Regeringens proposition 2020/21:194

Ett starkare skydd för Sveriges säkerhet Prop.
  2020/21:194

Regeringen överlämnar denna proposition till riksdagen.

Stockholm den 20 maj 2021

Stefan Löfven

Mikael Damberg (Justitiedepartementet)

Propositionens huvudsakliga innehåll

För att stärka skyddet för Sveriges säkerhet föreslår regeringen ändringar i säkerhetsskyddslagen. Ändringarna innebär bl.a. följande:

Säkerhetsskyddschefer ska ha en mer framträdande roll i säkerhetsskyddsarbetet.

Verksamhetsutövare ska ingå säkerhetsskyddsavtal i fler situationer som innebär att en annan aktör kan få tillgång till den säkerhetskänsliga verksamheten.

Verksamhetsutövare ska göra en särskild säkerhetsskyddsbedömning och pröva lämpligheten av utkontrakteringar och liknande förfaranden som kräver säkerhetsskyddsavtal, samt i vissa fall samråda med tillsynsmyndigheten. Om ett förfarande är olämpligt ur säkerhetsskyddssynpunkt ska tillsynsmyndigheten få besluta att det inte får genomföras och även ingripa i ett pågående förfarande.

Tillsynsmyndigheterna får undersökningsbefogenheter och möjlighet att besluta vitesföreläggande och sanktionsavgift mot den som inte följer säkerhetsskyddslagstiftningens krav.

Förutom ändringar i säkerhetsskyddslagen föreslår regeringen följdändringar i två andra lagar. Lagändringarna föreslås träda i kraft den 1 december 2021.

1

Prop. 2020/21:194 Innehållsförteckning

1 Förslag till riksdagsbeslut ................................................................. 5
2 Lagtext .............................................................................................. 6
  2.1 Förslag till lag om ändring i säkerhetsskyddslagen  
    (2018:585) .......................................................................... 6
  2.2 Förslag till lag om ändring i lagen (2014:514) om  
    ansvar för vissa säkerhetsfrågor vid statsministerns  
    tjänstebostäder.................................................................. 16
  2.3 Förslag till lag om ändring i lagen (2019:109) om  
    säkerhetsskydd i riksdagen och dess myndigheter ........... 17
3 Ärendet och dess beredning ............................................................ 18
4 Skyddet för Sveriges säkerhet behöver stärkas ytterligare.............. 19
  4.1 Kort om säkerhetsskyddslagstiftningen............................ 19
  4.2 Det finns ett behov av att skärpa  
    säkerhetsskyddslagstiftningen .......................................... 21
5 Säkerhetsskyddschefens roll stärks ................................................. 22
6 Kravet på säkerhetsskyddsavtal utvidgas och förtydligas ............... 27
  6.1 Skyldigheten att ingå säkerhetsskyddsavtal utvidgas ....... 27
  6.2 Den utvidgade skyldigheten att ingå  
    säkerhetsskyddsavtal ska ha undantag.............................. 34
  6.3 Kopplingen mellan säkerhetsskyddsavtal  
    och säkerhetsprövning förtydligas.................................... 39
  6.4 Kraven på uppföljning av säkerhetsskyddsavtal  
    förtydligas ........................................................................ 40
7 Ytterligare åtgärder för att skydda säkerhetskänslig  
  verksamhet som exponeras för utomstående................................... 45
  7.1 Det finns behov av ytterligare åtgärder för att  
    hantera riskerna med utkontraktering och liknande  
    förfaranden ....................................................................... 45
  7.2 Krav på särskild säkerhetsskyddsbedömning och  
    egen lämplighetsprövning ................................................ 48
  7.3 En utvidgad skyldighet att samråda och en  
    förbudsmöjlighet införs .................................................... 54
  7.4 Möjlighet att ingripa i efterhand....................................... 64
  7.5 Förvaltningslagen bör gälla vid handläggningen.............. 68
  7.6 Förslagens förhållande till enskildas rättigheter och  
    friheter och proportionalitet.............................................. 69
    7.6.1 Egendomsskyddet och näringsfriheten ............ 69
    7.6.2 Ersättning för rådighetsinskränkningar ........... 71
8 Tillsyn .............................................................................................   74
  8.1 Tillsynens övergripande utformning ................................ 74
  8.2 Anmälningsplikt ............................................................... 79
  8.3 Tillsynsmyndighetens undersökningsbefogenheter.......... 82
9 Ingripanden och sanktioner............................................................. 85

2

9.1 Överträdelser av säkerhetsskyddslagstiftningen bör Prop. 2020/21:194
  inte vara straffsanktionerade utöver vad som redan  
  gäller................................................................................ 86

9.2Vilka ytterligare administrativa sanktioner och andra

    möjligheter till ingripande bör införas? ........................... 87
    9.2.1 Tillsynsmyndigheten ska kunna besluta  
      om vitessanktionerade  
      åtgärdsförelägganden...................................... 87
    9.2.2 Tillsynsmyndigheten ska kunna besluta  
      om sanktionsavgift.......................................... 89
  9.3 Sanktionsavgifter............................................................. 92
    9.3.1 Överträdelser som ska kunna leda till  
      sanktionsavgift................................................ 92
    9.3.2 Sanktionsavgift ska inte alltid tas ut ............... 99
    9.3.3 Sanktionsavgiftens storlek............................ 101
    9.3.4 När och till vilket belopp ska  
      sanktionsavgift beslutas i det enskilda  
      fallet? ............................................................ 104
    9.3.5 Förfarandet vid beslut om sanktionsavgift.... 107
    9.3.6 Hinder mot sanktionsavgift .......................... 108
10 Överklagande ............................................................................... 109
11 Offentlighet och sekretess ............................................................ 112
12 Den slutliga bedömningen av säkerhetsprövningen på  
  området luftfartsskydd ................................................................. 115
13 Säkerhetsskyddslagens struktur och följdändringar ..................... 117
14 Ikraftträdande- och övergångsbestämmelser................................ 119
15 Konsekvenser ............................................................................... 121
16 Författningskommentar ................................................................ 125

16.1Förslaget till lag om ändring i säkerhetsskyddslagen

(2018:585) ..................................................................... 125

16.2Förslaget till lag om ändring i lagen (2014:514) om

ansvar för vissa säkerhetsfrågor vid statsministerns  
tjänstebostäder ............................................................... 142

16.3Förslaget till lag om ändring i lagen (2019:109) om

  säkerhetsskydd i riksdagen och dess myndigheter ........ 143
Bilaga 1 Sammanfattning av betänkandet Kompletteringar till  
  den nya säkerhetsskyddslagen (SOU 2018:82) ............. 144
Bilaga 2 Betänkandets lagförslag................................................. 153
Bilaga 3 Förteckning över remissinstanserna .............................. 167
Bilaga 4 Sammanfattning av Transportstyrelsens framställan  
  om ändring i säkerhetsskyddslagen ............................... 169
Bilaga 5 Transportstyrelsens lagförslag....................................... 170
Bilaga 6 Förteckning över remissinstanserna .............................. 171
Bilaga 7 Lagrådsremissens lagförslag ......................................... 172

3

Prop. 2020/21:194 Bilaga 8 Lagrådets yttrande .......................................................... 184
Utdrag ur protokoll vid regeringssammanträde den 20 maj 2021......... 186

4

1 Förslag till riksdagsbeslut Prop. 2020/21:194
 

Regeringens förslag:

1.Riksdagen antar regeringens förslag till lag om ändring i säkerhetsskyddslagen (2018:585).

2.Riksdagen antar regeringens förslag till lag om ändring i lagen (2014:514) om ansvar för vissa säkerhetsfrågor vid statsministerns tjänstebostäder.

3.Riksdagen antar regeringens förslag till lag om ändring i lagen (2019:109) om säkerhetsskydd i riksdagen och dess myndigheter.

5

Prop. 2020/21:194 2 Lagtext

Regeringen har följande förslag till lagtext.

2.1Förslag till lag om ändring i säkerhetsskyddslagen (2018:585)

Härigenom föreskrivs i fråga om säkerhetsskyddslagen (2018:585)1 dels att 2 kap. 6–14 och 16 §§ samt 5 kap. 4 och 5 §§ ska upphöra att

gälla,

dels att rubrikerna närmast före 2 kap. 6–9, 12–14 och 16 §§ samt 5 kap.

4 och 5 §§ ska utgå,

dels att nuvarande 4 och 5 kap. ska betecknas 5 kap. respektive 8 kap., och att nuvarande 2 kap. 15 § ska betecknas 2 kap. 8 §,

dels att 1 kap. 3 §, 2 kap. 1 §, den nya 2 kap. 8 §, 3 kap. 4 och 16 §§ och den nya 8 kap. 3 § ska ha följande lydelse,

dels att rubriken närmast före 2 kap. 15 § ska sättas före den nya 2 kap.

8§,

dels att det ska införas tre nya kapitel, 4, 6 och 7 kap., fyra nya

paragrafer, 2 kap. 6 och 7 §§, 3 kap. 4 b § och 8 kap. 4 §, och närmast före 2 kap. 6 och 7 §§ och 8 kap. 4 § rubriker av följande lydelse.

Nuvarande lydelseFöreslagen lydelse

1 kap.

3 §2

För riksdagen och dess myndig- För riksdagen och dess myndig-
heter gäller endast bestämmelserna heter gäller endast bestämmelserna
om säkerhetsskyddsklasser i 2 kap. om säkerhetsskyddsklasser i 2 kap.
5 §, säkerhetsprövning i 3 kap. och 5 §, säkerhetsprövning i 3 kap. och
säkerhetsintyg i 4 kap. I övrigt gäl- säkerhetsintyg i 5 kap. I övrigt gäl-
ler lagen (2019:109) om säkerhets- ler lagen (2019:109) om säkerhets-
skydd i riksdagen och dess myndig- skydd i riksdagen och dess myndig-
heter. heter.

Regeringen får i fråga om Regeringskansliet, utlandsmyndigheterna och kommittéväsendet meddela föreskrifter om undantag från andra bestämmelser i lagen än de som anges i första stycket.

1Senaste lydelse av

  2 kap. 6 § 2019:985 rubriken närmast före 2 kap. 7 § 2020:1007
  2 kap. 7 § 2020:1007 rubriken närmast före 2 kap. 8 § 2020:1007
  2 kap. 8 § 2020:1007 rubriken närmast före 2 kap. 9 § 2020:1007
  2 kap. 9 § 2020:1007 rubriken närmast före 2 kap. 12 § 2020:1007
  2 kap. 10 § 2020:1007 rubriken närmast före 2 kap. 13 § 2020:1007
  2 kap. 11 § 2020:1007 rubriken närmast före 2 kap. 14 § 2020:1007
  2 kap. 12 § 2020:1007 rubriken närmast före 2 kap. 16 § 2020:1007.
  2 kap. 13 § 2020:1007    
  2 kap. 14 § 2020:1007    
  2 kap. 16 § 2020:1007    
6 2 Senaste lydelse 2019:110.    

2kap. 1 §

Den som bedriver säkerhetskäns- Den som till någon del bedriver
lig verksamhet ska utreda behovet säkerhetskänslig verksamhet
av säkerhetsskydd (säkerhets- (verksamhetsutövare) ska utreda
skyddsanalys). Säkerhetsskydds- behovet av säkerhetsskydd (säker-
analysen ska dokumenteras. hetsskyddsanalys). Säkerhets-
  skyddsanalysen ska dokument-
  eras.  

Med utgångspunkt i analysen ska verksamhetsutövaren planera och vidta de säkerhetsskyddsåtgärder som behövs med hänsyn till verksamhetens art och omfattning, förekomst av säkerhetsskyddsklassificerade uppgifter och övriga omständigheter.

Verksamhetsutövaren ska även kontrollera säkerhetsskyddet i den egna verksamheten, anmäla och rapportera sådant som är av vikt för säkerhetsskyddet och i övrigt vidta de åtgärder som krävs enligt denna lag.

Så långt det är möjligt ska säkerhetsskyddsåtgärderna utformas så att de inte medför någon skada eller annan olägenhet för andra allmänna eller enskilda intressen.

Anmälningsplikt 6 §

En verksamhetsutövare ska utan dröjsmål anmäla att den bedriver säkerhetskänslig verksamhet till tillsynsmyndigheten.

När den säkerhetskänsliga verksamheten har upphört ska verksamhetsutövaren utan dröjsmål anmäla detta till tillsynsmyndigheten.

Säkerhetsskyddschef 7 §

Vid verksamhet som omfattas av denna lag ska det finnas en säkerhetsskyddschef, om det inte är uppenbart obehövligt.

Säkerhetsskyddschefen ska leda och samordna säkerhetsskyddsarbetet samt kontrollera att verksamheten bedrivs enligt lagen och de föreskrifter som har meddelats i anslutning till lagen. Detta ansvar kan inte delegeras.

Säkerhetsskyddschefen ska vara direkt underställd chefen för verksamhetsutövarens verksamhet, om en sådan chef finns, och annars verksamhetsutövarens ledning.

Prop. 2020/21:194

7

Prop. 2020/21:194

15 §

Regeringen eller den myndighet som regeringen bestämmer får meddela ytterligare föreskrifter om säkerhetsskyddsanalys samt anmälnings- och rapporteringsskyldighet enligt 1 §, säkerhetsskyddsåtgärder enligt 2–4 §§, säkerhetsskyddsklassificering enligt 5 § och säkerhetsskyddsavtal enligt 6 §.

Lydelse enligt SFS 2021:76

8 §

Regeringen eller den myndighet som regeringen bestämmer får meddela ytterligare föreskrifter om säkerhetsskyddsanalys samt anmälnings- och rapporteringsskyldighet enligt 1 §, säkerhetsskyddsåtgärder enligt 2–4 §§ och säkerhetsskyddsklassificering enligt 5 §.

Föreslagen lydelse

3 kap.

4 §

Säkerhetsprövningen ska utgå från uppgifter som kommit fram när grundutredningen gjordes och den kännedom som i övrigt finns om den som ska prövas, uppgifter som har lämnats ut efter registerkontroll och särskild personutredning, arten av den verksamhet som prövningen gäller

samt omständigheterna i övrigt.  
Bedömningen görs av den som Bedömningen görs av den som
beslutar om anställning eller annat beslutar om anställning eller annat
deltagande i den säkerhetskänsliga deltagande i den säkerhetskänsliga
verksamheten, om inte annat följer verksamheten, om inte annat följer
av tredje stycket eller 4 a §. av tredje stycket, 4 a eller 4 b §.

Om en myndighet har det bestämmande inflytandet över den prövades lämplighet att delta i säkerhetskänslig verksamhet hos en enskild verksamhetsutövare, är det i stället myndigheten som gör den slutliga bedömningen.

Om det finns anledning till det, ska en tidigare gjord bedömning av en persons lämplighet att delta i den säkerhetskänsliga verksamheten

omprövas.    
Nuvarande lydelse Föreslagen lydelse  
  4 b §  
  Den slutliga bedömningen
  enligt 4 § görs av Transport-
  styrelsen när det gäller den som
  ska genomgå säkerhetsprövning
  till följd av ett internationellt
  säkerhetsskyddsåtagande
  området luftfartsskydd.  

16 §

Bestämmelser om registerkon- Bestämmelser om registerkon-
troll finns också i 4 kap. om inter- troll finns också i 5 kap. om inter-

8

nationell säkerhetsskyddssamver- nationell säkerhetsskyddssamver- Prop. 2020/21:194
kan och säkerhetsintyg. kan och säkerhetsintyg.

4 kap. Skyldigheter när en annan aktör kan få tillgång till säkerhetskänslig verksamhet

Säkerhetsskyddsavtal

1 § En verksamhetsutövare som avser att genomföra en upphandling, ingå ett avtal eller inleda en samverkan eller ett samarbete med en annan aktör ska ingå ett säkerhetsskyddsavtal med aktören, om aktören genom förfarandet kan få tillgång till

1.säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller

2.annan säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet.

Verksamhetsutövaren ska även ingå ett säkerhetsskyddsavtal med en underleverantör som anlitas för att fullgöra den andra aktörens förpliktelse, om underleverantören genom sitt uppdrag kan få en sådan tillgång till den säkerhetskänsliga verksamheten som anges i första stycket.

Ett säkerhetsskyddsavtal ska ingås innan motparten kan få tillgång till den säkerhetskänsliga verksamheten.

2 § Mellan statliga myndigheter gäller kravet på säkerhetsskyddsavtal enligt 1 § endast vid anskaffning av en vara, tjänst eller byggentreprenad.

3 § Ett säkerhetsskyddsavtal ska innehålla de krav på motparten som behövs för att kraven på säkerhetsskydd enligt 2 kap. 1 § ska kunna tillgodoses.

Ett säkerhetsskyddsavtal ska även reglera hur verksamhetsutövaren ska få kontrollera att motparten följer säkerhetsskyddsavtalet och att verksamhetsutövaren har rätt att revidera avtalet om det krävs på grund av ändrade förhållanden.

4 § Vid säkerhetsprövning enligt ett säkerhetsskyddsavtal tillämpas bestämmelserna i 3 kap. och föreskrifter som har meddelats i anslutning till de bestämmelserna.

5 § Verksamhetsutövaren ska kontrollera att motparten följer säkerhetsskyddsavtalet och revidera avtalet om det krävs på grund av ändrade förhållanden.

Om motparten inte följer säkerhetsskyddsavtalet, ska verksamhetsutövaren vidta de åtgärder som behövs för att tillgodose kraven på säkerhetsskydd.

6 § Regeringen eller den myndighet som regeringen bestämmer får meddela ytterligare föreskrifter om säkerhetsskyddsavtal enligt 1 och 3– 5 §§.

9

Prop. 2020/21:194 Regeringen får meddela föreskrifter om undantag från skyldigheten att ingå säkerhetsskyddsavtal. Om det finns särskilda skäl får regeringen också besluta om sådana undantag i enskilda fall.

Skyldigheter inför förfaranden som kräver säkerhetsskyddsavtal

7 § En verksamhetsutövare som avser att genomföra ett förfarande som innebär ett krav på säkerhetsskyddsavtal enligt 1 § första stycket ska göra en särskild säkerhetsskyddsbedömning och lämplighetsprövning enligt 8 §. Verksamhetsutövaren ska också samråda enligt 9 §.

Regeringen får meddela föreskrifter om undantag från första stycket. Om det finns särskilda skäl får regeringen också besluta om sådana undantag i enskilda fall.

För överlåtelser av säkerhetskänslig verksamhet och viss egendom gäller i stället 13–20 §§.

8 § Innan ett sådant förfarande som avses i 1 § första stycket inleds ska verksamhetsutövaren genom en särskild säkerhetsskyddsbedömning identifiera vilka säkerhetsskyddsklassificerade uppgifter eller vilken säkerhetskänslig verksamhet i övrigt som den andra aktören kan få tillgång till och som kräver säkerhetsskydd.

Med utgångspunkt i den särskilda säkerhetsskyddsbedömningen och övriga omständigheter ska verksamhetsutövaren pröva om det planerade förfarandet är lämpligt från säkerhetsskyddssynpunkt.

Den särskilda säkerhetsskyddsbedömningen och lämplighetsprövningen ska dokumenteras.

Om lämplighetsprövningen leder till bedömningen att det planerade förfarandet är olämpligt från säkerhetsskyddssynpunkt, får det inte inledas.

9 § Om lämplighetsprövningen enligt 8 § leder till bedömningen att det planerade förfarandet inte är olämpligt från säkerhetsskyddssynpunkt, ska verksamhetsutövaren innan den inleder förfarandet samråda med tillsynsmyndigheten, om det planerade förfarandet innebär att den andra aktören kan få tillgång till

1.säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen hemlig eller högre, eller

2.annan säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet.

Tillsynsmyndigheten får besluta att förelägga verksamhetsutövaren att vidta åtgärder enligt denna lag och föreskrifter som har meddelats i anslutning till lagen.

10 § Om verksamhetsutövaren inte samråder med tillsynsmyndigheten trots att det finns en skyldighet att göra det, får tillsynsmyndigheten inleda samrådet.

11 § Om ett beslut om föreläggande enligt 9 § inte följs eller om det planerade förfarandet är olämpligt från säkerhetsskyddssynpunkt även om ytterligare åtgärder vidtas, får tillsynsmyndigheten besluta att det planerade förfarandet inte får genomföras (förbud).

10

12 § Om ett pågående förfarande som omfattas av ett krav på säkerhetsskyddsavtal enligt 1 § är olämpligt från säkerhetsskyddssynpunkt, får tillsynsmyndigheten besluta om de förelägganden mot verksamhetsutövaren och den andra aktören i förfarandet som behövs för att förhindra skada för Sveriges säkerhet. Ett sådant beslut om föreläggande får förenas med vite.

Skyldigheter inför överlåtelse av säkerhetskänslig verksamhet och viss egendom

13 § En verksamhetsutövare ska göra en särskild säkerhetsskyddsbedömning och lämplighetsprövning enligt 14 § och samråda enligt 15 §, om verksamhetsutövaren avser att överlåta

1.hela eller någon del av den säkerhetskänsliga verksamheten, eller

2.egendom som har betydelse för Sveriges säkerhet eller ett för Sverige förpliktande internationellt åtagande om säkerhetsskydd.

Första stycket gäller inte för överlåtelser av fast egendom.

Regeringen får meddela föreskrifter om ytterligare undantag från första stycket. Om det finns särskilda skäl får regeringen också besluta om sådana undantag i enskilda fall.

14 § Innan ett förfarande för sådan överlåtelse som avses i 13 § inleds ska verksamhetsutövaren genom en särskild säkerhetsskyddsbedömning identifiera vilka säkerhetsskyddsklassificerade uppgifter eller vilken säkerhetskänslig verksamhet i övrigt som förvärvaren kan få tillgång till och som kräver säkerhetsskydd.

Med utgångspunkt i den särskilda säkerhetsskyddsbedömningen och övriga omständigheter ska verksamhetsutövaren pröva om överlåtelsen är lämplig från säkerhetsskyddssynpunkt.

Den särskilda säkerhetsskyddsbedömningen och lämplighetsprövningen ska dokumenteras.

Om lämplighetsprövningen leder till bedömningen att överlåtelsen är olämplig från säkerhetsskyddssynpunkt, får överlåtelsen inte genomföras.

15 § Om lämplighetsprövningen enligt 14 § leder till bedömningen att överlåtelsen inte är olämplig från säkerhetsskyddssynpunkt, ska verksamhetsutövaren samråda med tillsynsmyndigheten.

Tillsynsmyndigheten får besluta att förelägga verksamhetsutövaren att vidta åtgärder för att fullgöra sina skyldigheter enligt denna lag och föreskrifter som har meddelats i anslutning till lagen.

Skyldigheten att samråda och det som anges i andra stycket om verksamhetsutövaren gäller även den som avser att överlåta aktier eller andelar i säkerhetskänslig verksamhet, dock inte aktier i aktiebolag som är publika enligt aktiebolagslagen (2005:551).

16 § Om överlåtaren inte samråder med tillsynsmyndigheten trots att det finns en skyldighet att göra det, får tillsynsmyndigheten inleda samrådet.

17 § Om ett beslut om föreläggande enligt 15 § inte följs eller om överlåtelsen är olämplig från säkerhetsskyddssynpunkt även om ytter-

Prop. 2020/21:194

11

Prop. 2020/21:194 ligare åtgärder vidtas, får tillsynsmyndigheten besluta att överlåtelsen inte får genomföras (förbud).

18 § En överlåtelse i strid med ett förbud enligt 17 § är ogiltig.

Om en överlåtelse har genomförts utan samråd enligt 15 eller 16 § och förutsättningarna för ett förbud enligt 17 § är uppfyllda, får tillsynsmyndigheten i efterhand besluta om ett sådant förbud. Överlåtelsen är då ogiltig.

19 § Om en överlåtelse är ogiltig enligt 18 § får tillsynsmyndigheten besluta om de förelägganden mot överlåtaren och förvärvaren som behövs för att förhindra skada för Sveriges säkerhet. Ett sådant beslut om föreläggande får förenas med vite.

20 § En verksamhetsutövare som avser att överlåta hela eller någon del av den säkerhetskänsliga verksamheten ska upplysa förvärvaren om att denna lag gäller för verksamheten. En sådan upplysning ska innehålla information om de skyldigheter som enligt 2 kap. 1 § gäller för en verksamhetsutövare.

6 kap. Tillsyn

Tillsynsmyndighetens uppdrag

1 § Den myndighet som regeringen bestämmer ska vara tillsynsmyndighet.

Tillsynsmyndigheten ska utöva tillsyn över att verksamhetsutövare följer lagen och de föreskrifter som har meddelats i anslutning till lagen. I det syftet får tillsynsmyndigheten även utöva tillsyn hos de aktörer som verksamhetsutövare har ingått säkerhetsskyddsavtal med.

Tillsynsmyndighetens undersökningsbefogenheter

2 § Den som står under tillsyn ska på begäran tillhandahålla tillsynsmyndigheten den information som behövs för tillsynen.

3 § Tillsynsmyndigheten har i den omfattning som det behövs för tillsynen rätt att få tillträde till områden, lokaler och andra utrymmen, dock inte bostäder, som används i verksamhet som omfattas av tillsyn.

4 § Tillsynsmyndigheten får besluta att förelägga den som står under tillsyn att tillhandahålla information och ge tillträde enligt 2 och 3 §§. Ett sådant beslut om föreläggande får förenas med vite.

5 § Tillsynsmyndigheten får begära handräckning av Kronofogdemyndigheten för att genomföra de åtgärder som avses i 2 och 3 §§. Vid handräckning gäller bestämmelserna i utsökningsbalken om verkställighet av förpliktelser som inte avser betalningsskyldighet, avhysning eller avlägsnande.

12

Åtgärdsförelägganden Prop. 2020/21:194
6 § Tillsynsmyndigheten får besluta att förelägga en verksamhetsutövare  
att vidta åtgärder för att fullgöra sina skyldigheter enligt denna lag och  
föreskrifter som har meddelats i anslutning till lagen. Ett sådant beslut om  
föreläggande får förenas med vite.  

