rubriken till 7 kap. ska ha följande lydelse,

dels att det ska införas ett nytt kapitel, 8 kap. och två nya paragrafer, 7 kap. 1 a och 3 a §§, av följande lydelse.

Lydelse fr.o.m. den 1 april 2019

Föreslagen lydelse

2kap. 1 §

Den som bedriver säkerhetskänslig verksamhet ska enligt 2 kap. 1 § säkerhetsskyddslagen (2018:585) göra en säkerhetsskyddsanalys.

Säkerhetsskyddsanalysen inne-			Säkerhetsskyddsanalysen inne-
bär att	säkerhetsskyddsklassi-		bär att	säkerhetsskyddsklassi-
ficerade uppgifter och vad som i			ficerade uppgifter och vad som i
övrigt behöver ett säkerhetsskydd			övrigt behöver ett säkerhetsskydd
ska identifieras. Vilka delar av			ska identifieras. Vilka delar av
verksamheten som är skydds-			verksamheten som är skydds-
värda med hänsyn till Sveriges			värda med hänsyn till Sveriges
säkerhet samt vilka hot och sår-			säkerhet samt vilka hot och sår-
barheter som finns kopplade till			barheter som finns kopplade till
detta skyddsvärde ska också identi-			detta skyddsvärde ska också identi-
fieras.	Säkerhetsskyddsanalysen		fieras.	Säkerhetsskyddsanalysen
ska även innehålla en bedömning			ska även innehålla en bedömning
av vilka	säkerhetsskyddsåtgärder		av vilka säkerhetsskyddsåtgärder
som är nödvändiga. Analysen ska			som är nödvändiga. Analysen ska
hållas uppdaterad.			uppdateras åtminstone årligen.
		5 §
En enskild verksamhetsutövare			En enskild verksamhetsutövare
som avser att ingå ett säker-			som avser att ingå ett säker-
hetsskyddsavtal enligt		2 kap. 6 §	hetsskyddsavtal enligt		2 kap. 6 §
säkerhetsskyddslagen		(2018:585)	säkerhetsskyddslagen		(2018:585)
ska utan dröjsmål anmäla det till			ska utan dröjsmål anmäla det till

59

Författningsförslag

SOU 2018:82

6 §

En statlig myndighet som avser att genomföra en upphandling som innebär krav på säkerhetsskydds- avtal enligt 2 kap. 6 § säkerhets- skyddslagen (2018:585) ska vidta de åtgärder som anges i andra stycket, om

1.leverantören kan få tillgång till eller möjlighet att förvara säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen hemlig eller högre utanför myn- dighetens lokaler, eller

2.leverantören kan få tillgång till säkerhetskänsliga informations- system utanför myndighetens loka- ler och obehörig åtkomst till syste- men kan medföra allvarlig skada för Sveriges säkerhet.

60

SOU 2018:82

Författningsförslag

10 §

En verksamhetsutövare ska skyndsamt anmäla till Säkerhetspolisen om

1.en säkerhetsskyddsklassificerad uppgift kan ha röjts,

2.det inträffat en it-incident i ett informationssystem som verk- samhetsutövaren är ansvarig för och som har betydelse för säker- hetskänslig verksamhet och där incidenten allvarligt kan påverka säker- heten i systemet, eller

3.verksamhetsutövaren får kännedom eller misstanke om någon annan för denne allvarlig säkerhetshotande verksamhet.

61

Författningsförslag

SOU 2018:82

Om verksamhetsutövaren tillhör Försvarsmaktens tillsynsområde enligt 7 kap. 1 § första stycket 1, ska anmälan göras också till För- svarsmakten.

En verksamhetsutövare som får kännedom om att någon annan än verksamhetsutövaren planerar att överlåta eller har överlåtit verk- samheten eller sådan egendom i verksamheten som har betydelse för Sveriges säkerhet eller för ett för Sverige förpliktande åtagande om säkerhetsskydd ska skyndsamt anmäla förhållandet till tillsyns- myndigheten.

7 kap. Tillsyn, föreskrifter	7 kap. Tillsyn, föreskrifter,
och rådgivning	rådgivning och vägledning

1 §

Tillsyn över säkerhetsskyddet ska utövas av

1.Försvarsmakten när det gäller Fortifikationsverket och För- svarshögskolan samt de myndigheter som hör till Försvarsdeparte- mentet,

2. Säkerhetspolisen när det gäller övriga myndigheter, utom Justitiekanslern, samt kommuner och landsting,

62

SOU 2018:82

Författningsförslag

63

Författningsförslag

SOU 2018:82

8.Statens energimyndighet när det gäller enskilda verksamhets- utövare inom områdena fjärr- värme-, naturgas-, olje- och driv- medelsförsörjning,

9.Strålsäkerhetsmyndigheten när det gäller enskilda verksam- hetsutövare inom området kärn- teknisk verksamhet,

10.Länsstyrelsen i Stockholms län när det gäller myndigheter, kommuner och landsting som hör till Stockholms, Uppsala, Söder- manlands, Västmanlands, Värm- lands, Gotlands, Örebro, Dalarnas eller Gävleborgs län samt enskilda verksamhetsutövare som har sitt säte i något av dessa län, om de inte hör till någon annan tillsyns- myndighets tillsynsområde, utom Säkerhetspolisen,

11.Länsstyrelsen i Skåne län när det gäller myndigheter, kom- muner och landsting som hör till Kronobergs, Blekinge, Kalmar eller Skåne län och enskilda verksam- hetsutövare som har sitt säte i något av dessa län, om de inte hör till någon annan tillsynsmyndig- hets tillsynsområde,

12.Länsstyrelsen i Västra Göta- lands län när det gäller myndig- heter, kommuner och landsting som hör till Hallands, Jönköpings, Västra Götalands eller Öster- götlands län och enskilda verk- samhetsutövare som har sitt säte i något av dessa län, om de inte hör

64

SOU 2018:82Författningsförslag

		till någon annan tillsynsmyndig-
		hets tillsynsområde,
		13. Länsstyrelsen i Norrbottens
		län när det gäller myndigheter,
		kommuner och landsting som hör
		till Västernorrlands, Jämtlands,
		Västerbottens eller Norrbottens län
		och enskilda verksamhetsutövare
		som har sitt säte i något av dessa
		län, om de inte hör till någon
		annan tillsynsmyndighets tillsyns-
De myndigheter som anges i		område.
		De myndigheter som anges i
första stycket får inom sitt till-		första stycket får inom sitt till-
synsområde utöva	tillsyn över	synsområde utöva	tillsyn över
säkerhetsskyddet	hos leveran-	säkerhetsskyddet	hos leveran-
törer som omfattas av ett säker-		törer och andra utomstående part-
hetsskyddsavtal enligt 2 kap. 6 §		er som omfattas av ett säkerhets-
säkerhetsskyddslagen (2018:585).		skyddsavtal enligt 2 kap. 6 § säker-
Sådan tillsyn får också avse en-		hetsskyddslagen (2018:585). Sådan
skilda verksamhetsutövare som		tillsyn får också avse verksam-
leverantören har anlitat inom ra-		hetsutövare som den utomstå-
men för säkerhetsskyddsavtalet.		ende parten har anlitat inom ra-
		men för säkerhetsskyddsavtalet.

Justitiekanslern är inte under- kastad tillsyn.

Samordningsmyndigheternas uppdrag

1 a §

Säkerhetspolisen och Försvars- makten ska vara samordnings- myndigheter. Respektive myndig- het ska

1. följa upp, utvärdera och ut- veckla tillsynsarbetet inom respek- tive myndighets tillsynsområde,

65

FörfattningsförslagSOU 2018:82

2. i samråd utveckla och till-

	handahålla metodstöd för tillsyn,
	3. verka för erfarenhetsutbyte och
	4. förmedla relevant hotinfor-
	mation till tillsynsmyndigheterna.
2 §
Säkerhetspolisen och För-	Säkerhetspolisen och För-
svarsmakten får utöva tillsyn inom	svarsmakten får, om det finns sär-
de ansvarsområden som anges i	skilda skäl, ta över tillsynsansvaret
1 § första stycket 3–6 och andra	för en verksamhetsutövare inom
stycket. När sådan tillsyn har ut-	de ansvarsområden som anges i
övats ska den som har ansvar för	1 § första stycket 3–13 och utom-
tillsynen enligt 1 § underrättas.	stående parter som avses i andra
	stycket samma paragraf. När så-
	dan tillsyn har utövats ska den
	som har ansvar för tillsynen en-
	ligt 1 § underrättas. När det inte

längre finns skäl för övertagandet ska tillsynsansvaret återgå till till- synsmyndigheten.

Säkerhetspolisen och Försvarsmakten får även utöva tillsyn över leverantörer som har uppdrag för flera verksamhetsutövare om leve- rantörens samlade uppdrag är av stor betydelse för Sveriges säkerhet.

3 §

Om det vid tillsynen över säkerhetsskyddet konstateras allvarliga brister som trots påpekanden inte rättas till, ska Säkerhetspolisen eller Försvarsmakten anmäla förhållandet till regeringen. Det gäller dock inte brister hos sådana enskilda verksamhetsutövare där vill- koren för säkerhetsskyddet angetts i ett säkerhetsskyddsavtal.

Om sådana brister i säker-	Om sådana brister i säker-
hetsskyddet som anges i första	hetsskyddet som anges i första
stycket konstaterats av någon av	stycket konstaterats av någon av
de myndigheter som enligt 7 kap.	de myndigheter som enligt 7 kap.
1 § första stycket 3–6 utövar till-	1 § första stycket 3–13 utövar till-
syn, ska myndigheten informera	syn, ska myndigheten informera
Säkerhetspolisen och Försvars-	Säkerhetspolisen och Försvars-
makten.	makten.

66

Författningsförslag

SOU 2018:82

11 §

De myndigheter som utövar	De myndigheter som utövar
tillsyn över enskilda verksamhets-	tillsyn ska inom sina respektive
utövare ska inom sina respektive	ansvarsområden lämna vägled-
ansvarsområden lämna råd om	ning om säkerhetsskydd.
säkerhetsskydd.
	8 kap. Övriga bestämmelser
	1 §
	Bestämmelsen i 3 § förvalt-
	ningslagen (2017:900) gäller inte
	vid Säkerhetspolisens handlägg-
	ning av ärenden om samråd, före-
	lägganden och förbud enligt säker-
	hetsskyddslagen (2018:585). Det-
	samma gäller i fråga om tillsyn och
	sanktionsavgifter enligt samma lag.

Denna förordning träder i kraft den 1 januari 2021.

68

Utredningens uppdrag och arbete

SOU 2018:82

eller verksamhet, eller viss egendom som i sig kan vara säkerhets- känslig.

Det finns i säkerhetsskyddsregleringen vissa bestämmelser om hur överlåtelse och utkontraktering av säkerhetskänslig verksamhet ska hanteras. Emellertid behöver frågorna enligt direktiven ses över ytterligare, inte minst mot bakgrund av att den nya säkerhetsskydds- lagen har ett något bredare tillämpningsområde. I direktiven fram- hålls det bl.a. att säkerhetskänslig verksamhet även måste kunna skyddas vid upplåtelse av en viss funktion eller del av verksamhet, eller av viss egendom.

Vi ska mot denna bakgrund kartlägga behovet av att förebygga att säkerhetsskyddsklassificerade uppgifter eller i övrigt säkerhets- känslig verksamhet utsätts för risker i samband med utkontrak- tering, upplåtelse och överlåtelse av sådan verksamhet. Med utgångs- punkt i kartläggningen ska vi även föreslå olika förebyggande åt- gärder. I direktiven tas införande av tillståndsprövning upp som en möjlig sådan åtgärd, men även andra lösningar kan tänkas. Det be- höver inte handla om säkerhetsskyddsåtgärder i säkerhetsskyddslagens mening. Enligt direktiven bör begreppet säkerhetskänslig verksam- het i detta sammanhang ges en vid tolkning.

Vi behandlar de frågor som nu beskrivits i kapitel 6 och 7.

Hur bör ett sanktionssystem se ut?

Den andra frågan gäller införande av ett system med sanktioner för den som åsidosätter sitt säkerhetsskyddsarbete. Säkerhetsskydds- reglerna syftar till att säkerställa skydd för det allra mest skyddsvärda i samhället. Trots det finns det i dagsläget ingen möjlighet att utdela sanktioner om en verksamhetsutövare åsidosätter säkerhetsskydds- reglerna. Några förslag om sådana sanktioner lämnades inte heller i betänkandet En ny säkerhetsskyddslag. Detta kritiserades av flera remissinstanser. Avsaknaden av sanktioner kan enligt direktiven medföra en risk för mindre följsamhet hos de aktörer som omfattas av regleringen, vilket i sin tur kan vara skadligt för Sveriges säkerhet. Det sägs vidare att den risken inte minst gör sig gällande eftersom den nya säkerhetsskyddsregleringen i viss mån kommer att innebära hårdare krav på förebyggande åtgärder och på ett tydligare sätt

70

SOU 2018:82

Utredningens uppdrag och arbete

kommer att rikta sig mot enskilda aktörer. I direktiven uppmärk- sammas det också att sanktioner kan meddelas enligt de nya regler som meddelas med stöd av det s.k. NIS-direktivet1 – dvs. lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digi- tala tjänster – och att det vore djupt otillfredsställande om detsamma inte skulle gälla på säkerhetsskyddsområdet. Slutligen framhålls det att införandet av sanktioner skulle ligga i linje med de rekommen- dationer som Riksrevisionen lämnat i rapporten Informationssäker- heten i den civila statsförvaltningen (RiR 2014:223).

Vi har mot denna bakgrund i uppdrag att analysera vilka brister i arbetet med säkerhetsskydd som bör beläggas med sanktioner. Vi ska även föreslå dels ett system med lämpliga sanktioner för att uppnå säkerhetsskyddslagstiftningens ändamål, dels vilken eller vilka myn- digheter som ska få befogenhet att besluta om sanktioner.

Vi behandlar frågor om sanktioner i kapitel 9.

Hur bör en ändamålsenlig tillsyn se ut?

Den tredje frågan handlar om hur tillsynen av säkerhetsskyddet bör vara ordnad och vilka myndigheter som bör ansvara för den. Enligt både den gamla och den nya säkerhetsskyddslagen är Säkerhets- polisen och Försvarsmakten huvudansvariga för tillsyn av säkerhets- skyddet hos myndigheter och andra verksamheter som regleringen gäller för. Affärsverket svenska kraftnät, Transportstyrelsen, Post- och telestyrelsen respektive länsstyrelserna har ett särskilt ansvar för tillsyn av säkerhetsskyddet hos bolag, föreningar, stiftelser och andra enskilda.

Den tillsyn som hittills utövats i fråga om säkerhetsskydd har främst haft karaktär av rådgivning och stöd åt verksamheterna. Formerna för tillsynen avviker därmed i väsentliga avseenden från hur offentlig tillsyn normalt är ordnad. Detta förhållande uppmärk- sammades i betänkandet En ny säkerhetsskyddslag, men man stannade där för att inte föreslå någon ändring av tillsynens inriktning och genomförande. Däremot föreslog utredningen att Myndigheten för samhällsskydd och beredskap (MSB) ska ta över tillsynsansvaret för

1Europaparlamentets och rådets direktiv (EU) 2016/1148 av den 6 juli 2016 om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen.

71

Utredningens uppdrag och arbete

SOU 2018:82

kommuner och landsting från Säkerhetspolisen och även länsstyrel- sernas ansvar för enskilda verksamheter som inte hör till övriga tillsynsmyndigheters ansvarsområde. Förslaget rörande en ny till- synsroll för MSB fick ett blandat mottagande av remissinstanserna. Vidare framförde flera remissinstanser att även andra myndigheter, däribland Finansinspektionen, bör få ett tillsynsansvar.

I direktiven framhålls det att ett införande av sanktioner på säker- hetsskyddsområdet kommer att göra det nödvändigt att tillsynen får en mer traditionell inriktning. Samtidigt anges att det även i fortsätt- ningen kommer att finnas behov av rådgivning och stöd.

Mot denna bakgrund, och mot bakgrund av att det även vid genomförandet av NIS-direktivet måste analyseras hur tillsynen ska organiseras bland flera myndigheter, har vi i uppdrag att analysera hur tillsyn, rådgivning och stödverksamhet ska bedrivas och att före- slå hur en ändamålsenlig tillsyn enligt säkerhetsskyddslagen ska be- drivas. Vi ska även analysera och föreslå vilka myndigheter som ska ha ansvar för tillsyn enligt regleringen. Enligt direktiven ska det huvud- sakliga ansvaret för tillsynen även i fortsättningen vila på Säkerhets- polisen och Försvarsmakten inom respektive myndighets ansvars- område.

Vi behandlar tillsynsfrågorna i kapitel 8.

Behövs det en utökad skyldighet att ingå säkerhetskyddsavtal?

Den fjärde och sista delen av uppdraget följer av tilläggsdirektiv som beslutades den 18 januari 2018. Uppdraget i denna del handlar om i vilken utsträckning verksamhetsutövare som bedriver säkerhetskäns- lig verksamhet ska vara skyldiga att ingå säkerhetsskyddsavtal vid överenskommelser med utomstående som berör den säkerhetskäns- liga verksamheten.

Enligt regler i den nya säkerhetsskyddslagen ska statliga myn- digheter, kommuner och landsting som avser att genomföra en upphandling och ingå ett avtal om varor, tjänster eller byggentre- prenader i vissa fall vara skyldiga att ingå ett säkerhetsskyddsavtal med leverantören. I avtalet ska det anges hur kraven på säkerhets- skydd ska tillgodoses. Skyldigheten att ingå säkerhetsskyddsavtal kommer att gälla även för enskilda verksamhetsutövare när de ingår avtal om varor, tjänster och byggentreprenader.

72

SOU 2018:82

Utredningens uppdrag och arbete

Kravet på säkerhetsskyddsavtal enligt de nya reglerna är be- gränsat till att i princip gälla för upphandlingssituationer. Enligt tilläggsdirektiven finns det därför skäl att utreda hur regleringen kan kompletteras. Vi har mot denna bakgrund fått i uppdrag att analysera och föreslå i vilken utsträckning verksamhetsutövare som bedriver säkerhetskänslig verksamhet ska vara skyldiga att ingå säkerhets- skyddsavtal vid överenskommelser som träffas med utomstående och som berör den säkerhetskänsliga verksamheten. Det anges i direktiven att uppdraget omfattar samarbetssituationer som inte träffas av kravet på säkerhetsskyddsavtal i nya säkerhetsskyddslagen. Uppdraget omfattar dock inte sådant samarbete som en myndighet bedriver i enlighet med en författning eller ett regeringsbeslut och som förutsätter ett utbyte av säkerhetskänsliga uppgifter och där förtroendet mellan parterna bygger på ett ömsesidigt intresse av att säkerheten för uppgifterna upprätthålls.

Konsekvensbeskrivningar

Utöver de fyra beskrivna uppdragen, har utredningen också i uppgift att bedöma och redovisa förslagens konsekvenser i olika avseenden. Detta följer av både kraven på konsekvensanalys i 14–16 §§ kom- mittéförordningen (1998:1474) och utredningens direktiv. I direk- tiven anges bl.a. följande.

Utredaren ska bedöma de ekonomiska konsekvenserna av för- slagen för enskilda och det allmänna, och i synnerhet för de myn- digheter som är eller föreslås bli tillsynsmyndigheter enligt säker- hetsskyddslagen, samt konsekvenserna i övrigt av förslagen. Om förslagen kan förväntas leda till kostnadsökningar för det allmänna, ska utredaren föreslå hur dessa ska finansieras.

Enligt direktiven ska även förhållandet till vissa bestämmelser i regeringsformen beaktas inom ramen för konsekvensbeskrivningen. I direktiven sägs följande. I 14 kap. 3 § regeringsformen anges att en inskränkning av den kommunala självstyrelsen inte bör gå utöver vad som är nödvändigt med hänsyn till ändamålen. Det innebär att en proportionalitetsprövning ska göras under lagstiftningsprocessen. Om något av förslagen i betänkandet påverkar det kommunala själv- styret ska därför, utöver dess konsekvenser, också de särskilda avvägningar som lett fram till förslagen särskilt redovisas. En sådan

73

Utredningens uppdrag och arbete

SOU 2018:82

bedömning ska också göras om något av förslagen i betänkandet kan komma att påverka enskilda. I 2 kap. 15 och 17 §§ regeringsformen regleras egendomsskyddet och näringsfriheten. Dessa rättigheter får endast begränsas i syfte att skydda angelägna allmänna intressen. Om utredaren överväger förslag som kan påverka egendomsskyddet eller näringsfriheten ska förslagen därför analyseras i förhållande till dessa bestämmelser.

Samråd och redovisning av uppdraget

Det åligger utredningen att hålla Regeringskansliet (Justitiedeparte- mentet) informerat om det löpande arbetet. Vidare ska vi under arbetets gång ta hänsyn och förhålla oss till det fortsatta arbetet med en ny säkerhetsskyddslag och genomförandet av NIS-direktivet. Utredningen ska också hålla sig informerad om det arbete som bedrivs i utredningen om förbättrat skydd för totalförsvarsverksam- het (Fö 2017:31) och beakta annat relevant arbete som pågår inom Regeringskansliet och kommittéväsendet. Under genomförandet av uppdraget ska utredningen, i den utsträckning som bedöms lämplig, också samråda med och inhämta upplysningar från de myndigheter och andra organisationer som berörs av de aktuella frågorna.

2.2Något om begreppen

I direktiven talas det om risker i samband med olika förfaranden, däribland vissa överlåtelser, utkontrakteringar och upplåtelser. I be- tänkandet använder vi i stället andra begrepp, som är bättre förenliga med den terminologi som brukar användas på säkerhets- och säker- hetsskyddsområdet. Vi använder bl.a. begreppet sårbarhet, med vilket

vimenar brister i skyddet av en tillgång eller av en säkerhetsåtgärd som kan utnyttjas av ett eller flera hot. Ordet hot använder vi för att beskriva dels en aktörs kapacitet och avsikt att genomföra skadliga handlingar, dels händelser eller företeelser som medför fara för skada på något eller någon utan att det i sammanhanget förekommer aktö- rer med kapacitet och avsikt att orsaka skada.

74

SOU 2018:82

Utredningens uppdrag och arbete

2.3Utredningens arbete

Vi har haft både möten och mer informella kontakter med utred- ningens experter och sakkunniga. Vi har sammanträffat med före- trädare för branschorganisationen Säkerhets- och försvarsföretagen (SOFF) liksom med ett flertal företag i bl.a. försvarsbranschen. Vi har under arbetet också haft kontakt med företrädare för Telia, Teracom, Relacom, Vattenfall och Ericsson.

Under arbetets gång har vi haft avstämningar med företrädare för

•utredningen om förbättrat skydd för totalförsvarsverksamhet (dir. 2017:31),

•utredningen om ett effektivt offentligt främjande av utländska investeringar (dir. 2018:3),

•nätkoncessionsutredningen (dir. 2018:6),

•utredningen om radiospektrumanvändning i framtiden (dir. 2017:99), och

•utredningen om genomförande av ändringar i AV-direktivet och översyn av radio- och tv-lagen i vissa andra delar (dir. 2018:55).

I enlighet med direktiven har vi förhållit oss till arbetet med en ny säkerhetsskyddslag och genomförandet av NIS-direktivet.

Vi har genomfört studiebesök hos Nasjonal sikkerhetsmyndighet i Norge. Vi har också sammanträffat med Arbets- och närings- ministeriet och Statsrådets kansli i Finland. Syftet med besöken har i huvudsak varit att få kunskap om hur de frågor som omfattas av vårt uppdrag har reglerats och hanterats i dessa länder.

Under utredningens arbete har vi träffat de myndigheter som vi föreslår ska bedriva tillsyn enligt säkerhetsskyddsregleringen (se avsnitt 8.7). Vi har även träffat Sveriges kommuner och landsting, Strålsäkerhetsmyndigheten, Statens servicecenter och Statens energi- myndighet. För att stödja de föreslagna tillsynsmyndigheterna i arbetet med att uppskatta resursbehovet för att genomföra våra förslag har

vitagit initiativ till en utbildningsinsats som genomfördes av För- svarsmakten och Säkerhetspolisen i juni 2018.

75

Bakgrund och viss relevant reglering

SOU 2018:82

ordningen (2018:658) träder i kraft den 1 april 2019. De nya författ- ningarna kallas i det följande för nya säkerhetsskyddslagen respektive nya säkerhetsskyddsförordningen.

Det nya regelverket bygger till stora delar på förslag som lades fram i betänkandet En ny säkerhetsskyddslag (SOU 2015:25). Regelverket innebär en förstärkning av säkerhetsskyddet i olika av- seenden. Bland annat förbättras skyddet av exempelvis samhälls- viktiga informationssystem. Vidare förtydligas i nya säkerhetsskydds- lagen att säkerhetsskyddsbestämmelserna inte bara gäller i allmän ut- an också i enskilt bedriven verksamhet, såsom bolag och föreningar. Den nya lagen tydliggör skyldigheterna för den som bedriver säker- hetskänslig verksamhet och vikten av att verksamhetsutövarna genomför säkerhetsskyddsanalyser för sina verksamheter.

I samband med beredningen av betänkandet En ny säkerhets- skyddslag har det uppmärksammats att det kan finnas ett behov av även andra åtgärder än de som föreslogs i betänkandet. Bland annat har det genom påpekanden från Säkerhetspolisen och händelser i närtid framkommit att det kan finnas behov av ytterligare åtgärder för att förebygga risker i samband med utkontraktering, upplåtelse och överlåtelse av säkerhetskänslig verksamhet. Vi har därför i upp- drag att kartlägga och föreslå olika förebyggande åtgärder som mot- verkar att uppgifter som gäller Sveriges säkerhet eller säkerhetskänslig verksamhet utsätts för risker i samband med sådan utkontraktering, upplåtelse och överlåtelse. Viss reglering finns redan. Bland annat har regeringen, i avvaktan på våra förslag, infört vissa regler i säker- hetsskyddsförordningen som innebär skärpta krav på statliga myn- digheter i samband med bl.a. utkontraktering i vissa fall (16 a § gamla säkerhetsskyddsförordningen och 2 kap. 6 § nya säkerhetsskydds- förordningen).

Den som avser att ingå ett avtal om varor, tjänster eller bygg- entreprenader är enligt bestämmelser i nya säkerhetsskyddslagen i vissa fall vara skyldig att ingå ett säkerhetsskyddsavtal med leve- rantören. I avtalet regleras hur kraven på säkerhetsskydd ska till- godoses av leverantören. Syftet med kravet på säkerhetsskyddsavtal är att de intressen som säkerhetsskyddslagen slår vakt om ska vara lika starkt oavsett om verksamheten bedrivs av det allmänna eller av enskilda. Kravet på säkerhetsskyddsavtal är dock begränsat till vissa situationer. Vi har därför i uppdrag att analysera och föreslå i vilken

78

SOU 2018:82

Bakgrund och viss relevant reglering

utsträckning verksamhetsutövare som bedriver säkerhetskänslig verk- samhet ska vara skyldiga att ingå säkerhetsskyddsavtal vid överens- kommelser som träffas med utomstående och som berör den säker- hetskänsliga verksamheten.

Det finns varken i den gamla eller nya regleringen några sank- tioner som kan användas mot den som åsidosätter sina säkerhets- skyddsåtaganden. Några förslag om sanktioner lämnades inte heller i 2015 års betänkande. Regeringen har, bl.a. mot bakgrund av att flera remissinstanser kritiserade avsaknaden av sådana förslag, be- dömt att det finns ett behov av att utreda hur ett system med sank- tioner i säkerhetsskyddsregleringen skulle kunna utformas. Vi har därför i uppdrag att lämna förslag till ett sådant sanktionssystem.

Slutligen har vi i uppdrag att föreslå hur en ändamålsenlig tillsyn enligt säkerhetsskyddsregleringen ska vara utformad. Tillsynen har hittills mest utövats genom stöd- och rådgivningsverksamhet. Detta skiljer sig från hur tillsynsverksamhet brukar vara ordnad. Om sanktioner införs i regleringen blir det dock nödvändigt med en till- syn i egentlig mening. Vi ska därför föreslå hur en ändamålsenlig tillsyn ska bedrivas och vilka myndigheter som ska ha ansvaret för den.

3.3Betydelsen av samhällsutvecklingen och ett förändrat omvärldsläge

I det följande beskriver vi kortfattat de förändringar i omvärlden och det svenska samhället som har förändrat förutsättningarna för säker- hetsskyddet under de senaste decennierna. Framställningen är i allt väsentligt hämtad från prop. 2017/18:89 (s. 33 och 34).

Hoten mot rikets säkerhet har förändrats sedan gamla säker- hetsskyddslagen trädde i kraft för mer än 20 år sedan. Främmande staters underrättelseverksamhet har de senaste decennierna breddats mot forskning och utveckling inom civila områden samt mot poli- tiska frågor och information som rör samhällsviktiga system. It- angrepp i olika former betraktas numera som ett av de allvarligaste hoten. Samtidigt kvarstår underrättelsehoten mot militär verksam- het och mot information av betydelse för försvaret av Sverige.

79

Bakgrund och viss relevant reglering

SOU 2018:82

Dagens säkerhetspolitiska hot, eller hot som är av sådan karaktär att de kan få säkerhetspolitiska konsekvenser, är ofta gränsöver- skridande, icke-militära och utgår inte sällan från icke-statliga aktö- rer. Exempel på sådana hot är internationell terrorism och andra typer av grov gränsöverskridande brottslighet, informations- och cybersäkerhetshot, spridning av massförstörelsevapen samt framställ- ning och transport av vapen, komponenter och teknologi.

Samhällsutvecklingen innebär nya krav på och förutsättningar för säkerhetsskyddet. Ett exempel är digitaliseringen, som har skett i en rasande takt under de senaste decennierna. Informationstekniken genomsyrar i dag i stort sett alla aspekter av samhällsviktiga verk- samheter. En rad verksamheter, både hos det allmänna och inom näringslivet, är helt beroende av digitala system för bl.a. styrning, reglering och övervakning. En storskalig it-incident bedöms i dag kunna få allvarliga konsekvenser för samhällsviktig verksamhet och kritisk infrastruktur.

En annan viktig förändring är den omfattande avregleringen och konkurrensutsättningen av samhällsviktig verksamhet. Med tiden har allt mer samhällsviktig verksamhet kommit att hamna utanför gamla säkerhetsskyddslagens direkta tillämpningsområde. En stor del av de verksamheter som är viktiga för det svenska samhällets funktionalitet står i dag inte under direkt statligt inflytande. Sådana verksamheter bedrivs och förvaltas i stället i stor utsträckning av enskilda aktörer. Även utländskt ägande eller inflytande är numera en realitet inom samhällsviktiga verksamheter. Utkontraktering av verksamhet ger upphov till särskilda utmaningar avseende säkerhets- skyddet. Detta illustreras inte minst av de händelser vid Transport- styrelsen som fick stor uppmärksamhet under 2017 och där ut- kontraktering av myndighetens it-drift skett utan att lagens krav på säkerhetsprövning var uppfyllda.

Globaliseringen och det ökade internationella samarbetet har med- fört att gränserna för vad som är att hänföra till rikets inre respektive yttre säkerhet har ändrats. Sverige deltar i stor omfattning i inter- nationella samarbeten för fred och säkerhet där känsliga uppgifter utbyts med andra länder och mellanfolkliga organisationer. Den ökade samverkan med andra länder har inneburit ett växande behov av att anpassa säkerhetsskyddet till åtaganden som följer av folk- rättsliga förpliktelser.

80

SOU 2018:82

Bakgrund och viss relevant reglering

Både det nya regelverket om säkerhetsskydd och vårt uppdrag bör förstås mot bakgrund av den utveckling som beskrivits i det föregående. Det bör dock framhållas att säkerhetsskyddslagen en- bart tar sikte på verksamhet som är av betydelse för Sveriges säkerhet eller den som bedriver verksamhet som omfattas av ett för Sverige förpliktande internationellt åtagande om säkerhetsskydd. Det räcker alltså inte att verksamheten är samhällsviktig för att den ska anses vara av betydelse för Sveriges säkerhet. Avgörande för om sam- hällsviktig verksamhet också kan anses röra Sveriges säkerhet, och därmed omfattas av säkerhetsskyddslagens tillämpningsområde, är i stället att en antagonistisk handling mot verksamheten skulle kunna medföra skadekonsekvenser på nationell nivå (prop. 2017/18:89 s. 44). En utförlig redogörelse för de nya hoten och de huvudsakliga för- ändringsfaktorerna finns i SOU 2015:25 (s. 221–242). Vi återkom- mer också till frågan i avsnitt 6.4.1.

3.4En översiktlig beskrivning av säkerhetsskyddsreglerna

3.4.1Avsnittets innehåll

Eftersom det har antagits ett nytt regelverk om säkerhetsskydd som kommer att träda i kraft i början av 2019 kommer vi inte att här för- djupa oss i det hittills gällande regelverket, annat än om det är sär- skilt påkallat. Redogörelsen i det här avsnittet gäller alltså nya säker- hetsskyddslagen och nya säkerhetsskyddsförordningen, om det inte sägs något annat. Beskrivningen bygger i allt väsentligt på framställ- ningen i prop. 2017/18:89.

3.4.2Vad är säkerhetsskydd?

Skydd av säkerhetskänslig verksamhet

Innebörden av säkerhetsskydd framgår av 1 kap. 2 § nya säker- hetsskyddslagen. Med säkerhetsskydd avses för det första skydd av säkerhetskänslig verksamhet mot spioneri, sabotage, terroristbrott och andra brott som kan hota verksamheten. En verksamhet är säker- hetskänslig om den är av betydelse för Sveriges säkerhet eller om den

81

Bakgrund och viss relevant reglering

SOU 2018:82

omfattas av ett internationellt åtagande om säkerhetsskydd som är förpliktande för Sverige.

Uttrycket ”Sveriges säkerhet” tar sikte på förhållanden av grund- läggande betydelse för Sverige. Det kan handla om både militär och civil verksamhet, så länge verksamheten har en sådan betydelse. För- utom militär verksamhet kan det exempelvis gälla viktig civil infra- struktur såsom flygplatser, energianläggningar och förmedlings- stationer för telekommunikation.

Även verksamhet som inte i och för sig har betydelse för Sveriges säkerhet kan vara säkerhetskänslig, om den omfattas av ett bindande internationellt säkerhetsskyddsåtagande. Med det avses uppgifter som är säkerhetskänsliga för andra stater och mellanfolkliga orga- nisationer och som Sverige genom säkerhetsskyddsöverenskom- melser har åtagit sig att skydda. Sådana överenskommelser gäller i dag i förhållande till ett trettiotal stater och vissa mellanfolkliga organisationer, däribland EU och Nato. Bestämmelsen ger även stöd för säkerhetsskyddsåtgärder som följer av folkrättsliga förpliktelser i övrigt, bl.a. EU-rättsliga bestämmelser inom t.ex. luftfartsområdet.

Skydd av säkerhetsskyddsklassificerade uppgifter

Med säkerhetsskydd avses för det andra skydd av säkerhetsskydds- klassificerade uppgifter. Till skillnad från skyddet av säkerhetskänslig verksamhet gäller skyddet för uppgifter inte bara mot brott, utan också mot andra händelser. Det kan exempelvis handla om att upp- gifterna på grund av misstag, bristande rutiner eller olyckshändelse sprids, förstörs eller förvanskas utan att det är fråga om ett brott. Säkerhetsskyddet innebär då t.ex. att handlingar ska förvaras på ett betryggande sätt och att spridningen av uppgifter i handlingarna så långt det är möjligt ska begränsas till personer som behöver dem för sin tjänsteutövning. Med säkerhetsskyddsklassificerade uppgifter avses dels uppgifter som rör säkerhetskänslig verksamhet och som därför omfattas av sekretess enligt offentlighets- och sekretesslagen (2009:400, OSL), dels uppgifter som skulle ha omfattats av sekretess enligt den lagen om den hade varit tillämplig.