7 kap. Administrativa sanktionsavgifter

Överträdelser som kan leda till sanktionsavgift

1 § Tillsynsmyndigheten får besluta att ta ut en sanktionsavgift av en verksamhetsutövare som

1. har åsidosatt sina skyldigheter enligt någon av

a)2 kap. 1 § första eller andra stycket, 5 §, 6 § första stycket eller 7 § eller föreskrifter som har meddelats i anslutning till de bestämmelserna,

b)3 kap. 1–4 eller 6–9 §§ eller 11 § första stycket eller föreskrifter som har meddelats i anslutning till de bestämmelserna,

c)4 kap. 1 eller 3 §, 9 § första stycket eller 15 § första stycket eller föreskrifter som har meddelats i anslutning till de bestämmelserna,

2. inte har kontrollerat säkerhetsskyddet i den egna verksamheten enligt

2 kap. 1 § tredje stycket eller föreskrifter som har meddelats i anslutning till den bestämmelsen,

3. inte har kontrollerat att motparten följer säkerhetsskyddsavtalet enligt

4 kap. 5 § första stycket eller föreskrifter som har meddelats i anslutning till den bestämmelsen,

4. har inlett ett förfarande i strid med ett förbud som har meddelats med stöd av 4 kap. 11 § eller har genomfört en överlåtelse i strid med ett förbud som har meddelats med stöd av 4 kap. 17 §, eller

5. har lämnat oriktiga uppgifter i samband med samråd enligt 4 kap. 9 eller 15 § eller tillsyn.

2 § Tillsynsmyndigheten får besluta att ta ut en sanktionsavgift av en aktie- eller andelsägare som

1.inte har samrått enligt 4 kap. 15 § eller föreskrifter som har meddelats

ianslutning till den bestämmelsen,

2.har genomfört en överlåtelse i strid med ett förbud som har meddelats med stöd av 4 kap. 17 §, eller

3.har lämnat oriktiga uppgifter i samband med samråd enligt 4 kap. 15 §.

När sanktionsavgift ska tas ut

3 § Vid bedömningen av om en sanktionsavgift ska tas ut ska särskild hänsyn tas till

1.den skada eller sårbarhet för Sveriges säkerhet som uppstått till följd av överträdelsen,

2.om överträdelsen har varit uppsåtlig eller berott på oaktsamhet,

3.vad verksamhetsutövaren eller aktie- eller andelsägaren har gjort för att överträdelsen ska upphöra och för att begränsa dess verkningar, och

13

Prop. 2020/21:194 4. om verksamhetsutövaren eller aktie- eller andelsägaren tidigare har begått en överträdelse.

Hur sanktionsavgiften ska bestämmas

4 § En sanktionsavgift ska bestämmas till lägst 25 000 kronor och högst 50 000 000 kronor. Sanktionsavgiften för en statlig myndighet, kommun eller region ska dock bestämmas till högst 10 000 000 kronor.

5 § När sanktionsavgiftens storlek bestäms ska särskild hänsyn tas till de omständigheter som anges i 3 § och till den vinst som den avgiftsskyldige gjort till följd av överträdelsen.

6 § En sanktionsavgift får efterges helt eller delvis om överträdelsen är ringa eller ursäktlig eller om det annars med hänsyn till omständigheterna skulle vara oskäligt att ta ut avgiften.

Beslut om sanktionsavgift

7 § En sanktionsavgift får inte beslutas om överträdelsen omfattas av ett föreläggande om vite och överträdelsen ligger till grund för en ansökan om utdömande av vitet.

8 § En sanktionsavgift får endast beslutas om den som avgiften ska tas ut av har fått tillfälle att yttra sig inom två år från det att överträdelsen ägde rum.

Ett beslut om sanktionsavgift ska delges.

Betalning av sanktionsavgift

9 § En sanktionsavgift ska betalas till tillsynsmyndigheten inom 30 dagar från det att beslutet om att ta ut avgiften har fått laga kraft eller inom den längre tid som anges i beslutet.

Om sanktionsavgiften inte betalas inom den tid som anges i första stycket, ska myndigheten lämna den obetalda avgiften för indrivning. Bestämmelser om indrivning finns i lagen (1993:891) om indrivning av statliga fordringar m.m. Vid indrivning får verkställighet ske enligt utsökningsbalken.

En sanktionsavgift tillfaller staten.

10 § En beslutad sanktionsavgift faller bort till den del beslutet om avgiften inte har verkställts inom fem år från det att beslutet fick laga kraft.

Nuvarande lydelse Föreslagen lydelse
5 kap. 8 kap.
  3 §
  Sekretess hindrar inte att den
  myndighet som avses i 4 kap. 6 § i
  ett ärende om underlag för
  säkerhetsprövning enligt 4 kap. 4 §
14 lämnar ut en uppgift som har

Sekretess hindrar inte att den myndighet som avses i 5 kap. 6 § i ett ärende om underlag för säkerhetsprövning enligt 5 kap. 4 § lämnar ut en uppgift som har

kommit fram vid registerkontroll eller särskild personutredning till en utländsk myndighet eller en mellanfolklig organisation, om det står klart att ett sådant utlämnande är förenligt med svenska intressen.

kommit fram vid registerkontroll Prop. 2020/21:194 eller särskild personutredning till

en utländsk myndighet eller en mellanfolklig organisation, om det står klart att ett sådant utlämnande är förenligt med svenska intressen.

Överklagande 4 §

Beslut om föreläggande enligt

4 kap. 9 och 15 §§ och 6 kap. 4 och 6 §§ eller sanktionsavgift enligt 7 kap. får överklagas till Förvaltningsrätten i Stockholm. När ett sådant beslut överklagas är tillsynsmyndigheten motpart. Prövningstillstånd krävs vid överklagande till kammarrätten.

Beslut om förbud enligt 4 kap. 11, 17 och 18 §§ och föreläggande enligt 4 kap. 12 och 19 §§ får överklagas till regeringen.

Andra beslut enligt denna lag får inte överklagas.

1.Denna lag träder i kraft den 1 december 2021.

2.Äldre föreskrifter gäller fortfarande för ärenden om samråd som har inletts före ikraftträdandet.

3.Den upphävda 2 kap. 6 § gäller för säkerhetsskyddsavtal som har ingåtts före ikraftträdandet.

4.En sanktionsavgift enligt 7 kap. får beslutas endast för överträdelser som skett efter ikraftträdandet.

15

Prop. 2020/21:194 2.2 Förslag till lag om ändring i lagen (2014:514)
  om ansvar för vissa säkerhetsfrågor vid
  statsministerns tjänstebostäder

Härigenom föreskrivs att 4 § lagen (2014:514) om ansvar för vissa säkerhetsfrågor vid statsministerns tjänstebostäder ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse
  4 §1

Inför att säkerhetsskyddsavtal ska träffas enligt 2 kap. 6 § säkerhetsskyddslagen (2018:585) med anledning av upphandling till egendom som används som tjänstebostad för statsministern ska den upphandlande myndigheten samråda med Säkerhetspolisen.

Inför att säkerhetsskyddsavtal ska träffas enligt 4 kap. 1 § första

stycket säkerhetsskyddslagen (2018:585) med anledning av upphandling till egendom som används som tjänstebostad för statsministern ska den upphandlande myndigheten samråda med Säkerhetspolisen.

Denna lag träder i kraft den 1 december 2021.

16 1 Senaste lydelse 2018:595.

2.3 Förslag till lag om ändring i lagen (2019:109) Prop. 2020/21:194 om säkerhetsskydd i riksdagen och dess

myndigheter

Härigenom föreskrivs att 11 § lagen (2019:109) om säkerhetsskydd i riksdagen och dess myndigheter ska ha följande lydelse.

Nuvarande lydelse   Föreslagen lydelse  
    11 §    
Riksdagsförvaltningen utfärdar Riksdagsförvaltningen utfärdar
säkerhetsintyg och beslutar om säkerhetsintyg och beslutar om
registerkontroll enligt 4 kap. 1 och registerkontroll enligt 5 kap. 1 och
2 §§ säkerhetsskyddslagen 2 §§ säkerhetsskyddslagen
(2018:585) för personer som (2018:585) för personer som
deltar i     deltar i    

1.riksdagens eller Riksdagsförvaltningens verksamhet i annan egenskap än riksdagsledamot, och

2.verksamhet som de myndigheter som anges i 1 § 5–12 bedriver.

Riksbanken, Riksdagens om- Riksbanken, Riksdagens om-
budsmän och Riksrevisionen budsmän och Riksrevisionen
utfärdar säkerhetsintyg och beslutar utfärdar säkerhetsintyg och
om registerkontroll enligt 4 kap. 1 beslutar om registerkontroll enligt
och 2 §§ säkerhetsskyddslagen för 5 kap. 1 och 2 §§ säkerhets-
personer som deltar i respektive skyddslagen för personer som
myndighets verksamhetsområde. deltar i respektive myndighets
      verksamhetsområde.    

Denna lag träder i kraft den 1 december 2021.

17

Prop. 2020/21:194 3 Ärendet och dess beredning

  Regeringen beslutade den 23 mars 2017 att ge en särskild utredare i upp-
  drag att överväga vissa frågor i säkerhetsskyddslagstiftningen. Uppdraget
  gavs i syfte att komplettera de förslag som lämnats i betänkandet En ny
  säkerhetsskyddslag (SOU 2015:25). Utredaren fick i uppdrag att föreslå
  bl.a. åtgärder som förebygger att säkerhetsskyddsklassificerade uppgifter
  eller i övrigt säkerhetskänslig verksamhet utsätts för risker i samband med
  utkontraktering, upplåtelse och överlåtelse, ett system med sanktioner och
  hur en ändamålsenlig tillsyn enligt säkerhetsskyddslagstiftningen ska vara
  utformad (dir. 2017:32). Genom tilläggsdirektiv den 18 januari 2018 ut-
  vidgades utredningens uppdrag till att även omfatta att analysera och före-
  slå i vilken utsträckning verksamhetsutövare som bedriver säkerhets-
  känslig verksamhet ska vara skyldiga att ingå säkerhetsskyddsavtal vid
  överenskommelser med utomstående som berör den säkerhetskänsliga
  verksamheten (dir. 2018:2).
  Utredningen, som tog namnet Utredningen om vissa säkerhetsskydds-
  frågor (Ju 2017:08), överlämnade i november 2018 betänkandet Kom-
  pletteringar till den nya säkerhetsskyddslagen (SOU 2018:82). En
  sammanfattning av betänkandet finns i bilaga 1. Utredningens lagförslag
  finns i bilaga 2. Betänkandet har remissbehandlats. En förteckning över
  remissinstanserna finns i bilaga 3. Remissvaren finns tillgängliga i
  Justitiedepartementet (Ju2018/05292). De förslag i betänkandet som rör
  överlåtelse av säkerhetskänslig verksamhet har hanterats separat i
  propositionen Åtgärder till skydd för Sveriges säkerhet vid överlåtelser av
  säkerhetskänslig verksamhet (prop. 2020/21:13). Betänkandets övriga
  förslag behandlas i denna proposition.
  Riksdagen har tillkännagett för regeringen att tillsynsmyndigheternas
  ansvar och befogenheter ska regleras i säkerhetsskyddslagen (2018:585)
  (bet. 2017/18:JuU21 punkt 3, rskr. 2017/18:289). Tillkännagivandet, som
  behandlas i avsnitt 7.3 och 8.3, är slutbehandlat. Riksdagen har även till-
  kännagett för regeringen det som utskottet anför om att det bör göras en
  översyn av tillsynsmyndigheternas ansvar, organisation och resursfördel-
  ning (bet. 2017/18:JuU21 punkt 4, rskr. 2017/18:289). Tillkännagivandet
  behandlas i avsnitt 8.1. Tillkännagivandet är inte slutbehandlat.
  Riksdagen har vidare tillkännagett för regeringen att den ställer sig
  bakom det som utskottet anför om tidsbegränsning av samrådsmyndig-
  hetens handläggningstid (bet. 2020/21:JuU10 punkt 2, rskr. 2020/21:79).
  Tillkännagivandet behandlas i avsnitt 7.3. Riksdagen har också tillkänna-
  gett det som utskottet anför om bättre möjligheter till stöd och vägledning
  till verksamhetsutövare (bet. 2020/21:JuU10 punkt 4, rskr. 2020/21:79).
  Tillkännagivandet behandlas i avsnitt 8.1. Tillkännagivandena är inte slut-
  behandlade.
  I denna proposition behandlas slutligen också en framställan från
  Transportstyrelsen med förslag om att myndigheten ska göra den slutliga
  bedömningen av säkerhetsprövningen i vissa fall. En sammanfattning av
  Transportstyrelsens framställan finns i bilaga 4. Transportstyrelsens lag-
  förslag finns i bilaga 5. Framställan har remissbehandlats. En förteckning
  över remissinstanserna finns i bilaga 6. Remissyttrandena finns tillgäng-
18 liga i Justitiedepartementet (Ju2020/03136).
 
Lagrådet Prop. 2020/21:194
Regeringen beslutade den 18 mars 2021 att inhämta Lagrådets yttrande  
över de lagförslag som finns i bilaga 7. Lagrådets yttrande finns i bilaga  
8. Regeringen har följt Lagrådets förslag. Lagrådets synpunkt behandlas i  
avsnitt 6.1 och i författningskommentaren.  
I förhållande till lagrådsremissen har det även gjorts vissa språkliga och  
redaktionella ändringar.  

4Skyddet för Sveriges säkerhet behöver stärkas ytterligare

4.1Kort om säkerhetsskyddslagstiftningen

Säkerhetsskydd är förebyggande åtgärder för att skydda Sveriges säkerhet mot spioneri, sabotage, terroristbrott och andra brott. För att stärka säkerhetsskyddet trädde en ny säkerhetsskyddslag (2018:585) i kraft den 1 april 2019.

Med säkerhetsskydd avses för det första skydd av säkerhetskänslig verksamhet mot spioneri, sabotage, terroristbrott och andra brott som kan hota verksamheten. En verksamhet är säkerhetskänslig om den är av betydelse för Sveriges säkerhet eller om den omfattas av ett internationellt åtagande om säkerhetsskydd som är förpliktande för Sverige. Uttrycket ”Sveriges säkerhet” tar sikte på förhållanden av grundläggande betydelse för Sverige. Det kan handla om både militär och civil verksamhet, så länge verksamheten har en sådan betydelse. Förutom militär verksamhet kan det exempelvis gälla central statsförvaltning och diplomatisk verksamhet eller viktig civil infrastruktur som flygplatser, energianläggningar och informationssystem för elektronisk kommunikation.

Med säkerhetsskydd avses för det andra skydd av säkerhetsskyddsklassificerade uppgifter. Säkerhetsskyddsklassificerade uppgifter är uppgifter som rör säkerhetskänslig verksamhet och som därför omfattas av sekretess enligt offentlighets- och sekretesslagen (2009:400), eller uppgifter som skulle ha omfattats av sekretess enligt den lagen om den hade varit tillämplig. Säkerhetsskyddsklassificerade uppgifter ska delas in i någon av fyra säkerhetsskyddsklasser (kvalificerat hemlig, hemlig, konfidentiell eller begränsat hemlig) utifrån den skada som ett röjande av uppgiften kan medföra för Sveriges säkerhet eller för Sveriges förhållande till en annan stat eller mellanfolklig organisation. Till skillnad från skyddet av säkerhetskänslig verksamhet ska säkerhetsskyddet för uppgifter även skydda mot andra händelser än brottsliga sådana. Det kan exempelvis handla om att uppgifterna på grund av misstag, bristande rutiner eller olyckshändelse sprids, förstörs eller förvanskas utan att det är fråga om ett brott.

Det är den som till någon del bedriver säkerhetskänslig verksamhet (verksamhetsutövaren) som omfattas av säkerhetsskyddslagen och som är skyldig att bedriva ett säkerhetsskyddsarbete. Utgångspunkten för säker-

hetsskyddsarbetet är en säkerhetsskyddsanalys. Verksamhetsutövaren ska

19

Prop. 2020/21:194 genom en sådan analys utreda vilket behov som finns av säkerhetsskydd. Utifrån analysen ska verksamhetsutövaren planera ett väl avvägt säkerhetsskydd där olika säkerhetsskyddsåtgärder samverkar med varandra. Bedömningen av om en verksamhetsutövare omfattas av säkerhetsskyddslagen är beroende av att denne gjort en korrekt analys av verksamhetens skyddsvärden. Grundläggande för lagstiftningen är alltså att ansvaret för identifiering och bedömning av behovet av säkerhetsskydd är knutet till verksamhetsutövaren.

De olika säkerhetsskyddsåtgärderna

Det finns tre olika typer av säkerhetsskyddsåtgärder: informationssäkerhet, fysisk säkerhet och personalsäkerhet.

Informationssäkerhet handlar om skydd för säkerhetsskyddsklassificerade uppgifter. Säkerhetsskyddsåtgärderna ska förebygga att sådana uppgifter obehörigen röjs, ändras, görs otillgängliga eller förstörs. Vidare syftar informationssäkerhet till att förebygga skadlig inverkan i övrigt på uppgifter och informationssystem som gäller säkerhetskänslig verksamhet. Det handlar då framför allt om skyddsåtgärder för att tillgodose behov av tillgänglighet och riktighet i fråga om uppgifter och informationssystem som inte utgör eller innehåller säkerhetsskyddsklassificerade uppgifter, men som har avgörande betydelse för viktiga samhällsfunktioner. Det kan till exempel vara fråga om skydd för uppgifter och informationssystem som har en avgörande betydelse för styrning, reglering och övervakning av el- och vattenförsörjning och digital infrastruktur eller sådana sammanställningar av uppgifter, till exempel folkbokföringsregistret, som är av grundläggande betydelse för ett fungerande samhälle.

Fysisk säkerhet handlar bl.a. om att förebygga att obehöriga personer får tillträde till områden, byggnader och andra anläggningar eller objekt där de kan få tillgång till säkerhetsskyddsklassificerade uppgifter eller där säkerhetskänslig verksamhet i övrigt bedrivs. Åtgärden kan också avse skydd mot sådan skadlig inverkan som kan orsakas utan att någon obehörig har berett sig tillträde till platsen. Det skulle exempelvis kunna röra sig om att en kabel för samhällsviktig elektronisk kommunikation skyddas genom ett robust hölje eller larm eller åtgärder för att skydda ett objekt mot obemannade luftfartyg, s.k. drönare.

Personalsäkerhet handlar bl.a. om att förebygga att personer som inte är pålitliga från säkerhetssynpunkt deltar i säkerhetskänslig verksamhet. Det som avses är verksamhet där de kan få tillgång till säkerhetsskyddsklassificerade uppgifter eller verksamhet som är säkerhetskänslig av någon annan anledning, till exempel att verksamheten bedrivs vid ett skyddsobjekt enligt skyddslagen (2010:305). Personalsäkerhet inkluderar krav på säkerhetsprövning, vilket i vissa fall innefattar registerkontroll och undersökning av den kontrollerades ekonomiska förhållanden. Personalsäkerhet inkluderar också en skyldighet för verksamhetsutövaren att säkerställa att de som deltar i säkerhetskänslig verksamhet har tillräcklig kunskap om säkerhetsskydd.

Säkerhetsskyddsåtgärder kan vara mycket ingripande för enskilda. Säkerhetsskyddslagen innehåller därför ett uttryckligt krav på att säkerhetsskyddsåtgärderna så långt det är möjligt ska utformas så att de inte

20

medför skada eller annan olägenhet för andra allmänna eller enskilda Prop. 2020/21:194 intressen.

Säkerhetsskyddsavtal

Verksamhetsutövare har enligt säkerhetsskyddslagen en skyldighet att ingå säkerhetsskyddsavtal inför vissa upphandlingar och andra anskaffningar, om den leverantör som anlitas kan få tillgång till verksamhetsutövarens säkerhetskänsliga verksamhet. Kravet är ett uttryck för en grundläggande princip inom säkerhetsskyddet som innebär att de intressen som lagstiftningen slår vakt om bör ha samma skydd oavsett var och hur verksamheten bedrivs. Säkerhetsskyddsavtalet ska klargöra för leverantören vilka säkerhetsskyddsåtgärder som denne ska vidta under samarbetets gång för att säkerhetsskyddet ska kunna tillgodoses.

Samråd vid vissa upphandlingar

Skyldigheten att ingå säkerhetsskyddsavtal kompletteras för statliga myndigheter med ett krav på att göra en särskild säkerhetsskyddsbedömning och samråda med tillsynsmyndigheten inför vissa särskilt känsliga upphandlingar. Tillsynsmyndigheten får under samrådet förelägga myndigheten att vidta åtgärder enligt säkerhetsskyddslagen och de föreskrifter som har meddelats i anslutning till den lagen. Om ett föreläggande inte följs eller om tillsynsmyndigheten bedömer att säkerhetsskyddslagens krav inte kan tillgodoses trots att ytterligare åtgärder vidtas, får tillsynsmyndigheten besluta att myndigheten inte får genomföra upphandlingen.

Överlåtelser av säkerhetskänslig verksamhet

Sedan den 1 januari 2021 finns det särskilda krav enligt säkerhetsskyddslagen i samband med överlåtelse av säkerhetskänslig verksamhet och viss egendom. Kraven innebär i huvudsak att en verksamhetsutövare som avser att genomföra en sådan överlåtelse är skyldig att göra en särskild säkerhetsskyddsbedömning och en lämplighetsprövning samt samråda med en samrådsmyndighet. Samrådsmyndigheten har möjlighet att förelägga verksamhetsutövare att vidta åtgärder för att uppfylla sina skyldigheter enligt lagen och ytterst besluta att en överlåtelse inte får genomföras (förbud).

4.2Det finns ett behov av att skärpa säkerhetsskyddslagstiftningen

Genom införandet av den nya säkerhetsskyddslagen har skyddet för Sveriges säkerhet stärkts. Det har dock framkommit att det finns behov av att ytterligare skärpa säkerhetsskyddslagstiftningen.

Till att börja med har flera uppmärksammade händelser de senaste åren visat på att verksamhetsutövare av stor betydelse för Sveriges säkerhet haft ett eftersatt säkerhetsskydd. Detta har i sig haft flera delorsaker, bl.a. att verksamhetsutövare har haft otillräcklig kunskap om sina egna skydds-

21

Prop. 2020/21:194 värden och att säkerhetsskyddsfrågor inte varit tillräckligt prioriterade i den egna organisationen.

Vidare har det nuvarande kravet på att ingå säkerhetsskyddsavtal vissa påtagliga begränsningar. Kravet gäller endast i vissa upphandlingssituationer men inte vid rena samarbeten eller vid ren samverkan, exempelvis forskningssamarbeten. Det gäller inte heller i situationer då verksamhetsutövaren uppträder som leverantör i stället för beställare. Skyldigheten att göra en särskild säkerhetsskyddsbedömning och att samråda med tillsynsmyndigheten gäller dessutom endast för statliga myndigheter men inte för enskilda verksamhetsutövare. Det är angeläget att verksamhetsutövares säkerhetsskydd är fullgott även i dessa fall och oavsett om verksamhetsutövaren är en offentlig eller enskild aktör.

Den tillsyn som i dag bedrivs på säkerhetsskyddsområdet är i huvudsak av rådgivande och stödjande karaktär. Tillsynsmyndigheterna har inga särskilda undersökningsbefogenheter och kan, med något undantag, inte besluta sanktioner eller ingripa på annat sätt mot dem som har brustit i sitt säkerhetsskydd. En grundläggande förutsättning för att tillsynen ska fungera är således att verksamhetsutövare samarbetar med tillsynsmyndigheterna och rättar sig efter de anvisningar och rekommendationer som lämnas. Avsaknaden av sedvanliga tillsynsbefogenheter och möjligheter att ingripa gör dock att det finns en risk att verksamhetsutövare är mindre benägna att följa tillsynsmyndigheternas anvisningar och säkerhetsskyddslagstiftningens krav, vilket i förlängningen kan leda till skada för Sveriges säkerhet.

Sammanfattningsvis finns ett stort behov av att ytterligare skärpa säkerhetsskyddslagstiftningen. Det är mot bakgrund av detta behov som förslagen i denna proposition presenteras.

  5 Säkerhetsskyddschefens roll stärks
   
  Regeringens förslag: Det ska införas ett generellt krav på att säkerhets-
  skyddschefen ska vara direkt underställd chefen för verksamhets-
  utövarens verksamhet. Om en sådan chef inte finns ska säkerhets-
  skyddschefen i stället vara direkt underställd verksamhetsutövarens
  ledning.
    Säkerhetsskyddschefens ansvar ska utökas till att även omfatta
  ledning och samordning av säkerhetsskyddsarbetet. Säkerhetsskydds-
  chefens ansvar ska inte kunna delegeras.
     
    Utredningens förslag överensstämmer i huvudsak med regeringens.
  Utredningen föreslår att säkerhetsskyddschefen ska vara direkt underställd
  ”den person som är ansvarig för verksamhetsutövarens verksamhet”,
  vilket enligt utredningen innebär att säkerhetsskyddschefen ska vara direkt
  underställd verksamhetsutövarens högsta chef.
    Remissinstanserna: Försvarets materielverk, Inspektionen för strateg-
  iska produkter, Migrationsverket och Pensionsmyndigheten är positiva till
  förslaget. Flera remissinstanser, såsom Sveriges Kommuner och Regioner
22 (SKR), Stockholms kommun, Region Skåne, Lidingö kommun och Svenska
   
Bankföreningen, ifrågasätter en detaljreglering av hur säkerhetsskydds- Prop. 2020/21:194
arbetet ska organiseras. Vissa, såsom Finansinspektionen, E-hälsomyndig-  
heten, Försäkringskassan, Svenskt Näringsliv, Vattenfall AB (Vattenfall)  
och Skövde kommun, anser inte att säkerhetsskyddschefens organisator-  
iska placering bör regleras. Finansinspektionen förespråkar att moder- och  
dotterbolag ska kunna ha en gemensam säkerhetsskyddschef. SKR och ett  
antal kommuner, såsom Gävle kommun, Kristianstads kommun och Luleå  
kommun, tycker att det är otydligt var i organisationen säkerhetsskydds-  
chefen ska placeras när det gäller kommuner och dess bolag. Lidingö  
kommun avstyrker förslaget om att säkerhetsskyddschefen ska få ett  
utökat ansvar. Finansinspektionen och Vattenfall motsätter sig att säker-  
hetsskyddschefen inte ska kunna delegera sitt ansvar.  
Skälen för regeringens förslag  
Enligt 2 kap. 2 § första stycket säkerhetsskyddsförordningen (2018:658)  
ska det finnas en säkerhetsskyddschef vid säkerhetskänslig verksamhet om  
det inte är uppenbart obehövligt. Säkerhetsskyddschefens uppgift ska  
enligt bestämmelsen vara att kontrollera att verksamheten bedrivs i  
enlighet med säkerhetsskyddslagen (2018:585) och säkerhetsskyddsför-  
ordningen.  
När det gäller statliga myndigheter som är verksamhetsutövare krävs  
dessutom, enligt 2 kap. 2 § andra stycket säkerhetsskyddsförordningen, att  
säkerhetsskyddschefen ska vara direkt underställd myndighetens chef. Av  
1 kap. 3 § säkerhetsskyddsförordningen framgår att motsvarande krav  
gäller för kommuner och regioner som är verksamhetsutövare.  
Ett generellt krav på säkerhetsskyddschefens organisatoriska placering  
Utredningens kartläggning visar att det ofta förekommer brister i  
kommunikationen mellan en verksamhetsutövares säkerhetsfunktion och  
dess ledning. Samtidigt är det ofta ledningen som beslutar i större frågor  
som rör den säkerhetskänsliga verksamheten, t.ex. om upphandlingar och  
utkontrakteringar som kan innebära att någon utomstående får tillgång till  
verksamheten. För att ett väl anpassat säkerhetsskydd ska kunna upprätt-  
hållas måste verksamhetsutövare beakta säkerhetsskyddsaspekter tidigt i  
olika beslutsprocesser. Exempelvis behöver en verksamhetsutövare i god  
tid innan en eventuell upphandling eller utkontraktering ta ställning till en  
rad frågor, såsom om och i vilken utsträckning en tilltänkt leverantör kan  
få tillgång till den säkerhetskänsliga verksamheten och i så fall vilka krav  
som ska ställas. Det kan också vara så att en viss verksamhet över huvud  
taget inte bör läggas ut på någon annan aktör. Vidare ska verksamhets-  
utövaren innan en eventuell överlåtelse av säkerhetskänslig verksamhet  
göra en säkerhetsskyddsbedömning och lämplighetsprövning samt i vissa  
fall samråda med samrådsmyndigheten (2 kap. 7–9 §§ säkerhetsskydds-  
lagen). Om säkerhetsorganisationen fungerar som en isolerad del av verk-  
samheten riskerar säkerhetsskyddsfrågorna att komma in för sent i  
processerna, vilket kan leda till brister i säkerhetsskyddet och i förläng-  
ningen äventyra Sveriges säkerhet.  
Det anförda visar enligt regeringen på vikten av att säkerhetsskydds-  
chefen organisatoriskt finns nära verksamhetsutövarens ledning och chef.  
En sådan ordning skapar förutsättningar för en bättre kommunikation 23

Prop. 2020/21:194 mellan säkerhetsfunktionen och ledningen och medför att säkerhets-

  skyddsfrågorna får hög prioritet. Vidare ger det säkerhetsskyddschefen
  möjlighet att få en bild av hela verksamhetens skyddsvärden, vilket är en
  förutsättning för det interna säkerhetsskyddsarbetet. Det är därför som det
  finns krav på statliga myndigheter, kommuner och regioner att säkerhets-
  skyddschefen ska vara direkt underställd verksamhetsutövarens chef.
  Skälen gör sig även gällande beträffande andra verksamhetsutövare, vilket
  talar starkt för att det införs ett generellt krav på att säkerhetsskyddschefen
  ska vara direkt underställd chefen för verksamhetsutövarens verksamhet.
  Flera remissinstanser, däribland SKR, Stockholms kommun, Region
  Skåne, Lidingö kommun och Svenska Bankföreningen, är emot en detalj-
  reglering av hur säkerhetsskyddsarbetet ska organiseras. Vissa remiss-
  instanser, såsom Finansinspektionen, E-hälsomyndigheten, Försäkrings-
  kassan, Svenskt Näringsliv, Vattenfall och Skövde kommun, framför
  särskilt att säkerhetsskyddschefens organisatoriska placering inte bör
  regleras. Skövde kommun och Svenska Bankföreningen föreslår att säker-
  hetsskyddschefen i stället kan rapportera till verksamhetens högsta chef, i
  likhet med vad som gäller för dataskyddsombud enligt EU:s dataskydds-
  förordning (Europaparlamentets och rådets förordning [EU] 2016/679 av
  den 27 april 2016 om skydd för fysiska personer med avseende på
  behandling av personuppgifter och om det fria flödet av sådana uppgifter
  och om upphävande av direktiv 95/46/EG). Remissinstanserna hänvisar
  främst till att det bör vara upp till varje verksamhet att organisera sitt
  säkerhetsskyddsarbete på lämpligt sätt. Regeringen har förståelse för att
  verksamheter kan se mycket olika ut. Skälen för att en säkerhets-
  skyddschef ska finnas nära verksamhetsutövarens ledning och chef gör sig
  dock lika starkt gällande oavsett en verksamhetsutövares storlek eller
  organisation. Ett krav på att säkerhetsskyddschefen ska vara direkt under-
  ställd chefen för verksamhetsutövarens verksamhet hindrar inte heller att
  verksamhetsutövare utifrån detta organiserar sitt säkerhetsskyddsarbete på
  en rad olika sätt, t.ex. genom att bedriva det inom flera enheter i en
  organisation. Enbart ett rapporteringskrav garanterar inte säkerhetsskydds-
  chefens position på samma sätt. Genom ett krav på att säkerhetsskydds-
  chefen ska vara direkt underställd den person som är chef för verksamhets-
  utövarens verksamhet kommer säkerhetsskyddschefen typiskt sett att ingå
  i en ledningsgrupp och vara en organisatorisk del av ledningen, vilket ger
  bättre förutsättningar för att säkerhetsskyddsfrågor uppmärksammas och
  beaktas i den dagliga styrningen av verksamheten. Regeringen anser därför
  i linje med utredningen att det bör införas ett generellt krav på verksam-
  hetsutövare att säkerhetsskyddschefen ska vara direkt underställd chefen
  för verksamhetsutövarens verksamhet. I exempelvis vissa myndigheter
  och juridiska personer finns det dock inte en person som kan anses som
  chef för verksamhetsutövarens verksamhet. I sådana fall bör säkerhets-
  skyddschefen i stället vara direkt underställd verksamhetsutövarens
  ledning.
  Finansinspektionen föreslår att moder- och dotterbolag bör kunna ses
  som en enhet och ha en gemensam säkerhetsskyddschef. Det vore dock
  varken lämpligt eller möjligt med hänsyn till att säkerhetsskydds-
  lagstiftningen bygger på att varje verksamhetsutövare, såsom ett aktie-
  bolag som bedriver säkerhetskänslig verksamhet, ansvarar för sin säker-
24 hetskänsliga verksamhet.

Vad det föreslagna kravet på säkerhetsskyddschefens organisatoriska ställning innebär för en verksamhetsutövare beror på vilken organisation det är fråga om. I en statlig myndighet är myndighetschefen att anse som chefen för verksamhetsutövarens verksamhet. Säkerhetsskyddschefen ska alltså liksom i dag vara underställd myndighetschefen när en sådan finns. I de fall som en statlig myndighet är en nämndmyndighet innebär kravet normalt sett att säkerhetsskyddschefen ska vara underställd den nämnd som leder myndigheten. I ett aktiebolag är den verkställande direktören vanligtvis att anse som chefen för verksamhetsutövarens verksamhet. Om det inte finns en verkställande direktör för aktiebolaget ska säkerhetsskyddschefen i stället vara underställd styrelsen. SKR, Gävle kommun, Kristianstads kommun och Luleå kommun ställer sig frågande till hur regleringen ska förstås i förhållande till kommuner och kommunala bolag. För kommuner och regioner är kommunrespektive regiondirektören att anse som chef för verksamhetsutövarens verksamhet (7 kap. 1 och 2 §§ kommunallagen [2017:725]). Säkerhetsskyddschefen ska alltså precis som i dag vara underställd den person som har den befattningen. I kommunala bolag är den verkställande direktören i normalfallet att anse som chef för verksamheten, liksom när det gäller andra bolag. Det kan noteras att Säkerhetspolisen och Försvarsmakten enligt 7 kap. 4 § 3 respektive 7 kap. 5 § 3 säkerhetsskyddsförordningen får meddela verkställighetsföreskrifter om kravet på säkerhetsskyddschef, t.ex. i syfte att precisera vem som är att anse som chefen för verksamhetsutövarens verksamhet respektive verksamhetsutövarens ledning i olika fall.

Säkerhetsskyddschefens ansvar utvecklas och förtydligas

Säkerhetsskyddschefens nuvarande funktion – att kontrollera att verksamheten bedrivs i enlighet med säkerhetsskyddslagen och säkerhetsskyddsförordningen – är viktig och behöver finnas kvar. I enlighet med utredningens förslag bör dock kontrollansvaret inte bara avse förenligheten med säkerhetsskyddslagen och säkerhetsskyddsförordningen, utan även de myndighets- och verkställighetsföreskrifter som meddelats i anslutning till säkerhetsskyddslagen.

Däremot har det framkommit att det finns behov av att förtydliga och utvidga säkerhetsskyddschefens roll i arbetet med att ta fram och bibehålla ett väl anpassat säkerhetsskydd. Behovet har bl.a. framkommit genom flera uppmärksammade händelser de senaste åren där det visat sig att centrala verksamhetsutövare haft ett eftersatt säkerhetsskydd. Ett exempel är den upphandling om förändrad it-drift hos Transportstyrelsen som bl.a. medförde att säkerhetsskyddsklassificerade och av andra skäl sekretessbelagda uppgifter hanterades på ett sätt som stred mot svensk lag. Under 2017 genomfördes en granskning av upphandlingen som redovisas i promemorian Granskning av Transportstyrelsens upphandling av it-drift (Ds 2018:6). Utredaren konstaterar att den grundläggande orsaken till att säkerhetsskyddsklassificerade uppgifter röjdes var att det i allt för hög grad saknades relevant kunskap om vilken information som myndigheten hanterade, hur denna information hanterades och vilka krav som ställdes på informationshanteringen. Detta berodde enligt utredaren i sin tur bl.a. på att säkerhetsfunktionerna på myndigheten var utspridda och saknade tillräcklig samordning. Enligt utredaren uppfattade säkerhetsskyddschefen

Prop. 2020/21:194

25

Prop. 2020/21:194 att det var svårt att få genomslag för säkerhetsskyddsfrågor både på ledningsnivå och i verksamheten samt att säkerhetsfrågorna kom in alldeles för sent i processen (Ds 2018:6 s. 98 och s. 220).

Regeringen anser liksom utredningen att säkerhetsskyddschefen även bör ha som uppgift att leda och samordna säkerhetsskyddsarbetet i verksamheten. På så sätt stärks säkerhetsskyddschefens roll ytterligare, både i förhållande till verksamhetens ledning och till säkerhetsorganisationen i övrigt. Lidingö kommun avstyrker förslaget eftersom det enligt kommunen bl.a. kan leda till att den som är ansvarig för verksamheten fjärmar sig från sitt ansvar för säkerhetsskyddet. Regeringen konstaterar dock att förslaget om säkerhetsskyddschefens ansvar inte fråntar det ansvar för säkerhetsskyddet som ligger på den som är ytterst ansvarig för verksamhetsutövaren. Förslaget ger snarare bättre förutsättningar för det ansvaret.

En särskild fråga är om säkerhetsskyddschefens ansvar bör kunna delegeras till någon annan person i organisationen. Vattenfall och Finansinspektionen anser att det måste vara möjligt att delegera både ansvar och arbetsuppgifter. I vilket fall bör det enligt Finansinspektionen förtydligas om rollen som säkerhetsskyddschef kan kombineras med en annan roll i verksamheten. I likhet med utredningen anser regeringen att det inte bör vara möjligt att delegera säkerhetsskyddschefens ansvar för ledning, samordning och kontroll. Skälet till detta är att det alltid bör finnas en person som har ansvaret för att kontrollera att säkerhetsskyddsregleringen följs och som har en helhetsbild av verksamhetens skyddsvärden och säkerhetsskydd. Om ansvaret delegeras uppnås inte de viktiga fördelar som finns med att säkerhetsskyddschefen är direkt underställd verksamhetsutövarens ledning. Det bör inte heller vara möjligt att ha flera säkerhetsskyddschefer med delat ansvar inom samma verksamhet. Risken är då, som i det uppmärksammade fallet med Transportstyrelsen, att säkerhetsfunktionerna blir utspridda utan samordning och tydlig koppling till ledningen. En annan sak är att det måste vara möjligt att delegera olika arbetsuppgifter på säkerhetsskyddsområdet till andra än säkerhetsskyddschefen. Det bör också vara möjligt för en säkerhetsskyddschef att även ha andra arbetsuppgifter och roller i en verksamhet.

Eftersom de föreslagna bestämmelserna om krav på säkerhetsskyddschef och dennes organisatoriska ställning och ansvar innebär åligganden för enskilda, bör de placeras i säkerhetsskyddslagen i stället för säkerhetsskyddsförordningen. Liksom tidigare bör kravet på säkerhetsskyddschef endast gälla under förutsättning att det inte är uppenbart obehövligt. Så kan vara fallet om den säkerhetskänsliga verksamheten är av en mycket begränsad omfattning. För bedömningen kan det också ha betydelse vilka säkerhetsskyddsklassificerade uppgifter som finns i verksamheten och hur säkerhetskänslig verksamheten i övrigt är. Vidare kan noteras att det finns en möjlighet att göra undantag från skyldigheterna med stöd av 1 kap. 3 § andra stycket säkerhetsskyddslagen. Det kan finnas skäl att göra sådana undantag när det gäller Regeringskansliet, utlandsmyndigheterna och kommittéväsendet.

26

6 Kravet på säkerhetsskyddsavtal utvidgas Prop. 2020/21:194
 

och förtydligas

6.1Skyldigheten att ingå säkerhetsskyddsavtal utvidgas

Regeringens förslag: Skyldigheten att ingå säkerhetsskyddsavtal ska utvidgas på så sätt att den även ska gälla andra förfaranden än upphandlingar och andra anskaffningar. Den utvidgade skyldigheten ska innebära att en verksamhetsutövare som avser att genomföra en upphandling, ingå ett avtal eller inleda en samverkan eller ett samarbete med en annan aktör, ska ingå ett säkerhetsskyddsavtal med aktören, om aktören genom förfarandet kan få tillgång till

1.säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller

2.annan säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet.

Under i övrigt samma förutsättningar ska verksamhetsutövaren även ingå säkerhetsskyddsavtal med de underleverantörer som anlitas för att fullgöra den andra aktörens förpliktelse.

Det ska förtydligas att säkerhetsskyddsavtal ska ingås innan motparten kan få tillgång till den säkerhetskänsliga verksamheten.

Utredningens förslag överensstämmer i huvudsak med regeringens. Utredningens föreslår inte att det ska tydliggöras i vilka fall en verksamhetsutövare ska ingå säkerhetsskyddsavtal med underleverantörer. Vidare föreslår utredningen inte något förtydligande av när ett säkerhetsskyddsavtal senast ska ingås.

Remissinstanserna: Flera remissinstanser är i stort positiva till förslaget att utöka skyldigheten att ingå säkerhetsskyddsavtal, såsom Energiföretagen Sverige, Försvarets materielverk (FMV), Inspektionen för strategiska produkter (ISP), Malmö kommun, Post- och telestyrelsen (PTS), Riksgälden, Sveriges Kommuner och Regioner (SKR) och Säkerhetspolisen. Flera remissinstanser, såsom Försvarsmakten, Säkerhets- och försvarsföretagen, Lidingö kommun, Livsmedelsverket, Luleå kommun, Länsstyrelsen i Norrbotten, Vattenfall AB (Vattenfall), Swedavia och Finansinspektionen, påpekar att ett krav på säkerhetsskyddsavtal vid samarbeten kommer vara mycket resurskrävande vid samarbeten med många parter. Vattenfall föreslår att alla aktiebolag inom samma koncern ska kunna anses vara en och samma verksamhetsutövare med följd att det inte skulle krävas säkerhetsskyddsavtal vid samarbeten mellan bolagen. Alternativt föreslår Vattenfall ett certifieringssystem för säkerhetsskydd. Totalförsvarets forskningsinstitut (FOI) anser att det även bör gälla krav på säkerhetsskyddsavtal vid förfaranden när en annan aktör kan få tillgång till säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen begränsat hemlig. SKR anser att kravet även bör omfatta tvångsupplåtelser. FRA anser inte att säkerhetsskyddsavtal bör krävas inför vissa förfaranden inom ramen för myndighetens underrättelseverksamhet. FMV

framför att frågan om hur säkerhetsskyddsavtal bör utformas när en

27

Prop. 2020/21:194 leverantör har sitt säte utanför Sverige måste utredas vidare. Swedavia och Specialfastigheter AB anser att det bör införas ett särskilt krav på att ingå säkerhetsskyddsavtal om verksamhetsutövaren upptäcker behovet av ett säkerhetsskyddsavtal först efter ett affärsavtal eller liknande har ingåtts. E-hälsomyndigheten menar att förslagets arbetsrättsliga konsekvenser behöver utredas ytterligare. FMV och FOI framhåller att en myndighet som tecknat avtal med en leverantör även bör ansvara för tecknande av säkerhetsskyddsavtal med de underleverantörer som anlitas.

Skälen för regeringens förslag

Nuvarande krav på säkerhetsskyddsavtal

En grundläggande princip inom säkerhetsskyddet är att säkerhetskänslig verksamhet ska ha samma skydd oavsett var och hur den bedrivs. En följd av den principen är kravet i 2 kap. 6 § säkerhetsskyddslagen (2018:585) om att en verksamhetsutövare i vissa fall ska ingå ett säkerhetsskyddsavtal med en leverantör innan leverantören engageras i verksamheten.

Kravet gäller för statliga myndigheter, kommuner och regioner som är verksamhetsutövare och som avser att genomföra en upphandling och ingå ett avtal om varor, tjänster eller byggentreprenader, under förutsättning att

det i upphandlingen förekommer säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller

upphandlingen i övrigt avser eller ger leverantören tillgång till säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet.

Verksamhetsutövaren ska – förutom med leverantören – även ingå säkerhetsskyddsavtal med de underleverantörer som anlitas, om det behövs för att tillgodose kraven på säkerhetsskydd (prop. 2017/18:89 s. 131).

Enligt 2 kap. 6 § tredje stycket säkerhetsskyddslagen omfattas även enskilda verksamhetsutövare av kravet på säkerhetsskyddsavtal. Eftersom enskilda i huvudsak inte omfattas av upphandlingslagstiftningen gäller skyldigheten i stället i motsvarande situationer, dvs. när enskilda verksamhetsutövare avser ingå avtal om varor, tjänster och byggentreprenader med en leverantör.

Kravet på säkerhetsskyddsavtal gäller alltså endast vid vissa typer av anskaffningar. Dessutom gäller det endast förfaranden i vilka det förekommer uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller förfaranden som avser eller ger leverantören tillgång till annan säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet. Följaktligen finns det inte något krav på att ingå säkerhetsskyddsavtal om det endast handlar om uppgifter som är begränsat hemliga eller säkerhetskänslig verksamhet av motsvarande betydelse.

I säkerhetsskyddsavtalet ska det enligt 2 kap. 6 § första stycket säkerhetsskyddslagen specificeras vilka säkerhetsskyddskrav som ska tillgodoses av leverantören. Ett säkerhetsskyddsavtal kan bl.a. innehålla överenskommelser om säkerhetsskyddsorganisationen, informationssäkerhet, säkerhetsprövning av personal, inklusive placering i säkerhetsklass och registerkontroll, utbildning och fördelning av kostnaderna för säkerhetsskyddet. Som regel görs affärsavtalet beroende av att åliggandena i säkerhetsskyddsavtalet följs av leverantören.

28

Förutom att ett säkerhetsskyddsavtal innebär att en leverantör kontraktuellt har förbundit sig att vidta vissa säkerhetsskyddsåtgärder, utgör ett säkerhetsskyddsavtal också grund för säkerhetsprövning av personal hos leverantören enligt 3 kap. säkerhetsskyddslagen (prop. 2017/18:89 s. 104 och 141). Ett säkerhetsskyddsavtal innebär dock inte i sig att säkerhetsskyddslagen blir direkt tillämplig på leverantörens verksamhet. Däremot kan en leverantör som exempelvis tillhandahåller driftstjänster åt ett flertal myndigheter genom sitt samlade engagemang anses bedriva säkerhetskänslig verksamhet. Säkerhetsskyddslagstiftningen kan alltså i sådana fall bli direkt tillämplig på leverantören av driftstjänsterna.

Det finns behov av att utvidga kravet på säkerhetsskyddsavtal

Liksom utredningen anser regeringen att det kan finnas ett behov av säkerhetsskyddsavtal under andra förfaranden än sådana offentliga upphandlingar och andra anskaffningar som i dag omfattas av krav på säkerhetsskyddsavtal.

För det första krävs inte säkerhetsskyddsavtal inför avtal, samverkan och samarbeten som inte sker i anslutning till offentlig upphandling eller annan anskaffning. Exempelvis sker sådan samverkan och sådant samarbete inom ramen för forskning, t.ex. när det gäller utveckling av försvarsmateriel eller informationssystem. Ett annat exempel är samverkan inom ramen för arbetet med informations- och cybersäkerhet. Vid förfaranden av de angivna slagen kan säkerhetsskyddsklassificerade uppgifter eller i övrigt säkerhetskänslig verksamhet behöva exponeras för de andra aktörer som verksamhetsutövaren samverkar eller samarbetar med. Om de utomstående aktörerna inte genomför tillräckliga säkerhetsskyddsåtgärder, såsom säkerhetsprövning av personal och informationssäkerhetsåtgärder för att förhindra att obehöriga får tillgång till säkerhetsskyddsklassificerade uppgifter, kan det innebära sårbarheter för Sveriges säkerhet. Det kan därför finnas behov av säkerhetsskyddsavtal inför avtal, samverkan och samarbeten som inte sker i anslutning till anskaffning för att kraven på säkerhetsskydd ska tillgodoses.

Det finns inte heller krav på säkerhetsskyddsavtal inför förfaranden då verksamhetsutövaren är leverantör och beställaren kan få tillgång till säkerhetskänslig verksamhet genom uppdraget. Ett praktiskt exempel är när offentliga eller enskilda verksamhetsutövare med höga skyddsvärden upplåter en fastighet, lokal eller anläggning – kanske inklusive tekniska resurser – åt någon annan aktör. Det kan vara fråga om upplåtelse av plats i skyddsrum eller bergrum eller möjlighet att använda ett laboratorium. Ett annat exempel kan vara när offentliga eller enskilda verksamhetsutövare levererar varor, såsom när FMV överlåter eller upplåter stridsflygplan eller annan lös egendom med höga skyddsvärden. Vid dessa former av upplåtelse och försäljning kan det finnas ett behov av att klargöra för hyresgästen eller beställaren hur olika skyddsvärden ska skyddas under t.ex. ett upphandlingsförfarande, en avtalsförhandling eller under avtalstiden. Om ett säkerhetsskyddsavtal inte ingås finns det en fara att skyddsvärdena inte får ett tillräckligt skydd.

Vidare är det oklart om det krävs säkerhetsskyddsavtal när statliga myndigheter ska ingå avtal om varor, tjänster eller byggentreprenader med

Prop. 2020/21:194

29

Prop. 2020/21:194 andra statliga myndigheter. Detta har sin grund i att det i olika sammanhang har framförts att statliga myndigheter inte kan ingå avtal i civilrättslig mening med varandra eftersom de båda ingår i den juridiska personen staten (se bl.a. SOU 1994:136 s. 181). Det får till följd att det är osäkert om upphandlingslagstiftningen, som gäller åtgärder som vidtas i syfte att anskaffa varor, tjänster eller byggentreprenader genom tilldelning av kontrakt, gäller för sådana anskaffningar. En dom från Kammarrätten i Stockholm talar för att upphandlingslagstiftningen kan vara tillämplig i vissa fall (dom den 23 juni 2017 i mål nr 7355–16). Konkurrensverket har emellertid i december 2018 publicerat ett ställningstagande (diarienummer 514/2018) där myndigheten gör bedömningen att anskaffningar mellan statliga myndigheter inte omfattas av upphandlingslagstiftningen om de båda myndigheterna ingår i samma juridiska person. Upphandlingsmyndigheten har i sitt remissvar till utredningen Statliga servicekontor – mer service på fler platser (SOU 2018:43) kommit till samma slutsats. Något prejudikat från Högsta förvaltningsdomstolen som klargör rättsläget finns inte. Av förarbetena till säkerhetsskyddslagen framgår visserligen att kravet på säkerhetsskyddsavtal gäller all typ av upphandling, även upphandling som med stöd av lagen (2016:1145) om offentlig upphandling (LOU) är undantagen från kraven i upphandlingsregelverket (prop. 2017/18:89 s. 141). Däremot är det oklart om det kan anses vara fråga om en upphandling i säkerhetsskyddslagens mening om ett förfarande över huvud taget inte faller inom upphandlingslagstiftningens tillämpningsområde. Osäkerheten kring om kravet på säkerhetsskyddsavtal gäller vid anskaffningar mellan statliga myndigheter är otillfredsställande eftersom det – liksom vid anskaffningar mellan andra aktörer – kan finnas behov av att ingå säkerhetsskyddsavtal för att kraven på säkerhetsskydd ska bli tillgodosedda.

Sammanfattningsvis finns det alltså inte något krav på säkerhetsskyddsavtal inför avtal, samarbeten och samverkan som gäller annat än anskaffning samt inför förfaranden då en verksamhetsutövare agerar leverantör. Vidare är det osäkert om det finns krav på säkerhetsskyddsavtal vid anskaffningar mellan statliga myndigheter. Behovet av säkerhetsskyddsavtal kan dock vara lika stort under angivna förfaranden som under förfaranden som i dag omfattas av krav på säkerhetsskyddsavtal. Av- saknaden av krav på säkerhetsskyddsavtal inför vissa avtal, samverkan och samarbeten där säkerhetskänslig exponeras för utomstående medför en beaktansvärd risk för att nödvändiga säkerhetsskyddsåtgärder inte vidtas och följaktligen för Sveriges säkerhet. Det finns därför ett behov av att utvidga kravet på säkerhetsskyddsavtal.

Kravet på säkerhetsskyddsavtal ska som huvudregel gälla i alla situationer där säkerhetskänslig verksamhet exponeras

Mot bakgrund av de risker för Sveriges säkerhet som avsaknad av säkerhetsskyddsavtal kan innebära i vissa situationer – och i linje med principen om att säkerhetskänslig verksamhet ska ha samma skydd oavsett var och hur verksamheten bedrivs – bör skyldigheten att ingå säkerhetsskyddsavtal inte vara begränsad till offentlig upphandling och andra anskaffningar. I stället bör risken för att en annan aktör får tillgång till säkerhetsskydds-

klassificerade uppgifter i eller i övrigt säkerhetskänslig verksamhet vara

30

avgörande. Att det är risken för exponering snarare än anledningen till exponeringen som bör vara avgörande tillstyrks också av flera remissinstanser, såsom FMV, ISP, PTS och Säkerhetspolisen. En reglering som är inriktad på t.ex. en viss typ av avtal eller samarbete riskerar dessutom att bli överspelad. Regeringen anser därför att en verksamhetsutövare som huvudregel bör vara skyldig att ingå ett säkerhetsskyddsavtal oavsett om denne är leverantör eller beställare och oavsett vilken typ av avtal, samverkan eller samarbete det är fråga om, under förutsättning att den andra aktören kan få tillgång till den säkerhetskänsliga verksamheten.