Andra ledet i bestämmelsen tar sikte på verksamheter som inte omfattas av bestämmelserna i OSL, t.ex. företag och andra enskilda aktörer. Av bestämmelsen följer att även uppgifter som finns hos

82

SOU 2018:82

Bakgrund och viss relevant reglering

sådana aktörer är säkerhetsskyddsklassificerade fastän OSL inte gäller för aktören, förutsatt uppgiften skulle ha omfattats av sekre- tess om OSL hade varit tillämplig. Det är alltså tillräckligt att upp- giften till sin natur är sådan att den materiellt sett kan hänföras till en bestämmelse om sekretess med hänsyn till antingen Sveriges säkerhet eller Sveriges förbindelser med en annan stat eller mellan- folklig organisation.

3.4.3Vem gäller reglerna för?

Den som till någon del bedriver sådan säkerhetskänslig verksamhet som vi beskrev under förra rubriken är skyldig att bedriva ett säker- hetsskyddsarbete. Uttrycket ”till någon del” utvisar att inte hela verksamheten behöver vara sådan att säkerhetsskyddslagen gäller. Utgångspunkten för säkerhetsskyddsarbetet är en säkerhetsskydds- analys. Verksamhetsutövaren ska genom en sådan analys utreda vilket behov som finns av säkerhetsskydd. Utifrån analysen ska verksam- hetsutövaren planera ett väl avvägt och balanserat säkerhetsskydd där olika säkerhetsskyddsåtgärder samverkar med varandra. Vi skriver om de olika säkerhetsskyddsåtgärderna i avsnitt 3.4.5.

Det som avgör behovet av säkerhetsskydd i verksamheten är bl.a. vilka hot, risker och sårbarheter som kan finnas i verksamheten. Resultatet av säkerhetsskyddsanalysen ska dokumenteras. Verksam- hetsutövaren ska även se till att det finns intern kontroll av säker- hetsskyddet.

3.4.4Säkerhetsskyddsklassificering

Ett viktigt begrepp i säkerhetsskyddslagen är säkerhetsskyddsklassi- ficering. Vad som avses med säkerhetsskyddsklassificerad uppgift har utvecklats i avsnitt 3.4.2. Uppgifter som är säkerhetsskydds- klassificerade ska numera delas in i någon av fyra säkerhetsskydds- klasser utifrån den skada som ett röjande av uppgiften kan medföra för Sveriges säkerhet. Indelningen i olika klasser är en nyhet i den nya säkerhetsskyddslagen och återfinns i 2 kap. 5 § lagen.

Den högsta klassen är kvalificerat hemlig. En uppgift hör till denna nivå om skadan för Sveriges säkerhet vid ett röjande kan bli synnerligen allvarlig. Den näst högsta klassen är hemlig. En uppgift

83

Bakgrund och viss relevant reglering

SOU 2018:82

hör till denna nivå om skadan för Sveriges säkerhet kan bli allvarlig. De två lägre nivåerna är konfidentiell och därefter begränsat hemlig. Uppgiften hör till nivån konfidentiell om den potentiella skadan för Sveriges säkerhet bedöms som inte obetydlig. Om den potentiella skadan bedöms som endast ringa är uppgiften begränsat hemlig.

Om en viss handling innehåller skyddsvärd information på olika nivåer ska den uppgift som kan orsaka störst skada om den röjs styra valet av säkerhetsskyddsklass. Regleringen är teknikneutral och det spelar därför ingen roll om uppgiften finns i fysisk eller digital form.

I förordning eller myndighetsföreskrifter konkretiseras det vilka specifika åtgärder som ska vidtas för att skydda de säkerhetsskydds- klassificerade uppgifterna.

Som har framgått i avsnitt 3.4.2 omfattar säkerhetsskydds- regleringen även uppgifter som ska skyddas på grund av internatio- nella säkerhetsskyddsåtaganden. Även sådana uppgifter ska nivå- indelas på motsvarande sätt som uppgifter som ska skyddas på grund av risker för Sveriges säkerhet. I regel är uppgifter som ska skyddas enligt internationella åtaganden redan klassificerade av den stat eller mellanfolkliga organisation som uppgifterna kommer ifrån. I ett så- dant fall ska klassificeringen godtas. Men det kan också vara så att en svensk myndighet upprättar handlingar som omfattas av ett inter- nationellt säkerhetsskyddsåtagande. Klassificeringen ska då göras utifrån den skada som ett röjande av uppgiften kan medföra för Sveriges förhållande till en annan stat eller en mellanfolklig organi- sation.

3.4.5De olika säkerhetsskyddsåtgärderna

Det finns tre olika typer av säkerhetsskyddsåtgärder, nämligen infor- mationssäkerhet, fysisk säkerhet och personalsäkerhet. Åtgärderna, som beskrivs i 2 kap. 2–4 §§ nya säkerhetsskyddslagen, har delvis olika syften.

Informationssäkerhet handlar till att börja med om skydd för säker- hetsskyddsklassificerade uppgifter. Säkerhetsskyddsåtgärderna ska förebygga att sådana uppgifter obehörigen röjs, ändras, görs otill- gängliga eller förstörs. Det kan t.ex. vara fråga om att anpassa ett informationssystems säkerhetsfunktioner så att uppgifterna får ett

84

SOU 2018:82

Bakgrund och viss relevant reglering

tillräckligt skydd. Vidare handlar informationssäkerhet om att före- bygga skadlig inverkan i övrigt på uppgifter och informationssystem som avser säkerhetskänslig verksamhet. Det handlar då framför allt om skyddsåtgärder för att tillgodose behov av tillgänglighet och riktighet i fråga om uppgifter och informationssystem som inte utgör eller innehåller säkerhetsskyddsklassificerade uppgifter, men som har avgörande betydelse för viktiga samhällsfunktioner. Det kan t.ex. vara fråga om skydd för uppgifter och informationssystem som har en avgörande betydelse för styrning, reglering och övervak- ning av el- och vattenförsörjning och digital infrastruktur eller sådana sammanställningar av uppgifter, t.ex. folkbokföringsregistret, som är av grundläggande betydelse för ett fungerande samhälle. Med uppgifter och informationssystem avses i detta sammanhang både själva uppgifterna och de tekniska system som används för att i olika avseenden elektroniskt behandla uppgifter.

Fysisk säkerhet handlar bl.a. om att förebygga att obehöriga per- soner får tillträde till områden, byggnader och andra anläggningar eller objekt där de kan få tillgång till säkerhetsskyddsklassificerade uppgifter eller där säkerhetskänslig verksamhet i övrigt bedrivs. Åtgärden kan också avse skydd mot sådan skadlig inverkan som or- sakas utan ett obehörigt tillträde. Det skulle exempelvis kunna röra sig om att en kabel för samhällsviktig elektronisk kommunikation skyddas genom ett robust hölje eller larm eller åtgärder för att skydda ett objekt mot obemannade luftfartyg, s.k. drönare.

Den tredje och sista säkerhetsskyddsåtgärden är personalsäkerhet. Personalsäkerhet handlar bl.a. om att förebygga att personer som inte är pålitliga från säkerhetssynpunkt deltar i vissa verksamheter. Det som avses är verksamhet där de kan få tillgång till säkerhets- skyddsklassificerade uppgifter eller en verksamhet som är säkerhets- känslig av någon annan anledning, t.ex. deltagande i verksamhet vid ett skyddsobjekt enligt skyddslagen (2010:305). En nyhet i nya säkerhetsskyddslagen är att personalsäkerhet också inkluderar en skyldighet för verksamhetsutövaren att säkerställa att de som deltar i säkerhetskänslig verksamhet har en tillräcklig kunskap om säker- hetsskydd. En viktig del av säkerhetsskyddet är alltså att det görs utbildnings- och informationsinsatser för att höja kunskapen om verksamhetens säkerhetsskydd och för att öka förståelsen och accep- tansen för det.

85

Bakgrund och viss relevant reglering

SOU 2018:82

Säkerhetsskyddsåtgärder kan potentiellt vara kostsamma och med- föra en risk för negativ påverkan på en verksamhets funktionalitet, effektivitet och tillgänglighet. Åtgärderna kan även vara mycket ingripande för enskilda. Som ett exempel kan nämnas inhämtande av känsliga uppgifter om en enskilds personliga förhållanden inom ramen för personalsäkerhetsåtgärder. Med hänsyn till detta finns det i nya säkerhetsskyddslagen ett uttryckligt krav på att säkerhets- skyddsåtgärderna så långt det är möjligt ska utformas så att de inte medför skada eller annan olägenhet för andra allmänna eller enskilda intressen (2 kap. 1 § fjärde stycket).

3.4.6Säkerhetsskyddsavtal

En grundtanke i säkerhetsskyddsregleringen är att de intressen som reglerna slår vakt om ska ha samma skydd oavsett om verksamheten bedrivs av det allmänna eller av enskilda. Denna tanke kommer bl.a. till uttryck i regler som innebär att verksamhetsutövare i vissa fall är skyldiga att ingå ett säkerhetsskyddsavtal med en leverantör (2 kap. 6 § nya säkerhetsskyddslagen). Ett säkerhetsskyddsavtal är ett avtal där det klargörs för en leverantör hur denne ska tillgodose kraven på säkerhetsskydd, när sådana krav gäller.

För statliga myndigheter, kommuner och landsting gäller skyl- digheten att ingå säkerhetskyddssavtal med leverantören när verk- samhetsutövaren avser att genomföra en upphandling och ingå ett avtal om varor, tjänster eller byggentreprenad (2 kap. 6 § första stycket nya säkerhetsskyddslagen). Förutsättningen för att det ska gälla en skyldighet att teckna säkerhetsskyddsavtal är

1.att det i upphandlingen förekommer säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller

2.att upphandlingen i övrigt avser eller ger leverantören tillgång till säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet.

En motsvarande skyldighet att teckna säkerhetsskyddsavtal gäller för enskilda verksamhetsutövare som ingår avtal om varor, tjänster eller byggentreprenader med utomstående leverantörer (andra stycket i den nyss nämnda bestämmelsen).

86

SOU 2018:82

Bakgrund och viss relevant reglering

Reglerna om säkerhetsskyddsavtal förutsätter att verksamhetsutöv- aren utreder behovet av säkerhetsskyddsåtgärder så att dessa kan preciseras i avtalet. Det är viktigt att framhålla att säkerhetsskyddet inte får göras mindre långtgående än vad som följer av lagen. En leverantör som omfattas av säkerhetsskyddslagen kan alltså inte gen- om ett säkerhetsskyddsavtal åläggas mindre omfattande säkerhets- skyddsåtgärder än som redan gäller för verksamheten enligt lagen. Däremot kan ett säkerhetsskyddsavtal fylla funktionen att det preci- serar säkerhetsskyddet hos leverantören för att passa den aktuella upphandlingen.

Skyldigheten att se till att det ingås ett säkerhetsskyddsavtal gäller även om leverantören har sin juridiska hemvist i ett annat land.

Den som har ingått ett säkerhetsskyddsavtal med en leverantör är skyldig att kontrollera att leverantören följer avtalet. Kontrollskyldig- heten gäller för såväl offentliga som enskilda verksamhetsutövare och innebär en skyldighet att se till att avtalsvillkoren följs.

Den 1 april 2018 skärptes kraven på statliga myndigheter som avser att inleda en säkerhetsskyddad upphandling. Numera gäller enligt 16 a § gamla säkerhetsskyddsförordningen att en statlig myn- dighet som avser att inleda en upphandling som innebär krav på säkerhetsskyddsavtal i vissa fall måste använda ett särskilt förfaran- de. Motsvarande regler finns även i 2 kap. 6 § nya säkerhetsskydds- förordningen. Innebörden av bestämmelserna utvecklas närmare i avsnitt 6.3.2.

3.4.7Bemyndigande

Enligt 2 kap. 7 § nya säkerhetsskyddslagen får regeringen, eller den myndighet som regeringen bestämmer, meddela föreskrifter om anmälnings- och rapporteringsskyldighet och även i övrigt vad som krävs för att uppfylla bestämmelserna i 2 kap. nya säkerhetsskydds- lagen. Föreskrifter om anmälnings- och rapporteringsskyldighet kan t.ex. avse en skyldighet att anmäla röjande av en säkerhetsskydds- klassificerad uppgift, allvarligt säkerhetshotande verksamhet, brister i säkerhetsskyddet och ingående av säkerhetsskyddsavtal samt rap- portering av it-incidenter. Andra slags föreskrifter som kan meddelas med stöd av bemyndigandet är t.ex. föreskrifter om vilka närmare åtgärder en verksamhetsutövare ska vidta för att identifiera och

87

Bakgrund och viss relevant reglering

SOU 2018:82

värdera skyddsvärden inom ramen för arbetet med sin säkerhets- skyddsanalys, samt hur man ska uppfylla kraven på säkerhetsskydds- klassificering, informationssäkerhet, fysisk säkerhet och personal- säkerhet.

Regeringen eller den myndighet som regeringen bestämmer kan vidare med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om verkställighet av nya säkerhetsskyddslagen.

3.4.8Säkerhetsprövning

Krav på säkerhetsprövning vid deltagande i säkerhetskänslig verksamhet

I 3 kap. nya säkerhetsskyddslagen finns det bestämmelser om säker- hetsprövning. Kravet på säkerhetsprövning gäller den som genom en anställning eller på något annat sätt ska delta i säkerhetskänslig verk- samhet. Vissa kategorier, däribland statsråd och riksdagsledamöter, är undantagna från kravet. Säkerhetsprövningen syftar till att klarl- ägga om en person kan antas vara lojal mot de intressen som skyddas i säkerhetsskyddslagen och i övrigt pålitlig från säkerhetssynpunkt. Vid säkerhetsprövningen sker det normalt en s.k. grundutredning, där man hämtar in uppgifter om personliga förhållanden som har betydelse för säkerhetsprövningen. Det kan handla om kontroll av betyg, intyg och referenser samt att man hämtar in uppgifter från den som ska säkerhetsprövas, t.ex. genom en intervju eller ett fråge- formulär. Om anställningen har placerats i säkerhetsklass (se vidare nedan) ska det också göras en registerkontroll. Vilka uppgifter som får lämnas ut beror på vilken säkerhetsklass det gäller. Om det finns särskilda skäl får man göra en registerkontroll även om en anställning eller ett annat deltagande i säkerhetskänslig verksamhet inte har pla- cerats i säkerhetsklass. I vissa fall ska det vid registerkontroll göras en särskild personutredning. En sådan utredning ska omfatta en undersökning av den kontrollerade personens ekonomiska förhåll- anden och i övrigt ha den omfattning som behövs.

Säkerhetsprövningen ska följas upp under den tid som deltag- andet i den säkerhetskänsliga verksamheten pågår. Kravet på upp- datering innebär bl.a. att uppgifterna i grundutredningen ska hållas uppdaterade.

88

SOU 2018:82

Bakgrund och viss relevant reglering

Bedömningen av säkerhetsprövningen görs normalt av den som beslutar om anställning eller annat deltagande i den säkerhetskänsliga verksamheten. Om en myndighet har det bestämmande inflytandet över den prövades lämplighet att delta i säkerhetskänslig verksamhet hos en enskild verksamhetsutövare, är det i stället myndigheten som gör den slutliga bedömningen.

Placering i säkerhetsklass

I vissa fall ska en anställning eller ett annat deltagande i verksam- heten placeras i säkerhetsklass enligt särskilda regler i 3 kap. 6–10 §§ nya säkerhetsskyddslagen. Detta får ske endast om behovet av säker- hetsskydd inte kan tillgodoses på något annat sätt. Det finns tre säkerhetsklasser där säkerhetsklass 1 är den högsta och alltså avser de mest känsliga anställningarna m.m.

Vissa anställningar som är placerade i säkerhetsklass 1 eller 2 får som huvudregel endast innehas av den som är svensk medborgare. Förutom när det gäller Riksdagens förvaltningsområde beslutar reger- ingen om placeringen i säkerhetsklass. Regeringen får även delegera beslutanderätten till myndigheter och andra genom föreskrifter.

3.4.9Internationell säkerhetsskyddssamverkan och säkerhetsintyg

Av de internationella överenskommelser som Sverige har ingått fram- går att en behörig svensk myndighet ska kunna utfärda säkerhets- intyg för personer och leverantörer på begäran av en stat eller mellanfolklig organisation. Intyget syftar till att visa att en behörig myndighet i ett land har genomfört en utredning och i denna kom- mit fram till att en person eller en leverantör kan anses pålitlig att hantera säkerhetsskyddsklassificerade uppgifter upp till en viss nivå. Bestämmelser om internationell säkerhetsskyddssamverkan och säker- hetsintyg finns i 4 kap. nya säkerhetsskyddslagen. Det finns inte här anledning att gå närmare in på vad dessa innebär.

89

Bakgrund och viss relevant reglering

SOU 2018:82

3.4.10Tystnadsplikt

Den som har fått del av uppgifter som förekommer i en angelägenhet som gäller säkerhetsprövning har tystnadsplikt om uppgifterna. I det allmännas verksamhet gäller i stället bestämmelserna i OSL. Mot- svarande bestämmelser om tystnadsplikt gäller också för den som på grund av en anställning eller på annat liknande sätt deltar eller har deltagit i en säkerhetskänslig verksamhet. Han eller hon får inte obe- hörigen röja eller utnyttja säkerhetsskyddsklassificerade uppgifter (5 kap. 1 och 2 §§ nya säkerhetsskyddslagen).

3.4.11Tillsyn

I 5 kap. 4 § nya säkerhetsskyddslagen finns det vissa bestämmelser om tillsyn av säkerhetsskyddet. I första stycket anges att den myn- dighet som regeringen bestämmer ska utöva tillsyn över säkerhets- skyddet hos myndigheter och andra som lagen gäller för. I andra stycket anges att den myndighet som regeringen bestämmer får utöva tillsyn hos leverantörer som har träffat säkerhetsskyddsavtal. Utgångspunkten är, som tidigare framgått, att det är den som har uppställt krav på säkerhetsskydd i ett säkerhetsskyddsavtal som i första hand ska kontrollera att motparten följer de angivna villkoren om säkerhetsskydd. Men bestämmelsen i andra stycket gör det möj- ligt också för en myndighet som regeringen väljer att utöva tillsyn. Ytterligare bestämmelser om tillsyn finns i säkerhetsskyddsförord- ningen.

3.5Sekretessreglerna

OSL innehåller bland annat bestämmelser om tystnadsplikt i det all- männas verksamhet och om förbud att lämna ut allmänna hand- lingar. Bestämmelserna avser förbud att röja uppgift, vare sig detta sker muntligen, genom utlämnande av allmän handling eller på något annat sätt (1 kap. 1 § OSL).

Sekretessen gäller både mot enskilda och andra myndigheter. Den gäller även mellan olika verksamhetsgrenar inom en myndighet, om de är att betrakta som självständiga i förhållande till varandra. Sekre- tess gäller också mot utländska myndigheter eller mellanfolkliga

90

SOU 2018:82

Bakgrund och viss relevant reglering

organisationer. (8 kap. 1–3 §§ OSL.) I vissa fall har det ansetts att sekretessen bör få stå tillbaka till förmån för andra intressen. I 10 kap. OSL finns det därför ett antal sekretessbrytande bestäm- melser och bestämmelser om undantag från sekretess. Vissa bestäm- melser medger utlämnande av sekretesskyddade uppgifter till såväl enskilda som till myndigheter, medan andra gäller antingen utläm- nande till enskilda eller till andra myndigheter. Därutöver gäller den s.k. generalklausulen, som innebär att en sekretessbelagd uppgift får lämnas till en myndighet, om det är uppenbart att intresset av att uppgiften lämnas har företräde framför det intresse som sekretessen ska skydda. Generalklausulen gäller dock inte för alla typer av sekre- tess. Det finns slutligen en generell sekretessbrytande bestämmelse som innebär att sekretess inte hindrar att en uppgift lämnas till en annan myndighet, om uppgiftsskyldigheten följer av lag eller förord- ning.

De flesta sekretessbestämmelser innehåller ett skaderekvisit. Det innebär att det bara råder förbud mot att lämna ut uppgiften om detta kan leda till skada eller men för något visst intresse som anges i bestämmelsen. I vissa fall är dock sekretessen absolut, vilket inne- bär att det råder förbud mot utlämnande även utan risk för skada eller men.

Det finns en viktig koppling mellan reglerna om säkerhetsskydd och sekretessbestämmelserna. Som framgått i avsnitt 3.4.2 är näm- ligen en av grunderna för säkerhetsskyddsklassificering av en uppgift att uppgiften rör säkerhetskänslig verksamhet och därför omfattas av sekretess enligt offentlighets- och sekretesslagen. Konkret inne- bär detta att uppgiften omfattas av en bestämmelse om sekretess med hänsyn till antingen Sveriges säkerhet eller Sveriges förbindelser med en annan stat eller mellanfolklig organisation. Sådana bestäm- melser finns bl.a. i 15 kap. OSL.

Enligt 15 kap. 1 § OSL gäller sekretess för uppgift som rör Sveriges förbindelser med en annan stat eller i övrigt rör annan stat, mellanfolklig organisation, myndighet, medborgare eller juridisk per- son i annan stat eller statslös, om det kan antas att det stör Sveriges mellanfolkliga förbindelser eller på annat sätt skadar landet om uppgiften röjs. För uppgift i en allmän handling gäller sekretessen i högst fyrtio år.

91

Bakgrund och viss relevant reglering

SOU 2018:82

Regler om sekretess i det internationella samarbetet finns i

15 kap. 1 a § OSL. Sekretess gäller för uppgift som en myndighet har fått från ett utländskt organ på grund av en bindande EU-rättsakt eller ett av EU ingånget eller av riksdagen godkänt avtal med en annan stat eller med en mellanfolklig organisation, om det kan antas att Sveriges möjlighet att delta i det internationella samarbete som avses i rättsakten eller avtalet försämras om uppgiften röjs. Mot- svarande sekretess gäller för uppgift som en myndighet har inhämtat i syfte att överlämna den till ett utländskt organ i enlighet med en sådan rättsakt eller ett sådant avtal som nyss sagts. När sekretess gäller enligt paragrafen får vissa sekretessbrytande bestämmelser i 10 kap. inte tillämpas. För uppgift i en allmän handling gäller sekre- tessen i högst fyrtio år. Om det finns särskilda skäl, får regeringen meddela föreskrifter om att sekretessen ska gälla under längre tid.

I 15 kap. 1 b § OSL finns bestämmelser om utrikessekretess när en myndighet har direktåtkomst till en digital uppgift hos en annan stat eller mellanfolklig organisation.

Försvarssekretessen regleras i 15 kap. 2 § OSL. Sekretess gäller för uppgift som rör verksamhet för att försvara landet eller plan- läggning eller annan förberedelse av sådan verksamhet eller som i övrigt rör totalförsvaret, om det kan antas att det skadar landets försvar eller på annat sätt vållar fara för rikets säkerhet om uppgiften röjs. I mål eller ärende enligt särskild lag om försvarsuppfinningar gäller dock sekretess för uppgift om sådana uppfinningar enligt före- skrifter i den lagen. För uppgift i en allmän handling gäller sekre- tessen i högst fyrtio år. Om det finns särskilda skäl, får dock reger- ingen meddela föreskrifter om att sekretessen ska gälla under längre tid.

I 15 kap. finns en särskild sekretessbrytande bestämmelse. Det finns också särskilda regler om hanteringen av en begäran om ut- lämnande av allmän handling. Slutligen finns det även bestämmelser om förhållandet mellan tystnadsplikten och meddelarfriheten enligt tryckfrihetsförordningen och yttrandefrihetsgrundlagen.

92

SOU 2018:82

Bakgrund och viss relevant reglering

3.6Skyddet för enskildas rättigheter

3.6.1Egendomsskyddet i regeringsformen

Enligt 2 kap. 15 § första stycket regeringsformen är var och ens egendom tryggad genom att ingen kan tvingas avstå sin egendom till det allmänna eller till någon enskild genom expropriation eller något annat sådant förfogande eller tåla att det allmänna inskränker an- vändningen av mark eller byggnad utom när det krävs för att till- godose angelägna allmänna intressen.

Det är fråga om två typer av ingrepp i äganderätten som aktuali- seras i det aktuella stycket. Den första typen omfattar situationer där någon tvingas avstå egendom genom ”expropriation eller annat så- dant förfogande”. Med detta menas att en förmögenhetsrätt – dvs. äganderätt eller annan rätt med ett ekonomiskt värde, t.ex. nyttjande- rätt, servitut eller vägrätt – tvångsvis överförs eller tas i anspråk (prop. 2009/10:80 s. 163). Lagstiftning som möjliggör sådana ingrepp finns i expropriationslagen (1972:719) men även i annan lagstiftning som exempelvis plan- och bygglagen (2010:900). Den som tvingas avstå sin egendom på grund av denna typ av ingrepp är enligt 2 kap. 15 § andra stycket regeringsformen tillförsäkrad full ersättning för förlusten.

Den andra typen av ingrepp som behandlas i paragrafens första stycke är sådana som innebär att det allmänna inskränker använd- ningen av mark och byggnader, s.k. rådighetsinskränkningar. Rådig- hetsinskränkningar omfattar exempelvis byggnadsförbud och använd- ningsförbud. Även den som innehar nyttjanderätt till mark eller byggnad omfattas av skyddet. Inskränkningar i rätten att använda lös egendom faller däremot utanför bestämmelsens tillämpnings- område (prop. 2009/10:80 s. 163).

Huvudregeln är att det finns en rätt till ersättning när det all- männa inskränker användningen av mark eller byggnad. I 2 kap. 15 § tredje stycket regeringsformen framgår dock att det vid inskränk- ningar i användningen av mark eller byggnad som sker av hälso- skydds-, miljöskydds- eller säkerhetsskäl så gäller vad som följer av lag i fråga om rätt till ersättning. Genom denna bestämmelse ut- trycks principen att ingripanden från det allmänna som har sin grund i hälsoskydds-, miljöskydds- eller säkerhetsskäl inte medför rätt till ersättning.

93

Bakgrund och viss relevant reglering

SOU 2018:82

3.6.2Egendomsskyddet i Europakonventionen

I artikel 1 i första tilläggsprotokollet till den europeiska konventionen den 4 november 1950 angående skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen) finns bestäm- melser om skydd för egendom. Enligt första stycket ska varje fysisk eller juridisk person ha rätt till respekt för sin egendom. Ingen får berövas sin egendom annat än i det allmännas intresse och under de förutsättningar som anges i lag och i folkrättens allmänna grund- satser. I andra stycket anges att bestämmelserna i första stycket inte inskränker en stats rätt att genomföra sådan lagstiftning som staten finner nödvändig för att reglera nyttjandet av egendom i överens- stämmelse med det allmännas intresse eller för att säkerställa betal- ning av skatter eller andra pålagor eller av böter och viten.

Begreppet egendom i artikel 1 i första tilläggsprotokollet ska tolkas autonomt, alltså ges samma innebörd oavsett hur begreppet definieras i de nationella rättssystemen.1 Med egendom avses inte bara fast och lös egendom utan också begränsade sakrätter samt fordringar och immateriella rättigheter. Även ekonomiska intressen och förväntningar avseende utövande av näringsverksamhet om- fattas av skyddet (SOU 2008:125 s. 431).

I Europadomstolens praxis har det klarlagts att artikel 1 i första tilläggsprotokollet innehåller tre regler som avser olika situationer. Den första regeln slår fast principen om rätten till respekt för egen- dom, den andra uppställer villkoren för att någon ska få berövas sin egendom och den tredje behandlar förutsättningarna för att in- skränka rätten att nyttja egendom. De tre reglerna har ett visst sam- band med varandra på så sätt att de två sista reglerna avser särskilda fall av ingrepp i äganderätten som ska tolkas i ljuset av den allmänna princip som kommer till uttryck i den första regeln (se avgörandet James m.fl. mot Förenade Konungariket den 21 februari 1986, mål nummer 8793/79).

Den första regeln uttrycker principen om rätten till respekt för egendom (”the peaceful enjoyment of his possessions” i den engelska språkversionen) och har ett bredare tillämpningsområde än de andra reglerna och innefattar bl.a. en rätt att, använda, förfoga över, upp- låta och göra sig av med egendom.2 Till exempel har återkallelse av

1Danelius (2015), Mänskliga rättigheter i europeisk praxis s. 55 och 56.

2Harris, O'Boyle & Warbrick (2009), Law of the European Convention on Human Rights s. 662 och 663.

94

SOU 2018:82

Bakgrund och viss relevant reglering

tillstånd att bedriva viss verksamhet bedömts vara ett ingrepp i rätten till respekt för egendom (se Europadomstolens avgörande den 7 juli 1989 i målet Tre Traktörer aktiebolag mot Sverige, mål nummer 10873/84).

Europadomstolen prövar i första hand om regel två om egen- domsberövande och regel tre om nyttjande är tillämpliga, innan den första regeln tillämpas. Genom domstolens praxis har räckvidden för regel två och tre klargjorts, medan den första regeln har fått en bredare tillämpning. Förhållanden som varit svåra att kategorisera har av Europadomstolen ofta hänförts till den första regeln.3

Den andra regeln avser olika former berövanden av egendom. Som utgångspunkt avses situationen då ägaren fråntas alla rättigheter till den aktuella egendomen.4

Den tredje regeln gäller inskränkningar i rätten att nyttja egen- dom. Europadomstolen har tolkat regeln relativt strängt ur den en- skildes perspektiv och har bedömt att relativt omfattande inskränk- ningar av ägarens rättigheter har kunnat accepteras i det allmännas intresse.5

Vid tillämpningen av samtliga tre regler i artikel 1 i första tilläggs- protokollet gäller kravet att den åtgärd som vidtagits måste vara laglig och utan inslag av godtycklighet (se Europadomstolens avgör- ande Iatridis mot Grekland den 25 mars 1999, para 58, mål nr 31107/96). Ytterligare ett krav som gäller för samtliga tre regler är att åtgärden måste vara proportionerlig i den meningen att nödvändigheten av intrånget på grund av det allmännas intresse ska balanseras mot det men som den enskilde lider. Staten ges här en förhållandevis vid egen bedömningsmarginal (SOU 2008:125 s. 31).

3.6.3Näringsfriheten

I 2 kap. 17 § första stycket regeringsformen kommer närings- och yrkesfriheten till uttryck. Enligt bestämmelsen får begränsningar i rätten att driva näring eller utöva yrke införas endast för att skydda

3Harris, O'Boyle & Warbrick (2009), Law of the European Convention on Human Rights s. 666–673.

4Harris, O'Boyle & Warbrick (2009), Law of the European Convention on Human Rights s. 677.

5Danelius (2015), Mänskliga rättigheter i europeisk praxis s. 595 och 596.

95

Bakgrund och viss relevant reglering

SOU 2018:82

angelägna allmänna intressen och aldrig i syfte att enbart ekono- miskt gynna vissa personer eller företag. I denna framställning kom- mer vi att inrikta oss på näringsfriheten.

Bestämmelsen utgår från att regler måste vara generella på så sätt att alla ska ha möjlighet att konkurrera på lika villkor, under förut- sättning att de i övrigt uppfyller de krav som ställs upp för den aktu- ella näringsgrenen. Därmed ska det förhindras att en enskild gynnas ekonomiskt på någon annans bekostnad. I princip är det inte tillåtet att införa regler som förhindrar nyetableringar inom en viss näring eftersom det innebär ett skydd för dem som redan är etablerade. Det gäller dock bara såvida det inte finns ett angeläget allmänt intresse av regleringen. Inskränkande föreskrifter på näringsområdet har tillkom- mit för att tillgodose främst säkerhets-, hälsovårds- och arbetarskydds- intressen (prop. 1993/94:117 s. 21 och 22 och prop. 2005/06:197 s. 9, 51 och 52).6

Europakonventionen innehåller inget specifikt skydd för närings- frihet (prop. 2003/04:65 s. 15).

3.6.4Rätten till domstolsprövning

Artikelns tillämpningsområde

Enligt den nyss nämnda artikeln är var och en berättigad till en rättvis och offentlig förhandling inom skälig tid inför en oavhängig och opartisk domstol domstolsprövning när saken gäller hans eller hennes civila rättigheter och skyldigheter eller anklagelse för brott. Denna del av artikeln klargör alltså när artikel 6:1 är tillämplig.

Civila rättigheter och skyldigheter är ett autonomt begrepp, vilket innebär att det ska ges samma innebörd oavsett hur begreppet defi- nieras i de nationella rättssystemen. Europadomstolen har i en om- fattande praxis utvecklat begreppet och har slagit fast att artikeln är tillämplig under förutsättning att

a)det föreligger en reell och seriös tvist mellan en enskild – fysisk eller juridisk – person och en annan person eller en myndighet,

b)tvisten gäller en rättighet som har sin grund i den nationella rätten, och

6Se även Jermsten (Lexino 2018-01-01), kommentar till 2 kap. 17 § första stycket regerings- formen.

96

SOU 2018:82

Bakgrund och viss relevant reglering

c) att denna rättighet kan karakteriseras som en civil rättighet.

När en tvist gäller rätten att bedriva viss ekonomisk verksamhet eller att erhålla en myndighets tillstånd av betydelse för möjligheterna att bedriva sådan verksamhet har Europadomstolen i flera fall bedömt att det rört sig om en civil rättighet.7 I avgörandet Zander mot Sverige den 25 november 1993, mål nummer 14282/88, uttalade Europadom- stolen att egendomsskyddet klart utgör en civil rättighet i Europa- konventionens mening. I avgörandet Pudas mot Sverige den 27 okto- ber 1987, mål nummer 10426/83, uttalade domstolen att en återkall- else av ett tillstånd att bedriva taxiverksamhet klart rörde en civil rättighet och underströk att tillståndet var en av flera förutsättningar för att bedriva den kommersiella verksamheten i fråga.

Vilka rättssäkerhetsgarantier krävs för domstolsförfarandet?

I det följande ser vi närmare på några av de krav på generella rätts- säkerhetsgarantier som enligt Europadomstolen följer av artikel 6:1. Genomgången är inte fullständig utan är i första hand inriktad på att lyfta fram den typ av krav som kan komma att aktualiseras när det gäller förelägganden och förbud enligt säkerhetsskyddslagen.

Tillträde till domstol

I avgörandet Golder mot Förenade Konungariket den 21 februari 1975, mål nummer 4451/70, klargjorde Europadomstolen att artikel 6:1 inte skulle tolkas på så sätt att den bara uppställer krav på hand- läggningen av en talan som redan väckts i domstol. Artikeln ger också rätt att få tillträde till domstol, vilket enligt Europadomstolen är en rättighet som kan härledas ur artikelns lydelse och som dess- utom är en grundläggande rättssäkerhetsgaranti enligt konvention- ens preambel.

Det finns en stor mängd avgöranden där Europadomstolen be- dömt att det varit fråga om prövning av civila rättigheter och skyl- digheter och där det saknats möjlighet att få tillträde till domstol i de nationella rättssystemen, med följd att det uppstått en kränkning. Så var fallet i avgörandet Sporrong och Lönnroth mot Sverige den

7Danelius (2015), Mänskliga rättigheter i europeisk praxis s. 167.

97

Bakgrund och viss relevant reglering

SOU 2018:82

23 september 1982, mål nummer 7151/75 och 7152/75, där Europa- domstolen bedömde att det inte fanns tillträde till en domstol som gjorde en fullständig granskning av åtgärderna som påverkade klag- andens civila rättighet som stod under prövning, varför det uppstod en kränkning av artikel 6:1.

Det kan också vara så att en part i och för sig har tillträde till en domstol men att möjligheten att föra talan är så kringskuren att det är fråga om en konventionskränkning. I princip innebär rätten att få tillträde till domstol att domstolens behörighet är tillräckligt omfatt- ande för att medge en fullständig bedömning av de civila rättig- heterna och skyldigheterna. Detta krav är inte alltid uppfyllt när en domstol överprövar en förvaltningsmyndighets beslut, eftersom dom- stolens prövningsrätt ibland är begränsad till att avse lagligheten av det administrativa beslutet och inte omfattar de faktiska omstän- digheter och de skönsmässiga bedömningar som legat till grund för det administrativa avgörandet. Frågan om en sådan prövning är till- räckligt omfattande för att uppfylla kraven i artikel 6:1 kan inte besvaras generellt. Avgörande är i varje särskilt fall om de grunder på vilka en part vill angripa ett förvaltningsbeslut har kunnat prövas av domstolen eller inte.8

I avgörandet Tinnelly & Sons Ltd m.fl. och McElduff m.fl. mot För- enade kungariket den 10 juli 1998, mål nummer 62/1997/846/1052– 1053, prövade domstolen om det var proportionerligt att inskränka delar av en domstolsprövning på grund av nationella säkerhetsskäl. I målet var det fråga om ett byggnadsföretag som inte hade tilldelats ett kontrakt trots att man hade lämnat det lägsta anbudet. Enligt klagandena var detta ett resultat av diskriminering. Ministern för Nordirland hade utan närmare motivering fastställt att det aktuella företaget av hänsyn till den nationella säkerheten inte kunde komma i fråga för uppdragen. Företagen överklagade ministerns ställnings- taganden till domstol men ställningstagandena ansågs utgöra bind- ande bevis och kunde inte omprövas. Europadomstolen konstaterade att ministerns ställningstaganden hade den effekten enligt nationell rätt att de förhindrade en prövning av klagandenas påstående att de hade varit föremål för diskriminering. Vidare noterade domstolen att frågan om diskriminering hade kunnat prövas i domstolen även om det förekom överväganden kring nationell säkerhet i målet. Enligt

8Danelius (2015), Mänskliga rättigheter i europeisk praxis s. 204.

98

SOU 2018:82

Bakgrund och viss relevant reglering

Europadomstolen så utgjorde förbudet mot att överpröva minis- terns ställningstagande en oproportionerlig inskränkning i klagan- dens rätt att få tillträde till domstol.

Rätten att få tillträde till domstol är dock inte absolut, vilket Europadomstolen uttalade i Golder mot Förenade Konungariket. Denna fråga utvecklades i avgörandet Ashingdane mot Förenade Konungariket den 28 maj 1985, mål nummer 8225/78, där domstolen dels klargjorde att medlemsländerna har en viss bedömningsmargi- nal (”margin of appreciation”) när det gäller att fastställa begräns- ningar i rätten att få tillträde till domstol, dels att det i första hand är medlemsländerna som avgör hur det ska ske. Begränsningarna får enligt Europadomstolen dock inte vara så långtgående att rättig- heten urholkas. Domstolen uttalade också att en begränsning av rätten att få tillträde till domstol måste avse ett legitimt syfte och att det måste finnas ett rimligt proportionalitetsförhållande mellan de medel som används och det ändamål som staten avser att uppnå. I sak handlade Ashingdane mot Förenade Konungariket om att den nationella lagstiftningen begränsade, men inte uteslöt, möjligheten att framställa skadeståndsanspråk mot personal som arbetade på en psykiatrisk inrättning. Europadomstolen ansåg att detta var en legi- tim inskränkning i rätten till domstolsprövning eftersom det hand- lade om att skydda vårdpersonalen. Inskränkningen bedömdes också vara proportionerlig.

Oavhängig och opartisk domstol

Prövning av tvister om civila rättigheter och skyldigheter ska enligt artikel 6:1 ske inför en oavhängig och opartisk domstol. Inlednings- vis är det därför nödvändigt att närmare undersöka vad som avses med domstol i Europakonventionens mening.

Europadomstolen har klarlagt att termen ”domstol” i detta sam- manhang inte ska tolkas så att det bara avser domstolar av tradi- tionellt slag. För att en dömande instans ska kunna godtas som domstol förutsätts dock att dess domar är bindande och inte kan åsidosättas av regering eller förvaltning.

Vidare anges i artikeln att prövningen ska ske inför en oavhängig och opartisk domstol. Det är inte möjligt att helt hålla isär orden ”oavhängig” och ”opartisk”. De innefattar olika aspekter av kravet

99

Bakgrund och viss relevant reglering

SOU 2018:82

på att domstolen skall handla objektivt och inte påverkas av ovid- kommande omständigheter. Medan ”oavhängig” närmast tar sikte på att utesluta möjligheten av obehörig påverkan utifrån, kan ”opartisk” anses syfta på att det inom domstolen inte får finnas någon vilja eller benägenhet att gynna en part framför en annan. Eftersom termerna delvis sammanfaller med varandra, är det emellertid ofta lämpligt att betrakta begreppet ”oavhängig och opartisk domstol” som en helhet. Europadomstolen har flera gånger prövat om de turkiska statssäker- hetsdomstolarna levt upp till kraven på oavhängighet och opartisk- het. I statssäkerhetsdomstolarna ingick två civila och en militär domare. De militära domarna var officerare och underkastade militär disciplin, och de hade ett kort mandat om fyra år. Europadomstolen fann i flera mål att deltagandet av en sådan militär domare kunde, när en civil person stod åtalad för separatistisk eller annan samhällsfarlig verksamhet, ge anledning till farhågor för att domstolen skulle väg- ledas av ovidkommande hänsyn. Statssäkerhetsdomstolarna ansågs därför inte uppfylla kraven på opartiskhet.9

Rätten till en rättvis rättegång

Till skillnad från andra rättssäkerhetsgarantier i artikel 6:1 så inrym- mer rätten till en rättvis rättegång (”fair trial”) en slags restkompe- tens som har gett Europadomstolen möjlighet att tillföra andra rättig- heter som inte kan utläsas direkt ut artikeln.10

Innebörden av rätten till en rättvis rättegång skiljer sig mellan åt beroende på om det är fråga om civila rättigheter och skyldigheter eller anklagelser om brott. I avgörandet Dombo Beheer mot Neder- länderna den 27 oktober 1993, mål nummer 14448/88, klargjorde Europadomstolen denna skillnad och anförde att medlemsländerna har ett större handlingsutrymme när det är fråga om mål om civila rättigheter och skyldigheter, särskilt på grund av avsaknaden av de detaljerade bestämmelserna i artikel 6.2 och 6.3 som gäller i brott- mål.

Ur rätten till en rättvis rättegång har Europadomstolen uttolkat ett flertal krav på domstolsförfaranden. Ett av dem är rätten att få närvara under rättegången. Denna rätt att stark i brottmål men gäller

9Danelius (2015), Mänskliga rättigheter i europeisk praxis s. 216.

10Harris, O'Boyle & Warbrick (2009), Law of the European Convention on Human Rights s. 246.

100

SOU 2018:82

Bakgrund och viss relevant reglering

bara i särskilda fall när det är fråga om civila rättigheter och skyl- digheter, t.ex. när det gäller att bedöma vissa personliga förhållan- den.11 Rätten att närvara under rättegången måste också ses i ljuset av reglerna om offentlig förhandling, som vi behandlar nedan.

Ett annat krav som Europadomstolen har uttolkat ur rätten till en rättvis rättegång är kravet på parternas likställdhet (”equality of arms”). I avgörandet Dombo Beheer mot Nederländerna bedömde domstolen att den nederländska rättsordningen inte levde upp till kravet på parternas likställdhet eftersom ena parten i en civilrättslig tvist inte fick höra ett åberopat vittne till följd av hur de process- rättsliga reglerna var utformade.

Kravet på parternas likställdhet ställdes på sin spets i avgörandet Regner mot Tjeckien den 19 september 2017 med mål nummer 35289/11, som uppvisar vissa likheter med den typ av uppgifter som kan tänkas vara föremål för prövning i mål om föreläggande och förbud enligt säkerhetsskyddsregleringen. Målet handlade om en tjänsteman med hög befattning inom försvarsdepartementet som fått sitt säkerhetsgodkännande återkallat efter att den nationella säkerhetstjänsten fått underrättelseinformation om mannen, bl.a. att han utgjorde en risk för den nationella säkerheten. Beslutet över- klagades till den högsta nationella förvaltningsdomstolen utan fram- gång. I inledningen av sina domskäl noterade Europadomstolen att klagandens rätt till en rättvis rättegång hade inskränkts dels genom att han inte fått del av dokumenten som låg till grund för åter- kallelsen av hans säkerhetsgodkännande, dels genom att han inte hade fått del av grunderna för beslutet, i den del dessa härrörde från handlingarna i fråga. Frågan var därför, enligt domstolen, om dessa inskränkningar begränsade själva kärnan i rätten till en rättvis rätte- gång. Vid sin granskning av det nationella förfarandet beaktade domstolen särskilt om begränsningarna i klagandens rätt till lik- ställighet hade balanserats med tillräckliga processuella garantier. Europadomstolen underströk att de nationella domstolarna hade haft tillgång till allt material och att deras prövning inte var begränsad i något avseende. I den avslutande avvägningen fann domstolen att balansen mellan parterna inte hade förskjutits så långt att det på- verkade det klagandens rätt till en rättvis rättegång. I bedömningen vägde domstolen in förfarandet i de nationella domstolarna i dess

11Harris, O'Boyle & Warbrick (2009), Law of the European Convention on Human Rights s. 247.

101

Bakgrund och viss relevant reglering

SOU 2018:82

helhet, typen av tvist och den bedömningsmarginal som medlems- länderna åtnjuter.

Ytterligare ett krav som Europadomstolen har uttolkat ur rätten till en rättvis rättegång är rätten till ett kontradiktoriskt förfarande (”right to adversarial proceedings”). I grunden handlar kravet om att parterna i en rättegång ska ha tillgång till och möjlighet att kom- mentera all bevisning som åberopats (se avgörandet Vermeulen mot Belgien den 20 februari 1996, mål nummer 19075/91). Av stor bety- delse för utformningen av en domstolsprövning av beslut om före- lägganden och förbud enligt säkerhetsskyddslagen är vilka krav som Europadomstolen har uppställt när det gäller sekretessbelagda upp- gifter och annan känslig information som rör den nationella säker- heten. I avgörandet Edwards och Lewis mot Förenade Konungariket den 27 oktober 2004 med mål nummer 39647/98 och 40461/98, som rörde förfarandet i ett brottmål, uttalade domstolen att rätten att få del av relevanta bevis inte är en absolut rättighet. Domstolen angav att det i alla brottmål kan finnas konkurrerande intressen, så som nationell säkerhet eller behovet av att skydda vittnen eller att hemlig- hålla polismetoder, som måste vägas mot den anklagades rättigheter. I avgörandet Dağtekin med flera mot Turkiet den 13 mars 2008, mål nummer 70516/01, behandlades bl.a. frågan om den turkiska staten hade gjort sig skyldig till en kränkning av artikel 6:1 genom att inte respektera rätten till ett kontradiktoriskt förfarande. I målet, som rörde civila rättigheter och skyldigheter, hade klagandena fått sina tillstånd att arrendera jordbruksmark återkallade som en följd av en säkerhetsutredning som vidtagits av myndigheterna. De hade dock aldrig fått ta del av utredning eller skälen till varför deras tillstånd återkallades. De hade inte heller fått möjlighet att pröva lagligheten i återkallelsen. Europadomstolen anförde att den var medveten om säkerhetsläget i de aktuella delarna av landet och behovet av att myndigheterna var vaksamma. Samtidigt påpekade domstolen att nationella myndigheter inte kan undgå effektiv domstolskontroll på den grunden att de påstår att det är fråga om nationell säkerhet och terrorism. I sak bedömde domstolen att det inte fanns några åtgärder som skyddade klagandena mot myndigheternas godtycke och be- dömde därför att det hade skett en kränkning av artikel 6:1. I be- dömningen betonades att varken klagandena eller de nationella dom- stolarna hade fått del av säkerhetsutredningen ifråga. Europadomstolen

102

SOU 2018:82

Bakgrund och viss relevant reglering

underströk vidare att det finns metoder för att tillgodose säker- hetsproblem som rör känslig information och dess källor, och samtidigt ge individen ett påtagligt mått av processuell rättvisa.

Idetta avseende hänvisade domstolen till avgörandet Chahal mot För- enade Konungariket den 15 november 1996 med mål nummer 22414/93, där det var fråga om rätten till ett effektivt rättsmedel enligt arti- kel 13 hade kränkts i samband med utvisning. I den nationella pro- cessen gjordes det bl.a. gällande att klaganden utgjorde en risk för den nationella säkerheten. De inhemska organ som prövade frågan om utvisning uppfyllde inte de krav på processuell rättvisa som Europadomstolen ansåg var nödvändiga. Europadomstolen påpekade bl.a. att de inhemska organens prövning inte avsåg alla omstän- digheter som låg till grund för beslutet om utvisning, utan endast frågan om nationell säkerhet. Därmed prövades inte risken för att klaganden utsattes för behandling i strid med artikel 3 vid en utvis- ning. Europadomstolen var också kritisk till att klaganden inte hade fått något rättsligt biträde i processen. Rätten till ett effektivt rätts- medel enligt artikel 13 hade därför kränkts.

Rätten till offentlig förhandling

Rätten till en offentlig förhandling framgår av direkt ordalydelsen i artikel 6:1. Möjligheten att neka allmänhet och press tillträde till en förhandling får bara ske om det är motiverat utifrån de syften som anges i artikel 6:1, nämligen hänsynen till den allmänna moralen, den allmänna ordningen eller den nationella säkerheten i ett demokra- tiskt samhälle.

Av Europadomstolens praxis följer att det i princip krävs att en muntlig förhandling hålls vid prövning av frågor om civila rättigheter eller skyldigheter eller anklagelser för brott.12 I avgörandet Jussila mot Finland den 23 november 2006 med mål nummer 73053/01 be- tonade Europadomstolen dock att det är karaktären av de frågor som ska avgöras av den behöriga domstolen som motiverar om en munt- lig förhandling kan undvaras. Som exempel har Europadomstolen i avgörandet Döry mot Sverige den 12 november 2002, mål nummer 28394/95, uttalat att i mål av teknisk karaktär där utfallet vanligtvis

12Danelius (2015), Mänskliga rättigheter i europeisk praxis s. 237–243.

103

Bakgrund och viss relevant reglering

SOU 2018:82

följer av skriftliga underlag utfärdade av läkare så kan tvisten med fördel hanteras i ett skriftligt förfarande.

3.6.5Rättsprövningslagen

Regeringen är inte att anse som en domstol i den mening som avses i artikel 6 i Europakonventionen. I syfte att garantera att Sverige lever upp till de krav som ställs i artikel 6 infördes ett nytt rättsmedel kallat rättsprövning. Rättsmedlet innebär att det finns en möjlighet att i vissa fall begära rättsprövning i Högsta förvaltningsdomstolen av beslut i vissa ärenden som beslutas av regeringen. Möjligheten följer numera av lagen (2006:304) om rättsprövning av vissa reger- ingsbeslut (rättsprövningslagen).

En enskild får ansöka om rättsprövning av sådana beslut av reger- ingen som innefattar en prövning av den enskildes civila rättigheter eller skyldigheter i den mening som avses i artikel 6.1 i Europa- konventionen (1 § rättsprövningslagen). Det finns även vissa andra fall som kan bli föremål för rättsprövning, som dock saknar intresse här.

En ansökan om rättsprövning enligt 1 § ska ha kommit in till Högsta förvaltningsdomstolen senast tre månader från dagen för beslutet. Det ska framgå av ansökan vilken rättsregel sökanden anser att beslutet strider mot och vilka omständigheter som åberopas till stöd för detta. Utgångspunkten är att regeringens beslut gäller även om det har gjorts en ansökan om rättsprövning. Högsta förvalt- ningsdomstolen får dock bestämma att beslutet tills vidare inte ska gälla. I ett mål om rättsprövning enligt 1 § ska Högsta förvaltnings- domstolen hålla muntlig förhandling, om sökanden begär det och det inte är uppenbart obehövligt.

Om Högsta förvaltningsdomstolen finner att regeringens beslut strider mot någon rättsregel på det sätt som sökanden har angett eller som klart framgår av omständigheterna, ska beslutet upphävas. Detta gäller dock inte om det är uppenbart att felet saknar betydelse för avgörandet. Högsta förvaltningsdomstolen ska, om det behövs, återförvisa ärendet till regeringen. Om regeringens beslut inte upp- hävs, står det fast.

104

SOU 2018:82

Bakgrund och viss relevant reglering

Klagorätten enligt 1 § gäller för ”enskild”. Med det menas inte bara privatpersoner utan också företag, föreningar och andra juridi- ska personer. Det är inte nödvändigt att den enskilde har intagit formell partsställning i ett förvaltningsärende. Däremot förutsätts det att den klagande har varit offer för en kränkning och att den åberopade rättigheten har sin grund i den nationella rätten.13 All- männa organ, t.ex. myndigheter och kommuner kan inte ansöka om rättsprövning.

Kravet på att ärendet gäller enskildas civila rättigheter och skyl- digheter innebär att rättsprövning inte kan ske av beslut som inte har några direkta rättsverkningar för den enskilde. Det måste också vara fråga om ett beslut i ett enskilt fall. Exempelvis kan normbeslut inte bli föremål för rättsprövning. I praktiken är det en mängd offentlig- rättsliga beslut som kan rättsprövas, förutsatt att regeringen är besluts- instans. Det kan t.ex. handla om tillstånd av olika slag, förelägganden, beslut om tjänstetillsättning och bidrag etc. Sådana beslut som enligt Europadomstolens praxis faller utanför artikel 6, som t.ex. skatter och avgifter, betyg, politiska rättigheter m.m., kan inte bli föremål för rättsprövning.14

I förarbetena framgår det att politiska lämplighetsfrågor ska läm- nas utanför rättsprövningen, eftersom domstolar inte kan förutsättas göra bedömningar av utpräglat skönsmässig eller politisk karaktär (prop. 1987/88:69 s. 24 och 25). Det kan alltså bli nödvändigt att dela upp ärendet i en prövningsbar och en icke prövningsbar del, se t.ex. Högsta förvaltningsdomstolens avgöranden RÅ 1989 ref. 16, RÅ 1989 ref. 95 och RÅ 1989 ref. 96. Om regeringens bedömning innefattar ett visst mått av skönsmässighet, kan Högsta förvalt- ningsdomstolen vid rättsprövning undersöka om beslutet faller inom ramen för regeringens handlingsfrihet. Såtillvida behöver rättspröv- ning inte utgöra en fullständig överprövning av ett meddelat förvalt- ningsbeslut.15

13Warnling (Karnov 2018-07-01), kommentar till 1 § rättsprövningslagen.

14Wiweka Warnling-Nerep (2015), Rättsmedel: Om- och överprövning av förvaltningsbeslut s. 207–210.

15Om detta stycke, se Warnling (Karnov 2018-07-01), kommentar till 7 § rättsprövningslagen med där gjorda hänvisningar.

105

Nordisk utblick

SOU 2018:82

hetslagen är syftet med den nya lagen att trygga nationella säker- hetsintressen, och då särskilt Norges suveränitet, territoriella integritet och demokratiska styrelseskick. Den nya lagen är inriktad på att skydda viktiga samhällsfunktioner som understödjer de nyss nämnda intressena. De samhällsfunktioner som avses (grundläggande natio- nella funktioner) är sådana tjänster eller sådan produktion eller annan verksamhet som har en sådan betydelse att ett helt eller delvis bort- fall av funktionen skulle få konsekvenser för statens förmåga att ta till vara nationella säkerhetsintressen.3

Anskaffningar

En upphandling definieras som säkerhetsklassificerad om leveran- tören kan få tillgång till skyddsvärd information (skjermingsverdig informasjon) eller skyddsobjekt. En upphandling kan också defini- eras som säkerhetsklassificerad om den måste skyddas av andra skäl.

Enligt vägledningen till den nuvarande säkerhetslagen är syftet med säkerhetsklassificerade upphandlingar att skydda information, material och föremål när förvaltningsorgan ingår affärer. Det inne- bär, enligt vägledningen, att regelverket om säkerhetsklassificerade upphandlingar ska tillämpas vid inköp, hyra, försäljning, uthyrning och överlåtelser.4

Vid säkerhetsskyddad upphandling måste ett säkerhetsavtal ha ingåtts mellan det upphandlande förvaltningsorganet och leveran- tören innan leverantören kan få tillgång till skyddsvärd information. Säkerhetsavtalet ska närmare reglera de ansvar och skyldigheter som följer av lagen. Säkerhetsavtal med utländska leverantörer kan endast ingås efter godkännande av den nationella säkerhetsmyndigheten (Nasjonal sikkerhetsmyndighet).

Om leverantören genom upphandlingen kan få tillgång till skydds- värd information i klassen konfidentiellt eller högre, eller om det av annan anledning är nödvändigt, så krävs att den nationella säkerhets- myndigheten har meddelat en leverantörsklarering för den aktuella säkerhetsgraden. Leverantörsklarering medges inte om det finns rim- ligt tvivel om leverantörens säkerhetsmässiga lämplighet. När leve- rantörens lämplighet prövas får man endast lägga vikt vid frågor som

3Prop. 153 L (2016–2017) Lov om nasjonal sikkerhet (sikkerhetsloven) s. 7.

4Veiledning i sikkerhetsgraderte anskaffelser og anskaffelser til kritisk infrastruktur, Nasjonal sikkerhetsmyndighet s. 3.

108

SOU 2018:82

Nordisk utblick

är relevanta för att bedöma leverantörens förmåga och vilja att be- driva förebyggande säkerhetsarbete enligt lagen. Personalkontroll av leverantörens styrelse och ledning ska ingå i bedömningen. En leve- rantörsklarering ges för en period om fem år.5

Negativa beslut om leverantörsklarering, villkor för klarering samt beslut om när frågan om klarering på nytt kan tas upp får överklagas till Försvarsdepartementet.

En leverantör får inte överföra skyddsvärd information eller skyddsobjekt till en ny ägare, varken direkt eller indirekt, om inte den nationella säkerhetsmyndigheten har gett sitt tillstånd.

Leverantörer som innehar en klarering ska utan dröjsmål under- rätta den nationella säkerhetsmyndigheten om förändringar i led- ning, ägarstruktur, lokaler och utrustning och andra förhållanden som kan påverka leverantörens säkerhetsmässiga lämplighet. Om för- hållandena utgör en säkerhetsrisk som inte kan elimineras så kan den nationella säkerhetsmyndigheten återkalla leverantörsklareringen.

I januari 2017 infördes en ny bestämmelse i säkerhetslagen om upphandlingar som rör kritisk infrastruktur. I begreppet kritisk infrastruktur ingår livsmedel- och energiförsörjning, vatten och av- lopp, sociala förmåner och tjänster, finansiella tjänster, elektronisk kommunikation, transport och satellitbaserade tjänster.6 Vid upp- handlingar som rör kritisk infrastruktur ska det göras en riskbedöm- ning. Om bedömningen visar att det finns en inte obetydlig risk för att säkerhetshotande aktiviteter etableras eller genomförs, kan regeringen besluta om affären ska vägras eller att villkor fastställs för dess genomförande. Detta gäller även om ett avtal redan har ingåtts.

Den nya säkerhetslagen som ännu inte trätt i kraft är en moderni- sering av den tidigare lagen. Reglerna om säkerhetsskyddad upp- handling överförs i allt väsentligt till den nya lagen. Verksamheter som träffas av lagen är skyldiga att bedöma risken när en leverantör kan få tillgång till säkerhetsklassificerad information eller skydds- värda objekt eller infrastruktur. I sådana fall ska det ingås ett säker- hetsavtal med leverantören och det ska bedömas om leverantören ska få klarering.

5Veiledning i sikkerhetsgraderte anskaffelser og anskaffelser til kritisk infrastruktur, Nasjonal sikkerhetsmyndighet s. 9.

6Veiledning i sikkerhetsgraderte anskaffelser og anskaffelser til kritisk infrastruktur, Nasjonal sikkerhetsmyndighet s. 6 och 7.

109

Nordisk utblick

SOU 2018:82

Verksamhetsöverlåtelser och ägarskapskontroll

I den utredning som föregick propositionen till ny säkerhetslag kon- staterades det att det finns en viss möjlighet att kontrollera ägande- förhållandena hos leverantörer genom systemet med leverantörs- klarering (se i det föregående). Detta system ger säkerhetsmyndigheten inblick i leverantörens ägarstruktur och en möjlighet att dra tillbaka leverantörsklareringen om ägarkonstellationen utvecklar sig i en rikt- ning som utgör en ökad säkerhetsrisk. Utredningen konstaterade dock att regelverket är avgränsat till konkreta anskaffningar och således är mindre ägnat att ta om hand mer generella behov av kon- troll över ägandet till strategiskt viktiga företag. Det ansågs vidare att det gällande regelverket inte kan säkerställa att grundläggande nationella funktioner inte blir lidande genom att strategiskt viktiga företag helt eller delvis blir uppköpta av utländska aktörer.7

Med hänsyn till ovanstående omfattar den nya säkerhetslagen bl.a. vissa bestämmelser om ägarskapskontroll och om förvärv av kritisk infrastruktur. Det finns bl.a. en bestämmelse som särskilt tar sikte på förvärv av verksamheter som omfattas av lagen. Bestäm- melsen bygger på att den som avser att förvärva en kvalificerad andel av en verksamhet som omfattas av säkerhetslagen ska meddela departe- mentet. Med kvalificerad andel avses att förvärvet direkt eller indirekt sammantaget kommer att leda till att förvärvaren får

• minst en tredjedel av aktiekapitalet, andelarna eller rösterna

i verksamheten,

•rätt att bli ägare till minst en tredjedel av aktiekapitalet eller andelarna, eller

•betydande inflytande över förvaltningen av företaget på något annat sätt.

Aktier som ägs eller övertas av aktieägarens närstående jämställs med aktieägarens aktier. Detsamma gäller andra andelar än aktier när det inte är fråga om ett aktiebolag. Dessa aktier eller andelar räknas alltså in i den totala effekten av förvärvet.

7Sikkerhetsutvalgets rapport NOU 2016:19 Samhandling for sikkerhet – Beskyttelse av grunn- leggende samfunnsfunksjoner i en omskiftelig tid, kapitel 12.2.

110

SOU 2018:82

Nordisk utblick

För att undvika att utländska företag genomför förvärv genom nationella bolag gäller bestämmelsen även inhemska företag. Enligt bestämmelsen ska departementet inom 60 dagar besluta om förvärvet godkänns eller om frågan ska hänskjutas till regeringen (Kongen i statsråd). Regeringen kan besluta att förvärvet inte godkänns eller att förvärvet ska förenas med villkor. Möjligheten att hindra för- värvet föreslås gälla även om det redan har träffats ett avtal om förvärvet. Beslut att inte godkänna förvärv är enligt förarbetena tänkta att användas i exceptionella situationer efter en proportionalitets- bedömning i varje enskilt fall.8

I propositionen finns det bara en relativt kortfattad beskrivning av de konsekvenser som ägarskapskontrollen förväntas medföra, men det uttalas bl.a. att tröskeln för bestämmelsens tillämpning är hög och att när beslutskompetensen används så kommer det nation- ella säkerhetsintresset väga tyngre än de negativa ekonomiska konse- kvenserna för verksamheten och den tilltänkta förvärvaren.

I den nu gällande säkerhetslagen finns det regler om rapporterings- plikt avseende förvärv av kritisk infrastruktur och möjlighet för reger- ingen att avbryta förvärv av kritisk infrastruktur. Reglerna överförs till den nya lagen och de omfattar där även säkerhetskänsliga infor- mationssystem och objekt.

4.3Finland

Verksamhetsöverlåtelser

Det finns i finsk rätt inte några särskilda regler om säkerhetsskyddad upphandling eller om granskning eller liknande av utkontraktering eller upplåtelse. Däremot finns det bestämmelser om utlänningars företagsköp. Dessa finns i lagen om tillsyn över utlänningars före- tagsköp, 13.4.2012/172. Syftet med lagen är att övervaka och, när ett ytterst viktigt nationellt intresse kräver det, begränsa överföringen av inflytande i de företag som är föremål för tillsyn till utlänningar och utländska sammanslutningar och stiftelser.

8Prop. 153 L (2016–2017) Lov om nasjonal sikkerhet (sikkerhetsloven) s. 152.

111

Nordisk utblick

SOU 2018:82

I praktiken avses med ytterst viktigt nationellt intresse i synnerhet

•försvaret,

•försörjningsberedskapen, och

•samhällets vitala funktioner.

Lagen utgår från en positiv inställning till utländskt ägande. Myndig- heterna har dock möjlighet att utöva kontroll över ägarunderlaget hos de bolag som är av central betydelse för försörjningsberedskapen och landets säkerhet, och vid behov begränsa utlänningars innehav i sådana bolag.

Med företagsköp avses enligt lagen en åtgärd genom vilken

•en utländsk ägare förvärvar minst en tiondedel eller

•minst en tredjedel, eller

•minst hälften av det sammanlagda röstetalet för aktierna i bolaget eller motsvarande faktiskt inflytande i ett aktiebolag eller annat föremål för tillsyn.

Arbets- och näringsministeriet behandlar myndighetsärenden som gäller tillsynen över och bekräftelsen av företagsköp. I den omfatt- ning som behövs inhämtar ministeriet även utlåtanden från andra myndigheter.

Företagsköp inom försvarssektorn och inom tillverkningen av produkter med dubbla användningsområden kräver alltid en för- handsbekräftelse från myndigheten (ansökan). En utländsk ägare ska alltså på förhand anhålla om ministeriets bekräftelse av före- tagsköpet. Om den utländska ägaren inte har gjort en ansökan om bekräftelse kan ministeriet bestämma en tid inom vilken ansökan ska göras. Underlåtelse att ge in en ansökan inom den tiden innebär att ministeriet ska vägra bekräftelse av företagsköpet (4 § lagen).

På den civila sidan omfattar tillsynen sådana finländska företag som anses vara kritiska med tanke på tryggandet av samhällets vitala funktioner. Vid köp av sådana företag gäller ingen skyldighet att ansöka om bekräftelse. Däremot kan den utländska ägaren välja att anmäla förvärvet till ministeriet. Den utländska ägaren kan även på förhand anmäla köpet för bekräftelse av arbets- och näringsministeriet, om företagsköpet framskridit till ett skede som omedelbart föregår

112

SOU 2018:82

Nordisk utblick

det slutliga genomförandet av arrangemanget. På begäran av ministeriet ska en utländsk ägare lämna alla uppgifter om föremålet för tillsyn, den utländska ägaren och företagsköpet som behövs för en utred- ning av ett ärende som gäller bekräftelse av företagsköpet. Ministeriet ska begära uppgifterna inom tre månader från det att ministeriet fått kännedom om företagsköpet. (5 § lagen.)

Oavsett om det handlar om försvarssektorn eller den civila sek- torn ska ministeriet bekräfta ett företagsköp, om köpet inte kan äventyra ett ytterst viktigt nationellt intresse. Om köpet kan även- tyra ett sådant intresse ska ministeriet överföra ärendet för behand- ling vid statsrådets allmänna sammanträde. (4 § tredje stycket och 5 § tredje stycket lagen.)

När det gäller försvarsmaterielindustrin omfattas samtliga ut- ländska ägare av tillsynen. Till övriga delar omfattar tillsynen endast sådana utländska ägare som har sin bonings- eller hemort i en stat som inte tillhör EU eller Europeiska frihandelssammanslutningen (EFTA).

I 6 § lagen anges vissa undantag från kravet på bekräftelse av företagsköp. En sådan bekräftelse behövs inte om aktiekapitalet i ett aktiebolag ökas, och den utländska ägaren i samband med ökningen tecknar aktier i proportion till de aktier som han eller hon redan har i bolaget (första punkten). Någon bekräftelse krävs inte heller om den utländska ägaren får egendom genom arv eller testamente eller med stöd av giftorätt (andra punkten). Det finns även vissa andra undantag, som dock inte gäller för försvarsindustriföretag.

Följderna av att bekräftelse vägras framgår av 8 § lagen. Om det handlar om ett aktiebolag blir följden att den utländska ägaren ska överlåta en viss del av aktierna och att ägarens röster vid bolags- stämman begränsas. Om det handlar om ett annat slags företag ska avtalen som gäller förvärvet av inflytande eller rörelsen återgå.

Regler om straff för företagsköpsförseelse finns i 10 § lagen. Den som uppsåtligen eller av grov oaktsamhet försummar att ansöka om bekräftelse vid förvärv av företagsköp inom försvarssektorn döms för företagsköpsförseelse, om gärningen inte är ringa eller om inte strängare straff för gärningen föreskrivs i någon annan lag. Det- samma gäller den som försummar sin skyldighet att på begäran lämna upplysningar till ministeriet enligt 5 §, eller som ger myndigheterna felaktiga upplysningar eller hemlighåller upplysningar som är viktiga för behandlingen av ärendet.

113

Nordisk utblick

SOU 2018:82

Överlåtelser av fast egendom

Den 1 juni 2017 tillsatte statsrådets kansli en arbetsgrupp som fick i uppdrag att utarbeta förslag till författningsändringar som krävs för att statens övergripande säkerhet ska kunna förbättras vid över- föring av fast egendom. Den 28 juni 2018 lämnade arbetsgruppen sina förslag. Förslagen går i korthet ut på följande.

•Lagen om inlösen av egendom för försvarsändamål ska upphävas och en ny lag som gäller inlösen av fast egendom och särskilda rättigheter och som har ett mer omfattande tillämpningsområde ska stiftas i syfte att trygga den nationella säkerheten. Så anses vara fallet när inlösen sker för tryggande av landets försvar, den territoriella integriteten, ledningen av staten, gränssäkerheten, gränsbevakningen, försörjningsberedskapen eller funktionen hos den infrastruktur som är nödvändig för samhället eller av något annat med dessa jämförbart samhälleligt intresse. Inlösen ska också i fortsättningen vara en åtgärd som tillgrips i sista hand för att trygga den nationella säkerheten vid överföring av fast egen- dom.

•Markanvändnings- och bygglagen ska ha en bestämmelse om den nationella säkerheten angående områdesanvändningen.

•Staten ska ha förköpsrätt vid fastighetsköp, om förvärvet av fastig- heten till staten är nödvändigt för säkerställande av försvaret eller gränssäkerheten eller för övervakning och tryggande av Finlands territoriella integritet.

•Det införs en lag om övervakning och begränsning av vissa fastig- hetsförvärv med regler om tillsyn över utlänningars fastighets- förvärv i områden som är betydande med tanke på försvaret, gränssäkerheten, försörjningsberedskapen samt övervakningen och tryggandet av Finlands territoriella integritet. Enligt bestäm- melserna ska en sammanslutning med hemort utanför Europeiska unionen eller Europeiska ekonomiska samarbetsområdet och en medborgare i en stat som inte hör till Europeiska unionen eller Europeiska ekonomiska samarbetsområdet ansöka om tillstånd för förvärv av en fastighet i sådana områden.

114

SOU 2018:82

Nordisk utblick

Syftet med den föreslagna regleringen är att skapa metoder med hjälp av vilka myndigheterna kan förbättra den nationella säkerheten i betydande investeringsprojekt samt vid överföringar av ägande- och besittningsrätten till fast egendom som finns i närheten av sam- hällets vitala funktioner eller driftställen som är väsentliga med tanke på säkerhetsmyndigheternas uppgifter. De föreslagna bestämmel- serna avses förbättra statens möjligheter att ingripa mot åtgärder som äventyrar den nationella säkerheten.

4.4Danmark

I Danmark regleras säkerhetsskyddet i Statsministerns säkerhets- cirkulär9, som rör skyddet av såväl dansk skyddsvärd information som sådan information från bl.a. Nato, EU och andra organisationer och stater som Danmark har internationella avtal med. Cirkuläret har nyligen övergått till Justitsministeriet och kan tillämpas även av övriga ministerier. Det innehåller bestämmelser om bl.a. klassificering av information, it-säkerhet, personalsäkerhet och fysisk säkerhet, rådgivning och tillsyn. Cirkuläret har ett informationssäkerhets- perspektiv och ger inte något skydd för säkerhetskänslig verksamhet i övrigt. Cirkulärets innehåll kan göras tillämpligt på enskilda genom avtal.