Att utvidga kravet på säkerhetsskyddsavtal kan, som flera remissinstanser påpekar, innebära en ökad arbetsbörda för verksamhetsutövare och fördröja vissa samarbeten. Det gäller särskilt, såsom Försvarsmakten, Säkerhets- och försvarsföretagen, Lidingö kommun, Livsmedelsverket, Luleå kommun och Länsstyrelsen i Norrbotten anför, inom forskningssamarbeten, totalförsvarsplaneringen inklusive arbete med civilt försvar och krisberedskap, när säkerhetsskyddsklassificerad information delas mellan ett stort antal statliga myndigheter, kommuner, regioner och privata aktörer. Som Vattenfall, Finansinspektionen och Swedavia påpekar kan det även få liknande konsekvenser vid samarbeten mellan flera bolag inom samma koncern. Dessa konsekvenser är dock motiverade med hänsyn till det behov av säkerhetsskydd som normalt även finns vid samarbeten. Det är vidare varken möjligt eller lämpligt att, som Vattenfall föreslår, ändra begreppet verksamhetsutövare till att i vissa fall avse hela koncerner med följd att det inte skulle krävas säkerhetsskyddsavtal mellan aktiebolag inom samma koncern. Som Vattenfall anför anses en verksamhetsutövare inte kunna vara två aktiebolag, utan varje juridisk person, statlig myndighet, kommun eller region som bedriver säkerhetskänslig verksamhet utgör en verksamhetsutövare med en egen skyldighet att tillgodose kraven på säkerhetsskydd. Det är därför som ett aktiebolag ska ingå säkerhetsskyddsavtal med ett annat bolag i samma koncern om förutsättningarna i övrigt i 2 kap. 6 § säkerhetsskyddslagen är uppfyllda (prop. 2017/18:89 s. 142). Något beredningsunderlag för att ändra detta centrala begrepp inom ramen för detta lagstiftningsärende finns inte. Det är vidare inte lämpligt att ändra begreppets omfattning till att ibland omfatta koncerner, bl.a. med tanke på att åtgärdsförelägganden och sanktionsavgifter, som tillsynsmyndigheterna enligt regeringens förslag i avsnitt 9 ska få besluta, bör beslutas mot ett bolag och inte en koncern. Det finns inte heller beredningsunderlag för att inom detta lagstiftningsärende behandla Vattenfalls förslag om att införa ett certifieringssystem för säkerhetsskydd.

Regeringen anser däremot, till skillnad från FOI, inte att kravet på säkerhetsskyddsavtal bör utvidgas till att gälla förfaranden där den andra aktören endast kan få tillgång till uppgifter i säkerhetsskyddsklassen begränsat hemlig eller säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet. Som FOI påpekar kan det visserligen finnas behov av att skydda även begränsat hemliga uppgifter. Den frågan har dock inte omfattats av utredningens uppdrag och kan därför inte behandlas inom ramen för detta lagstiftningsärende. Det ska dock poängteras att det i situationer där det inte finns krav på säkerhetsskyddsavtal ändå kan finnas anledning att ingå andra typer av säkerhetsskyddsöverenskommelser för att reglera säkerhetsskyddet (jfr 7 kap. 1 § andra stycket PMFS 2019:2). Sådana överenskommelser utgör dock i sig

Prop. 2020/21:194

31

Prop. 2020/21:194 inte grund för beslut om att placera en anställning eller annat deltagande

  hos motparten i säkerhetsklass eller för säkerhetsprövning med register-
  kontroll och särskild personutredning av en person som innehar en sådan
  befattning.
  Kravet på säkerhetsskyddsavtal bör vidare inte utvidgas till att omfatta
  situationer när en myndighet har makt att med tvång bereda sig tillgång till
  säkerhetsskyddsklassificerade uppgifter eller i övrigt säkerhetskänslig
  verksamhet. Sådana maktmedel finns främst inom ramen för tillsyn och
  brottsutredningar, såsom husrannsakan, beslag och motsvarande åtgärder.
  Till skillnad från SKR anser regeringen inte heller att kravet bör omfatta
  tvångsupplåtelser, såsom beslut om ledningsrätt för en mobilantenn på ett
  vattentorn. Det vore i de flesta fall orimligt att kräva säkerhetsskyddsavtal
  vid sådana tvångsförfaranden. Vidare framstår det som svårt att genomföra
  praktiskt, särskilt i de fall där det krävs skyndsamhet eller där det är viktigt
  att den som åtgärden vidtas hos inte underrättas i förväg.
  Kravet bör inte heller utvidgas till att gälla tillståndsförfaranden eller,
  som FRA anför, förfaranden enligt 6 kap. 19 a § lagen (2003:389) om
  elektronisk kommunikation. Enligt 6 kap. 19 a § lagen om elektronisk
  kommunikation är operatörer som för signaler i elektronisk form över
  Sveriges gräns skyldiga att för FRA:s underrättelseverksamhet lämna
  sådan information till FRA som gör det enkelt för myndigheten att ta hand
  om signalerna. Som FRA anför vore det inte lämpligt om ett sådant för-
  farande skulle omfattas av krav på säkerhetsskyddsavtal och följaktligen
  att operatörerna bl.a. skulle pröva lämpligheten av att lämna ut säkerhets-
  skyddsklassificerade uppgifter till myndigheten.
  Liksom tidigare bör kravet på säkerhetsskyddsavtal gälla oavsett om en
  leverantör har sin juridiska hemvist i ett annat land. Som FMV anför kan
  det finnas behov av mer vägledning om hur kravet på bl.a. säkerhets-
  skyddsavtal ska tillämpas i dessa fall. Sådana anvisningar bör dock i så fall
  ske på annat sätt än genom lagstiftning.
  Sammanfattningsvis bör alltså kravet på säkerhetsskyddsavtal utvidgas
  på så sätt att det utgår från risken för exponering av den säkerhetskänsliga
  verksamheten snarare än vilken sorts avtal, samarbete eller samverkan det
  är fråga om och vilken roll i förfarandet som verksamhetsutövaren har.
  Kravet bör därför gälla när en verksamhetsutövare avser att genomföra en
  upphandling, ingå ett avtal eller inleda en samverkan eller ett samarbete
  med en annan aktör under förutsättning att aktören genom förfarandet kan
  få tillgång till säkerhetsskyddsklassificerade uppgifter i säkerhetsskydds-
  klassen konfidentiell eller högre, eller annan säkerhetskänslig verksamhet
  av motsvarande betydelse för Sveriges säkerhet. Liksom tidigare bör ett
  säkerhetsskyddsavtal vara på plats innan den andra aktören kan få tillgång
  till den säkerhetskänsliga verksamheten för att verksamheten aldrig ska stå
  utan skydd. Detta bör dock tydliggöras i lagtexten. Det ska poängteras att
  det föreslagna kravet på säkerhetsskyddsavtal inte per automatik innebär
  att det är lämpligt ur säkerhetsskyddssynpunkt att genomföra vissa för-
  faranden om ett säkerhetsskyddsavtal ingås. I avsnitt 7.2 föreslår reger-
  ingen också att verksamhetsutövaren ska göra en särskild säkerhets-
  skyddsbedömning och en lämplighetsprövning innan ett förfarande som
  kräver säkerhetsskyddsavtal inleds.
  Till skillnad från Swedavia och Specialfastigheter AB anser regeringen
32 inte att det bör införas ett särskilt krav på att ingå säkerhetsskyddsavtal om

verksamhetsutövaren upptäcker behovet av ett sådant avtal först efter att ett affärsavtal har ingåtts. Att ett säkerhetsskyddsavtal ska vara på plats innan den andra aktören kan få tillgång till den säkerhetskänsliga verksamheten, innebär inte att skyldigheten att ingå säkerhetsskyddsavtal slutar gälla efter det skedet av förfarandet. Om verksamhetsutövaren felaktigt har bedömt att ett visst förfarande inte kräver säkerhetsskyddsavtal måste verksamhetsutövaren alltså ingå säkerhetsskyddsavtal i efterhand eller avbryta samarbetet i den del det innebär att den andra parten får tillgång till den säkerhetskänsliga verksamheten. En särskild bestämmelse om att teckna säkerhetsskyddsavtal i efterhand behövs därför inte.

Som E-hälsomyndigheten påpekar kan kraven på säkerhetsprövning i ett säkerhetsskyddsavtal få konsekvenser för arbetstagare i den verksamhet som omfattas av avtalet, såsom omplaceringar och uppsägningar. Detta är dock en konsekvens som redan följer av gällande lagstiftning. Regeringen anser därför till skillnad från E-hälsomyndigheten inte att de närmare arbetsrättsliga konsekvenserna av förslaget bör utredas vidare inom ramen för detta lagstiftningsärende.

Säkerhetsskyddsavtal ska även i fortsättningen ingås med underleverantörer

I linje med vad FOI och FMV uttrycker är det viktigt att en verksamhetsutövare, liksom i dag, även har ansvar för att ingå avtal med underleverantörer. Annars riskerar hela syftet med säkerhetsskyddsavtal att gå förlorat. Med hänsyn till att regeringen i avsnitt 9 föreslår att sanktionsavgift ska kunna beslutas bl.a. om verksamhetsutövare inte ingår säkerhetsskyddsavtal bör dock skyldigheten förtydligas. Det är även viktigt att skyldigheten tydliggörs med tanke på att det endast är i de fall det finns en skyldighet att ingå säkerhetsskyddsavtal som ett sådant avtal utgör grund för säkerhetsprövning av motpartens personal. Som Lagrådet anför bör skyldigheten gälla de underleverantörer som anlitas för att fullgöra leverantörens förpliktelse mot verksamhetsutövaren, oavsett om det är en underleverantör som leverantören anlitar eller en underleverantör i senare led. Liksom kravet på att ingå säkerhetsskyddsavtal med leverantörer och andra, bör kravet på säkerhetsskyddsavtal med en underleverantör endast gälla om underleverantören genom sitt uppdrag kan få tillgång till säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller annan säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet. Vidare bör det krävas att säkerhetsskyddsavtalet ingås innan underleverantören kan få tillgång till den säkerhetskänsliga verksamheten. I de fall som underleverantören i fråga endast kommer att kunna få tillgång till uppgifter i säkerhetsskyddsklassen begränsat hemlig eller säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet, kommer det alltså inte att finnas krav på säkerhetsskyddsavtal. En verksamhetsutövare behöver dock i sådana fall i regel vidta andra åtgärder för att tillgodose säkerhetsskyddet.

FMV anser att förslaget innebär att både den upphandlande myndigheten och leverantören kommer behöva teckna säkerhetsskyddsavtal med en underleverantör inom ramen för samma uppdrag. Det menar FMV är problematiskt eftersom det finns en risk att säkerhetsskyddsavtalen står i

Prop. 2020/21:194

33

Prop. 2020/21:194 strid med varandra. Regeringen instämmer i FMV:s synpunkt på så vis att både den upphandlande myndigheten och leverantören i vissa fall kan behöva teckna säkerhetsskyddsavtal med en underleverantör inom ramen för samma uppdrag. Den situationen kommer dock bara uppstå om även leverantören är verksamhetsutövare och under förutsättning att underleverantören genom sitt uppdrag kan få tillgång till både den upphandlande myndighetens och leverantörens säkerhetskänsliga verksamhet. Risken för oförenliga villkor kan framförallt tänkas uppkomma om de båda verksamhetsutövarna har olika tillsynsmyndigheter och omfattas av olika myndighetsföreskrifter. De båda avtalen kommer dock i sådana fall ha olika syften. Det ena avtalet kommer ha till syfte att skydda den upphandlande myndighetens säkerhetskänsliga verksamhet och det andra kommer ha till syfte att skydda leverantörens säkerhetskänsliga verksamhet. Enligt regeringens uppfattning kan det således behövas två säkerhetsskyddsavtal i de situationerna för att ett fullgott säkerhetsskydd ska upprätthållas under uppdraget.

34

6.2Den utvidgade skyldigheten att ingå säkerhetsskyddsavtal ska ha undantag

Regeringens förslag: Mellan statliga myndigheter ska kravet på säkerhetsskyddsavtal endast gälla vid anskaffning av en vara, tjänst eller byggentreprenad.

Regeringen ska få meddela föreskrifter om undantag från skyldigheten att ingå säkerhetsskyddsavtal. Om det finns särskilda skäl ska regeringen också få besluta om sådana undantag i enskilda fall.

Utredningens förslag överensstämmer i huvudsak med regeringens. Utredningen föreslår dock inte att det ska krävas särskilda skäl för att regeringen ska få besluta undantag från kravet på säkerhetsskyddsavtal i enskilda fall.

Remissinstanserna: Skövde kommun, Socialstyrelsen och Affärsverket svenska kraftnät anser att det även kan finnas behov av säkerhetsskyddsavtal vid förfaranden mellan myndigheter som inte gäller anskaffning av en vara, tjänst eller byggentreprenad. Bland annat FOI, FRA och Försvarsunderrättelsedomstolen anser att gränsen mellan anskaffning respektive samarbete och samverkan kan behöva klargöras. SKR och ett antal kommuner, regioner och länsstyrelser, såsom Gävle kommun, Stockholms kommun, Gotlands kommun, Göteborgs kommun, Luleå kommun, Region Kronoberg, Region Skåne, Region Stockholm och Länsstyrelsen i Skåne, anser att det i någon mån behövs undantag för samarbete och samverkan mellan kommuner och mellan regioner. Vissa av dem anser att det även bör införas undantag för samverkan och samarbeten mellan kommuner och regioner, kommuner och deras bolag och regioner och dess bolag. Ett antal remissinstanser, såsom FOI, Försvarsmakten, FRA, Försvarsunderrättelsedomstolen, Säkerhets- och försvarsföretagen och Svenska Bankföreningen, anser att det i någon mån bör göras undantag från kravet på säkerhetsskyddsavtal när båda parter bedriver säkerhetskänslig verksamhet. Specialfastigheter AB framför att det behövs klargörande om vad

som gäller när båda parter bedriver säkerhetskänslig verksamhet. Luleå Prop. 2020/21:194
kommun anser inte att kommunen bör vara skyldig att ingå säkerhets-  
skyddsavtal inför viss samverkan som krävs av kommunen enligt lag.  
Ingen remissinstans motsätter sig att regeringen ska få föreskriva och  
besluta om undantag från kravet på säkerhetsskyddsavtal. Vissa remiss-  
instanser, såsom FRA, Fortifikationsverket, Försvarsunderrättelsedom-  
stolen och Svenskt Näringsliv, har dock synpunkter på vilka som bör  
beviljas undantag.  
Skälen för regeringens förslag  
Den utvidgade skyldighet att ingå säkerhetsskyddsavtal som regeringen  
föreslår i avsnitt 6.1 omfattar krav på säkerhetsskyddsavtal vid vitt skilda  
mellanhavanden mellan olika typer av aktörer. Det bör därför övervägas  
om det finns skäl att i vissa fall göra undantag från kravet.  
Mellan statliga myndigheter bör kravet på säkerhetsskyddsavtal endast  
gälla anskaffning av varor, tjänster och byggentreprenader  
Det första undantaget som bör övervägas är det som utredningen föreslår,  
nämligen att det mellan statliga myndigheter endast ska finnas krav på  
säkerhetsskyddsavtal när det gäller anskaffning av en vara, tjänst eller  
byggentreprenad. Det innebär att rena samverkans- och samarbets-  
situationer mellan statliga myndigheter undantas från kravet på säkerhets-  
skyddsavtal.  
Samverkan och samarbeten mellan statliga myndigheter kan ha många  
former. I vissa fall kan det handla om enstaka eller regelbundna avstäm-  
ningar eller om utbyte av information. I andra fall kan det handla om mer  
långvariga samarbeten eller samverkan på ett visst område och mot ett  
gemensamt mål. Skyldigheten att samverka kan följa av författning eller  
regeringsbeslut, men kan också ske på myndigheternas eget initiativ som  
ett led i strävan att på bästa sätt utföra myndigheternas uppdrag.  
Ett skäl som talar för att undanta rena samarbeten och ren samverkan  
mellan statliga myndigheter från kravet på att ingå säkerhetsskyddsavtal  
är att statliga myndigheter ingår i den juridiska personen staten, och att de  
därmed företräder samma övergripande statliga intresse. Ett annat skäl är  
att det på båda sidor handlar om en verksamhet som i hög grad är regel-  
styrd på så sätt att skyldigheten att samverka många gånger följer av  
författning eller regeringsbeslut. Ett ytterligare skäl är att båda parter  
omfattas av regleringen i offentlighets- och sekretesslagen (2009:400),  
OSL. De säkerhetsskyddsklassificerade uppgifter som kan behöva delas  
mellan myndigheter inom ramen för ett samarbete eller en samverkan är  
normalt sådana att de omfattas av sekretess som gäller oavsett i vilken  
verksamhet de förekommer, såsom utrikes- eller försvarssekretess enligt  
15 kap. 1 och 2 §§ OSL. Det innebär att uppgifterna regelmässigt kommer  
ha samma sekretesskydd hos båda parter. Avsaknaden av säkerhetsskydds-  
avtal skulle därför inte innebära att säkerhetsskyddsklassificerade upp-  
gifter helt saknar skydd. Myndigheter är som regel också vana vid att hantera  
sekretessbelagd information och har rutiner för det. Dessutom omfattas  
statliga myndigheter i större utsträckning än enskilda aktörer av säkerhets-  
skyddslagen med följd att det finns säkerhetsskydd hos båda parter. Dessa  
skäl medför att det generellt sett inte finns ett lika stort behov av krav på 35
Prop. 2020/21:194 säkerhetsskyddsavtal vid samarbete och samverkan mellan statliga
  myndigheter. Som Skövde kommun, Socialstyrelsen och Affärsverket
  svenska kraftnät framför kan det dock finnas enskilda avvikelser.
  Det mer begränsade behovet ställt mot de olägenheter som krav på
  säkerhetsskyddsavtal kan innebära gör att regeringen, i linje med
  utredningen, anser att ren samverkan och rent samarbete mellan statliga
  myndigheter bör undantas från kravet på säkerhetsskyddsavtal. Detta inne-
  bär dock inte, som Socialstyrelsen anför, att statliga myndigheter kommer
  sakna incitament för att identifiera och skydda den säkerhetsskydds-
  klassificerade information som överförs. Frånvaro av krav på säkerhets-
  skyddsavtal innebär inte att en myndighet som är verksamhetsutövare kan
  bortse från säkerhetsskyddet under ett viss förfarande, utan att detta får
  tillgodoses på andra sätt. Bland annat kan det finnas anledning att ingå
  någon annan form av säkerhetsskyddsöverenskommelse. Det är också
  naturligt att en statlig myndighet som ska ingå samverkan med en annan
  statlig myndighet, där utbyte av säkerhetsskyddsklassificerade uppgifter
  kan ske, förvissar sig om att säkerhetsskyddet hos den andra myndigheten
  är godtagbart.
  Liksom utredningen anser regeringen inte att skälen mot ett generellt
  krav på säkerhetsskyddsavtal vid ren samverkan och rena samarbeten har
  samma tyngd när det gäller situationer där statliga myndigheter är beställare
  och leverantör i förhållande till varandra, dvs. när en myndighet anskaffar
  en vara, tjänst eller byggentreprenad av en annan myndighet. I sådana
  situationer handlar det inte främst om att myndigheterna arbetar mot ett
  gemensamt statligt mål, utan de agerar snarare som aktörer på en marknad.
  Vid utkontraktering och andra anskaffningar kan det inte sällan finnas
  intressen – inte minst effektivitetsskäl – som kan stå i motsats till kraven
  på säkerhetsskydd. Vidare rör det sig i många fall om varor och tjänster
  med stora skyddsvärden. Ett exempel kan vara att en statlig myndighet
  hanterar andra statliga myndigheters personaladministration och därför får
  tillgång till säkerhetsskyddsklassificerade uppgifter. Även om parterna på
  ömse sidor är statliga myndigheter kan det då finnas ett stort behov av att
  klargöra vilka krav på säkerhetsskydd som gäller i fråga om de säkerhets-
  skyddsklassificerade uppgifter som utföraren behandlar. Med hänsyn till
  att behovet av säkerhetsskydd vid anskaffningar mellan statliga myndig-
  heter generellt sett är större än vid rena samarbeten och samverkan, anser
  regeringen att det ska finnas krav på säkerhetsskyddsavtal i dess fall.
  Statliga myndigheter ska alltså endast ha en skyldighet att ingå säker-
  hetsskyddsavtal med en annan statlig myndighet när det gäller anskaffning
  av en vara, tjänst och byggentreprenad. Ett antal remissinstanser, bl.a. FOI,
  FRA och Försvarsunderrättelsedomstolen, anser att det behöver klar-
  läggas vad som är anskaffning respektive sådant samarbete och sådan
  samverkan som är undantaget från krav på säkerhetsskyddsavtal. Ledning
  för tolkning av begreppet anskaffning av vara, tjänst eller byggentreprenad
  kan hämtas ur upphandlingslagstiftningen. Enligt förarbetena till 1 kap. 2
  § LOU avser uttrycket att någon genom oneröst fång, dvs. ett ömsesidigt
  förpliktande avtal, får tillgång till varor, tjänster eller byggentreprenader.
  Typfall är köp, hyra och leasing (prop. 2015/16:195 s. 932). Som FOI
  anför kan vissa förfaranden, som exempelvis när en myndighet är inhyrd
  hos en annan myndighet, innefatta både samarbete, samverkan och
36 anskaffning. Regeringen anser dock till skillnad från FOI inte att det bör

vara förenat med beaktansvärda tillämpningsproblem att urskilja vilken del av ett samarbete som avser anskaffning av en vara, tjänst eller byggentreprenad och därför kräver säkerhetsskyddsavtal.

Andra undantag bör inte införas i säkerhetsskyddslagen

SKR och ett antal kommuner, regioner och länsstyrelser, såsom Gävle kommun, Stockholms kommun, Gotlands kommun, Göteborgs kommun, Luleå kommun, Region Kronoberg, Region Skåne, Region Stockholm och Länsstyrelsen i Skåne, anser att det även behövs undantag för samarbete och samverkan mellan kommuner och mellan regioner. Vissa av remissinstanserna anser att det även bör införas undantag för samarbeten och samverkan mellan kommuner och regioner, kommuner och deras bolag och regioner och deras bolag. Flera av dessa remissinstanser framhåller att samma skäl som finns för ett undantag när det gäller statliga myndigheter också gör sig gällande för kommuner och regioner. Vidare framför vissa av dem att kravet på säkerhetsskyddsavtal kommer bli administrativt tungrott, resurskrävande och riskera att motverka samverkan.

Regeringen anser dock inte att skälen för ett undantag när det gäller samverkan och samarbeten mellan statliga myndigheter gör sig gällande på samma sätt beträffande kommuner och regioner. Kommuner och regioner sköter lokala och regionala angelägenheter av allmänt intresse och kan därför inte sägas företräda samma övergripande intresse som statliga myndigheter gör. Det kan alltså finnas ett spänningsförhållande mellan exempelvis kommunala och statliga intressen, vilket har uppmärksammats i ett flertal ärenden med säkerhetspolitiska inslag, t.ex. när det gäller uthyrningen av hamnkapacitet på Gotland och i Blekinge inom ramen för naturgasprojektet Nordstream 2. Med hänsyn till det anser regeringen att behovet av ett generellt krav på säkerhetsskyddsavtal i dessa situationer väger över de olägenheter som ett sådant krav kan innebära. Något undantag för kommuners och regioners samverkan och samarbeten bör därför inte införas i säkerhetsskyddslagen. Det bör dock framhållas att det många gånger kan finnas sätt att undvika att behöva ingå säkerhetsskyddsavtal, inte minst genom att verksamhetsutövare minimerar utomståendes insyn i verksamheten till situationer där det verkligen är nödvändigt, och genom att minimera utomståendes tillgång till säkerhetsskyddsklassificerade uppgifter. Om ett samarbete eller en samverkan kan genomföras utan att motparten kan få tillgång säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre eller säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet, behöver något säkerhetsskyddsavtal inte ingås.

FOI, Försvarsmakten, FRA, Försvarsunderrättelsedomstolen, Säkerhets- och försvarsföretagen och Svenska Bankföreningen anser att det i någon mån bör göras undantag från kravet på säkerhetsskyddsavtal när båda parter bedriver säkerhetskänslig verksamhet. Specialfastigheter AB framför att det behövs klargörande om vad som gäller när båda parter bedriver säkerhetskänslig verksamhet. En verksamhetsutövares säkerhetsskyddsåtgärder utgår från den egna säkerhetskänsliga verksamheten och de skyddsvärden som finns i den. När båda parter omfattas av säkerhetsskyddslagen har alltså säkerhetsskyddsavtal den funktionen att det

Prop. 2020/21:194

37

Prop. 2020/21:194 anpassar och preciserar säkerhetsskyddet hos en verksamhetsutövare för att också skydda motpartens verksamhet under det aktuella förfarandet. Utan krav på säkerhetsskyddsavtal i dessa situationer finns det en risk för att fel eller otillräckliga säkerhetsskyddsåtgärder vidtas. Regeringen anser därför inte att den omständigheten att båda parter bedriver säkerhetskänslig verksamhet berättigar till undantag från kravet på säkerhetsskyddsavtal.

Luleå kommun anser inte att det bör krävas säkerhetsskyddsavtal för sådan samverkan som krävs av kommunen enligt lagen (2006:544) om kommuners och regioners åtgärder inför och vid extraordinära händelser i fredstid och höjd beredskap. Enligt Luleå kommun behöver säkerhetsskyddsklassificerade uppgifter i vissa fall utbytas inom ramen för den samverkan. Regeringen delar Luleå kommuns synpunkt på så sätt att det kan vara problematiskt med krav på säkerhetsskyddsavtal i situationer när det samtidigt finns krav enligt författning eller regeringsbeslut som förutsätter ett utbyte av säkerhetsskyddsklassificerade uppgifter. Synpunkten avser dock en speciell situation som är svår att reglera i lag genom ett generellt undantag. Det bör i stället övervägas om ett sådant undantag bör regleras inom ramen för den möjlighet till undantag genom föreskrifter och beslut som regeringen föreslår.