Politiets Efterretningstjeneste (Polisens underrättelsetjänst) och Forsvarets Efterretningstjeneste (Försvarets underrättelsetjänst) är de två myndigheter som har huvudansvaret för säkerhetsskydd i Danmark, och är nationell säkerhetsmyndighet och nationell it- säkerhetsmyndighet. Verksamheterna styrs av lagen om polisens underrättelsetjänst (LOV nr. 604 af 12/06/2013) respektive lagen om försvarets underrättelsetjänst (LOV nr. 602 af 12/06/2013). Under Försvarets underrättelsetjänst finns Center for Cybersikkerhed, som är Danmarks nationella it-säkerhetsmyndighet (lov nr. 713 af 25/06/2014).

Industrisäkerheten är inte lagreglerad, men det finns i säkerhets- cirkuläret en bestämmelse om att den nationella säkerhetsmyndig- heten kan ingå avtal om områdessäkerhetsgodkännande, och För- svarets underrättelsetjänsts säkerhetsgodkännande av verksamheter är beskrivet i förarbetena till lagen om försvarets underrättelsetjänst.

9Statsministeriets Cirkulære om sikkerhedsbeskyttelse af informationer af fælles interesse for landene i NATO eller EU, andre klassificerede informationer samt informationer af sikker- hedsmæssig beskyttelseinteresse i øvrigt, CIR nr. 10338 af 17/12/2014.

115

Nordisk utblick

SOU 2018:82

I de nyss nämnda lagarna finns dessutom bestämmelser om när behandling av uppgifter om juridiska personer är tillåten. Försvarets underrättelsetjänst genomför således säkerhetsgodkännande av privata verksamheter. Enbart verksamheter som har blivit säkerhetsgod- kända kan få uppdrag som innebär tillgång till klassificerad infor- mation. Kraven på säkerhetsskydd regleras i avtal mellan den upp- handlande myndigheten och uppdragstagaren och avtalet ligger sedan till grund för säkerhetsprövning av den personal som kan komma att få tillgång till klassificerad information. Polisens underrättelsetjänst har i princip samma möjligheter för den civila sektorn, men ännu har det inte förekommit att verksamheter utanför Försvarsministeriets verksamhetsområde har haft behov av säkerhetsgodkännande. Ett säkerhetsgodkännande kan ligga till grund för säkerhetsintyg för leverantör om det behövs för internationell samverkan. Dessa utfär- das av Försvarets underrättelsetjänst i egenskap av industrisäkerhets- myndighet.

Någon särskild reglering om nationell säkerhet och företagsöver- låtelser finns inte. Det finns viss områdesspecifik reglering om gransk- ning av utländska investeringar, bl.a. när det gäller produktion av krigsmateriel, cybersäkerhet, el- och gasområdet och finansiella verk- samheter.

116

Skyldigheten att ingå säkerhetsskyddsavtal

SOU 2018:82

cybersäkerhet (skr. 2016/17:213). Sådana samarbeten kan även före- komma när statliga myndigheter i andra fall levererar tjänster till utomstående eller vid olika typer av forskningsprojekt där offentliga och enskilda aktörer deltar och delar information. Om ett sådant samarbetsprojekt skulle beröra säkerhetskänslig verksamhet skulle det varken enligt den gällande eller den nya säkerhetsskyddslagen medföra krav på att ingå säkerhetsskyddsavtal. En grundläggande princip inom säkerhetsskyddet är att de intressen som lagstiftningen slår vakt om bör ha samma skydd oavsett om verksamheten bedrivs av det allmänna eller av enskilda. En naturlig konsekvens av denna princip bör vara att när en aktör som bedriver säkerhetskänslig verksamhet avser att dela information med någon utomstående, eller ge den utomstående tillgång till säkerhetskänslig verksamhet, ska informationens eller verksamhetens skydd upprätthållas.

Uppdraget

Mot ovanstående bakgrund har vi fått i uppdrag att utreda hur regler- ingen om säkerhetsskyddsavtal kan kompletteras. Vi ska således analysera och föreslå i vilken utsträckning verksamhetsutövare som bedriver säkerhetskänslig verksamhet ska vara skyldiga att ingå säker- hetsskyddsavtal vid överenskommelser som träffas med utomstå- ende och som berör den säkerhetskänsliga verksamheten.

Vi ska lämna fullständiga författningsförslag. Det ingår dock inte i uppdraget att överväga förslag till ändringar i grundlag.

Avgränsningar

Det anges i direktiven att uppdraget omfattar samarbetssituationer som inte träffas av kravet på säkerhetsskyddsavtal i nya säkerhets- skyddslagen. Uppdraget gäller alltså enbart frågan om även andra fall bör träffas och inte frågan om det bör ske några inskränkningar av den skyldighet som gäller enligt nya säkerhetsskyddslagen.

Med utgångspunkt i direktivens utformning och de överväganden som görs om saken i propositionen Ett modernt och stärkt skydd för Sveriges säkerhet – ny säkerhetsskyddslag (prop. 2017/18:89 s. 106 och 107), har vi inte tagit upp frågan om skyldigheten att ingå säkerhets- skyddsavtal borde gälla vid en lägre säkerhetsskyddsklass än som

118

SOU 2018:82

Skyldigheten att ingå säkerhetsskyddsavtal

följer av nya säkerhetsskyddslagen. Några överväganden om detta finns alltså inte i betänkandet.

Det anges vidare i direktiven att uppdraget inte omfattar sådant samarbete som en myndighet bedriver i enlighet med en författning eller ett regeringsbeslut och som förutsätter ett utbyte av säkerhets- känsliga uppgifter och där förtroendet mellan parterna bygger på ett ömsesidigt intresse av att säkerheten för uppgifterna upprätthålls. Vi återkommer till denna fråga i avsnitt 5.4.6.

En annan fråga som har uppmärksammats under vårt arbete är användningen av och beroenden till olika former av öppna data i säkerhetskänslig verksamhet. Med öppna data menar vi information som tillhandahålls fritt utan krav på avgifter och med få eller inga tekniska eller rättsliga begränsningar i fråga om hur den får användas (jfr SOU 2018:25 s. 99 och 100). Som exempel kan nämnas Lant- mäteriets öppna geografiska data och SMHI:s öppna meteorologiska observationer. Vi tolkar vårt uppdrag på så sätt att vi ska utreda om kravet på att ingå säkerhetsskyddsavtal ska utvidgas till andra former av samarbeten än upphandlingssituationer, där aktörer som bedriver säkerhetskänslig verksamhet avser att ge utomstående tillgång till säkerhetsskyddsklassificerade uppgifter eller i övrigt säkerhetskäns- lig verksamhet. Enligt vår tolkning avser uppdraget inte situationer där en aktör tillhandahåller uppgifter som inte är säkerhetsskydds- klassificerade, vilket regelmässigt får anses vara fallet när det gäller öppna data.

5.2Den relevanta regleringen

Inledning

I detta avsnitt redogör vi för regleringen om säkerhetsskyddsavtal och vissa andra relevanta regler i nya säkerhetsskyddslagen. Om inte annat sägs bygger redogörelsen för nya säkerhetsskyddslagen på framställningen i prop. 2017/18:89. Vi redogör också för relevanta bestämmelser i säkerhetsskyddsförordningen (2018:658), i det följ- ande kallad nya säkerhetsskyddsförordningen.

119

Skyldigheten att ingå säkerhetsskyddsavtal

SOU 2018:82

Vad är ett säkerhetsskyddsavtal?

Som tidigare sagts är en grundtanke inom säkerhetsskyddet att de intressen som lagstiftningen slår vakt om ska ha samma skydd oav- sett om verksamheten bedrivs av det allmänna eller av enskilda. I det här sammanhanget innebär det att när en utomstående aktör genom en upphandling engageras i säkerhetskänslig verksamhet ska behovet av säkerhetsskyddsåtgärder utredas och kraven på sådana åtgärder ställas upp i ett säkerhetsskyddsavtal mellan parterna. Bestämmelser om säkerhetsskyddsavtal finns i 2 kap. 6 § nya säkerhetsskyddslagen.

Det huvudsakliga syftet med ett säkerhetsskyddsavtal är att reg- lera de säkerhetsskyddsåtgärder som behövs hos leverantören för den verksamhet som omfattas av ett kontrakt om varor, tjänster eller byggentreprenader. Säkerhetsskyddsavtalet bör bl.a. innehålla överens- kommelser om säkerhetsskyddsorganisationen, informationssäker- het, behörigheter, säkerhetsprövning av personal, utbildning och kontroll, tillsyn, fördelning av kostnaderna för säkerhetsskyddet och avtalsperiod.1 Avtalet utgör vidare en grund för att besluta om vilka anställningar och annat deltagande i verksamheten hos leveran- tören som ska placeras i säkerhetsklass (prop. 2017/18:89 s. 104). Säkerhetsskyddsavtalet bör då i tillämpliga delar innehålla överens- kommelser om säkerhetsprövning inklusive placering i säkerhets- klass och registerkontroll.2 Bestämmelserna om säkerhetsskydds- avtal är av stor betydelse för att nödvändiga tjänster och varor ska kunna upphandlas inom skyddsvärda verksamheter. Som huvudregel är säkerhetsskyddsavtalet kopplat till affärsavtalet genom att affärs- avtalet görs beroende av att åliggandena i säkerhetsskyddsavtalet följs av leverantören (SOU 2015:25 s. 134).

Att ett säkerhetsskyddsavtal har slutits innebär inte i sig att säkerhetsskyddslagen blir tillämplig på leverantörens verksamhet. En leverantör som redan omfattas av säkerhetsskyddslagen kan inte genom villkor i ett säkerhetsskyddsavtal få mindre långtgående åligganden i fråga om säkerhetsskydd än vad som följer av lagen. Däremot kan ett säkerhetsskyddsavtal fylla funktionen att det preci- serar säkerhetsskyddet hos leverantören för att passa den aktuella upphandlingen eller det aktuella avtalet.

1Säkerhetspolisen (2009), Säkerhetsskyddad upphandling – en vägledning s. 12.

2Säkerhetspolisen (2009), Säkerhetsskyddad upphandling – en vägledning s. 12.

120

SOU 2018:82

Skyldigheten att ingå säkerhetsskyddsavtal

När finns det en skyldighet att ingå ett säkerhetsskyddsavtal?

Enligt 2 kap. 6 § nya säkerhetsskyddslagen ska statliga myndigheter, kommuner och landsting som avser att genomföra en upphandling och ingå ett avtal om varor, tjänster eller byggentreprenader se till att det i ett säkerhetsskyddsavtal anges hur kraven på säkerhetsskydd ska tillgodoses av leverantören. Skyldigheten gäller om

1.det i upphandlingen förekommer säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller

2.upphandlingen i övrigt avser eller ger leverantören tillgång till säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet.

Numera bedrivs säkerhetskänslig verksamhet ofta i enskild regi. Kraven på säkerhetsskydd gäller därför även enskilda verksamhets- utövare. Till skillnad från statliga myndigheter, kommuner och landsting omfattas enskilda aktörer i huvudsak inte av upphandlings- lagstiftningen. När det gäller enskilda är skyldigheten att ingå säker- hetsskyddsavtal därför inte beroende av om ett avtal med en extern leverantör ingås efter ett upphandlingsförfarande eller inte. I stället gäller kravet på säkerhetsskyddsavtal även för enskilda verksamhets- utövare som ingår avtal om varor, tjänster eller byggentreprenader med utomstående leverantörer. Verksamhetsutövaren är inte bara skyldig att ingå säkerhetsskyddsavtal med en huvudleverantör utan också med eventuella underleverantörer.3

Verksamhetsutövarna måste genom villkoren i säkerhetsskydds- avtalet inte bara skydda säkerhetsskyddsklassificerade uppgifter från obehörigt röjande, utan även skydda uppgifter och informations- system ur ett riktighets- och tillgänglighetsperspektiv. Det innebär t.ex. att en verksamhetsutövare som ska upphandla programmerings- tjänster för ett informationssystem som bedöms vara säkerhets- känsligt måste fundera över säkerhetsskydd när uppgifters riktighet och tillgänglighet är centrala förutsättningar för systemet. Så kan vara fallet när det handlar om informationssystem som är vitala för förmågan att upprätthålla kritiska samhällsfunktioner. Frågan om hur uppgifters riktighet och tillgänglighet ska skyddas hos leveran- tören behöver alltså tas om hand i säkerhetsskyddsavtalet.

3Säkerhetspolisen (2009), Säkerhetsskyddad upphandling – en vägledning s. 12.

121

Skyldigheten att ingå säkerhetsskyddsavtal

SOU 2018:82

Kravet på säkerhetsskyddsavtal enligt nya säkerhetsskyddslagen gäller inte bara avtal om varor, tjänster och byggentreprenader som direkt avser säkerhetskänslig verksamhet. Kravet gäller också när en leverantör kan få tillgång till säkerhetskänslig verksamhet utan att den avtalade tjänsten för den sakens skull gäller en säkerhetskänslig verksamhet. Det kan t.ex. vara fallet om en verksamhetsutövare träffar avtal med en leverantör som får tillgång till lokaler där säker- hetskänslig verksamhet bedrivs.

Kontroll och tillsyn över leverantören

Verksamhetsutövaren ska kontrollera att leverantören följer säker- hetsskyddsavtalet. Det finns dock även möjlighet för en myndighet som regeringen bestämmer att utöva tillsyn hos leverantörer som har träffat säkerhetsskyddsavtal (5 kap. 4 § andra stycket nya säkerhets- skyddslagen). Ett exempel på när det kan vara lämpligt är enligt förarbetena att det uppkommer situationer där tillsynsmyndigheten har tillgång till information om förestående eller pågående it-angrepp vilket gör att leverantörens informationssäkerhetsarbete behöver granskas (prop. 2017/18:89 s. 156).

Kontakter med utomstående som inte gäller anskaffning

Som vi har nämnt ovan gäller skyldigheten att ingå säkerhetsskydds- avtal enligt 2 kap. 6 § nya säkerhetsskyddslagen bara när verksamhets- utövaren avser att ingå avtal om varor, tjänster eller byggentreprenader. Att ingå sådana avtal om varor, tjänster eller byggentreprenader kallar vi i det följande för anskaffning.

I detta avsnitt ser vi närmare på vad som gäller när verksam- hetsutövare ger utomstående tillgång till säkerhetsskyddsklassificer- ade uppgifter eller i övrigt säkerhetskänslig verksamhet på annat sätt än genom anskaffning. Vi tänker oss att det exempelvis kan handla om olika former av samarbeten eller samverkan.

Begreppet utomstående används både i nya säkerhetsskyddslagen och i nya säkerhetsskyddsförordningen men definieras inte närmare. I förarbetena används begreppet utomstående i samband med uttal- anden om säkerhetsskyddsavtalets förhållande till grundtanken att de intressen som säkerhetsskyddsregleringen slår vakt om ska ha

122

SOU 2018:82

Skyldigheten att ingå säkerhetsskyddsavtal

samma skydd oavsett om verksamheten bedrivs av det allmänna eller av enskilda. Där sägs att när en utomstående aktör genom en upp- handling engageras i säkerhetskänslig verksamhet, ska behovet av säkerhetsskyddsåtgärder enligt 2 kap. 1 § utredas och kraven på sådana åtgärder uppställas i ett säkerhetsskyddsavtal mellan parterna (se prop. 2017/18:89 s. 104). Enligt 2 kap. 6 § tredje stycket nya säker- hetsskyddslagen gäller skyldigheten att ingå säkerhetsskyddsavtal enligt första och andra styckena samma paragraf även för enskilda verksamhetsutövare som ingår avtal om varor, tjänster och bygg- entreprenader med utomstående leverantörer. I förarbetena anges att paragrafen därmed inte bara gäller offentlig upphandling utan även när enskilda verksamhetsutövare ingår avtal med externa leveran- törer, oavsett om dessa uttryckts skriftligt eller inte, exempelvis vid affärstransaktioner mellan två bolag i samma koncern (prop. 2017/18:89 s. 142).

Vad gäller då när verksamhetsutövaren ger utomstående aktörer tillgång till säkerhetsskyddsklassificerade uppgifter eller i övrigt säker- hetskänslig verksamhet på annat sätt än genom anskaffning? I 3 kap. 1 § nya säkerhetsskyddslagen och 2 kap. 3 § nya säkerhetsskydds- förordningen finns det bestämmelser om vem som ska säkerhets- prövas och vem som får delta i den säkerhetskänsliga verksamheten. Som vi utvecklar i avsnitt 5.5 så menar vi att dessa bestämmelser gäller i fråga om anställda, praktikanter, uppdragstagare och andra som deltar i den egna säkerhetskänsliga verksamheten. Däremot torde de inte träffa utomstående, t.ex. personer som deltar i en myndighetssamverkan. Emellertid finns det vissa bestämmelser som gäller säkerhetsskyddsåtgärden informationssäkerhet som bl.a. gäller när säkerhetsskyddsklassificerade uppgifter tillgängliggörs för utom- stående. Exempelvis krävs enligt 3 kap. 5 § nya säkerhetsskydds- förordningen att säkerhetsskyddsklassificerade uppgifter som ska kommuniceras till ett informationssystem utanför verksamhetsutövar- ens kontroll ska skyddas med hjälp av kryptografiska funktioner som har godkänts av Försvarsmakten.

123

Skyldigheten att ingå säkerhetsskyddsavtal

SOU 2018:82

Kravet på säkerhetsskyddsavtal gäller inte den lägsta säkerhetsskyddsklassen

Enligt 2 kap. 5 § nya säkerhetsskyddslagen ska säkerhetsskydds- klassificerade uppgifter delas in i säkerhetsskyddsklasser utifrån den skada som ett röjande av uppgiften kan medföra för Sveriges säker- het. Ju allvarligare skadan kan bli av ett röjande, desto högre säker- hetsskyddsklass ska uppgiften placeras i. Den lägsta säkerhetsskydds- klassen är begränsat hemlig. Uppgifter ska placeras i denna klass om den skada som kan uppstå endast är ringa. Uppgiften placeras i klassen konfidentiell vid en inte obetydlig skada, hemlig vid en allvarlig skada och kvalificerat hemlig om skadan kan bli synnerligen allvarlig. När- mare föreskrifter om hur säkerhetsskyddsklassificering av uppgifter ska gå till meddelas i förordning eller myndighetsföreskrifter.

Om de säkerhetsskyddsklassificerade uppgifter som förekommer i en viss upphandling hör till kategorin begränsat hemlig finns det inte någon skyldighet att ingå ett säkerhetsskyddsavtal. Som fram- gått inledningsvis gäller denna skyldighet nämligen bara om det i upphandlingen förekommer uppgifter i säkerhetsskyddsklassen kon- fidentiell eller högre, eller upphandlingen i övrigt avser eller ger leve- rantören tillgång till säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet. Skälen för detta är bl.a. att säkerhets- skyddad upphandling med säkerhetsskyddsavtal kan föranleda kost- nader. Det har också ansetts att behovet av ett säkerhetsskyddsavtal torde vara mindre om en upphandling berör uppgifter i den lägsta säkerhetsskyddsklassen (prop. 2017/18:89 s. 106). Det finns dock inget som hindrar att säkerhetsskyddsavtal ingås i de fall då upp- handlingen eller avtalet omfattar uppgifter i säkerhetsskyddsklassen begränsat hemlig (prop. 2017/18:89 s. 106).

Utländska leverantörer

Säkerhetsskyddslagens krav på att verksamhetsutövaren ingår säker- hetsskyddsavtal gäller även för det fall leverantören har sin juridiska hemvist i ett annat land. Dock kan det var svårt att få in ett till- räckligt bra underlag för att verksamhetsutövaren ska kunna bedöma om den utländska leverantören är lämplig från ett säkerhetsperspek- tiv. Detta har utvecklats närmare i SOU 2015:25 s. 433–435.

124

SOU 2018:82

Skyldigheten att ingå säkerhetsskyddsavtal

Det finns också särskilda regler i 3 kap. 9 § andra stycket nya säkerhetsskyddsförordningen om utländska leverantörer. Enligt be- stämmelsen får säkerhetsskyddsklassificerade uppgifter inte lämnas till en utländsk leverantör om inte Sverige har ingått en överens- kommelse om säkerhetsskydd med den andra staten och leveran- tören godkänts genom en kontroll enligt den andras statens säker- hetsskyddslagstiftning.

Det kan tilläggas att det i första stycket samma paragraf finns en bestämmelse om säkerhetsskyddsklassificerade uppgifter som lämnas till en utländsk myndighet eller en mellanfolklig organisation. Be- stämmelsen innebär att sådana uppgifter ska omfattas av ett inter- nationellt säkerhetsskyddsåtagande hos den mottagande myndig- heten eller organisationen, om det inte finns särskilda skäl för att sådana uppgifter ändå kan lämnas.

Uppdragets avslutande

När leverantören har fullgjort uppdraget som har omgetts av säker- hetsskydd ska verksamhetsutövaren säga upp säkerhetsskyddsavtalet, se 8 kap. 6 § Försvarsmaktens föreskrifter om säkerhetsskydd (FFS 2015:2) och 7 kap. 7 § Säkerhetspolisens föreskrifter och allmänna råd om säkerhetsskydd (PMFS 2015:3). Enligt den vägledning för säkerhetsskyddad upphandling som Säkerhetspolisen upprättat bör det finnas rutiner för vilka åtgärder som ska vidtas när ett säkerhetsskydds- avtal sägs upp.4 Där anges vidare att det också är lämpligt att i säker- hetsskyddsavtalet reglera vem som ska ansvara för dessa åtgärder. Myndigheten ska säkerställa att vad som avtalats om tystnadsplikt och sekretess i övrigt ska bestå (8 kap. 6 § FFS 2015:2 och 7 kap. 7 § PMFS 2015:3).

Anmälningsskyldighet m.m.

En enskild verksamhetsutövare som avser att ingå ett säkerhets- skyddsavtal ska utan dröjsmål anmäla det till sin tillsynsmyndighet (2 kap. 5 § nya säkerhetsskyddsförordningen). Anmälan syftar till

4Säkerhetspolisen (2009), Säkerhetsskyddad upphandling – en vägledning s. 15.

125

Skyldigheten att ingå säkerhetsskyddsavtal

SOU 2018:82

att uppmärksamma tillsynsmyndigheten på eventuellt behov av pla- cering i säkerhetsklass och ska också utgöra underlag för myndig- hetens arbete med tillsyn över säkerhetsskyddet.

Alla verksamhetsutövare som ingår säkerhetsskyddsavtal är vidare skyldiga att anmäla det till Säkerhetspolisen (2 kap. 7 § nya säker- hetsskyddsförordningen). En sådan anmälan ska också göras när ett säkerhetsskyddsavtal upphör att gälla.

Något om tystnadsplikt

I 5 kap. 2 § första stycket nya säkerhetsskyddslagen finns en bestäm- melse om tystnadsplikt för personer som på grund av anställning eller på annat sätt deltar eller har deltagit i säkerhetskänslig verk- samhet hos en enskild verksamhetsutövare. Tystnadsplikten innebär att personen inte obehörigen får röja eller utnyttja säkerhetsskydds- klassificerade uppgifter som han eller hon fått del av. I andra stycket samma paragraf erinras det om att bestämmelsen inte gäller i det allmännas verksamhet, där man i stället tillämpar bestämmelserna i offentlighets- och sekretesslagen (2009:400, OSL).

Varken bestämmelsen i 5 kap. 2 § nya säkerhetsskyddslagen eller reglerna i OSL tar sikte på enskilda leverantörer som verksamhets- utövaren har ingått säkerhetsskyddsavtal med. Det vanliga förfaran- det har hittills varit att verksamhetsutövaren i avtal ställer krav på att leverantören i sin tur ingår individuella sekretessförbindelser med sina medarbetare där de förbinder sig att inte avslöja eller på annat sätt sprida säkerhetsskyddsklassificerade uppgifter som de tar del av när de utför sina arbetsuppgifter (SOU 2018:25 s. 354). Medarbet- arnas sekretessförbindelser gäller i förhållande till arbetsgivaren och en eventuell överträdelse kan inte leda till ansvar för brott mot tystnadsplikt. Som nyss sagts åligger det verksamhetsutövaren att se till att det som avtalats om sekretess och tystnadsplikt ska bestå även efter det att säkerhetsskyddsavtalet har sagts upp.

126

SOU 2018:82

Skyldigheten att ingå säkerhetsskyddsavtal

5.3Förhållandet mellan säkerhetsskyddslagen och offentlighets- och sekretesslagen

I en diskussion om en utvidgning av skyldigheten att ingå säker- hetsskyddsavtal är det relevant att undersöka om behovet av skydd för säkerhetskänslig verksamhet kan uppnås på något annat och mindre ingripande sätt, t.ex. genom regler om sekretess och tyst- nadsplikt. Den grundläggande sekretessregleringen finns i OSL, men det finns också särskilda regler om tystnadsplikt i annan lagstiftning, däribland i 5 kap. 1 och 2 §§ nya säkerhetsskyddslagen.

Det finns ett tydligt samband mellan OSL och säkerhetsskydds- lagen, eftersom förutsättningen för att en uppgift ska vara säkerhets- skyddsklassificerad är att den rör säkerhetskänslig verksamhet och därför omfattas av sekretess enligt OSL, eller skulle ha omfattats av sekretess om den lagen hade varit tillämplig (1 kap. 2 § andra stycket nya säkerhetsskyddslagen). Det sista ledet i bestämmelsen tar sikte på enskilda verksamhetsutövare som normalt inte omfattas av OSL:s regler.

OSL innehåller bl.a. bestämmelser om tystnadsplikt i det all- männas verksamhet och om förbud att lämna ut allmänna hand- lingar. Dessa bestämmelser avser förbud att röja uppgifter, vare sig detta sker muntligen, genom utlämnande av en allmän handling eller på något annat sätt. Bestämmelserna innebär begränsningar i yttrande- friheten enligt regeringsformen, begränsningar i den rätt att ta del av allmänna handlingar som följer av tryckfrihetsförordningen samt, i vissa särskilt angivna fall, även begränsningar i den rätt att meddela och offentliggöra uppgifter som följer av tryckfrihetsförordningen och yttrandefrihetsgrundlagen. Lagen innehåller alltså både regler om handlingssekretess och tystnadsplikt.

I 2 kap. 2 § tryckfrihetsförordningen finns en uttömmande upp- räkning av de intressen som får skyddas genom begränsningar av rätten att ta del av allmänna handlingar, de s.k. sekretessgrunderna. Sådana intressen är bl.a. hänsynen till rikets säkerhet eller dess förhållande till annan stat eller mellanfolklig organisation. Vilka handlingar som omfattas av en begränsning i handlingsoffentlig- heten ska anges noga i OSL. Det är även tillåtet att ta in sådana bestämmelser i andra lagar under förutsättning att OSL hänvisar dit. Den möjligheten har utnyttjats i ett fåtal lagar.

127

Skyldigheten att ingå säkerhetsskyddsavtal

SOU 2018:82

En uppgift för vilken sekretess gäller enligt OSL får inte röjas för enskilda eller för andra myndigheter, om inte annat anges i lagen eller i någon lag eller förordning som OSL hänvisar till (8 kap. 1 § OSL). Sekretess gäller även inom olika verksamhetsgrenar i en myn- dighet, när de är att betrakta som självständiga i förhållande till var- andra (8 kap. 2 § OSL). Av det sagda följer att sekretessreglerna syftar till att skapa ett skydd för uppgifters konfidentialitet.

Även säkerhetsskyddsregleringen har bl.a. som syfte att värna konfidentialiteten hos vissa slags uppgifter, nämligen säkerhets- skyddsklassificerade uppgifter. Men regleringen har ett bredare syfte än så. Detta framgår bl.a. av bestämmelserna om säkerhetsskydds- åtgärden informationssäkerhet, där det anges att informationssäker- het inte bara ska förebygga att säkerhetsskyddsklassificerade uppgifter obehörigen röjs, utan också att de ändras, görs otillgäng- liga eller förstörs samt förebygga skadlig inverkan i övrigt på upp- gifter och informationssystem som gäller säkerhetskänslig verksam- het. Informationssäkerhet kan bl.a. bestå i krav som ställs på hur säkerhetsskyddsklassificerade uppgifter får hanteras och på säker- heten i informationssystem där sådana uppgifter behandlas. Dessutom är verksamhetsutövarna skyldiga att vidta andra säkerhetsskydds- åtgärder som ytterst syftar bl.a. till att skydda säkerhetsklassificerade uppgifter. Verksamhetsutövarna ska nämligen förebygga att obehö- riga får tillträde till platser där de kan få tillgång till säkerhets- klassificerade uppgifter (fysisk säkerhet). De ska även vidta perso- nalsäkerhetsåtgärder som ska förebygga att personer som inte är pålitliga deltar i en verksamhet där de kan få tillgång till sådana upp- gifter (personalsäkerhet). Sekretessregleringen innehåller inga bestäm- melser med sådana syften.

En annan viktig skillnad mellan sekretessregleringen och säker- hetsskyddsregleringen är att den förstnämnda är inriktad på hemlig- hållande av de sekretessbelagda uppgifterna i enskilda fall medan säkerhetsskyddsregleringen är inriktad mot att skapa ett förebygg- ande skydd i verksamheten genom de samverkande säkerhetsskydds- åtgärderna informationssäkerhet, fysisk säkerhet och personalsäker- het. En verksamhet kan vara säkerhetskänslig utan att den hanterar några säkerhetsskyddsklassificerade uppgifter.

128

SOU 2018:82

Skyldigheten att ingå säkerhetsskyddsavtal

5.4Skyldigheten att ingå säkerhetsskyddsavtal bör utvidgas

Förslag: Skyldigheten att ingå säkerhetsskyddsavtal utvidgas på så sätt att den gäller även andra förfaranden än upphandlingar och andra anskaffningar. Den utvidgade skyldigheten innebär att den som bedriver säkerhetskänslig verksamhet ska ingå ett säkerhets- skyddsavtal så snart verksamhetsutövaren avser att genomföra en upphandling, ingå ett avtal eller inleda någon annan form av sam- verkan eller samarbete med en utomstående part, om förfarandet

1.innebär att den utomstående parten kan få tillgång till säker- hetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller

2.i övrigt avser eller kan ge den utomstående parten tillgång till säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet.

Skyldigheten att ingå säkerhetsskyddsavtal gäller inte samarbeten och samverkan mellan två eller flera statliga myndigheter som avser något annat än en anskaffning av varor, tjänster och bygg- entreprenader.

Regeringen bemyndigas att föreskriva om undantag från skyl- digheten att ingå säkerhetsskyddsavtal och får även besluta om undantag i enskilda fall.

5.4.1Utgångspunkter för våra överväganden

Skyldigheten att ingå säkerhetsskyddsavtal omfattar enligt 2 kap. 6 § nya säkerhetsskyddslagen dels offentliga verksamhetsutövare som avser att genomföra en upphandling och ingå ett avtal om varor, tjänster eller byggentreprenader, dels enskilda verksamhetsutövare som ingår ett sådant avtal som nyss sagts med en utomstående leve- rantör. Vårt uppdrag är att överväga om skyldigheten bör gälla även i andra situationer och i så fall vilka. En viktig utgångspunkt för våra resonemang är då vilka situationer som kan vara känsliga från säker- hetssynpunkt och som inte redan omfattas av skyldigheten att ingå

129

Skyldigheten att ingå säkerhetsskyddsavtal

SOU 2018:82

ett säkerhetsskyddsavtal. Vi syftar då på situationer där verksam- hetsutövare som bedriver säkerhetskänslig verksamhet ingår avtal eller på något annat sätt samarbetar eller samverkar med utomstå- ende på ett sätt som medför att den utomstående parten kan få till- gång till säkerhetsskyddsklassificerade uppgifter eller i övrigt säker- hetskänslig verksamhet. Med ett samlat uttryck beskriver vi dessa situationer som sådana situationer där uppgifterna eller verksam- heten exponeras för någon utomstående.

Gränsdragningen mellan samverkan och samarbete är inte kniv- skarp. Oftast brukar ordet samverkan användas för att beskriva t.ex. gemensamt utbyte av information eller planering av gemensamma aktiviteter, medan samarbete brukar beskriva en mer integrerad gemensam aktivitet. I det följande använder vi för enkelhets skull ofta ordet samverkan som ett samlat begrepp, och avser då även så- dana mer integrerade aktiviteter som brukar benämnas samarbete.

5.4.2Situationer där avsaknaden av säkerhetsskyddsavtal kan medföra negativa konsekvenser

Inledning

När säkerhetsskyddslagen (1996:627), i det följande kallad gamla säkerhetsskyddslagen, kom till var det naturligt att koppla skyldig- heten att ingå säkerhetsskyddsavtal till upphandlingssituationer. Sedan dess har det dock skett stora förändringar när det gäller olika former av samverkan, särskilt mellan myndigheter och enskilda rätts- subjekt. Sådan samverkan kan involvera säkerhetsskyddsklassificerade uppgifter och i övrigt säkerhetskänslig verksamhet. Våra övervägan- den börjar därför med en diskussion om olika situationer där det enligt den nya säkerhetsskyddslagen inte finns, eller eventuellt inte finns, en skyldighet att ingå säkerhetsskyddsavtal och där detta kan medföra negativa konsekvenser från säkerhetsskyddssynpunkt.

En annan problematik hänger samman med att regleringen om säkerhetsskyddsavtal utgår från beställarens skyddsvärden och att kraven på säkerhetsskydd i ett säkerhetsskyddsavtal gäller leveran- tören. Det har uppmärksammats att situationen också kan vara den omvända, dvs. att leverantörens skyddsvärden kan behöva skyddas hos beställaren. Vi tar även upp denna fråga.

130

SOU 2018:82

Skyldigheten att ingå säkerhetsskyddsavtal

Samverkan som inte rör anskaffning

Den nya säkerhetsskyddslagens bestämmelser innebär att skyldig- heten att ingå ett säkerhetsskyddsavtal bara gäller när det är fråga om ett avtal om varor, tjänster eller byggentreprenader från en (utom- stående) leverantör. För offentliga verksamhetsutövare krävs det dessutom att det är fråga om en upphandling. I förarbetena till 2 kap. 6 § nya säkerhetsskyddslagen anges det att man med upphandling brukar avse åtgärder i syfte att anskaffa en vara, tjänst eller byggentre- prenad från en leverantör (prop. 2017/18:89 s. 105). Reglerna om säkerhetsskyddsavtal tar alltså enbart sikte på anskaffningar och inte på andra typer av samverkan.

Som anges i våra direktiv förekommer det numera att offentliga och enskilda aktörer samverkar på många fler sätt än vid offentliga upphandlingar. Exempel på samverkan där det många gånger inte är fråga om en offentlig upphandling eller annan anskaffning är sam- verkan och samarbete inom ramen för forskning, t.ex. när det gäller utveckling av försvarsmateriel eller it-system. Ett annat exempel kan vara samverkan inom ramen för arbetet med informations- och cyber- säkerhet. Vid samverkan av de angivna slagen kan säkerhetsskydds- klassificerade uppgifter eller i övrigt säkerhetskänslig verksamhet behöva exponeras för den utomstående part som verksamhets- utövaren samverkar med. Den utomstående parten är ofta en juridisk person, t.ex. ett företag, men man kan också tänka sig samarbeten med exempelvis enskilda forskare utan anknytning till någon juri- disk person. Om den utomstående parten inte vidtar tillräckliga säkerhetsskyddsåtgärder kan det innebära sårbarheter för att Sveriges säkerhet. Ett exempel på detta kan vara att den utomstående parten inte vidtar de informationssäkerhetsåtgärder som behövs för att förhindra att obehöriga får tillgång till säkerhetsskyddsklassificerade uppgifter som parten fått del av inom ramen för samverkan. Det kan därför vara problematiskt att det inte finns någon skyldighet för verksamhetsutövaren att ingå ett säkerhetsskyddsavtal där det klar- görs hur den utomstående parten ska tillgodose kraven på säkerhets- skydd.

131

Skyldigheten att ingå säkerhetsskyddsavtal

SOU 2018:82

Anskaffningar mellan statliga myndigheter

För offentliga verksamhetsutövare gäller kravet på säkerhetsskydds- avtal i vissa fall när de avser att genomföra en upphandling och ingå ett avtal om varor, tjänster eller byggentreprenader (2 kap. 6 § första stycket nya säkerhetsskyddslagen). En särskild fråga är vad kravet på att det ska finnas en avsikt att ingå ett avtal innebär i fråga om an- skaffningar inom en och samma juridiska person. Det tydligaste exemplet är när en statlig myndighet anskaffar en vara, tjänst eller byggentreprenad från en annan statlig myndighet. Statliga myndig- heter ingår i den juridiska personen staten. Detta har i olika sam- manhang ansetts innebära att statliga myndigheter inte kan ingå avtal i civilrättslig mening med varandra, eftersom man inte kan ingå avtal med sig själv (se bl.a. SOU 1994:136 s. 181).