Regeringen bör kunna föreskriva och besluta om undantag

Det kan finnas vissa relationer mellan myndigheter där det inte framstår som rimligt eller nödvändigt med ett krav på säkerhetsskyddsavtal. Ett exempel skulle kunna vara relationen mellan Försvarsmakten och FMV. Dessa två myndigheter har ett mycket omfattande samarbete och är tätt sammanflätade. Även andra liknande undantag kan vara motiverade. Det bör därför finnas en möjlighet att undanta myndigheter och andra från kravet att ingå säkerhetsskyddsavtal. Eftersom behoven kan variera över tid bör dessa undantag regleras genom förordning. Regeringen bör följaktligen bemyndigas att meddela föreskrifter om undantag från kravet på säkerhetsskyddsavtal.

Det kan vidare finnas ett behov av undantag i vissa specifika fall. Ett samarbete som en myndighet bedriver i enlighet med författning eller regeringsbeslut och som förutsätter ett utbyte av säkerhetsskyddsklassificerade uppgifter, och där förtroendet mellan parterna bygger på ett ömsesidigt intresse av att säkerheten för uppgifterna upprätthålls, kan vara ett sådant fall. Viss samverkan på underrättelseområdet, t.ex. partnersamarbeten, kan därför bli aktuellt för undantag. En annan situation där ett undantag kan vara lämpligt är anskaffningar av varor och tjänster i ett tillstånd av höjd beredskap. Denna typ av undantag bör som regel ske genom beslut snarare än genom föreskrifter. Om det finns särskilda skäl bör därför regeringen, som har det övergripande ansvaret för Sveriges säkerhet, även få fatta beslut om undantag från kravet på säkerhetsskyddsavtal i enskilda fall.

Flera remissinstanser har synpunkter på vilka undantag som bör föreskrivas och beslutas, bl.a. FRA, Fortifikationsverket, Förvarsunderrättelsedomstolen, FOI och Svenskt Näringsliv. Synpunkterna kommer hanteras i det fortsatta förordningsarbetet.

38

6.3 Kopplingen mellan säkerhetsskyddsavtal Prop. 2020/21:194
  och säkerhetsprövning förtydligas  

Regeringens förslag: Det ska förtydligas att bestämmelserna om säkerhetsprövning i säkerhetsskyddslagstiftningen tillämpas vid säkerhetsprövning enligt ett säkerhetsskyddsavtal.

Utredningens förslag överensstämmer i huvudsak med regeringens. Utredningens förslag förtydligar dock inte att det är vid säkerhetsprövning enligt ett säkerhetsskyddsavtal som bestämmelserna om säkerhetsprövning får tillämpas.

Remissinstanserna: Försvarsunderrättelsedomstolen ställer sig bakom förslaget. Ingen annan remissinstans yttrar sig särskilt i denna del.

Skälen för regeringens förslag: I 3 kap. säkerhetsskyddslagen och

5 kap. säkerhetsskyddsförordningen (2018:658) finns bestämmelser om krav på verksamhetsutövare att säkerhetspröva personer innan de genom anställning eller på annat sätt får delta i den säkerhetskänsliga verksamheten. Säkerhetsprövningen görs av den som ska anställa eller anlita personen i fråga. Det huvudsakliga syftet med prövningen är att klarlägga om personen kan antas vara lojal med de intressen som ska skyddas och i övrigt pålitlig ur säkerhetssynpunkt. Ett annat syfte är att utreda eventuella sårbarheter som skulle kunna göra att personen hamnar i en utsatt situation och blir sårbar för yttre påtryckningar. Säkerhetsprövningen grundar sig på en säkerhetsprövningsintervju och uppgifter som framgår av till exempel betyg, intyg och referenser. En säkerhetsprövning av en person inför en befattning som är placerad i säkerhetsklass inkluderar även registerkontroll och i vissa fall en särskild personutredning. Om säkerhetsprövning görs inför en befattning som inte är placerad i säkerhetsklass kan den endast genomföras i mer begränsad omfattning. Vilken säkerhetsklass en befattning ska placeras i styrs av vilken tillgång till säkerhetsskyddsklassificerade uppgifter den person som innehar befattningen har och vilken möjlighet personen har att orsaka skada för Sveriges säkerhet. Vilka myndigheter och andra som beslutar om placering i säkerhetsklass varierar. Enbart regeringen kan besluta om placering i säkerhetsklass 1. I vissa andra fall är det verksamhetsutövaren eller en tillsynsmyndighet som beslutar om placering i säkerhetsklass. Säkerhetspolisen utför sedan registerkontroll, efter ansökan av verksamhetsutövaren eller tillsynsmyndigheten. Säkerhetspolisen har också ansvar att i vissa fall genomföra en särskild personutredning.

En aktör som har ingått säkerhetsskyddsavtal med en verksamhetsutövare anses som regel inte bedriva den säkerhetskänsliga verksamhet som aktören får tillgång till. Enbart tillgången till uppgifterna gör alltså inte att aktören är en verksamhetsutövare som omfattas av kraven på säkerhetsprövning. I säkerhetsskyddslagen och säkerhetsskyddsförordningen förutsätts dock att en verksamhetsutövare genom ett säkerhetsskyddsavtal ska kunna ställa krav på säkerhetsprövning med registerkontroll och särskild personutredning motsvarande de som gäller för anställda hos verksamhetsutövare. Vidare förutsätts att beslut om placering i säkerhetsklass, registerkontroll och särskild personutredning

får ske med stöd av avtalet. I linje med detta anges i förarbetena till

39

Prop. 2020/21:194 säkerhetsskyddslagen att säkerhetsprövning enligt 3 kap. säkerhetsskyddslagen gäller vid säkerhetsprövning enligt ett säkerhetsskyddsavtal (prop. 2017/18:89 s. 141). Vidare framgår att ett säkerhetsskyddsavtal är grund för beslut om placering i säkerhetsklass (prop. 2017/18:89 s. 104).

40

Av säkerhetsskyddslagen framgår dock inte tydligt att ett säkerhetsskyddsavtal kan utgöra grund för krav på säkerhetsprövning av motpartens personal, eller att det kan utgöra grund för beslut om placering i säkerhetsklass, registerkontroll och särskild personutredning. Denna koppling mellan säkerhetsskyddsavtal och säkerhetsprövning bör klargöras i lag, särskilt eftersom en säkerhetsprövning kan uppfattas som integritetskränkande och påverka den kontrollerades anställning.

Som utredningen föreslår bör det därför framgå direkt av säkerhetsskyddslagen att bestämmelserna i 3 kap. säkerhetsskyddslagen och föreskrifter som har meddelats i anslutning till de bestämmelserna tillämpas när ett säkerhetsskyddsavtal har ingåtts. För tydlighets skull bör det dock preciseras att det är vid säkerhetsprövning enligt avtalet som tillämpningen får ske.

6.4Kraven på uppföljning av säkerhetsskyddsavtal förtydligas

Regeringens förslag: Det ska införas ett krav i säkerhetsskyddslagen på att verksamhetsutövaren ska revidera ett säkerhetsskyddsavtal om det krävs på grund av ändrade förhållanden. Det ska även införas ett tydligare krav på verksamhetsutövare att vidta de åtgärder som behövs för att tillgodose kraven på säkerhetsskydd om motparten i ett säkerhetsskyddsavtal bryter mot avtalet.

Vidare ska det göras tydligare att ett säkerhetsskyddsavtal ska innehålla de krav på motparten som behövs för att kraven på säkerhetsskydd ska kunna tillgodoses. Dessutom ska det införas krav på att i säkerhetsskyddsavtal reglera hur verksamhetsutövaren ska få kontrollera att motparten följer säkerhetsskyddsavtalet och att verksamhetsutövaren har rätt att revidera avtalet om det krävs på grund av ändrade förhållanden.

Utredningens förslag överensstämmer delvis med regeringens. Utredningen föreslår dock inte att det ska tydliggöras vad en verksamhetsutövare har för skyldigheter när motparten i ett säkerhetsskyddsavtal bryter mot avtalet. Vidare föreslår utredningen varken att det ska tydliggöras att ett säkerhetsskyddsavtal ska innehålla de krav på motparten som behövs för att kraven på säkerhetsskydd ska kunna tillgodoses eller att ett säkerhetsskyddsavtal ska reglera hur verksamhetsutövaren ska få kontrollera att motparten följer avtalet.

Remissinstanserna: Majoriteten av remissinstanserna tillstyrker eller har inte några invändningar mot förslaget, såsom Polismyndigheten, Säkerhetspolisen, Finansinspektionen, Sjöfartsverket och Stockholms tingsrätt. Svenskt Näringsliv och Näringslivets regelnämnd har synpunkter på vem som ska kontrollera att ett säkerhetsskyddsavtal följs. Finansinspektionen anser att det bör regleras hur ofta en verksamhetsutövare ska

följa upp ett säkerhetsskyddsavtal. Lidingö kommun anser att det Prop. 2020/21:194
föreslagna kravet på revidering kan leda till färre anbudsgivare och dyrare  
upphandlingar. Svenska bankföreningen anser inte att bankerna bör  
påföras ytterligare krav om uppföljning. Kammarrätten i Stockholm efter-  
frågar förtydligande angående ansvaret för uppföljningen i vissa fall. Upp-  
handlingsmyndigheten och SKR framför att det behövs en fördjupad analys  
av hur kravet på revidering förhåller sig till upphandlingslagstiftningen.  
Ett antal remissinstanser, såsom Lidingö kommun, Swedavia och Svenskt  
Näringsliv, efterfrågar reglering om kostnadsansvaret för en revidering  
eller brutet kontrakt. Säkerhetspolisen påpekar att formerna för kontroll av  
att ett säkerhetsskyddsavtal följs måste regleras i säkerhetsskyddsavtalet  
och Upphandlingsmyndigheten påpekar att det bör anges i upphandlings-  
dokumenten att affärsavtalet får hävas om motparten bryter mot säkerhets-  
skyddsavtalet.  
Skälen för regeringens förslag  
Genom uppgifter till utredningen från tillsynsmyndigheter och verksam-  
hetsutövare har det framkommit att det ofta brister i uppföljningen av  
säkerhetsskyddsavtal.  
För ett väl anpassat säkerhetsskydd hos en aktör som en verksamhets-  
utövare har ingått säkerhetsskyddsavtal med, kan det vara lika viktigt med  
löpande uppföljning av avtalet som den ursprungliga analysen av vilka  
säkerhetsskyddsåtgärder som behövs. Bristande eller utebliven upp-  
följning kan i värsta fall få mycket allvarliga konsekvenser för Sveriges  
säkerhet eftersom det utan en sådan kontroll inte är möjligt att slå fast eller  
göra något åt att skyldigheterna enligt ett säkerhetsskyddsavtal inte följs.  
Vidare kan bristande uppföljning göra att verksamhetsutövaren inte upp-  
märksammar att säkerhetsskyddsavtalet behöver revideras för att säker-  
hetsskyddsåtgärderna ska vara ändamålsenliga.  
Tydligare krav på uppföljning  
I säkerhetsskyddslagstiftningen finns det bestämmelser med krav på  
kontroll och revidering av säkerhetsskyddsavtal.  
Enligt 2 kap. 6 § andra stycket säkerhetsskyddslagen ska verksamhets-  
utövaren kontrollera att leverantören följer säkerhetsskyddsavtalet. Kravet  
är tydligt och det finns inte anledning att anta att kravets utformning bidrar  
till den bristande uppföljningen. Kravet måste dock justeras till att gälla  
kontroll av alla aktörer – inte endast leverantörer – som en verksamhets-  
utövare enligt förslaget i avsnitt 6.1 kan ha ingått säkerhetsskyddsavtal  
med. Någon anledning att ändra kravet och flytta ansvaret för kontrollen  
till en statlig aktör för att förbättra uppföljningen, som Svenskt Näringsliv  
och Näringslivets regelnämnd förespråkar, finns inte heller. En grund-  
princip inom säkerhetsskyddet är att det är den som bedriver säkerhets-  
känslig verksamhet som ansvarar för den. Kontrollskyldigheten bör därför  
ligga kvar hos verksamhetsutövaren. En annan sak är att tillsynsmyndig-  
heterna, inom sina tillsynsområden, får utöva tillsyn hos dem som har  
ingått säkerhetsskyddsavtal med en verksamhetsutövare. Däremot kan det,  
som Finansinspektionen framför, finnas anledning att reglera hur ofta som  
säkerhetsskyddsavtal ska följas upp, men en sådan bestämmelse bör i så  
fall införas på lägre författningsnivå. Vidare kan det finnas ett särskilt 41

Prop. 2020/21:194 behov av vägledning om hur uppföljningen ska gå till när motparten är en

  utländsk leverantör.
  I säkerhetsskyddslagstiftningen finns emellertid inget krav som särskilt
  avser vad en verksamhetsutövare har för skyldigheter när det vid en
  kontroll framkommer att motparten inte följer säkerhetsskyddsavtalet. Av
  bl.a. 2 kap. 1 § säkerhetsskyddslagen följer dock att en verksamhets-
  utövare alltid – oavsett om verksamhetsutövaren har ingått ett säkerhets-
  skyddsavtal – har en skyldighet att se till att den säkerhetskänsliga
  verksamheten har ett fullgott säkerhetsskydd. Om behovet av säkerhets-
  skydd inte tillgodoses genom ett säkerhetsskyddsavtal, måste verksam-
  hetsutövaren alltså agera. I vissa fall kan det vara tillräckligt att verksam-
  hetsutövaren påpekar bristerna och begär att motparten ändrar sitt
  agerande. I andra fall kan det dock krävas att verksamhetsutövaren
  avbryter det förfarande som ger motparten tillgång till den säkerhets-
  känsliga verksamheten för att kraven på säkerhetsskydd ska bli tillgodo-
  sedda. Det är därför som ett affärskontrakt som regel villkoras av att
  säkerhetsskyddsavtalet följs. Med hänsyn till att det är helt centralt att
  verksamhetsutövaren agerar när motparten bryter mot säkerhetsskydds-
  avtalet, bör denna skyldighet framgå på ett tydligare sätt av säkerhets-
  skyddslagen. Det bör därför införas en bestämmelse i säkerhetsskydds-
  lagen som tydliggör att en verksamhetsutövare ska vidta de åtgärder som
  behövs för att tillgodose kraven på säkerhetsskydd om motparten inte
  följer säkerhetsskyddsavtalet.
  I Försvarsmaktens och Säkerhetspolisens föreskrifter om säkerhets-
  skydd finns bestämmelser om revidering av säkerhetsskyddsavtal (7 kap.
  7 § PMFS 2019:2 och 8 kap. 1 § andra stycket FFS 2019:2). Liksom kravet
  på att kontrollera att ett säkerhetsskyddsavtal följs bör ett krav på
  revidering finnas i säkerhetsskyddslagen. I föreskrifterna beskrivs inte
  närmare i vilka fall revidering ska ske. För att kravet ska bli tydligare för
  båda parter som ingått säkerhetsskyddsavtal bör det specificeras.
  Regeringen anser liksom utredningen att kravet på revidering bör gälla vid
  ändrade förhållanden, dvs. när den bedömning som legat till grund för
  valet av säkerhetsskyddåtgärder blivit överspelad. Exempelvis kan det
  handla om att förhållanden i omvärlden har förändrats på ett sådant sätt att
  det finns anledning för verksamhetsutövaren att ställa krav på andra
  säkerhetsskyddsåtgärder än vad som följer av det ursprungliga säkerhets-
  skyddsavtalet. Det kan även handla om ändrade förhållanden i den
  verksamhet som omfattas av säkerhetsskyddsavtalet, såsom ändring i
  ägarförhållanden eller flytt till nya lokaler.
  Eftersom det redan i dag finns krav på kontroll och revidering innebär
  förslagen i denna del inte, såsom Lidingö kommun menar, att vissa
  upphandlingar kommer att bli dyrare eller leda till färre anbudsgivare. Av
  samma skäl innebär det inte att bankerna, vilket Svenska bankföreningen
  påstår, påförs ytterligare krav.
  Regeringen anser, till skillnad från Kammarrätten i Stockholm, inte att
  det behöver förtydligas vem som ansvarar för att kontrollera efterlevnaden
  av och att revidera säkerhetsskyddsavtal som en leverantör har ingått med
  en underleverantör. Av de krav på säkerhetsskyddsavtal, kontroll och
  revidering som regeringen föreslår framgår tydligt att det är den verksam-
  hetsutövare som har ingått ett säkerhetsskyddsavtal med en annan aktör
42 för att skydda sin säkerhetskänsliga verksamhet som ansvarar för kontroll

och revidering. Oftast är det endast den verksamhetsutövare som har ingått ett säkerhetsskyddsavtal med en leverantör som har en skyldighet att teckna säkerhetsskyddsavtal med en underleverantör som leverantören ska anlita för att fullgöra sin förpliktelse mot verksamhetsutövaren. I fall där även leverantören är verksamhetsutövare och har en skyldighet att teckna säkerhetsskyddsavtal med en underleverantör för att skydda sin säkerhetskänsliga verksamhet, kommer emellertid leverantören vara skyldig att kontrollera och revidera sitt säkerhetsskyddsavtal med underleverantören.

Upphandlingsmyndigheten och SKR anser att förhållandet mellan det föreslagna kravet på revidering och upphandlingslagstiftningen behöver förtydligas och i vissa fall regleras. Som Upphandlingsmyndigheten påpekar är det upphandlingslagstiftningen som sätter ramarna för vilka ändringar av ett upphandlat kontrakt som är tillåtna, se 17 kap. 8–16 §§ LOU, 16 kap. 8–16 §§ lagen (2016:1146) om upphandling inom försörjningssektorerna och 14 kap. 8–16 §§ lagen (2016:1147) om upphandling av koncessioner. Av de reglerna följer bl.a. att ändringar som inte ändrar kontraktets övergripande karaktär eller som inte är väsentliga kan göras utan ny upphandling. Att ändra ett säkerhetsskyddsavtal kan öka kostnaderna för leverantören och påverka kontraktets eller ramavtalets omfattning. Upphandlingsmyndigheten anser att det behövs en fördjupad analys av om, och i så fall under vilka förutsättningar, reglerna om ändring av avtal i upphandlingslagstiftningen kan komma i konflikt med föreslaget krav på revidering. Enligt regeringen är det dock svårt att generellt bedöma i vilka situationer som en revidering av ett säkerhetsskyddsavtal på grund av ändrade förhållanden kan anses utgöra en otillåten ändring av ett kontrakt, bl.a. eftersom det beror på vilket kontrakt och vad för typ av revidering det är fråga om. Utgångspunkten är att båda regelverken ska följas, vilket måste beaktas av den verksamhetsutövare som ska genomföra en upphandling som kräver säkerhetsskyddsavtal.

Flera remissinstanser har synpunkter på hur kostnaderna för revidering och uppsägning av avtal bör fördelas. Lidingö kommun avstyrker förslaget med hänsyn till att det är oklart vem som ska stå kostnaden för en revidering. Svenskt Näringsliv anser att det bör regleras att det är uppdragsgivande myndighet som ska stå för de kostnader som uppstår på grund av en revidering. Swedavia förespråkar i stället att leverantören ska stå för kostnaden. Regeringen anser emellertid inte att kostnadsansvaret bör regleras, utan att det som utgångspunkt ska stå parterna fritt att avtala om kostnaderna. Om den upphandlande myndigheten genom revideringen har brutit mot upphandlingslagstiftningen stadgar dock den lagstiftningen att myndigheten kan bli skadeståndsskyldig och att Konkurrensverket kan väcka talan om upphandlingsskadeavgift.

Sammanfattningsvis finns det endast skäl att föreslå smärre ändringar i befintliga krav på uppföljning. Bristerna i uppföljningen verkar till största del bero på bristande efterlevnad av de krav som finns. I avsnitt 9 föreslår regeringen att tillsynsmyndigheterna ska kunna besluta om åtgärdsförelägganden och, i vissa fall, sanktionsavgift om en verksamhetsutövare inte följer dessa krav, vilket är avsett att förbättra efterlevnaden.

Prop. 2020/21:194

43

Prop. 2020/21:194

44

Tydligare krav på vad ett säkerhetsskyddsavtal ska innehålla

Även innehållet i ett säkerhetsskyddsavtal har betydelse för uppföljningen av avtalet.

I 2 kap. 6 § säkerhetsskyddslagen stadgas att det i ett säkerhetsskyddsavtal ska anges hur kraven på säkerhetsskydd enligt 1 § samma kapitel ska tillgodoses av leverantören.

För att en verksamhetsutövare ska ha befogenhet gentemot motparten att kontrollera säkerhetsskyddsavtalet måste även det, som Säkerhetspolisen framhåller, regleras i säkerhetsskyddsavtalet. Detsamma gäller, som utredningen påpekar, för rätten till revidering. Om detta anges i avtalet blir det dessutom tydligt för t.ex. en myndighet som avser att genomföra en offentlig upphandling, att möjligheten till kontroll och revidering av säkerhetsskyddsavtalet måste framgå redan av förfrågningsunderlaget, så att anbudsgivarna kan anpassa sina anbud och andra förhållningssätt efter det. Motsvarande fördelar uppkommer för dem som inte omfattas av upphandlingslagstiftningen. Kravet på vad ett säkerhetsskyddsavtal ska innehålla bör därför kompletteras med krav på att reglera hur verksamhetsutövaren ska få kontrollera att säkerhetsskyddsavtalet följs och att verksamhetsutövaren har rätt att revidera säkerhetsskyddsavtalet om det krävs på grund av ändrade förhållanden.

Som Upphandlingsmyndigheten påpekar är det vid upphandlingar helt centralt att verksamhetsutövaren i upphandlingsdokumenten reglerar en rätt att säga upp affärsavtalet om motparten i någon mån bryter mot säkerhetsskyddsavtalet. Även när det gäller andra avtal, samarbeten och samverkan kan en sådan rätt behöva regleras. I vilken mån en rätt att avbryta det förfarande som ger motparten tillgång till den säkerhetskänsliga verksamheten behöver regleras och i vilken mån det är bäst att reglera rätten i säkerhetsskyddsavtalet eller på annat sätt varierar dock. Det bör därför inte införas krav på verksamhetsutövare att reglera den rätten i säkerhetsskyddsavtalet.

Befintligt krav på att i säkerhetsskyddsavtal ange hur kraven på säkerhetsskydd ska tillgodoses av leverantören behöver dessutom anpassas för att – utöver leverantörer – gälla alla som kan vara motparter i ett säkerhetsskyddsavtal enligt förslaget i avsnitt 6.1. Vidare anser regeringen att kravet behöver förtydligas så att det klart framgår att verksamhetsutövare inte bara har en skyldighet att reglera vilka motpartens åtaganden är, utan att de krav som ställs på motparten också ska göra att kraven på säkerhetsskydd kan bli tillgodosedda under förfarandet. Kravet bör därför formuleras så att ett säkerhetsskyddsavtal ska innehålla de krav på motparten som behövs för att kraven på säkerhetsskydd ska kunna tillgodoses.

7 Ytterligare åtgärder för att skydda Prop. 2020/21:194
 

säkerhetskänslig verksamhet som exponeras för utomstående

7.1Det finns behov av ytterligare åtgärder för att hantera riskerna med utkontraktering och liknande förfaranden

Utkontraktering av säkerhetskänslig verksamhet

Alla förvaltningsmyndigheter under regeringen ska enligt myndighetsförordningen (2007:515) bedriva sin verksamhet effektivt och hushålla väl med statens resurser. I förlängningen innebär kravet att offentligt drivna verksamheter måste analysera om alla arbetsuppgifter bör utföras inom den egna organisationen eller om varor och tjänster i stället ska upphandlas externt från enskilda utförare. Motiven för att genom upphandling lägga ut viss verksamhet på en extern aktör kan t.ex. vara effektivitets- eller besparingsskäl. Det kan också röra sig om större projekt där samverkan mellan offentlig och privat sektor är nödvändig.

Utredningen har använt utkontraktering som samlingsbegrepp för förfaranden där en verksamhet läggs ut på en annan aktör. Detta begrepp används även fortsättningsvis i denna proposition. Utkontraktering innebär alltså att en verksamhet lägger ut en del av den egna verksamheten på entreprenad. Det kan t.ex. handla om att man lägger ut underhållet av ett system eller utveckling av någon produkt på en extern leverantör. Det centrala i en utkontraktering är att det handlar om en del av den egna verksamheten samt att det handlar om någon form av tjänst eller verksamhet och inte om ett köp av varor.

Utkontraktering av säkerhetskänslig verksamhet kan, liksom utkontraktering av annan verksamhet, i många sammanhang innebära stora kostnadsbesparingar och andra fördelar för den utkontrakterande verksamheten. Utkontraktering kan emellertid också innebära ökade risker för Sveriges säkerhet. Säkerhetspolisen har under senare år uppmärksammat flera händelser där olika verksamhetsutövare har anlitat externa aktörer för arbete som berört säkerhetskänslig verksamhet och där säkerhetsskyddet varit bristfälligt. I vissa fall har avtalsförhållanden reglerats genom säkerhetsskyddsavtal som varit bristfälligt utformade. Det finns också exempel på att bestämmelser i säkerhetsskyddsavtal inte har följts. Säkerhetspolisen har vidare framhållit att utkontraktering ofta kan innebära att flera kunders system och information samlas i samma lagringsmedium, t.ex. en molntjänst, vilket innebär en ökad sårbarhet för bl.a. säkerhetsskyddsklassificerade uppgifter. Myndigheten har vidare konstaterat att leverantören därigenom riskerar att bli ett attraktivt mål för andra länders underrättelseinhämtning.

Överlåtelser och upplåtelser av säkerhetskänslig verksamhet

En närbesläktad situation där det kan uppstå liknande problematik som vid utkontraktering är när en verksamhetsutövare överlåter eller upplåter

45

Prop. 2020/21:194

46

säkerhetskänslig verksamhet eller delar av en sådan verksamhet. I rättsliga sammanhang brukar begreppet överlåtelse användas för att beteckna en övergång av äganderätt genom köp, byte eller gåva. När avtalet avser en mer begränsad rätt än äganderätt används i stället termen upplåtelse. Typexempel på upplåtelser är bl.a. avtal om hyra, leasing, arrende och andra nyttjanderätter som inte innebär att ägaren avhänder sig sin äganderätt.

Exempel på upplåtelser där det kan uppstå en problematik i förhållande till behovet av säkerhetsskydd, är att verksamhetsutövare till någon utomstående aktör upplåter en lokal i en anläggning där säkerhetskänslig verksamhet bedrivs eller den specifika lokal, t.ex. ett laboratorium, där säkerhetskänslig verksamhet bedrivs, vilket medför att den säkerhetskänsliga verksamheten exponeras.

Nuvarande krav på särskild säkerhetsskyddsbedömning och samråd vid överlåtelser och vissa upphandlingar

Sedan den 1 januari 2021 finns det särskilda krav enligt 2 kap. säkerhetsskyddslagen (2018:585) i samband med överlåtelse av säkerhetskänslig verksamhet och viss egendom. Kraven innebär i huvudsak att en verksamhetsutövare som avser att genomföra en sådan överlåtelse är skyldig att genomföra en särskild säkerhetsskyddsbedömning och en lämplighetsprövning samt samråda med en samrådsmyndighet. Samrådsmyndigheten har möjlighet att förelägga verksamhetsutövaren att vidta åtgärder för att uppfylla sina skyldigheter enligt lagen och ytterst besluta att en överlåtelse inte får genomföras (förbud).

Säkerhetsskyddslagen innehåller inte några motsvarande krav avseende utkontrakteringar eller upplåtelser. I säkerhetsskyddsförordningen (2018:685) finns dock bestämmelser om skyldigheter i samband med vissa statliga upphandlingar. Enligt 2 kap. 6 § säkerhetsskyddsförordningen ska statliga myndigheter som avser att genomföra en upphandling som innebär krav på säkerhetsskyddsavtal enligt 2 kap. 6 § säkerhetsskyddslagen, i vissa särskilt angelägna fall göra en särskild säkerhetsskyddsbedömning och samråda med tillsynsmyndigheten. Tillsynsmyndigheten får förelägga myndigheten att vidta åtgärder enligt säkerhetsskyddslagen och de föreskrifter som har meddelats i anslutning till den lagen. Om ett föreläggande inte följs eller om tillsynsmyndigheten bedömer att säkerhetsskyddslagens krav inte kan tillgodoses trots att ytterligare åtgärder vidtas, får tillsynsmyndigheten besluta att myndigheten inte får genomföra upphandlingen.

Det nuvarande regelverket behöver utvecklas

Utredningen har under sitt arbete identifierat ett antal problem och brister i säkerhetsskyddsarbetet som bl.a. yttrar sig vid utkontraktering av säkerhetskänslig verksamhet men också vid vissa upplåtelser och andra förfaranden där utomstående kan få tillgång till den säkerhetskänsliga verksamheten. Vissa av dessa brister avser säkerhetsskyddet generellt men får särskild betydelse vid utkontraktering och liknande förfaranden. Ett sådant generellt problem som utredningen pekar på, är att det antagligen finns verksamheter av stor betydelse för Sveriges säkerhet som inte tillämpar säkerhetsskyddslagen. Utredningen konstaterar att det är särskilt allvarligt med brister i tillämpningen vid utkontraktering, upplåtelser och liknande

förfaranden eftersom säkerhetskänslig verksamhet eller säkerhetsklassificerade uppgifter därigenom kan utsättas för ytterligare sårbarheter.

Utredningen har också identifierat ett antal brister som mer specifikt har att göra med utkontraktering. Den har t.ex. konstaterat att verksamheter i allt större utsträckning ställs inför frågan om delar av verksamheten bör utföras inom den egna organisationen eller av andra och att det då förekommer att myndigheter mer eller mindre tar för givet att säkerhetskänsliga delar av deras verksamheter ska utkontrakteras utan att myndigheterna dessförinnan har prövat det lämpliga i detta. Avsaknaden av lämplighetsprövningar har enligt utredningen i sig flera delorsaker, bl.a. att verksamhetsutövare har otillräcklig kunskap om sina egna skyddsvärden och att myndigheter inför beslut om utkontraktering ofta ställs inför målkonflikter där andra krav regelmässigt överordnas säkerhetsskyddet.

Ett annat problem med den nuvarande regleringen är att den endast ger begränsade möjligheter att ingripa mot olämpliga utkontrakteringar. Bestämmelserna i 2 kap. 6 § säkerhetsskyddsförordningen gäller till att börja med bara vid vissa upphandlingar som görs av statliga myndigheter. De innebär således ingen möjlighet till ingripande mot enskilda verksamhetsutövare. Som en följd av bl.a. privatiseringen av offentlig verksamhet har antalet verksamheter av betydelse för Sveriges säkerhet som bedrivs i enskild regi ökat. Förekomsten av sådana verksamheter kan också på goda grunder antas fortsätta öka framöver. Även behovet av att kunna ingripa mot enskilda verksamhetsutövares utkontrakteringar har därför ökat.

Vidare ger den nuvarande regleringen inga skarpa verktyg för att ingripa i en redan pågående utkontraktering. Tillsynsmyndigheten kan i en sådan situation uppmana verksamhetsutövaren att vidta åtgärder men i praktiken står det i dessa fall verksamhetsutövaren fritt att välja om uppmaningen ska följas. Denna problematik berördes bl.a. i granskningen av Transportstyrelsens upphandling av it-drift där det konstaterades att Säkerhetspolisen inte hade någon annan möjlighet än att i skarpa ordalag rekommendera Transportstyrelsen att vidta åtgärder (Ds 2018:6 s. 189). Införandet av bestämmelserna om krav på bl.a. samråd och möjlighet för Säkerhetspolisen och Försvarsmakten att vägra upphandlingar, som i dag alltså finns i 2 kap. 6 § säkerhetsskyddsförordningen, löser endast delvis problemet. Även om en utkontraktering har genomgått en sådan kontroll kan den vid ett senare tillfälle visa sig olämplig från säkerhetsskyddssynpunkt. Det kan ske t.ex. när den säkerhetskänsliga verksamheten ändrar karaktär eller på grund av förändrade ägarförhållanden hos leverantören, nya hotbilder och liknande.

Mot denna bakgrund anser regeringen, i likhet med utredningen, att det finns ett stort behov av att utveckla regelverket om statliga myndigheters upphandlingar för att bättre hantera riskerna med utkontraktering och liknande förfaranden.

Prop. 2020/21:194

47

Prop. 2020/21:194 7.2 Krav på särskild säkerhetsskyddsbedömning
  och egen lämplighetsprövning

Regeringens förslag: Innan ett förfarande som kräver säkerhetsskyddsavtal inleds ska en verksamhetsutövare genom en särskild säkerhetsskyddsbedömning identifiera vilka säkerhetsskyddsklassificerade uppgifter eller vilken säkerhetskänslig verksamhet i övrigt som den andra aktören kan få tillgång till och som kräver säkerhetsskydd.

Med utgångspunkt i den särskilda säkerhetsskyddsbedömningen och övriga omständigheter ska verksamhetsutövaren göra en lämplighetsprövning av det planerade förfarandet. Den särskilda säkerhetsskyddsbedömningen och lämplighetsprövningen ska dokumenteras.

Om lämplighetsprövningen leder till bedömningen att förfarandet är olämpligt från säkerhetsskyddssynpunkt, ska förfarandet inte få inledas.

Regeringen ska få meddela föreskrifter om undantag från skyldigheterna. Om det finns särskilda skäl ska regeringen också få besluta om sådana undantag i enskilda fall.

Skyldigheterna ska inte gälla vid överlåtelser som omfattas av motsvarande krav.

Utredningens förslag överensstämmer delvis med regeringens. Utredningen benämner dock den bedömning som ska göras särskild säkerhetsbedömning. Vidare föreslår utredningen inte något bemyndigande för regeringen att meddela föreskrifter eller besluta om undantag. Utredningen föreslår inte heller något förtydligande om hur skyldigheterna förhåller sig till reglerna om överlåtelse av säkerhetskänslig verksamhet.

Remissinstanserna: En majoritet av remissinstanserna tillstyrker eller har inga invändningar mot förslaget. Lidingö kommun föreslår att en särskild säkerhetsskyddsbedömning och lämplighetsprövning i stället borde ingå som en del i den säkerhetsskyddsanalys som ändå behöver göras eftersom samma metod och terminologi kan användas vid bedömningen av säkerhetsskyddsbehovet inför en upphandling, samverkan eller samarbete. Swedavia anser att det saknas tillräcklig vägledning kring vad som gäller om ett avtal som ingåtts och inte bedömts olämplig vid lämplighetsprövningen senare blir olämpligt, t.ex. på grund av ändrade ägarförhållanden. Swedavia framhåller att en enskild aktör har begränsade möjligheter att kontrollera och lämplighetspröva förändrade ägarförhållanden. Inspektionen för strategiska produkter (ISP) framhåller att myndigheten tillämpar regler som överlappar med det föreslagna regelverket, t.ex. vad gäller tillstånd för utförsel av krigsmateriel eller tekniskt bistånd och att det är angeläget att undvika motstridiga bedömningar i den del förslagen tangerar dessa regelverk.

Skälen för regeringens förslag

Kravet på särskild säkerhetsskyddsbedömning bör utvidgas

En hörnpelare i säkerhetsskyddslagstiftningen är att det är verksamhetsutövaren som har ansvar för säkerhetsskyddet i sin säkerhetskänsliga verksamhet. I detta ligger bl.a. att verksamhetsutövaren måste bedöma

vilka skyddsvärda tillgångar som finns i organisationen. Detta är av

48

särskild vikt i de fall en verksamhetsutövare planerar att genomföra en utkontraktering eller ett annat förfarande som innebär att verksamheten exponeras för andra aktörer. Statliga myndigheter som avser att genomföra en upphandling som innebär krav på säkerhetsskyddsavtal, är enligt 2 kap. 6 § säkerhetsskyddsförordningen i vissa fall skyldiga att göra en särskild säkerhetsskyddsbedömning. Den huvudsakliga innebörden av kravet är att verksamhetsutövaren ska identifiera vilka säkerhetsskyddsklassificerade uppgifter eller vilken säkerhetskänslig verksamhet i övrigt som den andra aktören kan få tillgång till genom förfarandet och som kräver säkerhetsskydd.

Regeringen anser att kravet på att göra en särskild säkerhetsskyddsbedömning bör utvidgas. Det finns till att börja med skäl att utvidga kretsen av verksamhetsutövare som omfattas av kravet. De befintliga bestämmelserna i säkerhetsskyddsförordningen gäller som framgått bara för statliga myndigheters upphandlingar. Med hänsyn till att enskilda aktörer numera i relativt stor omfattning bedriver säkerhetskänslig verksamhet och att sådan verksamhet även bedrivs i kommuner och regioner, anser regeringen att även den typen av verksamhetsutövare bör omfattas av bestämmelser om särskild säkerhetsskyddsbedömning. Bestämmelserna bör alltså gälla för alla verksamhetsutövare.

En annan fråga är vilka förfaranden som ska omfattas av reglerna om särskild säkerhetsskyddsbedömning. I dag gäller reglerna för upphandlingar som omfattas av krav på säkerhetsskyddsavtal. Som framgår i avsnitt

6.1föreslår regeringen att kravet på säkerhetsskyddsavtal ska utvidgas till att gälla inte bara vid upphandlingssituationer, utan vid alla slags avtal, samarbeten och samverkan. Skälen för det förslaget gör sig enligt regeringen gällande även beträffande kravet på särskild säkerhetsskyddsbedömning. Det som i första hand ska avgöra om det finns ett behov av en särskild säkerhetsskyddsbedömning är alltså om ett visst förfarande innebär att en annan aktör kan få tillgång till säkerhetsskyddsklassificerade uppgifter eller säkerhetskänslig verksamhet i övrigt. Detta kriterium har betydligt större praktisk betydelse än hur ett visst förfarande rubriceras rättsligt. Bestämmelserna om särskild säkerhetsskyddsbedömning bör därför, i linje med vad som föreslås gälla för säkerhetsskyddsavtal, frigöras från kopplingen till upphandling och särskilda typer av avtal. De bör inte heller begränsas till utkontraktering eller upplåtelse av säkerhetskänslig verksamhet. I stället bör skyldigheten som utgångspunkt gälla för alla de typer av avtal och förfaranden som omfattas av krav på säkerhetsskyddsavtal.

Det befintliga kravet på särskild säkerhetsskyddsbedömning är vidare begränsat till att gälla i de fall då leverantören kan få tillgång till eller möjlighet att förvara säkerhetsskyddsklassificerade uppgifter i de två högsta säkerhetsskyddsklasserna utanför myndighetens lokaler, eller då leverantören kan få tillgång till säkerhetskänsliga informationssystem utanför myndighetens lokaler och obehörig åtkomst till systemen kan medföra skada av motsvarande betydelse för Sveriges säkerhet. De föreslagna bestämmelserna om säkerhetsskyddsavtal är bredare i sitt tillämpningsområde på så sätt att de dels gäller tillgång till uppgifter och verksamhet på en lägre säkerhetsskyddsklass- och skadenivå, dels inte är begränsade till tillgång utanför verksamhetens lokaler. Regeringen anser att det finns skäl att även i dessa avseenden utvidga kravet på säkerhetsskydds-

Prop. 2020/21:194

49

Prop. 2020/21:194 bedömning till att gälla under samma förutsättningar som kravet på

  säkerhetsskyddsavtal. Alla förfaranden som innebär krav på säkerhets-
  skyddsavtal kan potentiellt medföra negativa konsekvenser för Sveriges
  säkerhet och det är därvid inte avgörande var uppgifter t.ex. förvaras, även
  om sårbarheterna typiskt sett kan vara större när utomstående får tillgång
  till eller möjlighet att förvara uppgifter utanför verksamhetsutövarens
  lokaler. Av betydelse i sammanhanget är också att verksamhetsutövare i
  de fall säkerhetsskyddsavtal ska ingås, under alla förhållanden måste göra
  en analys av vilken exponering som kommer att ske av uppgifter i de
  säkerhetsskyddsklasser som kravet på säkerhetsskyddsavtal avser. Det
  innebär därför inte något större merarbete att göra denna analys även inom
  ramen för en särskild säkerhetsskyddsbedömning. Som Lidingö kommun
  framhåller kan det finnas metodmässiga likheter mellan en särskild säker-
  hetsskyddsbedömning och lämplighetsprövning å ena sidan och den
  grundläggande säkerhetsskyddsanalysen å andra sidan. Däremot är den
  förstnämnda bedömningen situationsberoende och kan därmed inte, som
  Lidingö kommun föreslår, göras i samband med verksamhetens säkerhets-
  skyddsanalys.
  Sammantaget anser regeringen att reglerna om särskild säkerhets-
  skyddsbedömning fullt ut bör kopplas till kravet på att ingå säkerhets-
  skyddsavtal såsom detta har formulerats enligt regeringens förslag i avsnitt
  6. Det innebär alltså att en verksamhetsutövare måste göra en särskild
  säkerhetsskyddsbedömning innan den inleder en upphandling, ingår ett
  avtal eller påbörjar en samverkan eller ett samarbete som innebär att den
  andra aktören kan få tillgång till säkerhetsskyddsklassificerade uppgifter i
  säkerhetsskyddsklassen konfidentiell eller högre. Samma skyldighet gäller
  om den andra aktören genom förfarandet kan få tillgång till annan
  säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges
  säkerhet. Detta innebär motsatsvis att om förfarandet inte uppfyller dessa
  kriterier och således inte heller medför krav på säkerhetsskyddsavtal, eller
  om det omfattas av ett undantag från kravet på säkerhetsskyddsavtal, så
  gäller inte någon skyldighet att göra en särskild säkerhetsskyddsbedöm-
  ning.
  Skyldigheten att göra en särskild säkerhetsskyddsbedömning bör vidare
  enligt regeringen inte gälla inför säkerhetsskyddsavtal med underleveran-
  törer. Konsekvenserna av en sådan skyldighet är inte utredda och behöver
  övervägas vidare. Även om skyldigheten att göra en särskild säkerhets-
  skyddsbedömning inte specifikt kommer att gälla inför säkerhetsskydds-
  avtal med en underleverantör, behöver en verksamhetsutövare dock inom
  ramen för den särskilda säkerhetsskyddsbedömningen avseende huvud-
  leverantören beakta i vilken mån underleverantörer kommer eller kan
  antas komma att anlitas, vilka åtgärder som bör vidtas på grund av detta
  och vilken inverkan som detta får på lämpligheten i förfarandet. Vidare
  måste en verksamhetsutövare inför ett eventuellt säkerhetsskyddsavtal
  med en underleverantör identifiera vilka skyddsvärden som underleveran-
  tören kan få tillgång till och som kräver säkerhetsskydd. Denna analys
  behöver göras för att avgöra om ett säkerhetsskyddsavtal ska tecknas med
  underleverantören, hur det i så fall ska utformas och om det är lämpligt att
  underleverantören anlitas.
  I likhet med vad som gäller i dag för såväl särskilda säkerhetsskydds-
50 bedömningar vid överlåtelser av säkerhetskänslig verksamhet och viss

egendom enligt 2 kap. 8 § säkerhetsskyddslagen som vid upphandlingar enligt 2 kap. 6 § säkerhetsskyddsförordningen, bör gälla ett krav på att den särskilda säkerhetsskyddsbedömningen ska dokumenteras.

Eftersom de föreslagna reglerna delvis avser förhållandet mellan enskilda och det allmänna och innehåller skyldigheter för enskilda bör de tas in i säkerhetsskyddslagen.

Ett uttryckligt krav på lämplighetsprövning bör införas

Som framgår ovan förekommer det att verksamhetsutövare inte gör någon analys av om en utkontraktering är lämplig från säkerhetsskyddssynpunkt eller att analysen som utförs är bristfällig. Detta är ett mycket allvarligt problem. Det är av yttersta vikt att fördelarna med ett sådant förfarande ställs mot de risker för Sveriges säkerhet som förfarandet kan innebära. I vissa fall kan dessa risker hanteras genom ett väl formulerat säkerhetsskyddsavtal. I andra fall kan man inte ens genom ett optimalt säkerhetsskyddsavtal motverka de säkerhetsskyddsproblem som uppstår genom en utkontraktering. Förfarandet är i sådana fall inte lämpligt från säkerhetsskyddsynpunkt och bör därför inte genomföras.

Enligt 2 kap. 7–8 §§ säkerhetsskyddslagen är en verksamhetsutövare som avser att överlåta säkerhetskänslig verksamhet eller annan egendom skyldig att pröva om överlåtelsen i fråga är lämplig från säkerhetsskyddsynpunkt. Det finns starka skäl att nu införa ett uttryckligt krav på lämplighetsprövning även gällande andra förfaranden som omfattas av krav på säkerhetsskyddsavtal. En sådan uttrycklig regel skulle, som utredningen också konstaterat, i kombination med kravet på en särskild säkerhetsskyddsbedömning förstärka principen om att det är verksamhetsutövaren själv som bär ansvaret för säkerhetsskyddet och att detta gäller även när utomstående involveras i verksamheten. En uttrycklig regel betonar därtill vikten av säkerhetsskydd i samband med t.ex. utkontrakteringar, vilket i sin tur kan ge verksamhetsutövarens säkerhetsfunktion mer tyngd och tydligare stöd för att internt framhålla säkerhetsskyddsaspekter vid sådana förfaranden. Med hänsyn till det anförda anser regeringen att det bör införas ett uttryckligt krav på att den särskilda säkerhetsskyddsbedömningen ska följas av en lämplighetsprövning.

Lämplighetsprövningen ska klarlägga om det aktuella förfarandet kan leda till skadekonsekvenser på nationell nivå och utmynna i en bedömning av om förfarandet är lämpligt från säkerhetsskyddssynpunkt. Bedömningen bör göras med utgångspunkt i den särskilda säkerhetsskyddsbedömningen och övriga omständigheter och innefatta en analys av om det är möjligt att tillgodose de behov av säkerhetsskydd som har identifierats vid den särskilda säkerhetsskyddsbedömningen. Som Swedavia anför kan lämplighetsprövningen vara ett svårt moment för en verksamhetsutövare att genomföra. Syftet med kravet på lämplighetsprövning är dock att alla verksamhetsutövare utifrån sin förmåga och de kunskaper och den information man har tillgång till ska göra en så ambitiös prövning som möjligt av om det aktuella förfarandet är lämpligt från säkerhetsskyddssynpunkt. Som Swedavia också anför kan det dock behövas ytterligare vägledning i vad kravet på lämplighetsprövning innebär.

Förfaranden där andra aktörer får tillgång till säkerhetskänslig verksamhet kan vara olämpliga av olika skäl. Det kan t.ex. handla om utkontrak-

Prop. 2020/21:194

51

Prop. 2020/21:194 tering av kritisk verksamhet till en aktör i ett land som inte har ingått någon bilateral överenskommelse om säkerhetsskydd med Sverige. Sådana överenskommelser innehåller i regel åtaganden från de berörda länderna att på begäran utfärda säkerhetsintyg för personer med hemvist inom deras territorium. Säkerhetsintyget syftar till att visa att en behörig myndighet i landet har genomfört en utredning och kommit fram till att personen i fråga kan anses pålitlig att hantera säkerhetsskyddsklassificerade uppgifter upp till en viss nivå. Avsaknaden av en överenskommelse om säkerhetsskydd kan innebära att det saknas reella möjligheter till adekvat säkerhetsprövning av personal hos aktören i landet, vilket kan göra förfarandet olämpligt. Det kan också finnas situationer där det är olämpligt att utkontraktera eller inleda någon form av samarbete med en viss aktör. Så kan t.ex. vara fallet om det på grund av motpartens ägarförhållanden eller andra omständigheter finns anledning att anta att den har illojala syften med förfarandet.

52

Den särskilda säkerhetsskyddsbedömningen och lämplighetsprövningen bör ske innan det aktuella förfarandet inleds. Det är mycket viktigt att verksamhetsutövaren prövar frågan om lämplighet i ett tidigt skede. Detta gäller i synnerhet för myndigheters upphandlingar där det av såväl rättsliga och ekonomiska som praktiska skäl kan vara svårt att avbryta ett påbörjat upphandlingsförfarande. Om lämplighetsprövningen leder fram till bedömningen att förfarandet inte är lämpligt, får det inte inledas. Detta bör framgå uttryckligen av regleringen.

I likhet med vad som gäller i dag vid överlåtelser av säkerhetskänslig verksamhet och viss egendom enligt 2 kap. 8 § säkerhetsskyddslagen, bör verksamhetsutövaren vara skyldig att dokumentera lämplighetsprövningen. Dokumentationen kommer att utgöra ett betydelsefullt underlag både för samrådsprocessen, som behandlas nedan, och för tillsynsmyndigheternas verksamhet.

De föreslagna reglerna om lämplighetsprövning avser delvis förhållandet mellan enskilda och det allmänna och innehåller skyldigheter för enskilda. De bör därför tas in i säkerhetsskyddslagen.

Undantag från skyldigheterna

Lagen (1992:1300) om krigsmateriel och förordningen (1992:1303) om krigsmateriel innehåller bestämmelser om tillstånd för samt skyldigheter avseende krigsmaterielrelaterad verksamhet. Enligt detta regelverk krävs tillstånd för bl.a. tillverkning, tillhandahållande och utförsel från Sverige av krigsmateriel samt för tillhandahållande av tekniskt bistånd avseende krigsmateriel. Tillstånd krävs också för vissa former av upplåtelser och samarbeten med parter i utlandet.

Produkter med dubbla användningsområden regleras i rådets förordning (EG) nr 428/2009 av den 5 maj 2009 om upprättande av en gemenskapsordning för kontroll av export, överföring, förmedling och transitering av produkter med dubbla användningsområden (rådets förordning) och den till rådets förordning kompletterande lagen (2000:1064) om kontroll av produkter med dubbla användningsområden och av tekniskt bistånd. Med produkter med dubbla användningsområden avses produkter som både har en civil användning och kan nyttjas för militära ändamål eller för framställning av massförstörelsevapen och dess bärare. Regelverket innebär

bland annat ett krav på tillstånd för export (utförsel utanför EU) och för överföring inom EU av produkter med dubbla användningsområden.

De föreslagna reglerna i säkerhetsskyddslagen och befintligt regelverk om krigsmateriel kan, som ISP anför, komma att få delvis överlappande tillämpningsområden. Det kan konstateras att tillstånd enligt 1 § lagen om krigsmateriel endast får lämnas om det finns säkerhets- eller försvarspolitiska skäl för det och det inte strider mot Sveriges internationella förpliktelser eller Sveriges utrikespolitik i övrigt. Detta innebär att intresset av att värna Sveriges säkerhet beaktas vid tillståndsgivning när det gäller krigsmateriel. Mot denna bakgrund anser regeringen att det inte finns något behov av att nu införa skyldigheter i säkerhetsskyddslagen avseende utkontrakteringar och liknande förfaranden som för att kunna genomföras kräver tillstånd enligt regelverket om krigsmateriel. Sådana förfaranden bör alltså, på motsvarande sätt som gjorts i fråga om överlåtelser av säkerhetskänslig verksamhet, kunna undantas från kravet på särskild säkerhetsskyddsbedömning och lämplighetsprövning. Undantaget kommer därmed att gälla även för skyldigheten att samråda, som behandlas nedan. Föreskrifter om undantag kan lämpligen regleras på förordningsnivå med stöd av ett bemyndigande i säkerhetsskyddslagen.

Även enligt regelverket om produkter med dubbla användningsområden ska nationella utrikes- och säkerhetspolitiska aspekter beaktas vid tillståndsgivningen (artikel 12 i rådets förordning). Det kan enligt regeringen inte uteslutas att en utkontraktering eller ett liknande förfarande skulle kunna omfattas av både de skyldigheter som nu föreslås i säkerhetsskyddslagen och krav på tillstånd enligt regleringen om produkter med dubbla användningsområden. Regeringen kommer att överväga frågan om behovet av undantag i förhållande till den regleringen i det fortsatta förordningsarbetet.

För att undvika överlappande regleringar finns det alltså behov av ett bemyndigande för regeringen att meddela föreskrifter om undantag från de föreslagna skyldigheterna i säkerhetsskyddslagen. Det finns också andra skäl till sådana undantag. Om det finns särskilda skäl bör regeringen därför även få besluta om undantag i enskilda fall. Särskilda skäl för undantag kan exempelvis finnas för en utkontraktering inom försvars- eller underrättelseområdet samt vid höjd beredskap.

De nu föreslagna skyldigheterna att göra en särskild säkerhetsskyddsbedömning och lämplighetsprövning inför förfaranden som kräver säkerhetsskyddsavtal kan även överlappa med de motsvarande krav som gäller vid överlåtelse av säkerhetskänslig verksamhet och viss egendom. Sådana överlåtelser kan innehålla moment som medför krav på säkerhetsskyddsavtal och som därmed också träffas av de nu föreslagna skyldigheterna. Om ett överlåtelseförfarande omfattas av reglerna om överlåtelse av säkerhetskänslig verksamhet bör förfarandet inte också omfattas av de nu föreslagna skyldigheterna att göra en särskild säkerhetsskyddsbedömning och lämplighetsprövning. Samma sak gäller det nedan behandlade förslaget om krav på samråd.