Frågan om hur man ska se på möjligheten att ingå avtal i civil- rättslig mening med andra enheter inom samma juridiska person får även konsekvenser för upphandlingslagstiftningens tillämplighet. Med upphandling avses nämligen de åtgärder som vidtas i syfte att anskaffa varor, tjänster eller byggentreprenader genom tilldelning av kontrakt (1 kap. 2 § lagen [2016:1145] om offentlig upphandling, LOU). Med kontrakt avses ett skriftligt avtal med ekonomiska vill- kor som ingås mellan en eller flera upphandlande myndigheter och en eller flera leverantörer, och som avser leverans av varor, till- handahållande av tjänster eller utförande av byggentreprenader (1 kap. 15 § LOU). Upphandlingsreglerna ska dock tillämpas även om upp- handlingen inte utmynnar i ett skriftligt avtal (prop. 2015/16:195 s. 321). Det framgår av förarbetena till nya säkerhetsskyddslagen att även upphandlingar som ska undantas från upphandlingslagstift- ningens regelverk omfattas av kravet på säkerhetsskyddsavtal (prop. 2017/18:89 s. 105). Att något av undantagen i t.ex. LOU ska tillämpas innebär alltså inte att verksamhetsutövaren är undantagen från kravet på säkerhetsskyddsavtal enligt 2 kap. 6 § nya säkerhets- skyddslagen. Däremot är det oklart om det kan anses vara fråga om en upphandling enligt säkerhetsskyddslagen om en viss anskaffning över huvud taget inte faller inom upphandlingslagstiftningens tillämp- ningsområde.

Kammarrätten i Stockholm har i ett relativt färskt avgörande uttalat att den tidigare gällande lagen (2007:1091) om offentlig upp- handling var tillämplig på en överenskommelse mellan Kungliga

132

SOU 2018:82

Skyldigheten att ingå säkerhetsskyddsavtal

biblioteket och Riksarkivet om digitalisering av pliktlevererade dags- tidningar (dom den 23 juni 2017 i mål nr 7355–16). Kammarrätten ansåg att den omständigheten att både Kungliga biblioteket och Riksarkivet är del av den juridiska personen staten inte automatiskt medför att avtalet mellan myndigheterna inte kunde utgöra ett kon- trakt enligt upphandlingsregleringen. Kammarrätten menade i stället att myndigheterna, bl.a. med hänsyn till att de tillhör olika departe- ment och har olika myndighetsinstruktioner, måste betraktas som formellt fristående från varandra. Domen överklagades till Högsta förvaltningsdomstolen som inte meddelade prövningstillstånd (mål nr 4106–17).

I avsaknad av prejudikat framstår rättsläget i fråga om upphand- lingslagstiftningens tillämplighet på anskaffningar mellan statliga myndigheter alltjämt som oklart. Den bilden bekräftas i den kart- läggning som genomförts under arbetet med betänkandet Juridik som stöd för förvaltningens digitalisering (SOU 2018:25). Det är också osäkert vad som ska läggas i säkerhetsskyddslagens krav på avtal vid sådana anskaffningar. Om kravet på säkerhetsskyddsavtal inte gäller för vissa anskaffningar finns det enligt vår mening en fara för att kraven på säkerhetsskydd inte upprätthålls i sådana fall. Redan den omständigheten att rättsläget är oklart kan leda till olika tolkningar, vilket också kan medföra sådana konsekvenser.

Direktåtkomst till it-system med stöd av lag

Det finns it-system i säkerhetskänslig verksamhet till vilka myndig- heter eller enskilda har eller kan få direktåtkomst med stöd av lag, t.ex. polisdatalagen (2010:361) och lagen (2001:558) om vägtrafik- register. Den utomstående aktören får alltså möjlighet att direkt från sin egen tekniska utrustning ta del av innehållet i databasen eller registret. Sådan direktåtkomst till it-system i säkerhetskänslig verk- samhet som medgetts med stöd av lag omfattas inte av bestäm- melserna om säkerhetsskyddad upphandling. Detta följer redan av att det inte handlar om någon upphandlingssituation. Dessutom är det ofta ”leverantören”, dvs. den myndighet som tillhandahåller it- systemet för direktåtkomst, vars skyddsvärden kan behöva skyddas genom säkerhetsskyddsåtgärder hos den som får direktåtkomst till systemet, dvs. ”beställaren” i denna situation. Som framgått tidigare

133

Skyldigheten att ingå säkerhetsskyddsavtal

SOU 2018:82

gäller regleringen inte för sådana situationer, utan enbart när det är en beställare som har anledning att ställa krav på att en leverantör ska vidta säkerhetsskyddsåtgärder. Om den utomstående aktören genom direktåtkomst får möjlighet att ta del av säkerhetsskydds- klassificerade uppgifter, eller stora mängder andra uppgifter som kan sammanställas och bearbetas på ett sätt som gör att de sammantagna blir säkerhetskänsliga (jfr resonemangen i prop. 2017/18:89 s. 45), kan det vara problematiskt att det inte finns någon skyldighet att ingå ett säkerhetsskyddsavtal med villkor exempelvis om vilken per- sonal som får ta del av uppgifterna. Det bör emellertid tilläggas att man många gånger kan undvika problem med uppgifter som blir känsliga i aggregerad form, om det finns tydliga begränsningar av vilka uppgifter som en viss anställd får tillgång till.

Situationer där leverantörens skyddsvärden behöver skyddas

Säkerhetsskyddsavtalets främsta funktion är att slå vakt om att de intressen som lagstiftningen har att skydda även upprätthålls av leverantörer. Detta sker enligt 2 kap. 6 § nya säkerhetsskyddslagen genom att beställaren i avtalet specificerar vilka säkerhetsskyddskrav som ska uppfyllas av leverantören. Säkerhetsskyddskraven på leve- rantörer utgår alltså från beställarens kunskap om skyddsvärdena i den egna verksamheten och vad som behövs för att leverantören ska upprätthålla dem. Säkerhetsskyddsavtalet verkar däremot inte i mot- satt riktning i den meningen att avtalet också ska tillgodose leve- rantörens behov av säkerhetsskydd i beställarens verksamhet.

Under remitteringen av betänkandet En ny säkerhetsskyddslag (SOU 2015:25) har det uppmärksammats att det numera lika väl kan vara leverantören som ägnar sig åt säkerhetskänslig verksamhet. Det förekommer exempelvis att myndigheter som omfattas av säkerhets- skyddslagen levererar varor och tjänster till enskilda rättssubjekt eller till andra myndigheter. Givetvis förekommer det även att en- skilda verksamhetsutövare enligt säkerhetsskyddslagen levererar varor och tjänster till enskilda rättssubjekt och myndigheter. I de angivna fallen har verksamhetsutövaren, i egenskap av leverantör, ingen möjlighet att kräva ett säkerhetsskyddsavtal där det anges hur kraven på säkerhetsskydd ska tillgodoses av beställaren.

134

SOU 2018:82

Skyldigheten att ingå säkerhetsskyddsavtal

Några praktiska exempel

En situation där leverantörens skyddsvärden kan vara sårbara är när verksamhetsutövare som bedriver säkerhetskänslig verksamhet upp- låter en fastighet, lokal eller anläggning – kanske inklusive tekniska resurser – åt någon utomstående part. Upplåtaren får i det fallet betraktas som leverantör. Det finns exempel på såväl offentliga som enskilda verksamhetsutövare med höga skyddsvärden som upplåter hela eller delar av fastigheter till enskilda rättssubjekt. Ett exempel är upplåtelse av plats i skyddsrum eller bergrum till en myndighet eller enskild. Ett annat exempel är att en verksamhetsutövare ger någon utomstående aktör möjlighet att använda ett laboratorium, och att den utomstående aktören därigenom kan få insyn i den säkerhetskänsliga verksamhet som bedrivs i laboratoriet. I dessa fall är hyresvärden i egenskap av leverantör i förhållande till hyres- gästerna, inte skyldig att ingå ett säkerhetsskyddsavtal med dem. Konsekvenser av bristande säkerhetsskydd i samband med upplåtel- ser är en av de frågor som uppmärksammas i våra direktiv.

En annan situation kan vara att myndigheter eller andra verk- samhetsutövare som bedriver säkerhetskänslig verksamhet fungerar som leverantörer av varor. Detta är t.ex. en viktig del av den verk- samhet som bedrivs av Försvarets materielverk. Det behöver inte vara fråga om att äganderätten övergår genom en försäljning, utan det kan också vara fråga om en upplåtelse. Det kan handla om över- låtelse eller upplåtelse av t.ex. stridsflygplan eller annan lös egendom med höga skyddsvärden. Vi anser att det vid en sådan försäljning eller upplåtelse kan finnas ett behov av att klargöra för beställaren hur olika skyddsvärden ska upprätthållas under t.ex. ett upphand- lingsförfarande, en avtalsförhandling eller i samband med leveransen eller under avtalstiden. Trots det finns det inget krav på att verksam- hetsutövaren i egenskap av leverantör genom ett säkerhetsskydds- avtal ställer upp krav på säkerhetsskyddet hos beställaren.

Avsaknaden av krav på säkerhetsskyddsavtal kan leda till sårbarheter och skador för Sveriges säkerhet

Eftersom leverantören i våra exempel ovan inte omfattas av kravet på att ingå ett säkerhetsskyddsavtal med beställaren, finns det en fara att leverantörens skyddsvärden inte får ett tillräckligt skydd. Det kan

135

Skyldigheten att ingå säkerhetsskyddsavtal

SOU 2018:82

visserligen vara så att även beställaren bedriver säkerhetskänslig verksamhet och således omfattas direkt av säkerhetsskyddslagens krav på säkerhetsskyddsåtgärder. Beställarens eller hyresgästens egna säkerhetsskyddsåtgärder liksom eventuella säkerhetsskyddsavtal som ingås efter krav från denne utgår emellertid från den kunskap som beställaren har om den egna verksamhetens skyddsvärden. Åtgärderna handlar alltså inte om leverantörens skyddsvärden. Dessutom saknar beställaren som regel kunskap om vilka skyddsvärden som finns hos leverantören. Den omständigheten att en beställare omfattas av re- gleringen och kanske också av en skyldighet att i ett säkerhets- skyddsavtal ange hur leverantören ska tillgodose kraven på säker- hetsskydd kompenserar därför inte för avsaknaden av ett krav på säkerhetsskyddsavtal till skydd för leverantörens skyddsvärden.

5.4.3Skyldigheten att ingå säkerhetsskyddsavtal bör utgå från exponeringen av säkerhetsskyddsklassificerade uppgifter eller i övrigt säkerhetskänslig verksamhet

Kravet på säkerhetsskyddsavtal bör inte vara begränsat till upphandling eller andra anskaffningar

Som tidigare framgått är det en grundläggande princip inom säker- hetsskyddet att de intressen som lagstiftningen slår vakt om ska ha samma skydd oavsett om verksamheten bedrivs av det allmänna eller av enskilda (se t.ex. prop. 1995/96:129 s. 34). En naturlig konsekvens av denna princip är att informationens eller verksamhetens skydds- värde ska upprätthållas när en aktör som bedriver säkerhetskänslig verksamhet avser att ge någon utomstående tillgång till säkerhets- skyddsklassificerade uppgifter eller i övrigt säkerhetskänslig verksam- het. Detta framhålls också i våra direktiv. Regleringen om säkerhets- skyddsavtal i 2 kap. 6 § nya säkerhetsskyddslagen bygger på denna tanke och är tillämplig just när säkerhetsskyddsklassificerade upp- gifter eller i övrigt säkerhetskänslig verksamhet ska exponeras för någon utomstående. Regleringen är dock begränsad till vissa situa- tioner, nämligen till situationer där en verksamhetsutövare som om- fattas av lagen avser att anskaffa en vara, tjänst eller byggentreprenad av en leverantör.

136

SOU 2018:82

Skyldigheten att ingå säkerhetsskyddsavtal

Som vi tidigare nämnt finns det numera ett antal situationer där utomstående aktörer kan få del av säkerhetsskyddsklassificerade uppgifter eller i övrigt få tillgång till säkerhetskänslig verksamhet utan att det är fråga om en anskaffning. I takt med samhällsutveck- lingen kan nya sådana situationer uppstå. Det finns också fall där det visserligen är fråga om en anskaffning, men där behovet av säker- hetsskydd gäller för leverantörens säkerhetsskyddsklassificerade upp- gifter eller i övrigt säkerhetskänsliga verksamhet. I sådana fall gäller det inte någon skyldighet för leverantören att kräva att beställaren undertecknar ett säkerhetsskyddsavtal där det anges hur beställaren ska tillgodose kravet på säkerhetsskydd. Slutligen finns det situa- tioner där det är osäkert om det gäller ett krav på säkerhetsskydds- avtal, i synnerhet vid anskaffningar mellan olika statliga myndigheter.

Om det inte ställs krav på säkerhetsskyddsavtal i alla relevanta situationer där säkerhetsskyddsklassificerade uppgifter eller i övrigt säkerhetskänslig verksamhet ska exponeras för utomstående, ökar sannolikheten för att motparten inte vidtar de säkerhetsskyddsåtgär- der som behövs. Detta gäller även om den utomstående parten också bedriver säkerhetskänslig verksamhet och därmed omfattas av säker- hetsskyddslagens bestämmelser. Avsaknad av säkerhetsskyddsavtal kan ytterst innebära sårbarheter och skador för Sveriges säkerhet.

Det sagda talar starkt för att skyldigheten att träffa ett säker- hetsskyddsavtal inte bör vara begränsad till offentlig upphandling och andra anskaffningar. Det bör framhållas i sammanhanget att regleringen om offentlig upphandling har helt andra syften än säker- hetsskyddsregleringen. Reglerna om offentlig upphandling, som delvis styrs av EU-direktiv, syftar bl.a. till att främja ett kostnads- effektivt användande av skattemedel genom att ta tillvara konkur- rensen på marknaden och att säkerställa att offentlig upphandling överensstämmer med principerna i fördraget om Europeiska unionens funktionssätt.5 Säkerhetsskyddslagstiftningen, som är en rent natio- nell reglering, är i stället ämnad att skydda Sveriges säkerhet från i första hand antagonistiska hot (prop. 2017/18:89 s. 1). Även dessa viktiga skillnader mellan säkerhetsskyddsregleringen och regleringen om offentlig upphandling talar för att det inte är ändamålsenligt att koppla kravet på säkerhetsskyddsavtal till just upphandling, även om

5Europaparlamentets och rådets direktiv 2014/24/EU av den 26 februari 2014 om offentlig upphandling och om upphävande av direktiv 2004/18/EG.

137

Skyldigheten att ingå säkerhetsskyddsavtal

SOU 2018:82

upphandling naturligtvis är en situation där det vid behov bör gälla en skyldighet att träffa ett säkerhetsskyddsavtal.

I stället bör exponeringen av information eller verksamhet vara avgörande

Med hänsyn till det som anförts under föregående rubrik är vår bedömning att kravet på säkerhetsskyddsavtal inte bör begränsas till upphandling eller någon viss typ av avtal eller förfarande. För denna bedömning talar också risken för att en reglering som är inriktad på t.ex. en viss typ av förfarande eller avtal blir överspelad. I stället bör skyldigheten att ingå säkerhetsskyddsavtal knytas till sådana om- ständigheter som framhålls i direktiven, dvs. att en verksamhets- utövare som bedriver säkerhetskänslig verksamhet avser att ge någon utomstående tillgång till säkerhetsskyddsklassificerade uppgifter, eller i övrigt ge någon utomstående tillgång till säkerhetskänslig verksam- het.

Av det anförda följer att verksamhetsutövaren som utgångspunkt bör vara skyldig att ingå ett säkerhetsskyddsavtal oavsett om denne är leverantör eller beställare och oavsett vilken typ av avtal, sam- verkan eller samarbete det är fråga om. Reglerna bör alltså gälla såväl vid upphandling och ingående av avtal som vid andra former av samarbeten och samverkan.

Det sagda innebär att båda parter i ett avtal eller samarbete bör kunna vara skyldiga att i ett säkerhetsskyddsavtal ställa krav på säker- hetsskyddet hos den andre.

Exponering av säkerhetskänslig verksamhet på grund av författning

I föregående avsnitt har vi gjort bedömningen att skyldigheten att ingå säkerhetsskyddsavtal som utgångspunkt bör gälla såväl vid upp- handling och ingående av avtal som vid andra former av samarbeten och samverkan, förutsatt att verksamhetsutövaren – oavsett om denne är beställare eller leverantör – genom förfarandet ifråga expo- nerar säkerhetsskyddsklassificerade uppgifter eller i övrigt säkerhets- känslig verksamhet för någon utomstående.

138

SOU 2018:82

Skyldigheten att ingå säkerhetsskyddsavtal

En typ av förfarande som kan ta sig olika uttryck, och som därmed kan vara svårt att klassificera, är när verksamhetsutövare lämnar ifrån sig säkerhetsskyddsklassificerade uppgifter eller ger tillgång till i övrigt säkerhetskänslig verksamhet på grund av författ- ning. En sådan situation kan vara myndigheter som har till uppgift att samarbeta eller samverka med varandra, t.ex. genom utbyte av uppgifter. En myndighet kan exempelvis vara skyldig att låta utom- stående få tillgång till vissa register som myndigheten ansvarar för. Ett annat exempel kan vara att myndigheter är skyldiga att utnyttja en viss tjänst, eller har rätt att begära att någon utför en viss tjänst, och att detta innebär att säkerhetsskyddsklassificerade uppgifter eller säkerhetskänslig verksamhet i övrigt exponeras för den som utför tjänsten. Vår uppfattning är att även sådana situationer som nu beskrivits utgör en form av avtal, samarbete eller samverkan, och att det kan finnas ett behov av att parterna kommer överens om vilket säkerhetsskydd som behövs. Den omständigheten att lagstiftaren gjort bedömningen att en viss samverkan ska äga rum betyder inte att frågan om vilket säkerhetsskydd som kan behövas har fått sin lösning eller ens har övervägts. Som utgångspunkt anser vi därför att skyldigheten att ingå säkerhetsskyddsavtal bör gälla även för avtal, samarbeten och samverkan som följer av författning. Vissa undantag är dock befogade, vilket vi utvecklar i avsnitt 5.4.4 och 5.4.6.

En situation som dock inte bör omfattas av begreppen avtal, samarbete eller samverkan är när en myndighet har makt att med tvång bereda sig tillgång till säkerhetsskyddsklassificerade uppgifter eller i övrigt säkerhetskänslig verksamhet. Vi tänker då främst på åt- gärder som kan vidtas inom ramen för tillsyn eller brottsutredningar. Det kan t.ex. handla om husrannsakan, beslag eller motsvarande åtgärder. Det rör sig då inte om något som språkligt kan betecknas som ett avtal, ett samarbete eller en samverkan. Redan därför framstår det som mindre naturligt att ställa krav på att det ska ingås ett säkerhetsskyddsavtal. Vidare framstår det som svårt att genom- föra praktiskt, särskilt i de fall där det krävs skyndsamhet eller där det är viktigt att den som åtgärden vidtas hos inte underrättas i förväg. Vi bedömer därför att övervägande skäl talar för att skyldig- heten att träffa säkerhetsskyddsavtal inte bör gälla i de angivna situa- tionerna. Detta behöver inte anges särskilt utan framgår av att det inte är fråga om avtal, samarbete eller samverkan.

139

Skyldigheten att ingå säkerhetsskyddsavtal

SOU 2018:82

Det bör inte krävas någon särskild varaktighet

Under vårt arbete har frågan aktualiserats om det bör krävas att en samverkan eller ett samarbete har någon viss varaktighet eller stabi- litet för att omfattas av skyldigheten att ingå ett säkerhetsskydds- avtal. Ett skäl för en sådan ordning är att det kan framstå som onödigt omständligt och kostnadsdrivande att ställa sådana krav vid mer lösliga och kortvariga former av samverkan eller samarbete. Vår bedömning är dock att en sådan begränsning av skyldigheten att ingå säkerhetsskyddsavtal inte bör införas. Om samverkan eller sam- arbetet är mycket kortvarigt eller lösligt får det förmodas att det många gånger inte heller medför att den utomstående parten får tillgång till verksamheten eller uppgifter i säkerhetsskyddsklassen konfidentiell eller högre. I så fall bör det, liksom vid upphandling i motsvarande fall, inte krävas ett säkerhetsskyddsavtal. Men om samverkan eller samarbetet innebär att sådana uppgifter eller i övrigt säkerhetskänslig verksamhet på motsvarande nivå exponeras för den utomstående parten, menar vi att behovet av säkerhetsskydd är lika stort som om det varit fråga om ett mer långvarigt och fast sam- arbete. Man kan t.o.m. hävda att behovet kan vara större, eftersom det i ett långvarigt samarbete kan finnas en högre grad av ömsesidig lojalitet och förståelse för den andra partens verksamhet och skydds- värden.

Inget krav på säkerhetsskyddsavtal i den lägsta säkerhetsskyddsklassen

Som nämnts i avsnitt 5.1 har vi inte övervägt om kravet på säker- hetsskyddsavtal bör gälla i fråga om uppgifter i säkerhetsskydds- klassen begränsad, eller om verksamhet av motsvarande betydelse för Sveriges säkerhet. Vi föreslår alltså inte några ändringar i detta avseende.

Sammanfattande bedömning

Sammanfattningsvis gör vi bedömningen att skyldigheten att kräva säkerhetsskyddsavtal som utgångspunkt bör gälla i alla fall där en verksamhetsutövare enligt säkerhetsskyddslagen avser att genomföra

140

SOU 2018:82

Skyldigheten att ingå säkerhetsskyddsavtal

en upphandling, ingå ett avtal eller inleda någon annan form av sam- verkan eller samarbete med en utomstående part, om förfarandet

1.innebär att den utomstående parten kan få tillgång till säkerhets- skyddsklassificerade uppgifter i säkerhetsskyddsklassen konfiden- tiell eller högre, eller

2.i övrigt avser eller kan ge den utomstående parten tillgång till säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet.

Det kan dock finnas skäl för vissa undantag i fall där kraven på säker- hetsskydd kan tillgodoses även utan ett säkerhetsskyddsavtal. Vi diskuterar detta i avsnitten 5.4.4 och 5.4.6.

5.4.4Samverkan och samarbeten mellan statliga myndigheter bör undantas i vissa fall

Det finns inte behov av ett generellt krav på säkerhetsskyddsavtal vid samverkan och samarbeten mellan statliga myndigheter

En situation där man kan diskutera om det är nödvändigt med säkerhetsskyddsavtal är samverkan och samarbete mellan statliga myndigheter som inte rör en anskaffning av varor, tjänster eller byggentreprenader. Sådana anskaffningar ger upphov till särskilda överväganden, varför vi diskuterar dem särskilt. Tills vidare talar vi därför bara om andra former av samverkan och samarbeten mellan statliga myndigheter. Sådan samverkan och sådana samarbeten kan ha många former. I vissa fall kan det handla om enstaka eller regel- bundna avstämningar eller om överföring eller utbyte av informa- tion. I andra fall kan det handla om mer långvariga samarbeten eller samverkan på ett visst område och mot ett gemensamt mål. Skyl- digheten att samverka kan följa av författning eller regeringsbeslut, men kan också ske på myndigheternas eget initiativ som ett led i strävan att på bästa sätt utföra myndigheternas uppdrag. Om en myndighet som är verksamhetsutövare enligt säkerhetsskyddslagen samverkar med en annan myndighet finns det varken enligt gamla eller nya säkerhetsskyddslagen någon skyldighet att ingå ett säkerhets- skyddsavtal.

141

Skyldigheten att ingå säkerhetsskyddsavtal

SOU 2018:82

Enligt vår mening finns det starka skäl som talar mot att det införs en generell skyldighet att ingå säkerhetsskyddsavtal vid sam- verkan och samarbete mellan statliga myndigheter. Först och främst bör det beaktas att statliga myndigheter hör till samma juridiska person, nämligen staten, och att de därmed företräder samma övergripande intresse även om myndigheterna givetvis har olika upp- drag. En statlig myndighet företräder inte i första hand lokala eller regionala intressen, som i vissa fall kan stå i strid med nationella intressen. I detta avseende skiljer sig myndighetssamverkan från överenskommelser om anskaffningar av olika slag, t.ex. försäljning av varor och tjänster. Vid utkontraktering och andra anskaffningar kan det inte sällan finnas intressen – inte minst effektivitetsskäl – som kan stå i motsats till kraven på säkerhetsskydd. När statliga myndigheter däremot samverkar om annat än anskaffningar är risken betydligt mindre för att det finns sådana mot säkerhetsskyddet strid- ande intressen.

Ett annat skäl som talar för att det inte ställs ett generellt krav på säkerhetsskyddsavtal vid myndighetssamverkan är att det på båda sidor handlar om en verksamhet som i hög grad är regelstyrd. Som nämnts inledningsvis följer många gånger en skyldighet att samverka av författning eller regeringsbeslut.

Det anförda talar för att det inte finns något påtagligt behov av en generell skyldighet att ingå säkerhetsskyddsavtal i de fall som nu diskuteras. Även de uppgifter som våra experter och sakkunniga lämnat talar för att det inte finns något påtagligt sådant behov. Enligt deras uppgifter brukar man nämligen hantera säkerhetsskyddet vid samverkan mellan statliga myndigheter på ett tillfredsställande sätt även utan säkerhetsskyddsavtal. Lösningen anpassas som regel till behoven i det enskilda fallet. I vissa fall kan det bli fråga om att myndigheterna skriver en överenskommelse som liknar ett säker- hetsskyddsavtal. I andra fall sker det genom att man på annat sätt kommer överens om hur behovet av säkerhetsskydd ska tillvaratas, t.ex. genom att man bestämmer vilka personer som får delta i samverkan och att dessa ska vara placerade i viss säkerhetsklass eller genom att man ställer krav på säkerheten i möteslokalerna och vilken teknisk utrustning som får förekomma vid mötena. Det anförda talar för att man i centrala avseenden kan tillvarata behovet av säkerhets- skydd genom organisatoriska och andra åtgärder, utan att det be- höver ingås ett säkerhetsskyddsavtal.

142

SOU 2018:82

Skyldigheten att ingå säkerhetsskyddsavtal

Till det ovanstående kommer att myndighetssamverkan bör ses i ljuset av att båda samverkansparter omfattas av regleringen i OSL. Avsaknaden av säkerhetsskyddsavtal innebär därför inte att säker- hetsskyddsklassificerade uppgifter helt saknar skydd vid samverkan och samarbeten mellan statliga myndigheter. De säkerhetsskydds- klassificerade uppgifter som det handlar om är normalt sådana att de kan omfattas av sekretess oavsett i vilken verksamhet de förekom- mer (se t.ex. 15 kap. 1 och 2 §§ OSL om utrikes- respektive för- svarssekretess). Uppgifter som en verksamhetsutövare delar med sig av till en annan myndighet inom ramen för en myndighetssamverkan eller liknande kommer alltså regelmässigt att ha samma sekretesskydd hos mottagaren. Myndigheter är som regel vana vid att hantera sekretessbelagd information och har normalt rutiner för hur så ska ske.

En generell skyldighet att ingå säkerhetsskyddsavtal

vid samverkan och samarbeten mellan statliga myndigheter har påtagliga nackdelar

Utöver det begränsade behovet, finns det dessutom påtagliga nack- delar med en ordning som går ut på ett generellt krav på säker- hetsskyddsavtal vid samverkan och samarbeten mellan statliga myn- digheter som berör säkerhetsskyddsklassificerade uppgifter eller i övrigt säkerhetskänslig verksamhet över en viss nivå. En sådan ord- ning skulle nämligen medföra stora praktiska olägenheter. Samverkan mellan statliga myndigheter bedrivs i mycket stor omfattning och kan, som vi utvecklade inledningsvis, ta sig ett flertal olika former. I många fall handlar det enbart om avstämningar eller samråd. Det skulle leda till en stor administrativ belastning för de samverkande myndigheterna om det införs ett oinskränkt krav på säkerhets- skyddsavtal för all samverkan med myndigheter som kan aktualisera exponering av säkerhetsskyddsklassificerade uppgifter och i övrigt säkerhetskänslig verksamhet över en viss nivå. Med hänsyn till kra- vet på att säkerhetsskyddsavtal ska anmälas till Säkerhetspolisen både när de ingås och när de upphör att gälla, skulle det också innebära en ökad arbetsbörda för Säkerhetspolisen (2 kap. 7 § nya säkerhetsskyddsförordningen).

143

Skyldigheten att ingå säkerhetsskyddsavtal

SOU 2018:82

Det bör inte gälla en generell skyldighet om statliga myndigheter finns på båda sidor

Även om behovet av säkerhetsskydd är ett mycket tungt vägande intresse, anser vi att det inte har framkommit tillräckliga skäl för ett generellt krav på säkerhetsskyddsavtal när statliga myndigheter sam- verkar eller samarbetar med varandra på ett sätt som innebär expo- nering av uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller av i övrigt säkerhetskänslig verksamhet av motsvarande bety- delse för Sveriges säkerhet. Det huvudsakliga skälet för vår bedöm- ning är att det inte finns ett tillräckligt behov av en sådan skyldighet eftersom kravet på skydd i många fall kan tillgodoses i centrala avseenden även utan säkerhetsskyddsavtal. Men vi beaktar också de stora olägenheter som en sådan skyldighet skulle innebära, samtidigt som det mervärde den skulle ge är begränsat.

Anskaffningar bör dock omfattas av kravet på säkerhetsskyddsavtal

De skäl som talar emot ett generellt krav på säkerhetsskyddsavtal gäller främst vid ren samverkan och rena samarbeten mellan statliga myndigheter. De har däremot inte samma aktualitet när det gäller situationer där två statliga myndigheter agerar beställare och leve- rantör i förhållande till varandra, dvs. där den ena myndigheten an- skaffar en vara, tjänst eller byggentreprenad av den andra myndig- heten. I denna situation handlar det inte främst om att myndighet- erna samverkar mot ett gemensamt mål, utan de agerar snarare som aktörer på en marknad.

Statliga myndigheter kan tillhandahålla tjänster åt andra statliga myndigheter och därigenom i vissa fall handha stora skyddsvärden. Ett exempel kan vara att en myndighet hanterar andra myndigheters personaladministration. Myndigheter som bedriver säkerhetskänslig verksamhet kan i samband med det lämna över säkerhetsskydds- klassificerade uppgifter till den utförande myndigheten. Även om parterna på ömse sidor är statliga myndigheter anser vi att det kan finnas ett stort behov av att de myndigheter som t.ex. lämnar över sin lönehantering till en annan myndighet klargör vilka krav på säkerhetsskydd som gäller i fråga om säkerhetsskyddsklassificerade uppgifter som utföraren behandlar. Som vi har utvecklat tidigare i

144

SOU 2018:82

Skyldigheten att ingå säkerhetsskyddsavtal

kapitlet är det ju enbart den myndighet som lämnar över uppgifterna som har en fullständig insyn i och överblick över myndighetens skyddsvärden. Den myndighet som utför tjänsten kan normalt inte förväntas ha sådana kunskaper, vilket kan leda till att rätt säkerhets- skyddsåtgärder inte vidtas och att säkerhetsskyddet inte blir tillräck- ligt. Detta motverkas enligt vår mening bäst genom ett säkerhets- skyddsavtal där det anges hur utföraren ska tillgodose kraven på säkerhetsskydd. Genom att reglerna om säkerhetsskyddsavtal blir tillämpliga skapas det en uttrycklig skyldighet för den myndighet som lämnar över arbetsuppgifter eller liknande till en annan myndig- het att kontrollera att säkerhetsskyddsavtalet följs. Det blir därigenom tydligt för den myndighet som lämnar över uppgifterna att myn- digheten inte befrias från ansvaret för att uppgifterna omgärdas av ett tillräckligt säkerhetsskydd.

Vi anser inte att ett krav på säkerhetsskyddsavtal vid anskaffning mellan statliga myndigheter skulle innebära några större nackdelar i form av en onödigt stor administrativ belastning. Vi ser inte heller några andra påtagliga nackdelar med en sådan ordning. Att myndig- heten får ett ansvar för att kontrollera att den andra myndigheten följer säkerhetsskyddsavtalet innebär inte någon rubbning av det gene- rella tillsynsansvaret (se kapitel 8), utan handlar enbart om förhållandet mellan de två aktuella myndigheterna.

Sammantaget gör vi alltså bedömningen att det inte bör gälla något undantag för situationer där statliga myndigheter anskaffar varor, tjänster eller byggentreprenader från varandra. Om förutsätt- ningarna i övrigt är uppfyllda bör det alltså gälla ett krav på säker- hetsskyddsavtal vid sådan anskaffning. Det bör sakna betydelse om reglerna om offentlig upphandling anses tillämpliga eller inte.

Undantaget bör gälla all samverkan och alla samarbeten som avser annat än en anskaffning

Våra bedömningar i det föregående innebär att det inte bör gälla något generellt krav på säkerhetsskyddsavtal vid samverkan och samarbeten mellan statliga myndigheter som avser något annat än en anskaffning av en vara, tjänst eller byggentreprenad. Nästa fråga är då om man bör undanta all sådan samverkan och alla sådana sam- arbeten mellan statliga myndigheter, eller om det trots allt bör finnas

145

Skyldigheten att ingå säkerhetsskyddsavtal

SOU 2018:82

en skyldighet att ingå säkerhetsskyddsavtal i vissa fall. Vi har identi- fierat fyra tänkbara regleringslösningar.

Alternativa lösningar

Alternativ 1 är ett generellt undantag, dvs. att all samverkan och alla samarbeten om annat än en anskaffning undantas. En fördel med detta alternativ är att myndigheterna inte behöver ta ställning till om ett säkerhetsskyddsavtal ska ingås när det är fråga om något annat än en anskaffning. En sådan ordning stämmer bäst överens med intresset av att inte skapa merarbete för myndigheterna själva och för Säkerhetspolisen. Givetvis innebär detta inte att myndigheten kan underlåta att beakta behovet av säkerhetsskydd vid samarbeten och samverkan där det inte gäller ett krav på säkerhetsskyddsavtal, men det kan ändå innebära en administrativ lättnad.

Samtidigt kan det inte helt uteslutas att det kan finnas situationer där det skulle finnas fördelar med ett säkerhetsskyddsavtal. Så skulle kunna vara fallet när det är fråga om samverkan eller samarbeten mellan statliga myndigheter där den ena parten avser att dela med sig av sådant som är skyddsvärt till en annan myndighet som har en mindre utvecklad säkerhetskultur. Samverkan eller samarbetet kan då medföra negativa konsekvenser för Sveriges säkerhet. Detta kan tala för alternativ 2, nämligen en regel som går ut på att den myndighet som exponerar säkerhetsskyddsklassificerade uppgifter eller i övrigt säkerhetskänslig verksamhet får kräva att det ingås ett säkerhetsskyddsavtal, om det behövs för att kraven på säkerhets- skydd ska tillgodoses. Det bör dock understrykas att bestämmel- serna i 2 kap. 6 § nya säkerhetsskyddslagen inte hindrar en verksam- hetsutövare från att ställa krav på en motpart att ingå säkerhets- skyddsavtal även om det inte finns någon sådan skyldighet enligt lag (prop. 2017/18:89 s. 105). En verksamhetsutövare kan t.ex. kräva ett säkerhetsskyddsavtal i situationer där en upphandling enbart omfattar uppgifter i säkerhetsskyddsklassen begränsat hemlig. Därmed fram- står det som överflödigt att uttryckligen ange att det finns en sådan möjlighet i vissa fall. En sådan regel kan dessutom komma att upp- fattas som att verksamhetsutövaren inte har rätt att kräva ett säker- hetsskyddsavtal i andra fall än de som pekas ut i bestämmelsen. Detta

146

SOU 2018:82

Skyldigheten att ingå säkerhetsskyddsavtal

vore olyckligt och är inte förenligt med lagstiftarens intention (se det nyss redovisade propositionsuttalandet).