Prop. 2020/21:194

53

Prop. 2020/21:194 7.3 En utvidgad skyldighet att samråda och en
  förbudsmöjlighet införs

Regeringens förslag: Om lämplighetsprövningen leder till bedömningen att det planerade förfarandet inte är olämpligt från säkerhetsskyddssynpunkt, ska verksamhetsutövaren i vissa fall vara skyldig att samråda med tillsynsmyndigheten innan den inleder förfarandet. Samrådsskyldighet ska föreligga om det planerade förfarandet innebär att den andra aktören kan få tillgång till

1.säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen hemlig eller högre, eller

2.annan säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet.

Tillsynsmyndigheten ska få förelägga verksamhetsutövaren att vidta åtgärder enligt säkerhetsskyddslagen och de föreskrifter som har meddelats i anslutning till den lagen.

Om verksamhetsutövaren inte samråder med tillsynsmyndigheten trots att det finns en skyldighet att göra det, ska tillsynsmyndigheten få inleda samrådet.

Om ett beslut om föreläggande inte följs eller om tillsynsmyndigheten bedömer att det planerade förfarandet är olämpligt från säkerhetsskyddssynpunkt även om ytterligare åtgärder vidtas, ska tillsynsmyndigheten få besluta att verksamhetsutövaren inte får genomföra det planerade förfarandet (förbud).

Utredningens förslag överensstämmer delvis med regeringens. Utredningen föreslår dock att samrådsskyldighet ska föreligga i tre särskilda fall. Dessa är om förfarandet innebär att den andra aktören får tillgång till eller möjlighet att förvara säkerhetsskyddsklassade uppgifter i säkerhetsskyddsklassen hemlig eller högre utanför verksamhetsutövarens lokaler, om förfarandet utgör en upplåtelse som kan ge den andra aktören tillgång till säkerhetskänslig verksamhet i övrigt av motsvarande betydelse för Sveriges säkerhet eller om det ger den andra aktören tillgång till informationssystem utanför verksamhetsutövarens lokaler och åtkomst till systemen kan medföra allvarlig skada för Sveriges säkerhet. Vidare föreslår utredningen en uttrycklig bestämmelse om att tillsynsmyndigheten ska få besluta att förelägganden ska gälla omedelbart och att det ska införas undantag från vissa av reglerna i förvaltningslagen (2017:900) om försenad handläggning. Utredningen föreslår också att förelägganden och förbud ska kunna kompletteras med tvångsåtgärder.

Remissinstanserna: Många remissinstanser tillstyrker eller har inte några invändningar mot förslagen. Försvarets materielverk (FMV) och Försvarets radioanstalt (FRA) avstyrker förslaget om samråd och förbud. FMV föreslår – i stället för ett krav på samråd – ett krav på anmälan till tillsynsmyndigheten och krav på samverkan som ger tillsynsmyndigheten möjlighet att yttra sig kring säkerhetsskyddets utformning. FRA väcker frågan om och hur en myndighetslednings ansvar för att genomföra myndighetens verksamhet i enlighet med regeringens uppdrag påverkas för det fall tillsynsmyndigheten förbjuder ett förfarande som har direkt

påverkan på möjligheten att bedriva verksamheten. Kammarrätten i

54

Stockholm anser att ett tillståndsförfarande i stället borde övervägas då den föreslagna ordningen visar stora likheter med ett sådant. Om så inte sker anser kammarrätten att samrådsförfarandet bör specificeras, särskilt eftersom en sanktionsavgift kan komma att tas ut om samrådsskyldigheten inte fullgörs. Kammarrätten anser vidare att det bör övervägas om tillsynsmyndigheten ska få besluta att ett förbud ska gälla omedelbart, eftersom förbud endast kommer att aktualiseras när det kan uppstå en allvarlig skada eller synnerligen allvarlig skada för Sveriges säkerhet. Dessutom menar kammarrätten att befogenheten att besluta åtgärdsförelägganden under samråd överlappar med möjligheten att besluta förelägganden vid tillsyn, vilket enligt kammarrätten kan leda till tillämpningsproblem. Totalförsvarets forskningsinstitut (FOI) påpekar att den föreslagna omfattningen av samrådsskyldigheten innebär att FOI måste samråda i varje fall då ett säkerhetsskyddsavtal upprättas med en motpart, vilket enligt FOI inte är motiverat. FOI anser att skyldigheten att samråda i första hand bör gälla i mer komplexa eller svårbedömda ärenden. Trafikverket avstyrker att samråd ska ske med tillsynsmyndigheterna och menar att det är bättre att ge Säkerhetspolisen och Försvarsmakten, som har tillgång till underrättelseuppgifter som kan vara av betydelse, ett veto vid utkontraktering. Trafikverket ifrågasätter vidare varför samrådsskyldigheten, med undantag för upplåtelser, inte omfattar situationer där den andra aktören ges tillgång till säkerhetskänslig verksamhet i övrigt. Trafikverket ifrågasätter också utredningens resonemang om att förfaranden som ändrar karaktär kan omfattas av samrådsskyldighet efter hand. Trafikverket påpekar i denna del att ett samråd kan få till följd att en myndighet i praktiken blir tvungen att avbryta en pågående affärsrelation vilket kan få juridiska och ekonomiska konsekvenser. Vattenfall AB ser problem med den föreslagna ordningen för koncerner och föreslår att en koncern i vissa fall ska kunna anses vara en verksamhetsutövare, med följd att vissa koncerninterna förfaranden inte kommer omfattas av kravet på samråd. Säkerhets- och försvarsföretagen anser att förslagen kommer innebära en väsentligt ökad administration för såväl enskilda som myndigheter och att de därför inte står i proportion till de fördelar de skulle innebära. Ett flertal remissinstanser påpekar vikten att samrådsförfarandet görs skyndsamt för att inte fördröja t.ex. upphandlingsprocesser. Försäkringskassan och Luleå kommun anser att det bör införas ett skyndsamhetskrav för tillsynsmyndigheterna. Lidingö kommun anser att det bör anges att samråd ska ske inom viss tid. Svenskt Näringsliv framhåller att beslut om förbud bör fattas av regeringen snarare än tillsynsmyndigheterna eftersom regeringen har bättre förutsättningar att ha ett mer holistiskt perspektiv. Region Kronoberg framhåller att tillsynsmyndigheternas möjligheter att förbjuda utkontraktering måste användas restriktivt. Riksdagens ombudsmän (JO) avstyrker utredningens förslag om tvångsåtgärder och anför att det kräver en djupare analys. Svenska bankföreningen anför att bankers outsourcing redan är reglerad och innefattar krav på samråd med Finansinspektionen. Föreningen anser att Finansinspektionen och Säkerhetspolisen bör samordna sin hantering av dessa ärenden. Den anser också att samordningsmyndigheterna bör få rätt att föreskriva om undantag från bestämmelser i säkerhetsskyddslagen där dubbelreglering förekommer.

Prop. 2020/21:194

55

Prop. 2020/21:194

56

Skälen för regeringens förslag

Skyldigheten att samråda bör utvidgas

Enligt 2 kap. 6 § säkerhetsskyddsförordningen gäller ett antal skyldigheter för statliga myndigheter som avser att genomföra vissa upphandlingar som innebär krav på säkerhetsskyddsavtal. Utöver skyldigheten att göra en särskild säkerhetsskyddsbedömning – som regeringen föreslår ska utvidgas och kompletteras med ett uttryckligt krav på lämplighetsprövning – innehåller paragrafen ett krav på att den upphandlande myndigheten innan upphandlingsförfarandet inleds ska samråda med tillsynsmyndigheten. Tillsynsmyndigheten får därvid förelägga myndigheten att vidta åtgärder enligt säkerhetsskyddslagstiftningen och – ytterst – besluta att myndigheten inte får genomföra upphandlingen.

Som framgår av avsnitt 7.1 kan utkontraktering av säkerhetskänslig verksamhet och liknande förfaranden innebära stora risker för Sveriges säkerhet. Vilka åtgärder som bör vidtas för att skydda känsliga uppgifter eller verksamheter kan vara en komplex bedömning. Det finns därför starka skäl för att ställa krav på verksamhetsutövare att, utöver att göra en särskild säkerhetsskyddsbedömning och lämplighetsprövning, i vissa fall samråda med en utpekad myndighet innan ett sådant förfarande inleds. Ett sådant krav på samråd motsvarar vad som redan gäller inför överlåtelser av säkerhetskänslig verksamhet och viss egendom.

Regeringen delar inte FMV:s uppfattning om att det är tillräckligt med ett krav på anmälan till och samverkan med tillsynsmyndigheten i utkontrakteringssituationer. Regeringen delar inte heller Kammarrätten i Stockholms bedömning att ett tillståndsförfarande bör användas i stället för samråd. Utkontraktering och liknande förfaranden kan medföra komplexa frågeställningar där möjligheten att t.ex. lägga ut verksamhet på entreprenad behöver vägas mot vilka konsekvenser som förfarandet kan ha för Sveriges säkerhet. Ett samrådsförfarande möjliggör för verksamhetsutövaren att kunna föra en dialog med myndigheten om hur utkontrakteringen ska kunna genomföras, vilket alltså också är i linje med vad som nu gäller för samrådsförfaranden vid överlåtelser (se prop. 2020/21:13 s. 20). Ett samrådsförfarande innebär enligt regeringen en mer flexibel lösning än ett tillståndsförfarande.

Skyldigheten att samråda enligt 2 kap. 6 § säkerhetsskyddsförordningen gäller, som tidigare beskrivits, bara för vissa statliga myndigheters upphandlingar. Regeringen föreslår ovan att skyldigheten att utföra en särskild säkerhetsskyddsbedömning och lämplighetsprövning ska gälla för alla verksamhetsutövare och inte vara begränsad till upphandlingar, eller för den delen utkontrakteringar eller upplåtelser. I stället föreslås att det ska gälla för alla förfaranden som omfattas av det föreslagna kravet på att ingå säkerhetsskyddsavtal. Skälen för detta gör sig gällande även i fråga om krav på samråd. Även detta krav bör alltså gälla för alla verksamhetsutövare, oavsett om det är en myndighet, kommun, region eller enskild. Vidare bör det inte vara begränsat till upphandlingar, utan gälla alla de typer av förfaranden som enligt regeringens förslag kan medföra krav på säkerhetsskyddsavtal.

Skyldigheten att samråda bör gälla i vissa särskilt angelägna situationer

Det finns anledning att begränsa skyldigheten att samråda till att gälla de mest angelägna fallen. Vid utformningen av regleringen måste intresset av att motverka ur säkerhetsskyddssynpunkt olämpliga förfaranden vägas mot intresset av att inte göra systemet för ingripande och kostnadsdrivande för verksamhetsutövarna. Det är också av vikt att bestämmelserna inte innebär en onödigt stor arbetsbelastning för myndigheterna som ska ansvara för samrådet. En stor ärendemängd kan leda till långa handläggningstider, vilket i sin tur kan medföra stora nackdelar för verksamhetsutövarna. Regeringen delar därför FOI:s uppfattning om att en ordning som innebär att samrådsskyldighet föreligger i samtliga fall då det finns en skyldighet att ingå säkerhetsskyddsavtal, inte framstår som lämplig.

Utredningen har delvis med förebild av 2 kap. 6 § säkerhetsskyddsförordningen föreslagit att samrådsskyldighet ska föreligga i tre situationer, nämligen om förfarandet innebär att den andra aktören får tillgång till eller möjlighet att förvara säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen hemlig eller högre utanför verksamhetsutövarens lokaler, om förfarandet utgör en upplåtelse som kan ge den andra aktören tillgång till säkerhetskänslig verksamhet i övrigt av motsvarande betydelse för Sveriges säkerhet eller om förfarandet ger den andra aktören tillgång till informationssystem utanför verksamhetsutövarens lokaler och åtkomst till systemen kan medföra allvarlig skada för Sveriges säkerhet.

Regeringen anser i likhet med utredningen att skyldigheten att samråda först och främst bör gälla om förfarandet kan ge den andra aktören tillgång till uppgifter i säkerhetsskyddsklassen hemlig eller högre. Till skillnad från utredningen bedömer regeringen dock inte att det finns skäl att begränsa samrådskravet till att endast gälla vid tillgång utanför verksamhetsutövarens lokaler. Även tillgång till uppgifter inom en verksamhetsutövares lokaler kan innebära sårbarheter och risker som motiverar ett samrådskrav. Enligt regeringen innefattar begreppet ”tillgång till uppgifter” en möjlighet att förvara uppgifter. Det behöver därför inte särskilt anges att förvaring av uppgifter medför krav på samråd. Genom att begränsa kravet till att gälla exponering av säkerhetsskyddsklassificerade uppgifter i de två högsta säkerhetsskyddsklasserna uppnås enligt regeringen en lämplig avvägning mellan intresset av att motverka olämpliga förfaranden och intresset av att inte göra systemet för ingripande och resurskrävande.

En skyldighet att samråda bör enligt regeringen vidare gälla om förfarandet kan ge den andra aktören tillgång till annan säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet, dvs. verksamhet där ett angrepp kan medföra allvarlig skada för Sveriges säkerhet. Till skillnad från utredningen och i likhet med Trafikverket anser regeringen alltså inte att samrådsskyldigheten i denna del bör begränsas till att bara gälla förfaranden som utgör upplåtelser. Regeringen delar i och för sig utredningens uppfattning att upplåtelser av säkerhetskänslig verksamhet, t.ex. uthyrning av en lokal som används i verksamheten, kan innebära att den andra aktören får tillgång till verksamheten på ett sätt som kan medföra en möjlighet att skada den och att detta kan utgöra skäl för ett samråd. Emellertid kan även andra typer av förfaranden, såsom samarbetsavtal och underhållsavtal, medföra en sådan från säkerhetsskyddssynpunkt olämplig exponering av verksamheten. Det framstår därför som omoti-

Prop. 2020/21:194

57

Prop. 2020/21:194 verat att begränsa samrådsskyldigheten i denna del till upplåtelser. Uttrycket ”tillgång till annan säkerhetskänslig verksamhet” innefattar bl.a. tillgång till sådana informationssystem som nämns särskilt i utredningens förslag. Ett sådant system kan innehålla stora informationsmängder och ha ett högt skyddsvärde, även om uppgifterna som hanteras i systemet inte är säkerhetsskyddsklassificerade. Som regeringen tidigare har framhållit finns ett stort behov av att skydda sådana system (prop. 2017/18:89 s. 34 och 70). Någon särskild reglering avseende tillgång till sådana system behövs dock inte.

58

Sammantaget bedömer regeringen alltså att en verksamhetsutövare bör ha en samrådsskyldighet i två situationer, givet att det är fråga om ett förfarande som omfattas av krav på säkerhetsskyddsavtal. Den första situationen är om förfarandet kan ge den andra aktören tillgång till säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen hemlig eller högre. Den andra är om förfarandet kan ge den andra aktören tillgång till annan säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet. Regleringen kommer därmed att baseras på samma förutsättningar som kravet på säkerhetsskyddsavtal, med den skillnaden att samrådskravet gäller först vid exponering av hemliga eller kvalificerat hemliga uppgifter eller annan säkerhetskänslig verksamhet av motsvarande betydelse.

För att undvika kringgående av de föreslagna reglerna bör det även införas en möjlighet för tillsynsmyndigheten att inleda ett samråd, om verksamhetsutövaren inte gör det trots att det finns en samrådsskyldighet.

Regeringen anser, i linje med vad som tidigare anförts om kravet på säkerhetsskyddsavtal inom koncerner (se avsnitt 6.1) och till skillnad från Vattenfall AB, inte att det finns skäl att undanta koncerninterna förfaranden från kravet på samråd. Det förhållandet att samrådsskyldigheten, till skillnad från kravet på säkerhetsskyddsavtal, endast kommer att gälla förfaranden som ger den andra aktören tillgång till hemliga eller kvalificerat hemliga uppgifter eller verksamhet av motsvarande betydelse, bör dessutom innebära att antalet samråd begränsas betydligt inom de flesta koncerner.

Tillsynsmyndigheten bör ansvara för samrådet

En fråga som inställer sig när samrådsskyldigheten ska utökas till att gälla fler verksamhetsutövare, är om samråd ska ske med den myndighet som är tillsynsmyndighet för verksamhetsutövaren i fråga eller om samrådsansvaret, som Trafikverket föreslår, ska fördelas mellan Säkerhetspolisen och Försvarsmakten. Det sistnämnda alternativet har flera fördelar, bl.a. att endast Säkerhetspolisen och Försvarsmakten har den samlade bilden av hoten mot Sveriges säkerhet och Sveriges samlade skyddsvärden, vilket kan vara av värde vid samrådet. De myndigheterna har därtill redan rekryterat för och i övrigt byggt upp en samrådsverksamhet. Det finns emellertid även nackdelar med att samla samrådsansvaret hos dessa myndigheter. En sådan är att det kan medföra en kännbar ökning av deras arbetsbelastning. En annan nackdel är att Säkerhetspolisen och Försvarsmakten inte har samma nivå av sakkunskap om verksamheten på de olika verksamhetsområdena som de övriga tillsynsmyndigheterna. En uppdelning av samrådsansvaret mellan tillsynsmyndigheterna skulle också vara

mer i linje med de förslag om tillsynsbefogenheter och ingripandemöjligheter för tillsynsmyndigheterna som lämnas i avsnitt 8 och 9. Sammantaget anser regeringen, i motsats till Trafikverket, att övervägande skäl talar för att samrådsansvaret bör fördelas mellan tillsynsmyndigheterna utifrån deras respektive ansvarsområde.

I sammanhanget bör framhållas att utredningen föreslår att det i säkerhetsskyddsförordningen ska införas en skyldighet för tillsynsmyndigheterna att i vissa fall ge Säkerhetspolisen respektive Försvarsmakten tillfälle att yttra sig innan ett samråd avslutas, så att deras unika kunskaper om bl.a. hotbilder vid behov kan tillföras ärendet. Därigenom får dessa myndigheter ett inflytande i linje med vad Trafikverket efterfrågat. Regeringen återkommer i det fortsatta förordningsarbetet till frågan om Säkerhetspolisens och Försvarsmaktens rätt att yttra sig under samråd.

När samrådet bör inledas

För att samrådet ska vara verkningsfullt och motverka potentiellt skadlig exponering av uppgifter eller verksamhet i övrigt, bör det påbörjas innan verksamhetsutövaren inleder det förfarande som medför krav på samråd.

Det kan inträffa att förfaranden ändrar karaktär efter att de inletts. Exempelvis kan det förekomma att ett visst samarbete inte varit avsett att innehålla moment som aktualiserar samrådsskyldighet, men att det efter viss tid visar sig finnas ett sådant behov. Regeringen instämmer i utredningens bedömning att det utökade samarbetet i ett sådant fall bör ses som ett förfarande som omfattas av samrådsskyldighet, varför verksamhetsutövaren bör vara skyldig att samråda med tillsynsmyndigheten innan det aktuella momentet påbörjas. Vad Trafikverket anfört om att detta kan få bl.a. ekonomiska konsekvenser för verksamhetsutövaren, föranleder ingen annan bedömning.

Hur samrådet bör genomföras

En naturlig utgångspunkt är att verksamhetsutövaren inleder samrådet genom att ge in dokumentationen av den särskilda säkerhetsskyddsbedömningen och lämplighetsprövningen samt eventuellt utkast till säkerhetsskyddsavtal till tillsynsmyndigheten. Vilket underlag i övrigt som är nödvändigt för att tillsynsmyndigheten ska kunna göra en fullständig bedömning kan variera beroende på vad för typ av förfarande det är fråga om. När det är fråga om ett förfarande som omfattas av upphandlingslagstiftningen bör även upphandlingsdokument med bilagor ges in. I andra fall bör en beskrivning av det planerade förfarandet ges in, liksom eventuell dokumentation avseende förfarandet. I många fall kan verksamhetsutövaren även behöva ge tillsynsmyndigheten tillgång till sin säkerhetsskyddsanalys.

Tillsynsmyndigheten bör vid samrådet bedöma om det aktuella förfarandet kräver att ytterligare åtgärder vidtas. Det kan t.ex. gälla att förbättra kravställningen i säkerhetsskyddsavtalet. Det är dock fortfarande verksamhetsutövaren som har ansvar för sina skyddsvärden och hur säkerhetsskyddet utformas i detalj. Hur omfattande samrådet behöver vara får avgöras med hänsyn till omständigheterna i det särskilda fallet. I vissa fall kan det vara enkelt att konstatera att ett förfarande inte är problematiskt från säkerhetsskyddssynpunkt, t.ex. för att det rör sig om en mindre och

Prop. 2020/21:194

59

Prop. 2020/21:194 tydligt avgränsad exponering av den säkerhetskänsliga verksamheten som kan hanteras genom ett säkerhetsskyddsavtal. Då kan tillsynsmyndigheten relativt omgående avsluta samrådet utan vidare åtgärd. Regeringen delar därför inte Säkerhets- och försvarsföretagens uppfattning att förslaget kommer innebära en ökad administration som är oproportionerlig.

60

Utgångspunkten bör vara att samrådet ska ha avslutats innan det planerade förfarandet inleds. Det innebär bl.a. att en offentlig upphandling som utgångspunkt inte får påbörjas innan samrådet har genomförts. Om tillsynsmyndigheten bedömer det som nödvändigt bör den dock kunna ge klartecken till att en upphandlingsprocess påbörjas och att samrådet ska pågå fortlöpande under upphandlingsprocessen. När tillsynsmyndigheten bedömer att syftet med samrådet har uppfyllts och att verksamhetsutövaren kan gå vidare med det planerade förfarandet bör tillsynsmyndigheten fatta ett beslut om att avsluta samrådet utan vidare åtgärd.

Som framgår i avsnitt 3 har riksdagen tillkännagett för regeringen att den ställer sig bakom det som utskottet anför om tidsbegränsning av samrådsmyndighetens handläggningstid (bet. 2020/21:JuU10 punkt 2, rskr. 2020/21:79). Av tillkännagivandet framgår bl.a. att riksdagen anser att det skulle leda till ökad tydlighet och förutsebarhet för verksamhetsutövare om en tidsbegränsning av handläggning av samrådsärenden införs (bet. 2020/21:JuU10 s. 14 f.). Även Försäkringskassan, Luleå kommun och Lidingö kommun anser att tillsynsmyndighetens handläggningstid vid samrådsförfarandet bör regleras genom införande av en sådan begränsning eller ett skyndsamhetskrav. Av förvaltningslagen, som är tillämplig vid tillsynsmyndighetens handläggning av samrådsärenden (se avsnitt 7.5 nedan), följer att alla ärenden ska handläggas så enkelt, snabbt och kostnadseffektivt som möjligt utan att rättssäkerheten eftersätts (9 § första stycket förvaltningslagen). Enligt förvaltningslagen har en enskild vidare rätt att begära att ett ärende ska avgöras om handläggningen i första instans har pågått i sex månader, varpå den handläggande myndigheten inom fyra veckor antingen ska avgöra ärendet eller avslå begäran (12 § förvaltningslagen). Regeringen anser, till skillnad från utredningen, att den möjligheten bör finnas även i samrådsärenden. Det saknas tillräckligt beredningsunderlag för att i detta lagstiftningsärende därutöver införa särskilda bestämmelser om skyndsamhet eller tidsgränser för handläggningen. Regeringen kommer dock fortsätta att följa frågan. Tillkännagivandet är inte slutbehandlat.

Kammarrätten i Stockholm efterfrågar klargöranden om handläggningen av samrådsärenden, exempelvis hur samrådet ska initieras och vad som krävs för att samrådsskyldigheten ska anses fullgjord. Närmare bestämmelser om detta bör enligt regeringen lämpligen meddelas genom förordning eller myndighetsföreskrifter.

Förelägganden under samrådet

Tillsynsmyndigheten bör på samma sätt som enligt den befintliga regleringen, inom ramen för samrådet få besluta att förelägga verksamhetsutövaren att vidta åtgärder för att fullgöra sina skyldigheter enligt säkerhetsskyddslagen och föreskrifter som har meddelats i anslutning till den lagen. Ett föreläggande kan exempelvis gälla vad en verksamhetsutövare behöver förbättra i fråga om säkerhetsåtgärderna som anges i

2kap. 2–4 §§ säkerhetsskyddslagen, dvs. informationssäkerhet, personalsäkerhet och fysisk säkerhet. Föreläggandet bör också kunna innebära att verksamhetsutövaren vid en senare tidpunkt under samrådsförfarandet ska återrapportera till tillsynsmyndigheten hur olika åtgärder har genomförts. I samrådet fyller alltså föreläggandet funktionen att beskriva vad som behöver göras för att det planerade förfarandet ska vara godtagbart från säkerhetsskyddssynpunkt.

Föreläggandena behöver inte kunna förenas med vite. Huvudskälet till detta är, som utvecklas nedan, att följden av att inte följa ett föreläggande är att det planerade förfarandet inte får genomföras. Något ytterligare incitament för verksamhetsutövaren att följa föreläggandet behövs inte.

Befogenheten att besluta förelägganden kommer – som Kammarrätten i Stockholm påpekar – till viss del att överlappa med den befogenhet att besluta om åtgärdsförelägganden som tillsynsmyndigheterna enligt förslaget i avsnitt 9.2.1 kommer att ha vid tillsyn. Det handlar dock om förelägganden under två olika förfaranden – samråd respektive tillsyn. Regeringens uppfattning är att såväl pedagogiska som strukturella skäl talar för att införa en särskild bestämmelse om föreläggande under samråd.

Regeringen ser till skillnad från utredningen inget behov av en särskild bestämmelse i säkerhetsskyddslagen om att tillsynsmyndigheten ska få besluta att ett föreläggande under samrådet ska gälla omedelbart. Som framgår i avsnitt 7.5 är förvaltningslagen tillämplig vid tillsynsmyndigheternas handläggning av samrådsärenden. Av 35 § förvaltningslagen framgår att beslut i vissa fall får verkställas omedelbart. Någon ytterligare reglering om omedelbar verkställighet krävs inte.

Beslut att ett förfarande inte får genomföras (förbud)

Skyddet av Sveriges säkerhet är ett mycket viktigt allmänt intresse och det är av stor vikt att det finns en möjlighet att förhindra att förfaranden som kan skada Sveriges säkerhet genomförs. Regeringen anser därför, till skillnad från FMV och trots de problem som FRA pekar på, att tillsynsmyndigheten bör ha möjlighet att besluta att förfaranden som är olämpliga från säkerhetsskyddssynpunkt inte ska få genomföras. En sådan möjlighet finns redan i dag enligt 2 kap. 6 § tredje stycket säkerhetsskyddsförordningen, beträffande de statliga upphandlingar som den paragrafen gäller. Ett förbud bör kunna aktualiseras dels när ett meddelat föreläggande inte följs, dels när förfarandet bedöms olämpligt även om ytterligare åtgärder vidtas.