Alternativ 3 skulle kunna vara att utgångspunkten är att säker- hetsskyddsavtal ska ingås, men att det anges att ett sådant avtal inte behöver ingås om kraven på säkerhetsskydd ändå är uppfyllda eller kan uppfyllas. Genom en sådan skrivning skulle man betona vikten av att säkerhetsskyddet inte urholkas. Samtidigt kan man ifrågasätta värdet av en sådan bestämmelse, eftersom det som vi nyss konstaterat även utan en sådan finns en möjlighet för en verksamhetsutövare att kräva att ett säkerhetsskyddsavtal ingås. En myndighet som avser att inleda en samverkan eller ett samarbete med en annan myndighet kan alltså kräva att det ingås ett säkerhetsskyddsavtal, om den först- nämnda myndigheten anser att det behövs. Vidare finns det enligt vår uppfattning nackdelar med en bestämmelse av det slag som vi nu diskuterar. Till att börja med måste man, för att bestämmelsen ska få önskad effekt, klargöra vad som krävs för att kraven på säker- hetsskydd ska vara uppfyllda utan ett säkerhetsskyddsavtal. I annat fall är risken stor att tillämpningen blir ojämn. Risken att bedöm- ningen i efterhand anses som felaktig kan leda till att myndigheter väljer att ingå säkerhetsskyddsavtal när det inte är nödvändigt hellre än att ta risken att göra fel. Detta leder i sin tur till en ökad admini- strativ belastning för både de samverkande myndigheterna och Säkerhetspolisen. En regel av detta slag innebär vidare att det knappast går att koppla skyldigheten att vidta andra förebyggande åtgärder, t.ex. att samråda med tillsynsmyndigheten i vissa fall, på att det finns en skyldighet att ingå ett säkerhetsskyddsavtal (se våra resonemang i kapitel 6). För att en sådan koppling ska kunna göras krävs det enligt vår mening att det är tydligt när det finns en skyldighet att ingå säkerhetsskyddsavtal. Det framstår då inte som lämpligt att knyta andra skyldigheter till myndighetens egen bedömning av vilka krav på säkerhetsskydd som bör ställas. För att det i efterhand ska kunna kontrolleras om bestämmelsen har följts, krävs det dessutom att övervägandena i fråga om behovet av säkerhetsskyddsavtal doku- menteras. Om en sådan dokumentation krävs ökar den administra- tiva belastningen för myndigheterna.

Ett sista alternativ – alternativ 4 – skulle kunna vara att man i stället för säkerhetsskyddsavtal inför någon särskild figur just för samarbeten mellan statliga myndigheter. Ett argument för en sådan

147

Skyldigheten att ingå säkerhetsskyddsavtal

SOU 2018:82

lösning skulle kunna vara att det är tveksamt om statliga myndig- heter kan ingå civilrättsligt giltiga avtal med varandra (se våra resone- mang i avsnitt 5.4.2) och att ordet avtal därför kan förefalla oegent- ligt. Man kan samtidigt ifrågasätta värdet av att man inför en ny rättslig figur för att åstadkomma i allt väsentligt samma sak som ett säkerhetsskyddsavtal. Vi har svårt att se några större fördelar med en sådan ordning.

Sammanfattande bedömning

Vår bedömning är att alternativ 1 är den bästa lösningen. En sådan reglering skulle vara flexibel och lämna utrymme för de samverkande statliga myndigheterna att använda sitt omdöme i frågan om ett säkerhetsskyddsavtal behövs eller inte i det enskilda fallet. Den hindrar inte att säkerhetsskyddsavtal ingås om det finns skäl för det. Alternativ 2, dvs. en regel som innebär att statliga myndigheter får ingå säkerhetsskyddsavtal, tillför enligt vår mening inget utöver alternativ 1 och har dessutom flera nackdelar. Alternativ 3 innebär visserligen en viss betoning av vikten av att myndigheter som önskar samverka tar ansvar för säkerhetsskyddet, men har samtidigt flera nackdelar som vi har utvecklat i det föregående. Vi anser inte heller att det skulle vara lämpligt att i enlighet med alternativ 4 införa någon form av ”säkerhetsskyddsavtal light”. Säkerhetsskyddsregler- ingen bör inte göras mer komplicerad genom införande av nya figurer som inte tillför något väsentligt nytt. Det framstår i stället som mer naturligt och lämpligt att säkerhetsskyddsavtalen – i de fall de ingås

–anpassas till behoven i det enskilda fallet. Med beaktande av det anförda föreslår vi en reglering i enlighet med alternativ 1, dvs. att samarbeten och samverkan mellan statliga myndigheter undantas från kravet på säkerhetsskyddsavtal – förutom om det är fråga om en anskaffning av en vara, tjänst eller byggentreprenad.

En följd av förslaget om undantag från skyldigheten att ingå säkerhetsskyddsavtal är att andra typer av överenskommelser än säkerhetsskyddsavtal kan komma att aktualiseras mellan statliga myndigheter. Det kan handla om såväl skriftliga som muntliga överenskommelser om hur säkerhetsskyddet ska ordnas i en viss situation. Frågan är om och när denna typ av överenskommelse ska betecknas som säkerhetsskyddsavtal. Av skäl som vi utvecklar i det

148

SOU 2018:82

Skyldigheten att ingå säkerhetsskyddsavtal

följande bedömer vi att det bör finnas utrymme för statliga myn- digheter att komma överens i fråga om säkerhetsskydd utan att det för den delen blir fråga om säkerhetsskyddsavtal i formell mening. I annat fall skulle t.ex. kraven enligt 2 kap. 7 § nya säkerhetsskydds- förordningen på anmälan och avanmälan av säkerhetsskyddsavtal bli tillämpliga vid varje sådan överenskommelse, vilket skulle innebära merarbete både för myndigheten som ingår avtalet och för Säker- hetspolisen. Enligt vår mening är det viktigt att undantaget från skyldigheten att ingå säkerhetsskyddsavtal inte skapar merarbete eller försvårar för statliga myndigheter att komma överens i frågor om säkerhetsskydd. Att beteckna alla former av överenskommelser mellan statliga myndigheter om säkerhetsskydd som säkerhetsskyddsavtal skulle enligt vår mening få den effekten att undantaget blir verk- ningslöst.

Undantaget från skyldigheten att ingå säkerhetsskyddsavtal bör därför ha den innebörden att statliga myndigheter får använda sitt omdöme i varje enskilt fall. Det innebär att om det finns ett behov av exempelvis genomföra säkerhetsprövning av personal hos den andra myndigheten så ska ett säkerhetsskyddsavtal ingås. Om det däremot är tillräckligt med en överenskommelse om att endast per- sonal i en viss säkerhetsklass ska få delta i samverkan mellan myn- digheter, så bör myndigheterna kunna komma överens om detta utan att reglerna om säkerhetsskyddsavtal tillämpas.

5.4.5Andra än statliga myndigheter bör normalt omfattas av en skyldighet att ingå säkerhetsskyddsavtal

Resonemangen om undantag för samarbeten och samverkan mellan statliga myndigheter avser de förhållanden som typiskt sett råder mellan de statliga myndigheterna. Nästa fråga är om samma argu- ment väger lika tungt för andra myndigheter, t.ex. för samverkan och samarbete mellan statliga och kommunala myndigheter eller mellan kommunala myndigheter. Vi menar att så inte är fallet.

Kommunerna sköter lokala och regionala angelägenheter av all- mänt intresse på den kommunala självstyrelsens grund och kan därför inte sägas företräda samma övergripande intresse som statliga myn- digheter gör (se 14 kap. 2 § regeringsformen). Det kan alltså finnas ett spänningsförhållande mellan kommunala och statliga intressen,

149

Skyldigheten att ingå säkerhetsskyddsavtal

SOU 2018:82

vilket har uppmärksammats i ett flertal ärenden med säkerhets- politiska inslag, t.ex. när det gäller uthyrningen av hamnkapacitet på Gotland och i Blekinge inom ramen för naturgasprojektet Nord- stream 2. Vi noterar också att kommittén Förbättrat skydd för totalförsvarsverksamhet (dir. 2017:31) har fått i uppdrag att kart- lägga det befintliga regelverk som syftar till att skydda Sveriges total- försvarsverksamhet mot yttre hot, och utifrån kartläggningen bedöma om ansvarsförhållandet mellan staten, kommunerna och enskilda är tydligt och lämpligt reglerat. Även landstingen kan företräda mot- stående regionala intressen.

Med hänsyn till det anförda bör andra myndigheter än statliga ha samma skyldighet att ingå säkerhetsskyddsavtal vid samverkan och samarbeten som vid upphandling. Det bör dock framhållas att det många gånger kan finnas andra lösningar än ingående av säkerhets- skyddsavtal, inte minst genom att verksamhetsutövare minimerar utomståendes insyn i verksamheten till situationer där det verkligen är nödvändigt, och även minimerar utomståendes tillgång till säker- hetsskyddsklassificerade uppgifter. Myndigheter och andra som del- tar i olika former av samverkan bör alltså noga tänka igenom om det är nödvändigt att exempelvis ge motparten tillgång till säkerhets- skyddsklassificerade uppgifter eller om ändamålet med samverkan kan uppnås ändå. Om man kommer fram till att det inte är nöd- vändigt att ge motparten tillgång till säkerhetsskyddsklassificerade uppgifter eller i övrigt säkerhetskänslig verksamhet behöver man inte heller ingå ett säkerhetsskyddsavtal.

5.4.6Regeringen bör kunna föreskriva och besluta om undantag

I det föregående har vi kommit fram till att kravet på säkerhets- skyddsavtal bör utvidgas och att det normalt bör gälla bl.a. för anskaffningar mellan statliga myndigheter. Det kan dock finnas vissa relationer mellan myndigheter där det inte framstår som rimligt eller nödvändigt med ett krav på säkerhetsskyddsavtal. Ett exempel skulle kunna vara relationen mellan Försvarsmakten och Försvarets mate- rielverk. Dessa två myndigheter har ett mycket omfattande sam- arbete och är tätt sammanflätade. Även andra liknande relationer mellan myndigheter kan tänkas. Det bör därför finnas en möjlighet

150

SOU 2018:82

Skyldigheten att ingå säkerhetsskyddsavtal

att undanta vissa myndigheter från kravet att ingå säkerhetsskydds- avtal med varandra. Behoven kan variera över tid, varför sådan re- glering bör finnas i förordning. Det bör dock anges i säkerhets- skyddslagen att regeringen får föreskriva om undantag från kravet på säkerhetsskyddsavtal. Detta kan lämpligen ske genom ett tillägg i bemyndigandet i 2 kap. 7 § nya säkerhetsskyddslagen.

Det kan vidare finnas ett behov av undantag i vissa specifika fall. Ett exempel kan vara den typen av samarbeten som enligt våra direktiv inte bör omfattas av en skyldighet att ingå säkerhets- skyddsavtal, nämligen sådant samarbete som en myndighet bedriver i enlighet med författning eller regeringsbeslut och som förutsätter ett utbyte av säkerhetskänsliga uppgifter och där förtroendet mellan parterna bygger på ett ömsesidigt intresse av att säkerheten för upp- gifterna upprätthålls. I princip handlar det om viss samverkan på underrättelseområdet, t.ex. partnersamarbeten. Man kan också tänka sig andra situationer där ett undantag är lämpligt, exempelvis i ett tillstånd av höjd beredskap där det finns möjlighet att snabbt an- skaffa vissa varor eller tjänster. Det kan även vara lämpligt att undan- ta anskaffningar mellan vissa myndigheter genom särskilda beslut hellre än genom förordning. Regeringen har det övergripande ansva- ret för Sveriges säkerhet. Vår bedömning är att regeringen i denna roll bör ha möjlighet att, på de skäl som regeringen finner lämpliga, fatta beslut i enskilda fall om undantag från skyldigheten att ingå säkerhetsskyddsavtal.

5.4.7Bestämmelsernas närmare utformning

Bestämmelserna i 2 kap. 6 § nya säkerhetsskyddslagen gäller när en offentlig verksamhetsutövare avser att genomföra en upphandling eller en enskild verksamhetsutövare ingår ett avtal om varor, tjänster eller byggentreprenader med utomstående leverantörer. Skyldigheten att ingå ett säkerhetsskyddsavtal gäller bara om det i upphandlingen eller avtalet förekommer säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller upphandlingen i övrigt avser eller ger leverantören tillgång till säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet.

151

Skyldigheten att ingå säkerhetsskyddsavtal

SOU 2018:82

Våra bedömningar i det föregående innebär att skyldigheten att ingå säkerhetsskyddsavtal bör gälla i fler fall än som följer av den nyss beskrivna regleringen i 2 kap. 6 § nya säkerhetsskyddslagen. Förutom upphandling och andra avtal bör skyldigheten att ingå säkerhetsskyddsavtal även gälla vid andra typer av samverkan och samarbete. Det är varken möjligt eller lämpligt att i en föränderlig värld försöka uttömmande definiera vilken sorts samverkan och vilka slags samarbeten det kan röra sig om. Bestämmelsen bör därför vara så neutralt utformad att den omfattar även nya samverkans- och samarbetsformer som uppkommer i framtiden. Vilka undantag från skyldigheten som bör gälla eller vara möjliga har vi utvecklat i av- snitt 5.4.4–5.4.6.

Vi ser i övrigt endast anledning till mindre ändringar i fråga om villkoren för att det ska råda ett krav på säkerhetsskyddsavtal. Som

vihar utvecklat i avsnitt 5.4.3 bör det avgörande vara om säker- hetsskyddsklassificerade uppgifter eller i övrigt säkerhetskänslig verk- samhet kan exponeras för någon utomstående. Regleringen bör därför även i fortsättningen bygga på i allt väsentligt motsvarande förut- sättningar, även om ordalydelsen i 2 kap. 6 § nya säkerhetsskydds- lagen måste anpassas något för att passa för även annat än upp- handlingar och avtal om anskaffningar. Regleringen bör innebära ett krav på säkerhetsskyddsavtal om det planerade förfarandet innebär att den utomstående parten kan få tillgång till säkerhetsskydds- klassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller i övrigt avser eller kan ge den utomstående parten till- gång till säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet. Dessa skrivningar innebär att kravet på expo- nering mjukas upp något, eftersom det blir tillräckligt att förfarandet kan leda till exponering.

Bestämmelserna om säkerhetsskyddsavtal bör även i fortsätt- ningen vara framåtsyftande på så sätt det de ska tillämpas redan när verksamhetsutövaren avser att genomföra en upphandling, ingå ett avtal eller inleda någon annan form av samverkan eller samarbete med en utomstående part. Uttrycket utomstående part är tänkt att omfatta exempelvis en annan myndighet eller ett annat företag, även sådana som ingår i samma koncern. När det gäller anskaffningar mellan statliga myndigheter bör det enligt vår bedömning sakna bety- delse att dessa ingår i samma juridiska person, nämligen staten.

152

SOU 2018:82

Skyldigheten att ingå säkerhetsskyddsavtal

Däremot bör det, som vi tidigare kommit fram till, göras ett undan- tag för andra former av samverkan och samarbeten mellan sådana myndigheter.

Ordet avser innebär en markering av att säkerhetsskyddsavtalet i princip måste vara på plats när samarbetet eller samverkan inleds, eller avtalet ingås.

Bestämmelsen om avtalets innehåll bör av redaktionella skäl flyttas till en egen paragraf i 2 kap. Det finns också skäl att komplettera den med en bestämmelse om att verksamhetsutövaren har en rätt att revidera säkerhetsskyddsavtalet vid ändrade förhållanden. Vi utveck- lar skälen för detta i avsnitt 6.11.3. Revideringen bör självfallet ske i samverkan med den utomstående part som man ingått säkerhets- skyddsavtal med.

Det bör även i fortsättningen krävas att verksamhetsutövaren kontrollerar att motparten lever upp till kraven i säkerhetsskydds- avtalet. Även denna bestämmelse bör dock av redaktionella skäl flyttas till en egen paragraf i 2 kap. I konsekvens med tillägget om rätt till revidering vid ändrade förhållanden bör det också införas en skyl- dighet för verksamhetsutövaren att se till att sådan revidering sker. Skälen för detta utvecklas i avsnitt 6.11.3.

Särskilt om aggregerade uppgifter

Som vi har angett i avsnitt 5.1 ingår det inte i vårt uppdrag att över- väga ändringar när det gäller kravet på att de uppgifter som expo- neras för den utomstående parten har en viss säkerhetsskyddsklassi- ficering. Våra resonemang utgår alltså ifrån att det handlar om upp- gifter i säkerhetsskyddsklassen konfidentiell eller högre, eller om i övrigt säkerhetskänslig verksamhet av motsvarande betydelse. En särskild fråga är dock hur man bör hantera situationen att ett pla- nerat förfarande, t.ex. en utkontraktering av viss it-drift, involverar en stor mängd uppgifter som sedda var för sig är klassificerade som begränsat hemliga, eller som inte är säkerhetsskyddsklassificerade alls, men som sammantagna kan vara betydligt känsligare i förhåll- ande till Sveriges säkerhet. Det kan t.ex. handla om situationer där uppgifter som sammanställts har bearbetats eller kan bearbetas så att man av sammanställningen kan utvinna en annan och mer känslig information än av uppgifterna var för sig. En annan situation kan

153

Skyldigheten att ingå säkerhetsskyddsavtal

SOU 2018:82

vara att den sammanställda informationen visar på exempelvis bero- enden mellan olika verksamheter, förmåga, sårbarheter eller andra för- hållanden som kan leda till en inte obetydlig skada för Sveriges säkerhet om den röjs.

Det kan av förarbetena utläsas att sammanställningar av uppgifter från olika källor kan göra att den sammanställda informationen kan anses utgöra säkerhetsskyddsklassificerade uppgifter även om infor- mationen härrör från öppna källor (prop. 2017/18:89 s. 45). Upp- gifterna i en sammanställning kan alltså vara säkerhetsskyddsklassi- ficerade, fastän de i ett annat sammanhang inte är det var och en för sig. Det framgår vidare av förarbetena att verksamhetsutövarna, vid sin klassificering av uppgifter, måste bedöma om en samling av upp- gifter i en viss säkerhetsskyddsklass medför att en högre säkerhets- skyddsklass ska tillämpas. Samtidigt påpekas det att man med hän- syn till behovet av att undvika onödiga administrativa kostnader och ingrepp i enskildas integritet m.m. inte bör göra klassificeringen i större utsträckning och med placering i högre klass än vad som är nödvändigt (prop. 2017/18:89 s. 67).

Förarbetsuttalandena kan tolkas så att verksamhetsutövarna i sitt arbete med säkerhetsskyddsklassificering är skyldiga att beakta mängden uppgifter och konsekvenserna av att de sammanställs. Rättsläget kan alltså uppfattas på det sättet att en mängd uppgifter som, sedda var för sig, är att bedöma som begränsat hemliga bör klassificeras som konfidentiella om de finns i en samling och skadan vid röjande skulle bli inte obetydlig. Detta är en lämplig ordning och föranleder inte några förslag från vår sida.

Säkerhetsskyddsavtalet är normalt ett särskilt avtal

Under vårt arbete har frågan aktualiserats om säkerhetsskydds- avtalet måste vara ett särskilt avtal, eller om det kan utgöra en del av affärsavtalet eller samverkansavtalet mellan parterna. Vår uppfatt- ning är att det normalt bör vara fråga om ett tydligt urskiljbart särskilt avtal. Ett skäl för detta är skyldigheten att ingå ett säkerhets- skyddsavtal gäller redan för den som avser att vidta vissa åtgärder. Normalt måste säkerhetsskyddsavtalet ingås före affärs- eller samarbets- avtalet. Detta gäller i synnerhet om det redan i t.ex. ett förfrågnings-

154

SOU 2018:82

Skyldigheten att ingå säkerhetsskyddsavtal

underlag inför en upphandling ska tas in säkerhetsskyddsklassi- ficerade uppgifter. Ett annat skäl för att säkerhetsskyddsavtalet bör hållas separat är att det annars blir svårare för tillsynsmyndigheterna att kontrollera att verksamhetsutövare fullgör sina skyldigheter när det gäller säkerhetsskyddsavtal. Detta blir än viktigare om man, som

viföreslår i avsnitt 9.8, inför sanktioner för den verksamhetsutövare som åsidosätter sina skyldigheter. Det bör också framhållas att det av andra skäl kan vara viktigt att säkerhetsskyddsavtalet hålls utanför affärsavtalet. Det kan t.ex. vara så att affärsavtalet innehåller affärs- hemligheter som inte är relevanta för tillsynsmyndigheterna att ta del av. Slutligen är ett viktigt argument att säkerhetsskyddsavtalet utgör en rättslig grund för vissa ingripande åtgärder, däribland säkerhetsprövning av motpartens personal. Det är då ytterst viktigt att det är tydligt att det är fråga om ett sådant avtal som avses i 2 kap. 6 § nya säkerhetsskyddslagen.

5.5Reglerna om behörighet bör övervägas

Bedömning: Det bör övervägas om bestämmelsen i nya säker- hetsskyddsförordningen om behörighet att delta i säkerhetskäns- lig verksamhet bör göras tillämplig även i fråga om utomstående som genom t.ex. ett samarbete får tillgång till säkerhetsskydds- klassificerade uppgifter eller i övrigt till den säkerhetskänsliga verksamheten.

Som nämnts i avsnitt 5.2 finns det i 2 kap. 3 § nya säkerhetsskydds- förordningen en bestämmelse om behörighet att delta i säkerhets- känslig verksamhet. Där anges följande. Behörig att ta del av säkerhets- skyddsklassificerade uppgifter eller i övrigt delta i säkerhetskänslig verksamhet är, om inte något annat följer av bestämmelser i lag, endast den som

1.har bedömts pålitlig från säkerhetssynpunkt,

2.har tillräckliga kunskaper om säkerhetsskydd, och

3.behöver uppgifterna eller annan tillgång till verksamheten för att kunna utföra sitt arbete eller på annat sätt delta i den säkerhets- känsliga verksamheten.

155

Skyldigheten att ingå säkerhetsskyddsavtal

SOU 2018:82

Bestämmelsen riktar sig till verksamhetsutövarens ledning och inne- bär att den som ska anställas eller på något annat sätt delta i säker- hetskänslig verksamhet ska uppfylla krav på pålitlighet, kunskap om säkerhetsskydd och behov av uppgifterna eller tillgång till verksam- heten. En särskild fråga är om bestämmelsen också träffar personer som verksamhetsutövaren samverkar eller samarbetar med, utan att personerna är t.ex. anställda eller uppdragstagare i den säkerhets- känsliga verksamheten. Med detta avser vi bl.a. de personer som från en annan myndighet deltar i en myndighetssamverkan med den myndighet som är en verksamhetsutövare enligt säkerhetsskydds- lagen. En tolkning som går ut på att sådana personer omfattas skulle vara rationell och mest förenlig med kraven på ett väl anpassat säkerhetsskydd. Det framstår som naturligt att de krav som ställs på anställda och uppdragstagare ska gälla för alla utomstående som involveras i verksamheten. Det är dock tveksamt om bestämmelsen kan tolkas så, av de skäl som utvecklas i det följande.

Rubriken före bestämmelsen lyder Behörighet att delta i säkerhets- känslig verksamhet. Vidare framgår av själva paragrafen att den avser personer som får del av säkerhetsskyddsklassificerade uppgifter eller i övrigt deltar i säkerhetskänslig verksamhet. Det sagda ger vid handen att bestämmelsen enbart träffar personer som anses delta i den säker- hetskänsliga verksamheten. I nya säkerhetsskyddslagen används nämligen uttrycket ”delta i säkerhetskänslig verksamhet” enbart för sådana personer som arbetar i själva verksamheten, exempelvis an- ställda och uppdragstagare (se t.ex. 3 kap. 1 § och 5 kap. 2 § lagen). Uttrycket och de bestämmelser där det används anses alltså inte träffa exempelvis anställda hos en leverantör som verksamhetsutövaren ingår ett säkerhetsskyddsavtal med eller andra utomstående. Av 1 kap. 1 § nya säkerhetsskyddsförordningen framgår att ord och uttryck i förordningen har samma innebörd som i lagen. Med hänsyn till det anförda får uttrycket ”delta i säkerhetskänslig verksamhet” i 2 kap. 3 § förordningen förstås på samma sätt som i lagen. Det inne- bär att det är tveksamt om den kan läsas på det sätt som vi disku- terade inledningsvis. En minst lika rimlig tolkning är att den inte kan anses träffa anställda hos leverantörer, samverkanspartner och andra utomstående.

Vi ifrågasätter om detta i så fall är en lämplig ordning. Med hän- syn till vikten av att ett tillräckligt säkerhetsskydd upprätthålls även vid olika slags kontakter med utomstående bör det övervägas om det

156

SOU 2018:82

Skyldigheten att ingå säkerhetsskyddsavtal

uttryckligen bör framgå även vilka krav som måste ställas på perso- ner som deltar i exempelvis en myndighetssamverkan och därigenom får del av säkerhetsskyddsklassificerade uppgifter. Frågan omfattas inte av vårt uppdrag, men vi anser att den bör övervägas i något annat sammanhang. Det bör dock framhållas att verksamhetsutövare som är skyldiga att ingå säkerhetsskyddsavtal givetvis i säkerhetsskydds- avtalet måste ställa upp de krav på motpartens personal m.m. som behövs för att säkerhetsskyddet ska kunna upprätthållas.

5.6Kopplingen mellan säkerhetsskyddsavtal och säkerhetsprövning bör förtydligas

Förslag: Det införs ett tillägg i 2 kap. 6 § nya säkerhetsskydds- lagen som innebär att bestämmelserna om säkerhetsprövning i 3 kap. samma lag får tillämpas när säkerhetsskyddsavtal har ingåtts.

Som angetts i avsnitt 5.2 är säkerhetsskyddsavtalet en grund för att besluta om vilka anställningar och annat deltagande hos motparten som ska placeras i säkerhetsklass (prop. 2017/18:89 s. 104). I såväl den gamla som den nya säkerhetsskyddslagen förutsätts att ett säker- hetsskyddsavtal ska kunna innehålla krav på placering i säkerhets- klass, vilket i sin tur förutsätter säkerhetsprövning med register- kontroll. I förarbetena till den nya säkerhetsskyddslagen anges också att bestämmelserna om säkerhetsprövning i 3 kap. gäller vid ingå- ende av säkerhetsskyddsavtal (prop. 2017/18:89 s. 141).

Trots vad som angetts ovan framgår det inte tydligt av lagtexten att ett säkerhetsskyddsavtal kan utgöra grund för att anställningar och annat deltagande i motpartens verksamhet föranleder krav på säkerhetsprövning och registerkontroll. Genomförandet av en säker- hetsprövning kan innebära att det behöver ställas frågor om lev- nadsbakgrund och levnadssituation som kan uppfattas som privata och känsliga. Även skyldigheten att genomgå en registerkontroll kan uppfattas som ett integritetskänsligt moment. Det gäller inte minst när behovet av säkerhetsprövning har uppstått för en person som redan är anställd när det förfarande som föranleder säkerhetsskydds- avtalet – och därmed säkerhetsprövningen – påbörjas. Med hänsyn till det anförda bör det framgå direkt av lag att det finns en möjlighet

157

Skyldigheten att ingå säkerhetsskyddsavtal

SOU 2018:82

att ställa krav på säkerhetsprövning av t.ex. leverantörens personal efter att ett säkerhetsskyddsavtal har ingåtts.

158

Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...

SOU 2018:82

Det som kännetecknar en utkontraktering, så som vi använder begreppet, är att det är en del av den egna verksamheten som läggs ut på en annan aktör. Gränsen mellan utkontraktering och andra för- faranden är dock inte alltid helt lätt att dra.

Även om utkontraktering av säkerhetskänslig verksamhet i många sammanhang kan innebära stora kostnadsbesparingar eller andra fördelar för den utkontrakterande verksamheten, kan det också innebära att Sveriges säkerhet utsätts för ökade sårbarheter eller nya former av hot. Säkerhetspolisen har under senare år uppmärksammat flera händelser där olika verksamhetsutövare anlitat externa aktörer för arbete som berört säkerhetskänslig verksamhet och där säker- hetsskyddet varit bristfälligt. I vissa fall har avtalsförhållanden reglerats genom säkerhetsskyddsavtal som varit otillräckligt utformade. Det finns också exempel på att bestämmelser i säkerhetsskyddsavtal inte har följts. Säkerhetspolisen har vidare framhållit att utkontraktering ofta kan innebära att flera kunders system och information samlas i samma lagringsmedium, t.ex. en molntjänst, vilket innebär en ökad sårbarhet för bl.a. säkerhetskänsliga uppgifter. Myndigheten har vidare konstaterat att leverantören därigenom riskerar att bli ett attraktivt mål för bl.a. andra länders underrättelseinhämtning.

I säkerhetsskyddslagen (2018:585), i det följande kallad nya säkerhetsskyddslagen, görs flera ändringar som innebär ett förstärkt skydd för säkerhetskänslig verksamhet. I direktiven anges att dessa åtgärder dock inte fullt ut tar hand om den aktuella problemställ- ningen. Den 1 april 2018 har det, i avvaktan på våra förslag, införts vissa regler om bl.a. samrådsskyldighet vid säkerhetsskyddad upp- handling i vissa fall, se 16 a § säkerhetsskyddsförordningen (1996:633), i det följande kallad gamla säkerhetsskyddsförordningen). Reglerna innebär vidare att Försvarsmakten eller Säkerhetspolisen får före- lägga en upphandlande myndighet att vidta åtgärder och, ytterst, besluta att myndigheten inte får genomföra upphandlingen. En mot- svarande men något omarbetad bestämmelse finns också i säker- hetsskyddsförordningen (2018:658), i det följande kallad nya säker- hetsskyddsförordningen. Vi går närmare in på de nya reglerna i av- snitt 6.3.2.

Vårt uppdrag bör förstås mot den beskrivna bakgrunden.

160

SOU 2018:82

Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...

Upplåtelse

En närbesläktad situation där det kan uppstå liknande problematik som vid utkontraktering är när verksamhetsutövare står i begrepp att upplåta eller överlåta säkerhetskänslig verksamhet eller delar av en sådan verksamhet. Vi behandlar överlåtelser av säkerhetskänslig verksamhet i kapitel 7. Vi har dock gjort bedömningen att upplåtelse har så många beröringspunkter med utkontraktering att frågorna bör behandlas tillsammans i detta kapitel. Exempel på upplåtelser där det kan uppstå en problematik i förhållande till behovet av säker- hetsskydd är att verksamhetsutövare till någon utomstående aktör upplåter en lokal i en anläggning där säkerhetskänslig verksamhet bedrivs. Det kan också förekomma att man upplåter själva den lokal, t.ex. ett laboratorium, där det bedrivs säkerhetskänslig verksamhet.

Uppdraget

Vi har i uppdrag att utreda vilka ytterligare åtgärder som skulle kunna vidtas för att komma till rätta med riskerna för Sveriges säker- het som utkontraktering och upplåtelse av säkerhetskänslig verk- samhet kan innebära. Närmare bestämt ska vi

•kartlägga behovet av att förebygga att säkerhetsskyddsklassi- ficerade uppgifter eller i övrigt säkerhetskänslig verksamhet ut- sätts för risker i samband med utkontraktering och upplåtelse av sådan verksamhet,

•utifrån kartläggningen föreslå olika förebyggande åtgärder, och

•utarbeta nödvändiga författningsförslag.

I direktiven anges det att ett tänkbart sätt att minska riskerna med utkontraktering skulle kunna vara införandet av bestämmelser om förhandskontroll vid ingående av säkerhetsskyddsavtal i samband med upphandling eller annat avtalsingående. En sådan möjlighet skulle enligt direktiven exempelvis kunna innebära en tillståndsprövning som ger Säkerhetspolisen och Försvarsmakten möjlighet att, inom respektive myndighets ansvarsområde, hindra eller ställa ytterligare villkor för utkontraktering när det är nödvändigt för att upprätthålla

161

Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...

SOU 2018:82

verksamhetens skyddsvärde eller i fall då tänkta eller vidtagna säker- hetsskyddsåtgärder är bristfälliga. Som tidigare nämnts har vissa bestämmelser redan införts i avvaktan på våra förslag (16 a § gamla säkerhetsskyddsförordningen och 2 kap. 6 § nya säkerhetsskyddsför- ordningen).

I direktiven anges bl.a. följande om upplåtelse. Bestämmelserna behöver ses över bl.a. ur perspektivet att säkerhetskänslig verksam- het även måste kunna skyddas vid upplåtelse av en viss funktion eller en del av en verksamhet. Det kan t.ex. innebära krav på en särskild bedömning av verksamhetens betydelse för annan skyddsvärd verk- samhet och en möjlighet för staten att ingripa om upplåtelsen kan antas inverka negativt på Sveriges säkerhet. Upplåtelse av såväl hela som delar av verksamheter eller viss egendom bör omfattas av över- vägandena.

Det betonas i direktiven att frågorna om utkontraktering och upplåtelse nära knyter an till vilka befogenheter som tillsynsmyn- digheterna bör ha för att ingripa vid ett bristande säkerhetsskydds- arbete. Vidare betonas det att utredningen måste beakta andra närliggande regelverk, t.ex. lagstiftningen om offentlig upphandling.

I direktiven används uttrycket ”risker för Sveriges säkerhet”. Eftersom ordet risk i dessa sammanhang oftast används i en annan bemärkelse har vi dock valt att använda andra uttryck, såsom hot, sårbarhet eller negativa konsekvenser. Vi använder dock oftast ordet ”risk” när vi hänför oss till det som sägs i direktiven. Se vidare om begreppen i avsnitt 2.2.

En bred ansats

En av våra uppgifter är att förebygga att säkerhetsskyddsklassi- ficerade uppgifter eller i övrigt säkerhetskänslig verksamhet utsätts för sårbarheter i samband med utkontraktering och upplåtelse. Vi har också fått i uppgift att överväga om skyldigheten att ingå säker- hetsskyddsavtal bör utvidgas. Våra förslag i fråga om skyldigheten att ingå säkerhetsavtal har redovisats i kapitel 5. Vi anser att upp- draget bör ses som en helhet där det övergripande syftet är att stärka förmågan att effektivt och samordnat förebygga och möta omedel- bara hot mot och utmaningar för Sveriges säkerhet. Vi därför valt att inte begränsa oss till utkontraktering och upplåtelse, utan att också

162

SOU 2018:82

Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...

överväga hur man kan förebygga sårbarheter och skador vid andra närliggande situationer, som vi anser kan medföra motsvarande konsekvenser för Sveriges säkerhet. Denna bredare ansats – som är i linje med vårt uppdrag att överväga i vilken utsträckning verksam- hetsutövare ska vara skyldiga att ingå säkerhetsskyddsavtal och våra förslag i den delen – utvecklas närmare i avsnitt 6.5.

Vad avses med utkontraktering och upplåtelse?

Utkontraktering

Uppdraget handlar i den här delen om bl.a. utkontraktering av säkerhetskänslig verksamhet. Utkontraktering innebär att en verk- samhetsutövare lägger ut en del av den egna verksamheten på entre- prenad. Närmare bestämt handlar det om att verksamheten lägger ut en tjänst, process eller verksamhet som annars skulle ha utförts av verk- samhetsutövaren själv.1 Ett annat sätt att uttrycka saken är att verk- samhetsutövaren lägger ut drift, underhåll eller skötsel av en viss del av sin verksamhet till en utomstående leverantör (se promemorian Skärpt kontroll av statliga myndigheters utkontraktering och överlåtelse av säkerhetskänslig verksamhet, Ju 2017/07544/L4 s. 27). Det kan t.ex. handla om att man lägger ut underhållet av ett system eller utveckling av någon produkt på en extern leverantör. Oavsett vilken definition man använder, torde det leda till i allt väsentligt samma resultat. Det centrala är att det handlar om en del av den egna verksamheten. Vidare är det centralt att det handlar om någon form av tjänst eller verksamhet och inte om ett köp av varor. Det rör sig således om utkontraktering när en verksamhetsutövare lägger ut hela eller delar av sin it-drift på en extern aktör. Däremot utgör det inte utkontraktering att upphandla teknisk utrustning som behövs för den egna it-driften.

Utkontraktering från en myndighet sker ofta genom en upp- handling, men därmed inte sagt att all upphandling avser utkon- traktering. Om en myndighet ska anskaffa teknisk utrustning till verksamheten måste många gånger ett upphandlingsförfarande

1En motsvarande definition finns i artikel 2.3 kommissionens delegerade förordning (EU) 2017/565 av den 25 april 2016 om komplettering av Europaparlamentets och rådets direktiv 2014/64/EU vad gäller organisatoriska krav och villkor för verksamheten i värdepappers- företag. Se även betänkandet Juridik som stöd för förvaltningens digitalisering (SOU 2018:25) s. 333 och 334.

163

Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...

SOU 2018:82

tillämpas. Som framgått i det föregående handlar det dock inte om någon utkontraktering. Reglerna om upphandling gäller dessutom i huvudsak inte för enskilda verksamhetsutövare. Dessa kan alltså utkontraktera hela eller delar av sin verksamhet utan ett upphand- lingsförfarande.

Upplåtelse

I rättsliga sammanhang brukar begreppet överlåtelse användas för att beteckna en övergång av äganderätt genom försäljning, byte eller gåva. När avtalet avser en mer begränsad rätt än äganderätt används i stället termen upplåtelse. Typexempel på upplåtelser är bl.a. avtal om hyra, leasing, arrende och andra nyttjanderätter som inte innebär att ägaren lämnar över sin äganderätt.

6.2Förhållandet till angränsande utredningar och reglering

Parallellt med den här utredningen pågår det ett antal utredningar som har att överväga frågor som angränsar till vårt uppdrag. Med anledning av detta har vi haft underhandskontakter med dessa utred- ningar, vilket vi har redogjort för i avsnitt 2.3. Våra överväganden i det här kapitlet och i kapitel 7 ger anledning till vissa resonemang om hur vårt uppdrag förhåller sig till andra utredningar på angränsande områden, och till reglering på olika områden där det kan bedrivas säkerhetskänslig verksamhet.

6.2.1Förhållandet till områdesreglering

En första fråga är hur säkerhetsskyddsregleringen, och i synnerhet bestämmelser som inskränker verksamhetsutövares rätt att i olika avseenden disponera över sin verksamhet och egendom som används i verksamheten, förhåller sig till annan reglering. Vi tänker då i första hand på sådan reglering som specifikt avser en viss sorts verksamhet, t.ex. elektronisk kommunikation, finansiella tjänster eller kärntek- nisk verksamhet. I sådan reglering finns det ofta krav på t.ex. till- stånd för att bedriva verksamheten och regler om återkallelse av

164

SOU 2018:82

Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...

tillstånd. Det kan också finnas särskilda bestämmelser om över- låtelse eller utkontraktering av verksamheten eller en del av den, eller av tillstånd att bedriva en viss verksamhet. Ett exempel på det är lagen (2003:389) om elektronisk kommunikation (LEK), som inne- håller bestämmelser om överlåtelse av tillstånd att använda radio- sändare eller nummer (2 kap. 23 § LEK).

Säkerhetsskyddsregleringen är generell och gäller för säkerhets- känslig verksamhet oavsett inom vilket område som verksamheten bedrivs. Dess bestämmelser är allmänt hållna, och är begränsade på så sätt att de bara ska tillämpas på den del av en verksamhet som är säkerhetskänslig. Enligt vår uppfattning är det oundvikligt att säker- hetsskyddslagens bestämmelser i vissa delar kan komma att över- lappa områdesspecifik lagstiftning. Så förhåller det sig redan i dag. Det är inte möjligt att i säkerhetsskyddslagen beakta sådana tänkbara överlappningar. Detta gäller särskilt som säkerhetsskyddsreg- leringen ska kunna stå sig över tid och vara utformad så att den ska kunna omfatta nya verksamheter (prop. 2017/18:89 s. 35). Even- tuella regler om t.ex. utkontraktering eller upplåtelse av säkerhets- känslig verksamhet ersätter inte områdesspecifika regler och kom- penserar heller inte för eventuella ofullständigheter i dem. Det är alltså fråga om ett kompletterande system som bara gäller i de fall det är fråga om säkerhetskänslig verksamhet.

Våra överväganden i detta kapitel och kapitel 7 bör läsas mot bak- grund av ovanstående.

6.2.2Förhållandet till utredningen om förbättrat skydd för totalförsvarsverksamhet

Det som sagts under föregående rubrik har styrt vårt förhåll- ningssätt till angränsande utredningar. Vi har alltså i princip haft hållningen att förhållandena på olika områden inte kan beaktas i den generellt utformade säkerhetsskyddslagen, utan att andra utredningar i stället måste förhålla sig till säkerhetsskyddslagen. Även med beaktande av detta finns det anledning att uppehålla sig något vid utredningen om förbättrat skydd för totalförsvarsverksamhet (dir. 2017:31). I direktiven till den utredningen anges följande.

Det finns ett behov av att närmare analysera om det bör finnas ett särskilt kontrollsystem eller liknande vid överlåtelse och upp- låtelse av viktigare infrastruktur som ägs av staten, kommunerna,

165

Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...

SOU 2018:82

landstingen, företag eller andra enskilda och som bedöms vara av väsentligt intresse för totalförsvaret. Som exempel på viktigare infra- struktur kan nämnas hamnar, flygplatser, energianläggningar och förmedlingsstationer för telekommunikation. Kommittén ska därför bl.a., om det finns behov, föreslå åtgärder, t.ex. tillståndsprövning, för att förebygga och hindra att väsentliga totalförsvarsintressen exponeras för risker i samband med överlåtelse och upplåtelse av viktigare infrastruktur som bedöms vara av väsentligt intresse för totalförsvaret. Denna del av uppdraget angränsar till vårt uppdrag, varför vi har övervägt hur uppdragen förhåller sig till varandra. För att förstå relationen mellan utredningarnas uppdrag är det nödvän- digt att titta närmare på hur säkerhetsskyddslagens tillämpnings- område förhåller sig till totalförsvarsverksamheten.

Under högsta beredskap är totalförsvaret all samhällsverksamhet som då ska bedrivas. Totalförsvaret består av militär verksamhet och civil verksamhet, se lagen (1992:1402 om totalförsvar och höjd beredskap. Försvarsmakten ska upprätthålla och utveckla ett militärt försvar, se 1 § förordningen (2007:1266) med instruktion för För- svarsmakten. Det civila försvaret utgörs av verksamhet som ansva- riga aktörer genomför i syfte att göra det möjligt för samhället att hantera situationer då beredskapen höjs. Det bedrivs av statliga myndigheter, kommuner, landsting, privata företag och frivilligorga- nisationer och avser skydd av befolkningen, säkerställande av sam- hällsviktiga funktioner och övriga samhällets stöd till Försvarsmakten. I prop. 2017/18:89 anges att de senaste årens omvärldsutveckling och återupptagandet av planeringen för totalförsvaret talar för att det militära och civila försvaret alltjämt bör ses som en central del av säkerhetsskyddslagstiftningens skyddsområde (s. 41).

Det finns således ett klart samband mellan totalförsvarsverk- samheten och säkerhetsskyddslagen. Samtidigt ska det vägas in att säkerhetsskyddslagen tar sikte på verksamhet som är av betydelse för Sveriges säkerhet.2 Det räcker alltså inte att verksamheten är samhällsviktig för att den ska anses vara av betydelse för Sveriges säkerhet. Avgörande för om samhällsviktig verksamhet också kan anses röra Sveriges säkerhet, och därmed omfattas av säkerhets- skyddslagens tillämpningsområde, är i stället att en antagonistisk

2Enligt 1 § första stycket nya säkerhetsskyddslagen gäller lagen också för den som till någon del bedriver verksamhet som omfattas av ett för Sverige förpliktande internationellt åtagande om säkerhetsskydd.

166

SOU 2018:82

Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...

handling mot verksamheten skulle kunna medföra skadekonsekvenser på nationell nivå. Emellertid kompliceras bilden av att begreppet Sveriges säkerhet inte ska tolkas så kategoriskt. Skyddsvärda verk- samheter kan trots kravet på nationell betydelse finnas på regional eller till och med lokal nivå (prop. 2017/18:89 s. 43 och 44). Enligt vår bedömning är det rimligt att anta att en betydande del av totalförsvarets militära verksamhet ryms inom säkerhetsskyddslagens tillämpningsområde medan en något mindre del av den civila verksam- heten omfattas (jfr Ds 2017:66 s. 29–32 och prop. 2017/18:89 s. 38–49 och 52). Vår slutsats är därför att en relativt stor del av totalför- svarsverksamheten kan komma att inrymmas inom säkerhetsskydds- lagens tillämpningsområde.

När det gäller sambandet mellan vårt uppdrag och den infrastruk- tur som omfattas av uppdraget för utredningen Förbättrat skydd för totalförsvarsverksamhet så kan det konstateras att säkerhetsskyddslag- stiftningen är inriktad på säkerhetskänslig verksamhet och skyddet av uppgifter om sådan verksamhet. Det framgår dock att fysiska objekt har en framträdande roll inom säkerhetsskyddet. Bland annat är verksamhetsutövare skyldiga att vidta säkerhetsskyddsåtgärder som förebygger att obehöriga får tillträde till fysiska objekt där de kan få tillgång till säkerhetsskyddsklassificerade uppgifter eller där den säkerhetskänsliga verksamheten bedrivs. Skyldigheten gäller också att förebygga skadlig inverkan på sådana fysiska objekt (2 kap. 3 § nya säkerhetsskyddslagen). En rimlig slutsats är därför att den infrastruktur som pekas ut i direktiven till utredningen om förbättrat skydd för totalförsvarsverksamhet, dvs. viktigare infrastruktur som hamnar, flygplatser, energianläggningar och förmedlingsstationer för telekommunikation, också kan vara en del av säkerhetskänslig verksamhet.

Även de kontrollsystem som omnämns i respektive direktiv upp- visar likheter. Enligt våra direktiv kan det handla om en möjlighet för staten att ingripa om en överlåtelse eller upplåtelse kan antas inverka negativt på Sveriges säkerhet. I direktiven till utredningen om förbättrat skydd för totalförsvarsverksamhet omnämns ett sär- skilt kontrollsystem eller liknande vid upplåtelse eller överlåtelse av viktigare infrastruktur. I båda direktiven nämns tillståndsprövning som en möjlig åtgärd.

167

Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...

SOU 2018:82

Mot denna bakgrund är vår bedömning att det finns en överlapp- ning mellan vårt uppdrag och uppdraget till utredningen om för- bättrat skydd för totalförsvarsverksamhet när det kommer till frågan om upplåtelser och överlåtelser. Med hänsyn till detta har vi löpande samrått med ordföranden och sekretariatet i utredningen om för- bättrat skydd för totalförsvarsverksamhet. Vi konstaterar dock att säkerhetsskydd avser det allra mest skyddsvärda i samhället, oavsett om det hör till totalförsvaret eller inte. Det är bl.a. därför inte lämp- ligt för oss att lämna förslag som tar höjd för de förslag som kan komma att lämnas av utredningen om förbättrat skydd för total- försvarsverksamhet. Våra förslag måste gälla och vara lämpliga för all slags säkerhetskänslig verksamhet. Den lämpligaste lösningen är därför att den reglering som läggs fram i en totalförsvarskontext förhåller sig till säkerhetsskyddslagen snarare än tvärtom.

6.3Den relevanta regleringen

Liksom i övrigt i betänkandet utgår vår beskrivning av regleringen från den nya säkerhetsskyddslagen och nya säkerhetsförordningen som träder i kraft den 1 april 2019. Nu gällande säkerhetsskyddslag respektive förordning beskrivs endast om det är relevant. En över- blick av den nya säkerhetsskyddslagen finns i avsnitt 3.4.

6.3.1Säkerhetsskyddsavtal

Som har utvecklats i kapitel 5 finns det i 2 kap. 6 § nya säkerhets- skyddslagen bestämmelser om att verksamhetsutövare som omfattas av lagen i vissa fall är skyldiga att ingå säkerhetsskyddsavtal med leverantörer. I ett säkerhetsskyddsavtal ska verksamhetsutövaren ange hur leverantören ska tillgodose kraven på säkerhetsskydd enligt 2 kap. 1 § nya säkerhetsskyddslagen. Syftet är att skapa en garanti för att säkerhetsskyddet är lika starkt oavsett vem som utför den säkerhetskänsliga verksamheten. Enligt bestämmelserna i 2 kap. 6 § är statliga myndigheter, kommuner och landsting som avser att genomföra en upphandling och ingå ett avtal om varor, tjänster eller byggentreprenader skyldiga att teckna ett säkerhetsskyddsavtal med leverantören om

168

SOU 2018:82

Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...

1.det i upphandlingen förekommer säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller

2.upphandlingen i övrigt avser eller ger leverantören tillgång till säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet.

Skyldigheten att ingå ett säkerhetsskyddsavtal med leverantören gäller också i motsvarande fall för enskilda verksamhetsutövare som ingår avtal om varor, tjänster och byggentreprenader med utomstående leverantörer.

En närmare beskrivning av reglerna om säkerhetsskyddsavtal finns i avsnitt 5.2. I avsnitt 5.4 har vi lämnat förslag som i korthet går ut på att skyldigheten att ingå säkerhetsskyddsavtal utvidgas.

6.3.2Samrådsskyldighet, föreläggande och förbud

Den 1 april 2018 infördes en ny paragraf – 16 a § – i gamla säker- hetsskyddsförordningen. De nya bestämmelserna innebär att en statlig myndighet som avser att inleda en upphandling som innebär krav på säkerhetsskyddsavtal måste vidta vissa åtgärder innan upp- handlingen inleds, om leverantören kan få tillgång till eller möjlighet att förvara hemliga uppgifter utanför myndighetens lokaler. När para- grafen är tillämplig måste myndigheten redan innan upphandlingen inleds

1.undersöka och dokumentera vilka hemliga uppgifter som leveran- tören kan få del av och som kräver säkerhetsskydd (särskild säker- hetsanalys), och

2.samråda med den tillsynsmyndighet som har tillsyn över myn- digheten.

Enligt bestämmelserna får tillsynsmyndigheten förelägga myndig- heten att vidta åtgärder enligt säkerhetsskyddslagen och de föreskrif- ter som har meddelats i anslutning till den lagen. Om ett föreläggande inte följs eller om tillsynsmyndigheten bedömer att säkerhetsskydds- lagens krav inte kan tillgodoses trots att ytterligare åtgärder vidtas får tillsynsmyndigheten vidare besluta att myndigheten inte får genom-

169

Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...

SOU 2018:82

föra upphandlingen. Ytterst finns det alltså en möjlighet för tillsyns- myndigheten att stoppa en planerad upphandling, om det bedöms att kraven på säkerhetsskydd inte kan uppfyllas.

Bestämmelser med ett liknande innehåll finns även i 2 kap. 6 § nya säkerhetsskyddsförordningen som träder i kraft den 1 april 2019. Vissa förändringar har gjorts i förhållande till 16 a § gamla förordningen. Även de nya bestämmelserna tar sikte på statliga myndigheter som avser att genomföra en upphandling som innebär krav på säkerhetsskyddsavtal. Reglerna innebär att statliga myndig- heter under vissa förutsättningar ska vidta särskilda åtgärder innan ett sådant förfarande inleds. Om bestämmelserna är tillämpliga ska myndigheten dels göra och dokumentera en särskild analys – i nya förordningen kallad särskild säkerhetsbedömning – dels samråda med en tillsynsmyndighet. De beskrivna skyldigheterna gäller i två fall.

Det ena fallet motsvarar delvis vad som gäller enligt 16 a § gamla förordningen och avser situationer där leverantören kan få tillgång till eller möjlighet att förvara säkerhetsskyddsklassificerade upp- gifter utanför myndighetens lokaler. En viktig skillnad i förhållande till den tidigare regleringen är dock att skyldigheterna har kopplats till de nya bestämmelserna om säkerhetsskyddsklassificering av upp- gifter (2 kap. 5 § nya lagen). Skyldigheten att göra en särskild säker- hetsbedömning och att samråda gäller enligt den nya bestämmelsen bara om uppgifterna hör till säkerhetsskyddsklassen hemlig eller högre. Skyldigheterna gäller alltså bara för uppgifter som hör till de två högsta säkerhetsskyddsklasserna; hemlig och kvalificerat hemlig.

Det andra fallet där skyldigheterna enligt paragrafen gäller är om leverantören kan få tillgång till säkerhetskänsliga informations- system utanför myndighetens lokaler och obehörig åtkomst till systemen kan medföra allvarlig skada för Sveriges säkerhet. Detta är en nyhet i förhållande till 16 a § gamla förordningen. Valet av nivån allvarlig skada innebär att skadan motsvarar vad som gäller för pla- cering av uppgifter i den näst högsta säkerhetsskyddsklassen, dvs. hemlig.

I likhet med vad som gäller enligt 16 a § gamla förordningen får tillsynsmyndigheten dels förelägga myndigheten att vidta åtgärder enligt säkerhetsskyddslagen och de föreskrifter som har meddelats i anslutning till den lagen, dels besluta att myndigheten inte får genomföra upphandlingen om ett föreläggande inte följs eller om

170

SOU 2018:82

Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...

tillsynsmyndigheten bedömer att säkerhetsskyddslagens krav inte kan tillgodoses trots att ytterligare åtgärder vidtas.

Det finns inte några särskilda bestämmelser i nya säkerhets- skyddslagen eller förordningen som handlar om upplåtelser. Verk- samhetsutövare som upplåter hela eller delar av den säkerhetskänsliga verksamheten, t.ex. en lokal där sådan verksamhet bedrivs, omfattas inte av något krav på att ingå säkerhetsskyddsavtal med hyresgästen. Vi utvecklar detta närmare i kapitel 5, där vi också föreslår att skyl- digheten att ingå ett säkerhetsskyddsavtal utvidgas till bl.a. dessa situationer.

6.3.3Upphandling

Allmänt om offentlig upphandling

Som har framgått i det föregående kommer en utkontraktering från en myndighet normalt ske genom en upphandling. Med upphandling avses de åtgärder som vidtas i syfte att anskaffa varor, tjänster eller byggentreprenader genom tilldelning av kontrakt (1 kap. 2 § lagen [2016:1145] om offentlig upphandling, LOU). Reglerna om off- entlig upphandling bygger till stor del på EU-direktiv och syftar bl.a. till att främja ett kostnadseffektivt användande av skattemedel genom att ta tillvara konkurrensen på marknaden och att säkerställa att offentlig upphandling överensstämmer med principerna i fördraget om Europeiska unionens funktionssätt.3 Grundprinciperna bygger på objektivitet och öppenhet. De upphandlande myndigheterna ska vara sakliga och välja leverantör utifrån det som köps. Det får inte förekomma lojalitet mot det egna landets leverantörer eller tidigare leverantörer. Valet av leverantör ska ske på affärsmässig grund och baseras på vilken leverantör som erbjuder den bästa varan eller tjänsten till de bästa villkoren. Alla leverantörer, oavsett nationellt ursprung, ska få möjlighet att tävla på samma villkor i varje upphandling.

En upphandlande myndighet måste först och främst avgöra om upphandlingen kommer över eller under vissa tröskelvärden, som i sin tur avgör om de nationella reglerna eller de regler som följer av EU-direktiv ska tillämpas. Tröskelvärdena är fastställda till en nivå

3Europaparlamentets och rådets direktiv 2014/24/EU av den 26 februari 2014 om offentlig upphandling och om upphävande av direktiv 2004/18/EG. Se även prop. 2017/18:1, utgifts- område 2, avsnitt 8.2 angående regeringens mål med offentlig upphandling.

171

Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...

SOU 2018:82

där företag inom EU och EES förväntas vara intresserade av att lägga anbud över nationsgränserna. För den upphandlande myndigheten finns ett antal möjliga upphandlingsförfaranden att välja mellan beroende på om upphandlingens värde hamnar över eller under trös- kelvärdena. Vissa förfaranden kan användas såväl under som över tröskelvärdena. Den upphandlande myndigheten måste givetvis också ta ställning till om LOU eller någon av de andra upphandlingslagarna ska tillämpas på upphandlingen (se vidare i det följande).

Det första ledet i själva upphandlingen är att den upphandlande myndigheten tar fram ett förfrågningsunderlag. Det är det underlag som den upphandlande myndigheten ger leverantörerna. Förfråg- ningsunderlaget ska innehålla samtliga handlingar för upphand- lingen. Genom förfrågningsunderlaget ska den upphandlande myn- digheten säkerställa att upphandlingen tillgodoser verksamhetens behov, utnyttjar konkurrensen på marknaden och genomförs rätts- säkert och effektivt. Som vi kommer att uppmärksamma i avsnitt 6.7 är det viktigt att myndigheter som omfattas av säkerhetsskyddslagen noga tänker igenom vilka krav på säkerhetsskydd och andra villkor som kan behövas i en säkerhetsskyddad upphandling med säkerhets- skyddsavtal.

I ett förfrågningsunderlag anges bl.a. administrativa villkor för upp- handlingens genomförande, krav på leverantören, krav på upphand- lingsföremålet (kallas ibland teknisk specifikation eller kravspecifika- tion), anbudsutvärdering och tilldelningskriterier samt kontrakts- villkor som ska gälla under avtalstiden. Leverantörer på marknaden får därefter tillfälle att lämna in anbud. De närmare förutsättningarna för detta beror på vilket upphandlingsförfarande som tillämpas.

Vissa omständigheter, däribland allvarlig ekonomisk brottslighet, medför att en anbudsgivare måste uteslutas från upphandlingen. Andra omständigheter medför att anbudsgivaren får uteslutas – men bara om myndigheten har angett det i förfrågningsunderlaget. I LOU finns det inte någon uteslutningsgrund som specifikt tar sikte på konsekvenser för nationell säkerhet. Dock finns det i vissa situationer grund för att inte tillämpa LOU om detta skulle äventyra Sveriges väsentliga säkerhetsintressen. Vi återkommer till detta under rubriken Undantag från LOU.

Det finns inga regler i LOU om när en påbörjad upphandling får avbrytas. Enligt praxis krävs att det finns sakliga skäl för att avbryta upphandlingen och att avbrytandet följer de upphandlingsrättsliga

172

SOU 2018:82

Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...

principerna om objektivitet m.m. Det är den upphandlande myn- digheten som ska bevisa att det faktiskt föreligger sakliga skäl för avbrytande. Sakliga skäl för att avbryta har i praxis ansetts vara exem- pelvis bristande konkurrens, oförutsedda händelser, felaktigt utfor- mad utvärderingsmodell och ett alltför högt pris.

Om upphandlingen fullföljs ska den upphandlande myndigheten tilldela uppdraget till en eller flera av anbudsgivarna och meddela samtliga som lämnat anbud om detta. Efter att tilldelningsbeslutet fattats måste myndigheten avvakta under en viss tid innan den ingår ett affärsavtal med den eller dem som vunnit upphandlingen (avtals- spärr).

Lagen om upphandling på försvars- och säkerhetsområdet

Upphandlingar som rör försvar eller säkerhet undantas från LOU:s tillämpningsområde. När det gäller upphandling av bl.a. militär ut- rustning och utrustning av känslig karaktär finns i stället bestämmel- ser i lagen (2011:1029) om upphandling på försvars- och säkerhets- området, LUFS.

LUFS gäller, med vissa särskilt angivna undantag, för upphand- ling på försvars- och säkerhetsområdet av

1.militär utrustning, inklusive alla tillhörande delar, komponenter och delar av komponenter,

2.utrustning av känslig karaktär, inklusive alla tillhörande delar, komponenter och delar av komponenter,

3.byggentreprenader, varor och tjänster som direkt hänför sig till den utrustning som avses i 1 och 2, under hela dess livslängd, eller

4.byggentreprenader och tjänster särskilt avsedda för militära syf- ten eller byggentreprenader och tjänster av känslig karaktär.

Syftet med reglerna är att skapa förutsättningar för upphandlingar av sådan materiel och sådana tjänster som är av så känslig natur att det inte är lämpligt att tillämpa de ordinarie upphandlingsreglerna. Till stora delar stämmer reglerna överens med vad som gäller vid ordinarie upphandling, exempelvis när det gäller förfarandet och reglerna om överprövning. Men det finns också vissa skillnader. Till

173

Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...

SOU 2018:82

skillnad från övriga upphandlingslagar innehåller LUFS bestämmelser om informationssäkerhet, försörjningstrygghet och underentreprenad.

Det finns undantagsregler som innebär att lagen i vissa fall inte gäller. Bland annat får regeringen enligt 1 kap. 9 § LUFS i enskilda fall besluta om de undantag från bestämmelserna i lagen som är nödvändiga med hänsyn till Sveriges väsentliga säkerhetsintressen när det gäller upphandling som avser sådan tillverkning av eller handel med vapen, ammunition och krigsmateriel som omfattas av artikel 346.1 b i EUF-fördraget och där vissa andra undantagsbestäm- melser inte är tillämpliga. Andra undantag handlar bl.a. om kontrakt för vilka tillämpningen av lagen skulle kräva att en upphandlande myndighet eller enhet tillhandahåller information vars avslöjande strider mot Sveriges väsentliga säkerhetsintressen och vissa kontrakt som avser underrättelseverksamhet.

Som nämndes tidigare finns det i LUFS särskilda regler om infor- mationssäkerhet. Skälet till det är att det i upphandlingar enligt lagen ofta förekommer uppgifter av känslig karaktär. Uppgifter som om- fattas av sekretess eller på annat sätt är känsliga kan bl.a. förekomma i kravspecifikationer eller i kontrakt. Sådana uppgifter kan också komma en leverantör till del i ett senare skede, t.ex. i samband med fullgörandet av ett kontrakt. Det har därför i LUFS införts bestäm- melser som avser att säkerställa att uppgifter av känslig karaktär, vilka lämnas av den upphandlande myndigheten eller enheten under eller efter ett upphandlingsförfarande, behandlas på ett så säkert sätt som möjligt av en leverantör (prop. 2010/11:150 del 1 s. 252–268).

Vidare finns det i LUFS särskilda regler om uteslutning av en leverantör med hänsyn till Sveriges säkerhet. I 11 kap. 2 § LUFS anges att en leverantör får uteslutas från att delta i en upphandling om leverantören, på grundval av någon form av bevis som även kan bestå av skyddade uppgiftskällor, har kunnat konstaterats inte vara så tillförlitlig som krävs för att inte äventyra Sveriges säkerhet. I preamblarna till det direktiv som ligger till grund för lagen finns det viss vägledning till hur kravet på tillförlitlighet ska förstås.4 Det anges där bl.a. att tillförlitligheten hos leverantörer på de känsliga försvars- och säkerhetsområdena särskilt beror på leverantörens möjlighet att möta de krav som den upphandlande enheten ställer på

4Europaparlamentets och rådets direktiv 2009/81/EG av den 13 juli 2009 om samordning av förfarandena vid tilldelning av vissa kontrakt för byggentreprenader, varor och tjänster av upphandlande myndigheter och enheter på försvars- och säkerhetsområdet och om ändring av direktiven 2004/17/EG och 2004/18/EG, preambeln p. 65, 67 och 68.

174

SOU 2018:82

Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...

”security of supply” och informationssäkerhet. Vidare anges det att direktivet inte hindrar en upphandlande enhet från att utesluta en leverantör i vilket som helst skede av en upphandling, om den upp- handlande enheten har information som visar att det skulle kunna innebära en risk5 för medlemsstatens väsentliga säkerhetsintressen (essential security interests) att tilldela hela eller delar av kontraktet till leverantören i fråga. Sådana risker kan enligt direktivet antingen handla om egenskaper hos de produkter som anbudsgivaren till- handahåller, eller anbudsgivarens ägarstruktur. Det är möjligt att även i ett sent skede av en upphandling utesluta en leverantör som inte möter tillförlitlighetskraven.

Lagen om upphandling inom försörjningssektorerna

Upphandlingar som genomförs av en upphandlande enhet för verk- samhet inom områdena vatten, energi, transporter eller posttjänster (de s.k. försörjningssektorerna) regleras i lagen (2016:1146) om upp- handling inom försörjningssektorerna, LUF. Lagen gäller inte om LUFS är tillämplig eller något undantag enligt LUFS gäller. Det finns också i denna lag ett antal undantagsregler där det räknas upp situationer då lagen inte ska tillämpas.

Undantag från LOU

LOU ska tillämpas om en upphandling på försvars- och säkerhets- området inte omfattas av LUFS eller någon undantagsbestämmelse i den lagen. Det finns emellertid vissa undantag från detta. Enligt det första undantaget, som finns i 3 kap. 4 § LOU, ska LOU inte gälla för upphandlingen eller projekttävlingen om

1.skyddet av Sveriges väsentliga säkerhetsintressen inte kan säker- ställas om upphandlingen eller projekttävlingen genomförs enligt lagen, eller

2.en tillämpning av lagen skulle kräva att en upphandlande myn- dighet tillhandahåller information vars avslöjande strider mot Sveriges väsentliga säkerhetsintressen.

5I direktivet används ordet risk, varför vi använder det även här för att återge direktivets inne- håll.

175

Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...

SOU 2018:82

En förutsättning för att ett kontrakt ska kunna undantas med stöd av första punkten är att det inte är möjligt att tillgodose behovet genom tillämpning av LOU. Om det går att uppnå skyddet genom mindre ingripande åtgärder under upphandlingsförfarandet eller projekttävlingen, som t.ex. genom att ingå ett säkerhetskyddsavtal med berörda leverantörer enligt säkerhetsskyddslagen eller lämna ut handlingar med förbehåll enligt offentlighets- och sekretesslagen (2009:400, OSL), får undantaget inte tillämpas.

Ett annat undantag finns i 3 kap. 5 § LOU. Enligt den paragrafen gäller inte LOU när upphandlingen och fullgörandet av kontraktet eller projekttävlingen omfattas av sekretess eller rör Sveriges väsent- liga intressen, om det skydd som behövs inte kan säkerställas vid en upphandling eller en projekttävling enligt LOU. Paragrafen möjlig- gör undantag för upphandlingar och projekttävlingar på grund av sekretess eller Sveriges väsentliga intressen. Bestämmelsen riktar in sig på situationer då undantag krävs utan att det är fråga om ett försvars- eller säkerhetsintresse, exempelvis upphandlingar som av- ser sådana säkerhets- eller bevakningsåtgärder som omfattas av sek- retess enligt 18 kap. 8 § OSL (prop. 2010/11:150 del 1 s. 450).

Det finns även vissa andra undantag i 3 kap. LOU, som vi dock avstår från att gå närmare in på här.

6.4Problembeskrivning

Vi ska enligt direktiven kartlägga behovet av att förebygga att säker- hetsskyddsklassificerade uppgifter eller i övrigt säkerhetskänslig verksamhet utsätts för risker i samband med utkontraktering och upplåtelse. Som ett första steg i den kartläggningen kommer vi i detta avsnitt att beskriva problem som i dag förekommer i samband med bl.a. utkontraktering och upplåtelse av säkerhetskänslig verk- samhet. Problembeskrivningen bygger på det skriftliga material som

viredovisar och på vad som framkommit vid våra möten med myndigheter, enskilda och utredningens experter.

Flera av de exempel som vi använder handlar om utkontraktering. Vi ser dock att exemplen också har relevans när det kommer till upplåtelse av säkerhetskänslig verksamhet, eftersom det i grunden handlar om samma eller liknande brister i verksamhetsutövarnas arbete med säkerhetsskyddet. Som antyddes i beskrivningen av vårt

176

SOU 2018:82

Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...

uppdrag (avsnitt 6.1) ser vi också att de problem som vi lyfter fram har relevans för andra situationer än just utkontraktering och upp- låtelse av säkerhetskänslig verksamhet. Vi återkommer till denna fråga i avsnitt 6.5.

Innan vi går in på själva problembeskrivningen finns det anled- ning att säga några ord om hur teknikutvecklingen har medfört en ökad sårbarhet vid bland annat utkontraktering. Beskrivningen bygger på uppgifter från Säkerhetspolisen och Försvarsmakten. 6

6.4.1Teknikutvecklingen har ökat Sveriges sårbarhet

Digitaliseringen är den enskilt största förändringsfaktorn i vår tid och påverkar alla delar av samhället. I ett digitaliserat samhälle och en globaliserad omvärld är elektroniska angrepp ett av de allvarligare hoten. Det innebär samtidigt att bristande informationssäkerhet är en av de allvarligare sårbarheterna, vilket ger upphov till stora kon- sekvenser för säkerhetsskyddet. Offentlig it-infrastruktur utsätts allt mer för elektroniska angrepp och underrättelseverksamhet.

I dag ansvarar varje myndighet för sin egen it-verksamhet sam- tidigt som investeringar i it-säkerhet kan upplevas som alltför kost- samma. Inför stora investeringar ställs myndigheter ofta inför frågan om alla arbetsuppgifter bör utföras inom den egna organisationen eller utkontrakteras. Utkontraktering kan innebära att myndigheter visserligen effektiviserar men att de samtidigt förlorar kontrollen över vem som har åtkomst till skyddsvärd information. Även åt- komst till den egna informationen kan försvåras. Samtidigt medför utkontraktering en risk för att kompetens försvinner.

En utgångspunkt i allt säkerhetsskyddsarbete är att säkerkänsliga uppgifter ska ha samma nivå av skydd oavsett i vilken verksamhet de förekommer. För att bibehålla ett högt säkerhetsskydd vid utkon- traktering av säkerhetskänslig verksamhet krävs därför en förbered- ande säkerhetsskyddsanalys. Det krävs också insikt om den egna verksamhetens nationella betydelse och beroendeförhållanden. I varje enskilt fall finns det dessutom anledning att bedöma om det över huvud taget är lämpligt att utkontraktera verksamheten.

6Säkerhetspolisens skrivelse den 1 september 2017 med diarienummer 845897 och Försvars- maktens skrivelse den 25 augusti 2017 med diarienummer FM2017-15532:2.

177

Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...

SOU 2018:82

Stora konsekvenser kan uppstå när it-drift läggs ut hos privata företag. Utkontraktering kan innebära att flera kunders system och information samlas i samma lagringsmedium eller lagringsmiljö, vilket innebär en ökad exponering.

Vissa företag ser ett bra säkerhetsarbete som en konkurrensfördel och satsar därför resurser på säkerhet. Andra företag har inga incitament för att investera i säkerhetshöjande åtgärder som ofta är kostsamma och produktionshämmande.

Även i den nationella säkerhetsstrategin understryks att digi- taliseringen har påverkan på Sveriges säkerhet.7 I säkerhetsstrategin nämns att digitaliseringen medför risker och hot som är förknippade med några av de mest komplexa säkerhetsutmaningarna. Som exem- pel anges antagonistiska hot som informationsoperationer och elek- troniska angrepp mot skyddsvärda informations- och kommunikations- system, t.ex. i form av dataintrång, sabotage eller spionage.

6.4.2Verksamhetsutövare tillämpar inte säkerhetsskyddslagen

I betänkandet En ny säkerhetsskyddslag (SOU 2015:25) anges att det antagligen finns verksamheter av stor betydelse för Sveriges säkerhet som över huvud taget inte tillämpar säkerhetsskyddslagstiftningen (s. 477). Bilden stöds av det som framkommit under våra möten med myndigheter, enskilda och utredningens experter. Den stöds också av en enkät som tidningen Dagens samhälle låtit göra.8 Enligt enkäten hade 118 av 165 kommuner som svarade på enkäten över huvud taget inte gjort någon säkerhetsanalys (numera säkerhets- skyddsanalys, jfr 5 § gamla säkerhetsskyddsförordningen och 2 kap. 1 § första stycket nya säkerhetsskyddslagen). Resultatet är anmärk- ningsvärt eftersom samtliga kommuner enligt 3 och 5 §§ gamla säkerhetsskyddsförordningen ska undersöka vilka uppgifter i deras verksamhet som ska hållas hemliga med hänsyn till rikets säkerhet och vilka anläggningar som kräver säkerhetsskydd. I artikeln i Dagens samhälle ges också exempel på utkontraktering som inte föregåtts av någon säkerhetsanalys. Med hänsyn till det anförda utgår vi i våra

7Nationell säkerhetsstrategi, Statsrådsberedningen 2017 s. 17–20.

8Kleja, Dagens samhälle, Dålig koll på känsliga uppgifter i kommuner, publicerad den 5 oktober 2017.

178

SOU 2018:82

Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...

överväganden ifrån att det finns säkerhetskänsliga verksamheter som inte tillämpar reglerna om säkerhetsskydd.

Att verksamhetsutövare som bedriver säkerhetskänslig verk- samhet inte tillämpar säkerhetsskyddslagstiftningen är i sig allvarligt eftersom det innebär en sårbarhet för de värden som lagstiftningen ska skydda. Inte minst innebär det en överhängande risk för att man inte gör en säkerhetsskyddsanalys, vilket i sin tur kan leda till brist- ande kunskap om de egna skyddsvärdena. Det framstår som särskilt allvarligt med brister i tillämpningen vid utkontraktering och upp- låtelse, eftersom säkerhetskänslig verksamhet och säkerhetsskydds- klassificerade uppgifter därigenom kan utsättas för ytterligare sår- barheteter. En utebliven eller bristande säkerhetsskyddsanalys kan leda till att verksamhet utkontrakteras eller andra slags förfaranden inleds i fall där det av säkerhetsskyddskäl inte borde ske. I andra fall kan det leda till att en i och för sig lämplig utkontraktering, upplåtelse eller något annat förfarande äger rum utan att det ingås ett säkerhetsskyddsavtal. Detta innebär givetvis en ökad risk för att motparten i avtalet inte vidtar de säkerhetsskyddsåtgärder som be- hövs, vilket kan leda till sårbarheter och skador för Sveriges säkerhet. Detsamma gäller om säkerhetsskyddsavtalet får ett bristfälligt inne- håll. Vi anser därför att det finns behov av förebyggande åtgärder som minimerar risken för att verksamhetsutövare som bedriver säkerhetskänslig verksamhet inte tillämpar säkerhetsskyddslagstift- ningen. Den omständigheten att den nya säkerhetsskyddslagen i större utsträckning än tidigare kommer att gälla för enskilda verk- samhetsutövare understryker enligt vår bedömning behovet av före- byggande åtgärder.

6.4.3Bristande kunskaper om egna skyddsvärden

En bild som tydligt framträtt under utredningens möten med experter, myndigheter och enskilda är att många verksamhetsutövare saknar tillräcklig kunskap om vilka skyddsvärden som finns i den egna verksamheten. Sådana brister har ofta blivit synliga inför och under utkontrakteringar. Säkerhetspolisen har bland annat observerat att det har förekommit utkontraktering av säkerhetskänslig verksamhet utan säkerhetsskyddsavtal, att säkerhetsskyddet vid utkontraktering har dimensionerats på fel sätt och att verksamhetsutövare har saknat

179

Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...

SOU 2018:82

kunskap om verksamhetens roll i samhället, dess betydelse för Sveriges säkerhet och om beroenden mellan den utkontrakterade verksam- heten och annan verksamhet av betydelse för Sveriges säkerhet. Iakttagelsen att det finns brister i det interna säkerhetsskyddsarbetet inför utkontrakteringar bekräftas i Säkerhetspolisens rapport om säkerhetsskyddet hos myndigheter med höga skyddsvärden.9

Bristerna kan enligt vår mening i stor utsträckning härledas till bristande kunskaper om den egna verksamhetens skyddsvärden. Vi har sett exempel på verksamhetsutövare som inte känt till vilka känsliga uppgifter som hanterats i verksamheten. Vi har också sett exempel på verksamhetsutövare som inte varit medvetna om vilka beroenden som finns till den egna verksamheten och hur dessa beroenden påverkar Sveriges säkerhet. Sådana brister utgör enligt vår bedömning ett påtagligt problem vid utkontrakteringar eftersom kunskap om egna skyddsvärden är en förutsättning för att verksam- hetsutövaren ska kunna formulera krav på hur leverantören ska till- godose kraven på säkerhetsskydd. Som har framgått av våra resone- mang i kapitel 5 menar vi att det är lika viktigt att ställa sådana krav även i många andra situationer där säkerhetsskyddsklassificerade uppgifter och i övrigt säkerhetskänslig verksamhet exponeras för någon utomstående genom t.ex. ett avtal om en upplåtelse eller något annat samarbete. Vi har därför föreslagit att skyldigheten att ingå säkerhetsskyddsavtal utvidgas till fler sådana situationer. Kun- skap om egna skyddsvärden är då en förutsättning för att säkerhets- skyddsavtalet ska få ett lämpligt innehåll som tillgodoser kraven på säkerhetsskydd.

Vår bedömning att bristande kunskaper om skyddsvärden utgör ett problem vid bl.a. utkontrakteringar får även stöd av den gransk- ning som gjorts av Transportstyrelsens upphandling av it-drift som presenterades i promemorian Granskningen av Transportstyrelsens upphandling av it-drift (Ds 2018:6). En av slutsatserna av gransk- ningen var att den helt grundläggande orsaken till att Transport- styrelsens upphandling kom att leda till ett röjande av uppgifter om rikets säkerhet och en bristfällig hantering av känsliga personupp- gifter var att man i allt för hög grad saknade relevant kunskap om vilken information myndigheten hade, kännedom om hur denna

9Säkerhetspolisens rapport Säkerhetsskydd hos myndigheter med mest skyddsvärd verksamhet s. 4, dnr 2017-25007-5.

180

SOU 2018:82

Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...

information hanterades och vilka krav som ställdes på informations- hanteringen (s. 220).

Det förekommer att skyddsvärden i och för sig genereras hos leverantörer men ändå är en del av beställarens verksamhet. Flera enskilda aktörer har till utredningen framfört att de för myndig- heters räkning skapar skyddsvärden, antingen direkt eller över tid genom exempelvis aggregering av uppgifter. Enligt dessa enskilda aktörer saknas det dock såväl kunskap som intresse hos myndig- heterna för denna typ av skyddsvärden. Även detta kan leda till att uppgifter får ett otillräckligt skydd vid utkontraktering. Problemet kan förväntas öka, eftersom den tekniska utvecklingen har skapat möjligheter att dela, inhämta, sammanställa och analysera uppgifter på ett sätt som tidigare varit omöjligt. Ur ett säkerhetsskydds- perspektiv är det mycket problematiskt att verksamhetsutövare som utkontrakterat en del av sin verksamhet inte följer sina skyddsvärden och upprätthåller kunskap om i vilka sammanhang uppgifterna används eller hur de skyddas.

Med hänsyn till det anförda bedömer vi att det behöver införas förebyggande åtgärder som syftar till att höja verksamhetsutövarnas kunskap om egna skyddsvärden. Detta är inte bara viktigt för att förebygga negativa konsekvenser vid utkontraktering utan också vid upplåtelser, upphandlingar och andra förfaranden där utomstående får tillgång till säkerhetsskyddsklassificerade uppgifter eller i övrigt säkerhetskänslig verksamhet.

6.4.4Bristande eller utebliven bedömning av lämpligheten

En samhällsförändring som har haft stor inverkan på säkerhets- skyddet är avregleringen av offentlig verksamhet. De senaste decen- niernas konkurrensutsättningar har medfört att verksamheter som rör Sveriges säkerhet i relativt stor utsträckning bedrivs i enskild regi. Samtidigt innebär den tekniska utvecklingen i förening med kraven på effektivitet och hushållning med statens resurser att offent- liga verksamheter i större utsträckning ställts inför frågan om alla delar av verksamheten bör utföras inom den egna organisationen eller om tjänster i stället ska utföras av andra. Utkontraktering av it-

181

Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...

SOU 2018:82

verksamhet nämns ofta som en möjlighet för att minska verksam- heters kostnader.10

Vi har vid flera tillfällen uppmärksammats på att det förekommer att myndigheter mer eller mindre tar för givet att delar av deras verksamheter ska utkontrakteras, utan att myndigheterna dessför- innan har prövat det lämpliga i att utkontraktera säkerhetskänslig verksamhet. Denna bild bekräftas av Upphandlingsmyndigheten, som till utredningen har framfört att om säkerhetsfrågor över huvud taget tas upp med dem så sker det nästan alltid efter att de upphand- lande myndigheterna redan har fattat beslut om konkurrensutsättning. Samma bild framträder också i granskningen av Transportstyrelsens upphandling av it-drift (Ds 2018:6). I promemorian dras nämligen slutsatsen att Transportstyrelsen inte hade gjort ett tillfredsställande arbete med informationsklassning, säkerhetsanalys och dokumenta- tion av it-system vid tidpunkten då upphandlingen inleddes. Dess- utom saknade myndighetens it-försörjningsstrategi allmänna över- väganden om lämpligheten att utkontraktera verksamhet, och strategin behandlade inte heller säkerhetsfrågor. Fokus låg i stället på effek- tivitet, kostnader och utvecklingspotential (s. 225).

Det är uppenbart att säkerhetskänslig verksamhet, och i förläng- ningen Sveriges säkerhet, kan äventyras när säkerhetsfrågor får en så undanskymd roll som beskrivits ovan. Den centrala fråga som inte besvaras om någon lämplighetensprövning inte genomförs är om det alls är möjligt för leverantören att upprätthålla skyddet av den säker- hetskänsliga verksamheten och de säkerhetsskyddsklassificerade uppgifterna vid en utkontraktering. Det kan finnas verksamheter där det aldrig är lämpligt med en utkontraktering av t.ex. it-driften eller där bara begränsade delar kan utkontrakteras. Det finns också en risk för att man utelämnar frågan hur beställaren ska kunna följa sina skyddsvärden när utkontrakteringen väl är inledd.

För att vi ska kunna föreslå lämpliga förebyggande åtgärder vid utkontraktering har vi försökt att konkretisera några av de problem som enligt vår bedömning förklarar varför lämpligheten att utkon- traktera säkerhetskänslig verksamhet har fått en så undanskymd roll i offentligt drivna verksamheter. Problembeskrivningen bygger på vad som framkommit i våra möten med experter, myndigheter och enskilda. Vi ser i huvudsak följande problem.

10Riksrevisionens rapport IT inom statsförvaltningen – har myndigheterna på ett rimligt sätt prövat frågan om outsourcing bidrar till ökad effektivitet? (RiR 2011:4) s. 14.

182

SOU 2018:82

Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...

1.Verksamhetsutövare har otillräcklig kunskap om verksamhetens egna skyddsvärden, vilket vi har behandlat i avsnitt 6.4.3. Vi be- dömer att bristande kunskap om egna skyddsvärden bidrar till att beslut om utkontraktering fattas på undermåliga underlag.

2.Verksamhetsutövare har otillräcklig kunskap om utkontraktering när det gäller internationella förhållanden. Det handlar enligt vår mening om i huvudsak två problem.

a)För det första saknas det kunskap om leverantörsförhållanden och regelverken om upphandling. Vi syftar här på att mark- naden, inte minst när det gäller it-tjänster, är internationell och att många leverantörer erbjuder tjänster som utförs i olika länder för att vara konkurrenskraftiga. Vi syftar även på att upphandlingslagstiftningen tar sikte på hela den inre mark- naden i Europeiska unionen och att diskriminering av leveran- törer på grund av nationalitet är förbjudet. Detta problem illustrerades i granskningen av Transportstyrelsens upphand- ling av it-drift (Ds 2018:6). En av iakttagelserna vid gransk- ningen var nämligen att Transportstyrelsen hade svårt att besvara anbudsgivarnas frågor om eventuella restriktioner för leveransmodeller och att Transportstyrelsen därmed öppnade upp för leverans med utländska underleverantörer (s. 142). En annan iakttagelse var att det inte från början stod klart för Transportstyrelsen att leveransen faktiskt omfattade utländska leverantörer (s. 101).

b)Det andra problemet handlar om okunskap om hur säkerhets- skyddet fungerar i ett internationellt sammanhang. Vi tänker då framför allt på att flera viktiga verktyg går förlorade eller får begränsad betydelse när leverantören verkar utanför Sverige; underlaget för personalkontroll blir kraftigt begränsat, möjlig- heten att utöva kontroll och utnyttja maktbefogenheter faller bort och det blir svårare att bedöma hotbilden mot den säker- hetskänsliga verksamheten som utkontrakterats. Även detta problem illustrerades i Ds 2018:6, där det konstaterades att det dröjde lång tid innan Transportstyrelsen insåg att register- kontroll av utländska medborgare som arbetar i utlandet inte kunde genomföras på ett meningsfullt sätt (s. 228).

183

Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...

SOU 2018:82

3.I den mån det finns kunskap om verksamhetens skyddsvärden når kunskapen inte alltid fram till rätt funktion inom organisa- tionen. Vår bild är att beslut om utkontraktering ofta fattas på en hög nivå inom organisationen. Ofta saknas det ett naturligt sam- spel mellan funktionen som äger frågan om utkontraktering och säkerhetsfunktionen. Vi anser att det är av högsta vikt att infor- mation om verksamhetens skyddsvärden och överväganden om säkerhetsskyddet alltid ingår i underlaget inför beslut om utkon- traktering.

4.Vår bild är att myndigheter inför beslut om utkontraktering ofta ställs inför målkonflikter där andra krav regelmässigt överordnas säkerhetsskyddet. Ett annat sätt att uttrycka det är att effektivi- sering och kostnadsbesparingar nästan alltid tillmäts betydligt större värde än säkerhetsskyddet. Offentligt drivna verksamheter har generellt en hög kostnadsmedvetenhet men betydligt lägre medvetenhet när det kommer till konsekvenserna av bristande säkerhet. I granskningen av Transportstyrelsens upphandling av it-drift (Ds 2018:6) beskrivs Transportstyrelsen som en myndig- het där man upplevt sig ha stränga besparings- och effektivi- seringskrav och där synpunkter som gått på tvärs med dessa am- bitioner haft svårt att vinna gehör (s. 231). Vi anser att det är en beskrivning som kan appliceras på fler myndigheter och som väl beskriver de spänningsförhållanden som ofta uppstår inför beslut om utkontraktering.

5.Många verksamhetsutövare upplever att de inte får tillräckligt stöd när det kommer till utkontraktering och andra externa kon- takter som rör den säkerhetskänsliga verksamheten.

I våra resonemang ovan har vi framför allt utgått från offentligt driv- na verksamheter. Vi ser dock att de problem som har uppmärk- sammats lika väl kan uppstå i säkerhetskänsliga verksamheter som bedrivs i enskild regi. Det finns därmed behov av förebyggande åt- gärder i ovanstående avseenden för såväl enskilda som offentliga verksamhetsutövare. Vi ser även att en bristande prövning av lämp- ligheten kan ha allvarliga negativa konsekvenser i samband med andra förfaranden än utkontraktering, t.ex. vid vissa upplåtelser och upp- handlingar där utomstående på något sätt får tillgång till den säker- hetskänsliga verksamheten.

184

SOU 2018:82

Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...

6.4.5Brister i arbetet med säkerhetsskyddsavtal

Under utredningens gång har vi träffat enskilda aktörer som har slutit ett stort antal säkerhetsskyddsavtal med myndigheter. Det har vid dessa möten framkommit att det finns brister både när det gäller processen som leder fram till säkerhetsskyddsavtal och i avtalens innehåll.

När det gäller processen som leder fram till säkerhetsskydds- avtalet har flera enskilda aktörer berättat att det saknas en dialog om vad som är skyddsvärt i uppdragen och att de i vissa fall – för att få sluta ett affärsavtal – måste godkänna säkerhetsskyddsavtal där det inte framgår vad som ska skyddas. Det har vidare framkommit att det ofta förs kontinuerliga dialoger om vad affärsavtalet ska innehålla men att det inte sker någon dialog om säkerhetsskyddsavtalet. Ibland tecknas till och med affärsavtalet före säkerhetsskyddsavtalet. De enskilda aktörerna har betonat vikten av att gemensamt med beställ- aren hitta ett adekvat skydd.

När det gäller brister i säkerhetsskyddsavtalen så har det under våra samtal med enskilda aktörer framkommit att arbetet med säkerhetsskyddsavtal ofta får slagsida mot administrativt arbete på bekostnad av säkerhetsskyddsavtalens innehåll. Detta problem har uttryckts som att arbetet med säkerhetsskyddsavtal till allra största delen består av dokumenthantering och bara till mindre del handlar om vad som ska uppnås med avtalet. Det kan bland annat visa sig genom att säkerhetsskyddsavtal i stora drag följer framtagna mallar, med följd att de krav som ställs på leverantören blir mycket allmänt hållna. Vi har vidare fått exempel på att det i säkerhetsskyddsavtal förekommit hänvisningar till bilagor om skyddsvärden, men att bi- lagorna aldrig fyllts med något innehåll.

Om leverantörer inte får delta i processen som leder fram till säkerhetsskyddsavtalet kan det leda till att leverantörens säkerhets- skyddsåtgärder blir otillräckliga eller missriktade på grund av brist- ande kunskap om de skyddsvärden som förekommer i utkontrak- teringen. Det kan i sin tur leda till att den säkerhetskänsliga verksamhet som utkontrakteras skadas. Det innebär också att utkontrakteringar kan stå i strid med säkerhetsskyddslagens grundläggande princip att skyddet för det skyddsvärda bör vara detsamma oavsett i vilken verksamhet det skyddsvärda förekommer. Detsamma gäller om

185

Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...

SOU 2018:82

säkerhetsskyddsavtalet av någon annan orsak får ett otillräckligt innehåll som inte har anpassats efter behoven i det enskilda fallet.

Uppgiften att säkerhetsskyddsavtal ibland tecknas efter att affärs- avtal har ingåtts är oroande eftersom det kan innebära att det inte finns ett tillfredsställande skydd när leverantören får tillgång till säkerhetsskyddsklassificerade uppgifter eller i övrigt säkerhetskäns- lig verksamhet. I enstaka fall kan det visserligen vara så att behovet av ett säkerhetsskyddsavtal uppkommer först efter att affärsavtalet slutits. Men under alla förhållanden måste säkerhetsskyddsavtalet senast ha ingåtts innan den utomstående parten har fått del av de säkerhetsskyddsklassificerade uppgifterna eller tillgång till den säker- hetskänsliga verksamheten i övrigt.

De problem som har utvecklats i det föregående har inte bara betydelse vid utkontraktering utan i alla situationer där det före- ligger en skyldighet att ingå säkerhetsskyddsavtal. Som har framgått av våra överväganden i kapitel 5 anser vi att denna skyldighet bör ut- vidgas så att den inte bara träffar upphandling utan också andra förfaranden där säkerhetsskyddsklassificerade uppgifter och i övrigt säkerhetskänslig verksamhet exponeras för någon utomstående part.

6.4.6Bristande eller utebliven uppföljning

Avtalsslutande myndigheter är enligt 41 § gamla säkerhetsskydds- förordningen skyldiga att kontrollera säkerhetsskyddet hos anbuds- givare och leverantörer som man träffat säkerhetsskyddsavtal med. Den generella bild som tillsynsmyndigheter och utredningens experter har förmedlat till oss är att många verksamhetsutövare trots detta inte följer upp om leverantören tillgodoser kraven på säkerhetsskydd efter en utkontraktering. Vi har fått exempel på myndigheter som i praktiken har avhänt sig möjligheten att kontrollera den funktion som har utkontrakterats och som har haft uppfattningen att leve- rantören har tagit över ansvaret för säkerhetsskyddet. I samman- träden med enskilda verksamhetsutövare har det beskrivits för oss hur myndighetens säkerhetsskyddsarbete har avstannat så snart ett affärsavtal har ingåtts. Andra enskilda har upplevt att det har funnits ett stort fokus på pappersarbete i början av upphandlingsprocessen men att det inte har skett någon reell uppföljning av om leverantören har uppfyllt sina åtaganden enligt de avtal som tecknats.

186

SOU 2018:82

Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...

Bristande eller utebliven uppföljning kan i värsta fall få mycket allvarliga konsekvenser för Sveriges säkerhet eftersom det utan en sådan kontroll inte är möjligt att slå fast om leverantören verkligen lever upp till sina skyldigheter när det gäller att skydda den säker- hetskänsliga verksamheten.

För att de förebyggande åtgärder som vi ska föreslå ska vara så verkningsfulla som möjligt behöver vi i möjligaste mån identifiera vilka konkreta problem som kan tänkas förklara varför så många myn- digheter brister i sin uppföljning av utkontrakteringar. Ett centralt problem är enligt vår bedömning att många myndigheter verkar ha utgått från att ansvaret för att upprätthålla ett väl anpassat säker- hetsskydd övergår från myndigheten till den leverantör som åtar sig utkontrakteringen. Att en del av den egna verksamheten bedrivs av någon annan ses felaktigt som synonymt med att ansvaret för denna verksamhetsdel övergår. Ett annat problem som vi tror kan förklara bristande uppföljning är att beställare uppfattar att säkerhetsskydds- arbetet i princip är avklarat när ett säkerhetsskyddsavtal har slutits och att beställare därför inte avsätter tid för att kontrollera att leverantören uppfyller sina åtaganden. En sådan uppfattning får också till följd att beställaren kan komma att bortse från vilka åtgärder som måste vidtas när leverantörens uppdrag är avklarat, till exempel att återlämna hemliga handlingar eller att försäkra sig om att behörig- heter till it-system tas bort.

En konsekvens av den bristande uppföljningen är att verksam- hetsutövaren kan komma att sakna kunskap om hur det skyddsvärda som ingår i utkontrakteringen hanteras och sprids. Det kan bli så att verksamhetsutövaren inte längre kan spåra en eventuell spridning av säkerhetsskyddsklassificerade uppgifter. Vi har i avsnitt 6.4.3 upp- märksammat att det också kan skapas skyddsvärden hos leveran- tören.

Ovanstående beskrivning av bristande eller utebliven uppföljning utgår från att en utkontraktering har skett genom en upphandlings- process och att det har ingåtts ett säkerhetsskyddsavtal. Det kan dock även finnas situationer där det enligt gällande reglering inte finns någon skyldighet att ingå säkerhetsskyddsavtal, men där det ändå är viktigt med uppföljning. Ett exempel kan vara verksamhets- utövare som upplåter en lokal till en utomstående aktör, som därigenom får tillgång till den säkerhetskänsliga verksamheten. Vi

187

Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...

SOU 2018:82

har i avsnitt 5.4 föreslagit att skyldigheten att ingå säkerhetsskydds- avtal utvidgas till att bl.a. sådana situationer.

6.4.7Svårigheter att pröva leverantörens lämplighet

Vid utkontraktering av säkerhetskänslig verksamhet är det viktigt att leverantören är lämplig från säkerhetsskyddssynpunkt. Detsamma gäller vid alla upphandlingar och andra förfaranden som innebär att någon utomstående får tillgång till säkerhetsskyddsklassificerade uppgifter eller i övrigt till den säkerhetskänsliga verksamheten. Betydelsen av att lämpligheten kan granskas illustreras bl.a. i Säker- hetspolisens årsbok för 2017, där det framgår att det förekommer att andra stater försöker påverka Sveriges politiska beslutsfattande genom att försöka vinna upphandlingar hos svenska myndigheter.11 För- svarsmakten har bl.a. beskrivit att främmande makt i vissa fall an- vänder företag som en till synes legitim fasad för underrättelse- verksamhet.12 Möjligheterna att inför utkontrakteringar och andra förfaranden granska leverantörens lämplighet har alltså stor bety- delse för säkerhetsskyddet.

En faktor som påverkar möjligheten att granska leverantörers lämplighet är hur företag väljer att organisera sin verksamhet. I dag är det inte ovanligt att tjänsteleverantörer är en del av internationella koncerner. Det kan medföra att den tjänst som upphandlas i Sverige helt eller delvis kan utföras i ett annat land. Det är också vanligt att leverantörer i sin tur anlitar underleverantörer som bedriver sin verksamhet på annan ort. Även om det i och för sig anses föreligga en skyldighet för verksamhetsutövaren att ingå säkerhetsskyddsavtal med eventuella underleverantörer kan ovanstående leda till att det blir svårare att ta reda på vilka personer och intressen som äger eller på annat sätt kontrollerar leverantörer. Motsvarande begränsningar aktualiseras även när det handlar om att bedöma lämpligheten av att upplåta hela eller delar av den säkerhetskänsliga verksamheten till en enskild aktör, t.ex. upplåtelse av lokaler eller immateriella rättig- heter. Begränsningarna gör sig också gällande i andra situationer där en verksamhetsutövare avser att ge någon utomstående aktör tillgång till verksamheten eller säkerhetsskyddsklassificerade uppgifter.

11Säkerhetspolisens årsbok 2017 s. 50.

12Försvarsmaktens skrivelse den 25 augusti 2017 med diarienummer FM2017-15532:2.

188

SOU 2018:82

Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...

Ovanstående leder oss till bedömningen att behovet av att kunna kontrollera leverantörers lämplighet har ökat. Samtidigt är säker- hetsskyddsregleringen enligt vår mening inte alldeles klar när det gäller vilken skyldighet verksamhetsutövare har att göra en lämplig- hetsprövning.

6.4.8Begränsade möjligheter att ingripa

I16 a § gamla säkerhetsskyddsförordningen respektive 2 kap. 6 § nya säkerhetsskyddsförordningen finns det ett krav på samråd och en möjlighet för Säkerhetspolisen och Försvarsmakten att vägra en planerad utkontraktering eller annan upphandling i vissa fall (se av- snitt 6.3.2). Möjligheten gäller dock bara vid vissa upphandlingar som görs av statliga myndigheter och innebär ingen möjlighet till ingripande mot enskilda verksamhetsutövare.

Säkerhetsskyddsregleringen ger inte heller några verktyg för att ingripa i en pågående utkontraktering när säkerhetsskyddsklassi- ficerade uppgifter eller i övrigt säkerhetskänslig verksamhet är sår- bara eller utsatta för hot.

Möjligheten att ingripa i ett ansträngt läge berördes i gransk- ningen av Transportstyrelsens upphandling av it-drift (Ds 2018:6). I rapporten angavs att Säkerhetspolisen informerades om Transport- styrelsens beslut att göra avsteg från gällande lagstiftning ungefär samtidigt som personal hos leverantören började få behörighet med priviligierad åtkomst till Transportstyrelsens it-system (s. 152, 167, 168 och 183). Säkerhetspolisen inledde tillsyn hos Transportstyrel- sen och skickade senare en rekommendation om att omedelbart vidta säkerhetsskyddshöjande åtgärder och att säkerställa att hemliga uppgifter inte kom obehöriga till handa (s. 187). Några andra möjlig- heter än att i skarpa ordalag rekommendera Transportstyrelsen att vidta åtgärder hade Säkerhetspolisen inte (s. 189). Transportstyrelsen ansåg det dock inte som realistiskt att avbryta utkontrakteringen (s. 188). Utredningens underlag tydde på att Transportstyrelsen inte kom igång med konkreta och systematiska åtgärder förrän ungefär ett och ett halvt år efter att Säkerhetspolisen informerades om Transport- styrelsens beslut om avsteg (s. 193).

189

Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...

SOU 2018:82

Bristen på möjligheter att ingripa i efterhand innebär i praktiken att det i många fall står verksamhetsutövaren fritt att välja om till- synsmyndigheternas rekommendationer ska följas eller inte. Inför- andet av kravet på samråd och möjligheten för Säkerhetspolisen och Försvarsmakten att vägra upphandling i vissa fall genom 16 a § gamla säkerhetsskyddsförordningen respektive 2 kap. 6 § nya säkerhets- skyddsförordningen tillgodoser endast delar av problemet. Till att börja med gäller bestämmelserna bara för statliga myndigheters upphandlingar. Vidare kan även en utkontraktering som har genom- gått kontroll vid ett senare tillfälle visa sig olämplig från säkerhets- skyddssynpunkt. Det kan ske t.ex. när säkerhetskänsliga verksam- heter ändrar karaktär, när hotbilder förändras eller när den tekniska utvecklingen ändrar förutsättningarna. Även förändrade ägarförhåll- anden på leverantörssidan kan innebära att utkontrakteringen inte längre är lämplig. Om det i en sådan situation finns olika uppfatt- ningar om allvaret i situationen eller vilka åtgärder som behöver vidtas så är det fortfarande upp till verksamhetsutövaren att avgöra om tillsynsmyndighetens rekommendationer ska följas, oavsett hur allvarlig den potentiella skadan för Sveriges säkerhet är.

De problem som beskrivits i detta avsnitt är inte begränsade till utkontraktering, utan kan även aktualiseras vid t.ex. andra upphand- lingar, upplåtelser av någon del av säkerhetskänslig verksamhet eller andra förfaranden där någon utomstående får tillgång till säkerhets- skyddsklassificerade uppgifter eller i övrigt till den säkerhetskänsliga verksamheten.

6.5Inledning till våra överväganden om förebyggande åtgärder

Vi har i avsnitt 6.4 redovisat de problem som framkommit när det gäller utkontraktering av säkerhetskänslig verksamhet. Där har vi bl.a. konstaterat att teknikutvecklingen i sig har medfört en ökad sårbarhet. Därutöver har vi identifierat sju huvudsakliga brister och problem. Dessa är följande.

1.Det finns verksamhetsutövare som inte tillämpar säkerhetsskydds- lagen (problem 1).

190

SOU 2018:82

Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...

2.Många verksamhetsutövare har bristande kunskap om egna skydds- värden, inbegripet verksamhetens roll för Sveriges säkerhet och beroenden mellan verksamheten och andra verksamheter med betydelse för Sveriges säkerhet (problem 2).

3.Utkontraktering sker i vissa fall utan en tillräcklig bedömning av om det är lämpligt (problem 3).

4.Det förekommer att säkerhetsskyddsavtalen är bristfälliga (pro- blem 4).

5.Det förekommer att uppföljningen av utkontraktering brister eller uteblir helt (problem 5).

6.Möjligheterna att pröva leverantörens lämplighet är begränsade (problem 6).

7.De rättsliga möjligheterna att ingripa är otillräckliga när en pla- nerad utkontraktering är olämplig från säkerhetsskyddssynpunkt eller en påbörjad eller pågående utkontraktering eller upplåtelse blir olämplig på grund av ändrade förhållanden (problem 7).

Vår bedömning är att samtliga dessa brister och problem är sådana att det finns ett behov av förebyggande åtgärder. Vi konstaterar vidare att bristerna kan aktualiseras även i andra sammanhang än vid ut- kontraktering, t.ex. i samband med vissa upplåtelser och andra för- faranden där utomstående aktörer involveras i den säkerhetskänsliga verksamheten.

6.5.1Inriktning på våra överväganden

Bedömning: De förebyggande åtgärder som införs bör inte vara knutna till den rättsliga rubriken på ett visst förfarande, t.ex. utkontraktering, utan bör i stället knytas till om förfarandet inne- bär att säkerhetsskyddsklassificerade uppgifter eller i övrigt säker- hetskänslig verksamhet exponeras för någon utomstående. Vissa åtgärder för att generellt stärka säkerhetsskyddet i centrala av- seenden bör övervägas.

191

Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...

SOU 2018:82

Förhållandet till våra förslag om säkerhetsskyddsavtal

Vi har bl.a. fått i uppgift att utreda vilka ytterligare åtgärder som skulle kunna vidtas för att komma till rätta med de negativa konse- kvenser för Sveriges säkerhet som utkontraktering och upplåtelse av säkerhetskänslig verksamhet kan innebära. Genom tilläggsdirektiv har vi också fått i uppgift att analysera och föreslå i vilken ut- sträckning verksamhetsutövare ska vara skyldiga att ingå säkerhets- skyddsavtal vid överenskommelser med utomstående som berör den säkerhetskänsliga verksamheten. Vi har redovisat våra överväganden om säkerhetsskyddsavtal i kapitel 5 och där föreslagit en bred ansats, där skyldigheten att ingå säkerhetsskyddsavtal omfattar betydligt fler fall än i dag. Som vi har angett i avsnitt 6.1 anser vi att dessa två delar av uppdraget måste ses som en helhet, mot bakgrund av det övergripande syftet med vårt utredningsuppdrag som är att stärka förmågan att effektivt och samordnat förebygga och möta omedel- bara hot mot och utmaningar för Sveriges säkerhet.

Utgångspunkten för våra förslag om en utvidgad skyldighet att ingå säkerhetsskyddsavtal är att det bör krävas ett säkerhetsskydds- avtal när den som bedriver säkerhetskänslig verksamhet inleder ett förfarande som innebär att någon utomstående kan få tillgång till uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller i övrigt till säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet. Med ett samlat uttryck har vi beskrivit detta som att uppgifterna eller verksamheten exponeras för någon utomstå- ende. Vi har med hänsyn till den utgångspunkten föreslagit att man i reglerna slopar kopplingen till upphandling och andra anskaff- ningar, och i stället fokuserar på om uppgifter eller verksamhet i övrigt exponeras. Det blir då de möjliga negativa konsekvenserna av ett visst förfarande som står i centrum, och inte den rättsliga rub- riken på förfarandet. Ett motiv till förslaget är att det finns situa- tioner där det kan finnas ett lika stort behov av säkerhetsskydds- åtgärder hos motparten som vid en anskaffning. Ett annat motiv är att behovet av säkerhetsskydd inte behöver vara kopplat till att verksamhetsutövaren är just beställare.

Om våra förslag i kapitel 5 genomförs, kommer kravet på säker- hetsskyddsavtal att träffa betydligt fler fall, och i princip omfatta alla slags avtal och samarbeten och all slags samverkan, förutsatt att förfarandet innebär en exponering för någon utomstående part av

192

SOU 2018:82

Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...

uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller i övrigt säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet. Därigenom kommer bl.a. upplåtelser att omfattas, om förutsättningarna i övrigt är uppfyllda. Kravet på säkerhets- skyddsavtal kommer också att gälla vid olika former av samverkan, t.ex. mellan myndigheter och enskilda. Det föreslås däremot inte gälla vid samverkan och samarbete mellan två eller flera statliga myn- digheter som rör något annat än en viss anskaffning.

Våra överväganden i detta kapitel måste ses mot bakgrund av förslagen i kapitel 5. De förebyggande åtgärder som föreslås i det här kapitlet är med andra ord tänkta att komplettera reglerna om säker- hetsskyddsavtal med andra typer av förebyggande åtgärder.

Våra överväganden om förebyggande åtgärder begränsas inte till utkontraktering och upplåtelse

Vår kartläggning visar att de problem som aktualiseras vid utkon- traktering också aktualiseras vid andra slags förfaranden, t.ex. vissa upplåtelser och upphandlingar. Som vi har angett tidigare, bör man enligt vår mening betrakta vårt uppdrag som en helhet, där uppgiften att överväga ändringar i fråga om skyldigheten att ingå säkerhets- skyddsavtal ingår. Vi anser därför att det finns starka skäl för att man

–så som vi gjort i fråga om säkerhetsskyddsavtal – väljer en bred ansats och i regleringen utgår från om ett visst förfarande medför en exponering av säkerhetsskyddsklassificerade uppgifter eller säkerhets- känslig verksamhet i övrigt. Ett sådant angreppssätt skulle innebära att de förebyggande åtgärderna inte begränsas till utkontraktering och upplåtelse. Det finns också andra tungt vägande skäl för detta.

Ett skäl som talar för en bred ansats är att det kan finnas andra situationer än just utkontraktering och upplåtelse som medför mot- svarande konsekvenser ur säkerhetsskyddsperspektiv. Det är svårt att förutse precis vilka situationer det kan handla om, men man kan t.ex. tänka sig forskningssamarbeten och vissa anskaffningar som kan vara väl så känsliga som en utkontraktering. Behovet av att verksamhetsutövaren, utifrån en gedigen kunskap om de egna skydds- värdena, bl.a. överväger om förfarandet är lämpligt och vidtar lämp- liga åtgärder för att skydda dessa värden, kan vara lika stort som vid en utkontraktering eller upplåtelse. Som vi ser det kan det innebära en aktualisering av de flesta av de problem som vi har identifierat