Svenskt Näringsliv förordar att beslut om förbud bör fattas av regeringen. Regeringen anser dock att befogenheten att meddela sådana beslut bör tillkomma respektive tillsynsmyndighet, bl.a. eftersom tillsynsmyndigheten genom samrådet redan är insatt i ärendet vilket både sparar resurser och förkortar handläggningstiden. Ett sådant förfarande är också i linje med vad som gäller för överlåtelser av säkerhetskänslig verksamhet. Som framgår i avsnitt 10 föreslås emellertid att överklagande av förbudsbeslut ska ske till regeringen.

Ett beslut om att förbjuda ett visst förfarande är en mycket långtgående åtgärd och bör, som Region Kronoberg framhåller, användas restriktivt. Som utvecklas i avsnitt 7.6.1 måste tillsynsmyndigheten också i varje enskilt fall göra en proportionalitetsbedömning. Proportionalitetsprincipen är en central rättsprincip inom både EU-rätten och svensk rätt och kommer

Prop. 2020/21:194

61

Prop. 2020/21:194

62

numera även till uttryck i 5 § tredje stycket förvaltningslagen. Kravet på proportionalitet innebär bl.a. att tillsynsmyndigheten när den överväger att förbjuda ett visst förfarande måste väga de potentiella skadekonsekvenserna för Sveriges säkerhet som förfarandet kan medföra mot de skador eller olägenheter som orsakas motstående intressen genom förbudet.

Det är inte möjligt att i författning närmare beskriva vilka situationer som skulle kunna medföra ett beslut om förbud. Proportionalitetsbedömningen innebär dock att ett sådant beslut ska ses som en sista utväg. Ett förbud kan t.ex. behöva beslutas om det inte är möjligt att genomföra säkerhetsprövning av personal hos motparten, om motparten är ett företag som fungerar som bulvan för en aktör med antagonistiska syften eller om det är fråga om så skyddsvärda uppgifter att det inte är lämpligt att utomstående får möjlighet att hantera dem utanför verksamhetsutövarens lokaler även med beaktande av ett väl utformat säkerhetsskyddsavtal.

Kammarrätten i Stockholm anser att det bör övervägas om tillsynsmyndigheten ska få besluta att ett förbud ska gälla omedelbart, eftersom förbud endast kommer att aktualiseras när det kan uppstå en allvarlig skada för Sveriges säkerhet. Som framgår i avsnitt 7.5 kommer förvaltningslagen att vara tillämplig på tillsynsmyndigheternas handläggning av samrådsärenden. Av 35 § andra stycket den lagen framgår att en myndighet får verkställa ett beslut omedelbart i vissa fall, bl.a. om ett väsentligt allmänt intresse kräver det. Någon ytterligare reglering avseende omedelbar verkställighet är inte nödvändig.

Bestämmelserna bör framgå av lag

Bestämmelserna om samråd, förelägganden och förbud kommer med den utvidgning som regeringen föreslår delvis att avse förhållanden mellan enskilda och det allmänna. De innehåller också skyldigheter för enskilda. De bör därför tas in i säkerhetsskyddslagen.

Som framgår i avsnitt 3 har riksdagen tillkännagett för regeringen att den ställer sig bakom det som utskottet anför om att tillsynsmyndigheternas ansvar och befogenheter ska regleras i säkerhetsskyddslagen (bet. 2017/18:JuU21 punkt 3, rskr. 2017/18:289). Av tillkännagivandet framgår att riksdagen anser att tillsynsmyndigheternas ansvar när det gäller bl.a. tillsyn och möjligheter att stoppa en överlåtelse eller utkontraktering av säkerhetskänslig verksamhet är av sådan vikt att befogenheterna bör regleras i lag (bet. 2017/18:JuU21 s. 20). Tillkännagivandet har delvis tillgodosetts genom de bestämmelser i säkerhetsskyddslagen om överlåtelse av säkerhetskänslig verksamhet som trädde i kraft den 1 januari 2021. Genom de nu redovisade förslagen om samråd, förelägganden och förbud vid utkontrakteringar och de i avsnitt 8.3 behandlade förslagen om tillsynsbefogenheter, bedömer regeringen att tillkännagivandet är helt tillgodosett och därmed slutbehandlat.

Tvångsåtgärder

Utredningen bedömer att det i vissa fall kan finnas ett behov av att tillgripa tvångsåtgärder för att syftet med förelägganden och förbud under samrådsprocessen inte ska motverkas. Den föreslår därför att tillsynsmyndigheten, om ett föreläggande eller förbud meddelas, ska kunna ansöka hos Stockholms tingsrätt om sådana tvångsåtgärder som avses i 15 kap. 1–3 §§ rätte-

gångsbalken, dvs. bl.a. kvarstad. Förslaget gäller även sådana förelägg- Prop. 2020/21:194 anden som avser ingripande i efterhand som behandlas i nästa avsnitt.

Bestämmelserna i 15 kap. 1–3 §§ rättegångsbalken är avsedda att tillämpas i tvister som avser tillvaratagande av parters enskilda rätt. JO anser att bestämmelserna redan av den anledningen är mindre lämpade att använda när det allmänna genom en myndighet ansöker om tvångsåtgärder och att ledning i stället bör hämtas från tvångsåtgärder där det offentliga ingriper mot enskilda. JO påtalar också att utredningens förslag om att väsentliga delar av bestämmelserna inte ska tillämpas riskerar att leda till tolkningssvårigheter och att det framstår som mest förutsebart och rättssäkert att reglera de tvångsmedel det finns behov av i de nu aktuella situationerna direkt i säkerhetsskyddslagstiftningen.

Regeringen instämmer delvis i de synpunkter som JO för fram och noterar att det finns bestämmelser om tvångsåtgärder där det offentliga ingriper mot enskilda i annan lagstiftning, t.ex. på skatteområdet, som skulle kunna tjäna som förebild för en reglering avseende tvångsåtgärder på säkerhetsskyddsområdet. Regeringen ser också, i likhet med JO, vissa fördelar med att samla bestämmelserna om tvångsåtgärder i en och samma lag. Det saknas dock beredningsunderlag för att överväga en sådan ordning i detta lagstiftningsärende.

Regeringen anser sammantaget att frågan om tvångsåtgärder i de nu aktuella situationerna behöver övervägas ytterligare.

Förslagets förhållande till vissa angränsande regelverk

Som framgår i avsnitt 7.2 ovan, anser regeringen att det kan finnas behov av att undanta vissa förfaranden från de nu föreslagna skyldigheterna, bl.a. för att undvika parallella prövningar enligt överlappande regler som tillgodoser samma skyddsintressen som säkerhetsskyddslagen.

Utöver de överlappande regelverk som nämns i avsnitt 7.2 finns – som Svenska bankföreningen framhåller – även vissa överlappande bestämmelser rörande bankers möjlighet att utkontraktera verksamhet i lagen (2004:297) om bank- och finansieringsrörelse (LBF). Bestämmelserna i LBF innebär att kreditinstitut som omfattas av lagen och vill uppdra åt någon att utföra vissa angivna tjänster ska anmäla det till Finansinspektionen. Sådana uppdrag får, enligt bestämmelserna, endast ges under vissa förutsättningar. Regeringen konstaterar att den nu föreslagna samrådsskyldigheten och prövningen enligt LBF har olika syften och skyddsintressen. Det är därför godtagbart att ett förfarande kan komma att omfattas av båda regelverken. Regeringen anser därför, till skillnad från föreningen, inte att det krävs några bestämmelser om undantag avseende förfaranden som omfattas av LBF.

63

Prop. 2020/21:194 7.4 Möjlighet att ingripa i efterhand
   
  Regeringens förslag: Om ett pågående förfarande som omfattas av ett
  krav på säkerhetsskyddsavtal är olämpligt från säkerhetsskydds-
  synpunkt, ska tillsynsmyndigheten få besluta om de förelägganden mot
  verksamhetsutövaren och den andra aktören i förfarandet som behövs
  för att förhindra skada för Sveriges säkerhet.
  Ett sådant beslut om föreläggande ska få förenas med vite.
   
  Utredningens förslag överensstämmer i huvudsak med regeringens.
  Utredningen föreslår dock även en bestämmelse om att tillsynsmyndig-
  heten ska kunna bestämma att beslut om föreläggande ska gälla omedel-
  bart.  
  Remissinstanserna: En majoritet av remissinstanserna tillstyrker eller
  har inte några invändningar mot förslaget. FMV avstyrker förslaget. Flera
  remissinstanser, bl.a. Vattenfall AB och Evry AB, anser att förslaget kan
  leda till avtalsrättsliga problem och negativa ekonomiska konsekvenser.
  Lidingö kommun anser inte att en tillsynsmyndighet ska kunna rikta
  åtgärdsförelägganden mot en utomstående part, t.ex. en leverantör som
  upphandlats av en kommun. En sådan ordning kan, enligt kommunen, bl.a.
  leda till att kommunen inte får kännedom om och tar fullt ansvar för till-
  kommande krav som tillsynsmyndigheten ställer samt oklarheter kring
  t.ex. om det är kommunen eller tillsynsmyndigheten som ska stå för till-
  kommande kostnader som den utomstående parten drabbas av. Kommu-
  nen menar också att tillsynsmyndighetens krav kan innebära en väsentlig
  förändring av upphandlingsföremålet som medför att kommunen kan
  behöva göra om upphandlingen och då riskerar att bli skadeståndsskyldig.
  Det finns enligt kommunen en risk för att dessa oklarheter leder till färre
  anbudsgivare och dyrare upphandlingar. Svenska bankföreningen fram-
  håller att banker bedriver tillståndspliktig verksamhet under Finans-
  inspektionens tillsyn och att det finns omfattande regler om outsourcing i
  det aktuella regelverket. Föreningen anser att Finansinspektionen redan i
  dag har den ingripandemöjlighet som föreslås och att det därmed riskerar
  att uppstå en dubbelreglering på området som ger upphov till rätts-
  osäkerhet.  
  Skälen för regeringens förslag
  Det behövs en möjlighet att ingripa under ett pågående förfarande
  Säkerhetsskyddslagstiftningen innehåller inga skarpa verktyg som till-
  synsmyndigheten kan använda för att ingripa i pågående avtals-
  förhållanden, samarbeten och samverkan som bedöms som olämpliga.
  Tillsynsmyndigheten kan i en sådan situation uppmana verksamhets-
  utövaren att vidta åtgärder men i praktiken står det i dessa fall
  verksamhetsutövaren fritt att välja om uppmaningen ska följas och hur
  skyndsamt det ska ske.
  De föreslagna bestämmelserna om samråd, förelägganden och förbud
  syftar till att förebygga att verksamhetsutövare påbörjar förfaranden som
  är olämpliga från säkerhetsskyddssynpunkt. Det kan dock, trots dessa
  regler, inte uteslutas att det ändå inträffar att förfaranden påbörjas och först
64 därefter bedöms som olämpliga. En sådan situation skulle exempelvis

kunna uppstå om verksamhetsutövaren felaktigt bedömer att förfarandet inte omfattas krav på samråd. En sådan situation skulle också kunna inträffa om väsentliga förhållanden, avseende t.ex. hotbilder eller den säkerhetskänsliga verksamhetens karaktär, ändras efter det att förfarandet har inletts.

Enligt regeringen är det inte acceptabelt att det saknas en möjlighet att ingripa mot ett pågående förfarande som kan orsaka skada för Sveriges säkerhet. Regeringen anser därför, i motsats till FMV, att det bör införas en sådan ingripandemöjlighet. Som Vattenfall AB och Evry AB påpekar kan regler om ingripanden i efterhand få vissa negativa följder för de inblandade parterna. Möjligheterna till ingripande bör därför inte vara mer långtgående än vad som krävs i det enskilda fallet och ingripande bör endast få ske när det är befogat med hänsyn till de intressen som står på spel.

Tillsynsmyndigheten bör få ingripa genom föreläggande

Vilka möjligheter till ingripande i pågående förfaranden som det finns behov av kan variera från fall till fall. I vissa fall kan ett förfarande till följd av exempelvis ändrade förhållanden bli olämpligt i sin helhet vilket medför behov av att helt kunna stoppa detsamma. I andra fall kan förfarandet vara lämpligt i huvudsak men innehålla vissa olämpliga moment, t.ex. att vissa särskilt känsliga uppgifter hanteras av verksamhetsutövarens motpart. I ett sådant fall kan det vara tillräckligt med en möjlighet att få verksamhetsutövaren att återta kontrollen av just dessa uppgifter men att förfarandet i övrigt kan fortgå. Ingripandeverktyget bör således ha en viss flexibilitet. I likhet med utredningen anser regeringen därför att bestämmelser om civilrättslig ogiltighet inte framstår som ett bra alternativ. En ordning som innebär att parternas avtal blir helt eller delvis ogiltigt om ett förfarande bedöms som olämpligt är ett förhållandevis trubbigt verktyg. Tröskeln för att kunna tillämpa sådana regler skulle behöva läggas mycket högt. Regeringen anser i stället att det varierande behovet av ingripande i kombination med vikten av att ett sådant inte blir mer långtgående än nödvändigt, leder till slutsatsen att ingripandemöjligheten bör bestå av en rätt för respektive tillsynsmyndighet att besluta förelägganden mot de inblandade parterna. Ett föreläggande kan anpassas till just det behov av ingripande som finns i det aktuella fallet. Föreläggandet skulle således vid behov kunna innebära att ett förfarande ska avbrytas helt men också att endast en mindre arbetsuppgift ska återtas från motparten.

Effektivitetsskäl talar för att ett föreläggande bör kunna riktas mot både verksamhetsutövaren och den andra aktören i förfarandet. Som anges ovan skulle behovet av ingripande exempelvis kunna bestå av att viss säkerhetskänslig egendom behöver återlämnas från den andra aktören till verksamhetsutövaren. En sådan åtgärd kan behöva ske skyndsamt och det är därför angeläget att krav kan riktas inte bara mot verksamhetsutövaren utan även mot den part som faktiskt disponerar över egendomen, dvs. den andra aktören. Den risk för att en verksamhetsutövare inte skulle få kännedom om eventuella krav som ställs på den andra aktören, som Lidingö kommun pekar på, bör enligt regeringen inte överdrivas. Det starka skyddsintresset – att skydda Sveriges säkerhet – väger enligt regeringen

Prop. 2020/21:194

65

Prop. 2020/21:194 tyngre än de eventuella risker som förslaget kan medföra för verksamhets-

  utövare, t.ex. oklarheter kring kostnadsansvar och dyrare upphandlingar,
  som kommunen pekar på. I sammanhanget kan påpekas att aktörer som
  bedriver säkerhetskänslig verksamhet eller ingår avtal som innebär att de
  engageras i annans säkerhetskänsliga verksamhet måste vara medvetna om
  att sådan verksamhet innebär särskilda risker och beakta dessa i ett tidigt
  skede, t.ex. vid ingående av avtal eller innan en upphandlingsprocess
  inleds. Det är inte orimligt att ställa sådana krav på aktörerna. Samman-
  taget anser regeringen att ett föreläggande, för att bli tillräckligt effektivt
  och trots de risker som Lidingö kommun pekar på, bör kunna riktas mot
  såväl verksamhetsutövaren som den andra aktören.
  Ett föreläggande bör, för att bli tillräckligt verkningsfullt, kunna förenas
  med vite. Allmänna bestämmelser om viten finns i lagen (1985:206) om
  viten, kallad viteslagen. Viteslagen innehåller bl.a. bestämmelser om hur
  ett vitesföreläggande ska vara utformat i olika avseenden, hur vites-
  beloppet ska fastställas och om utdömande av vite. Bestämmelserna i
  viteslagen är lämpliga att använda för tillsynsmyndighetens vites-
  förelägganden. Det finns alltså inte anledning att införa bestämmelser som
  avviker från dem.
  En särskild fråga i sammanhanget är om vitesförelägganden enligt den
  föreslagna regleringen ska kunna riktas mot verksamhetsutövare som är
  statliga myndigheter. I doktrinen anförs angående vite mot statliga
  myndigheter bl.a. att staten enligt gängse uppfattning är att betrakta som
  ett enhetligt rättssubjekt, vilket bör innebära att vitesföreläggande inte får
  förekomma inom statlig offentlig verksamhet (Lavin, Viteslagstiftningen,
  Juno version 3 B, kommentaren till 2 §). I förarbetena till viteslagen över-
  lämnas frågan till rättstillämpningen, dock med kommentaren att sådana
  viten bör komma i fråga främst i situationer där staten i så utpräglad grad
  uppträder som privaträttsligt subjekt, t.ex. på det marknadsrättsliga om-
  rådet, att det skulle vara onaturligt om vitesmöjligheten inte stod till buds.
  Vidare uttalas att det utanför det marknadsrättsliga området bör krävas att
  ett helt speciellt undantagsfall är för handen för att ett vitesföreläggande
  mot en statlig aktör ska vara godtagbart (prop. 1984/85:96 s. 99 f.).
  Regeringen konstaterar att det nu aktuella regelverket avser ingripanden
  som syftar till att skydda Sveriges säkerhet, vilket alltså är ett synnerligen
  tungt vägande intresse som gör sig gällande i samma utsträckning oavsett
  om det är en privat eller offentlig aktör som bedriver den säkerhetskänsliga
  verksamheten. Säkerhetsskyddslagstiftningen gäller statliga myndigheter
  på i stort samma sätt som andra aktörer och ingripanden kommer, såvitt nu
  är i fråga, att rikta sig mot myndigheter vars säkerhetskänsliga verksamhet
  exponerats för andra aktörer genom exempelvis civilrättsliga avtal om
  utkontraktering och liknande förfaranden. Myndigheterna får i sådana fall
  anses agera utanför sin rent offentligrättsliga kapacitet. Det får i och för
  sig förutsättas att rättelse i de flesta fall kommer att ske på frivillig väg och
  att tillsynsmyndigheten endast undantagsvis behöver förena ett före-
  läggande mot en statlig myndighet med vite. Så kan exempelvis bli fallet
  om det rör sig om en mycket påtaglig risk för Sveriges säkerhet som
  behöver hanteras skyndsamt eller om det redan förekommit kontakter som
  gett anledning att misstänka bristande följsamhet. Sammantaget anser
  regeringen dock, med visst beaktande av att liknande reglering finns på
66 andra områden (se t.ex. 28 § lagen [2018:1174]) om informationssäkerhet

för samhällsviktiga och digitala tjänster), att möjligheten att förena ett föreläggande med vite bör kunna användas även mot statliga aktörer.

Av samma skäl som anförts ovan avseende bl.a. tillsynsmyndighetens beslut om förbud, anser regeringen inte att det krävs någon reglering i säkerhetsskyddslagen om att tillsynsmyndigheten ska få besluta att förlägganden ska gälla omedelbart.

Det är enligt regeringen inte möjligt att i lagtexten närmare specificera vad föreläggandena kan komma att gå ut på. Syftet med dem bör dock vara att förmå verksamhetsutövaren och den utomstående parten att vidta åtgärder som är nödvändiga för att förhindra skada för Sveriges säkerhet. Föreläggandena bör kunna ges den utformning som är nödvändig och lämplig i det enskilda fallet. Enligt regeringen är det godtagbart med en så vid ingripandemöjlighet när det handlar om Sveriges säkerhet och skyddet för de allra mest skyddsvärda verksamheterna i landet. Som utvecklas nedan måste dock ingripandet vara proportionerligt med hänsyn till bl.a. de olägenheter som kan tänkas uppstå hos den som det riktas mot.

Det förhållandet att kreditinstitut redan står under tillsyn och kan bli föremål för vissa ingripanden enligt den finansiella rörelselagstiftningen, vilket Svenska bankföreningen tar upp, utgör enligt regeringen inte ett skäl mot att införa den nu föreslagna ingripandemöjligheten. Eftersom regelverken har olika syften, bedömer regeringen att en eventuell dubbelreglering är godtagbar.

Förutsättningar för ett ingripande

Möjligheten att ingripa i efterhand bör inte vara begränsad till att gälla sådana förfaranden som omfattas av ett krav på samråd. Det finns flera situationer som inte omfattas av kravet på samråd där säkerhetskänslig verksamhet och säkerhetsskyddsklassificerade uppgifter exponeras för utomstående. Det vore enligt regeringen otillfredsställande om det inte fanns en möjlighet att ingripa i ett sådant fall trots att det står klart att förfarandet är olämpligt från säkerhetsskyddssynpunkt. Regeringen anser i stället att möjligheten att ingripa i efterhand ska gälla i alla fall där förfarandet omfattas av ett krav på säkerhetsskyddsavtal.

Som regeringen anför ovan, bör ingripande bara få ske om förfarandet i fråga bedöms vara olämpligt från säkerhetsskyddsynpunkt. Samma krav gäller enligt förslaget i avsnitt 7.3 om att tillsynsmyndigheten ska få besluta om ett förbud i samband med ett samråd. För att regelverket ska hänga ihop och vara konsekvent bör samma grundläggande kriterium gälla för ingripande i pågående förfaranden. En annan sak är dock att det kan krävas en större grad av olämplighet, t.ex. att den potentiella skadan är mer allvarlig, för att tillsynsmyndigheten ska ingripa mot ett pågående förfarande än mot ett förfarande som inte har påbörjats.

Eftersom det kan variera hur pass ingripande ett föreläggande behöver vara är det enligt regeringen inte lämpligt att kräva en viss nivå av skada för att ingripande ska få ske. Det bör alltså inte ställas krav på att det kan uppstå t.ex. allvarlig eller rentav synnerligen allvarlig skada. Ett ingripande i efterhand får dock bara beslutas om det är proportionerligt i det enskilda fallet, se avsnitt 7.6. Vid proportionalitetsbedömningen bör alla skador och olägenheter för enskilda intressen beaktas och vägas mot de skäl som talar för föreläggandet. Hur allvarlig den potentiella skadan för Sveriges

Prop. 2020/21:194

67

Prop. 2020/21:194 säkerhet bedöms vara bör då vara en viktig parameter. Utgångspunkten bör vara att bestämmelserna om ingripande i efterhand ska tillämpas restriktivt.

7.5Förvaltningslagen bör gälla vid handläggningen

Regeringens bedömning: Förvaltningslagen bör gälla vid handläggningen av ärenden enligt säkerhetsskyddslagen hos Säkerhetspolisen.

Utredningens förslag och bedömning överensstämmer med regeringens bedömning.

Remissinstanserna: Ingen remissinstans yttrar sig särskilt över förslaget.

Skälen för regeringens bedömning: Förvaltningslagen gäller för handläggning av ärenden hos förvaltningsmyndigheterna och handläggning av förvaltningsärenden hos domstolarna. Lagen innehåller bl.a. bestämmelser om grunderna för god förvaltning och allmänna krav på handläggning av ärenden. Regeringen bedömer att tillsynsmyndigheternas handläggning av samrådsärenden och deras möjlighet att besluta om förelägganden och förbud samt att ingripa i efterhand mot pågående förfaranden, kommer att utgöra sådan handläggning av ärenden som medför att förvaltningslagen är tillämplig. Detsamma gäller i fråga om andra ärenden enligt säkerhetsskyddslagen, såsom tillsynsärenden.

I 3 § förvaltningslagen finns emellertid ett undantag för handläggning av ärenden i den brottsbekämpande verksamheten hos bl.a. Säkerhetspolisen. Av paragrafen följer att 9 § andra stycket och 10–49 §§ förvaltningslagen inte tillämpas i sådan verksamhet.

Med uttrycket brottsbekämpande verksamhet i förvaltningslagen avses verksamhet som syftar till att förebygga, förhindra eller upptäcka brottslig verksamhet eller utreda och beivra brott (prop. 2016/17:180 s. 287). Regeringen har tidigare gjort bedömningen att all Säkerhetspolisens verksamhet, även på säkerhetsskyddsområdet, i någon mening är brottsbekämpande (se prop. 2013/14:110 s. 481 och prop. 2015/16:65 s. 40). Även bestämmelserna i lagen (2019:1182) om Säkerhetspolisens behandling av personuppgifter ger stöd åt en sådan tolkning.

Regeringen anser dock att starka skäl talar för att förvaltningslagens bestämmelser bör gälla fullt ut vid Säkerhetspolisens handläggning av ärenden om samråd, förelägganden och förbud samt vid tillsyn och ärenden rörande sanktionsavgift. En sådan ordning skulle skapa en stadga och förutsebarhet i förfarandet som är önskvärd, inte minst med hänsyn till att den föreslagna regleringen delvis rör myndighetsutövning mot enskilda. Enligt regeringens bedömning bör förvaltningslagens bestämmelser inte heller vara problematiska att tillämpa vid handläggning enligt säkerhetsskyddslagen. Det bör därför införas en bestämmelse om att undantaget i 3 § förvaltningslagen inte gäller vid nu aktuella ärenden. Det är dock tillräckligt att detta regleras på förordningsnivå.

68

7.6Förslagens förhållande till enskildas rättigheter och friheter och proportionalitet

7.6.1Egendomsskyddet och näringsfriheten

Regeringens bedömning: Förslagen är förenliga med egendomsskyddet och näringsfriheten. Det behöver inte införas ett uttryckligt krav på proportionalitet i säkerhetsskyddslagen.

Utredningens bedömning överensstämmer delvis med regeringens. Utredningen föreslår dock att det ska införas en lagbestämmelse med ett uttryckligt krav på proportionalitet.

Remissinstanserna: Majoriteten av remissinstanserna har inget att invända mot förslaget eller yttrar sig inte särskilt i denna del. Ett antal remissinstanser har dock synpunkter på förslagens förhållande till egendomsskyddet. Svenskt Näringsliv påpekar att förslagen är en inskränkning av äganderätten som kan innebära att värdet på tillgångar minskar och anser att större tydlighet krävs i den föreslagna lagtexten. Flera andra remissinstanser, bl.a. Näringslivets regelnämnd, IKEM Innovations- och kemiindustrierna och It- och telekomföretagen, framför liknande synpunkter och anser att frågan bör utredas vidare.

Skälen för regeringens bedömning

Förslagen kan medföra inskränkningar av egendomsskyddet och näringsfriheten

Principen om skydd för egendomsrätten kommer till uttryck i 2 kap. 15 § första stycket regeringsformen. Där anges att var och ens egendom är tryggad genom att ingen kan tvingas avstå sin egendom till det allmänna eller till någon annan enskild genom expropriation eller något annat sådant förfogande, eller tåla att det allmänna inskränker användningen av mark eller byggnad utom när det krävs för att tillgodose angelägna allmänna intressen. Regeringen lämnar i denna proposition inga förslag som innebär expropriation eller annat sådant förfogande som avses i paragrafen. Däremot kan det enligt regeringen inte uteslutas att förslagen om förbud mot att genomföra förfaranden kan medföra att användningen av mark eller byggnad inskränks, s.k. rådighetsinskränkningar. Bestämmelsen om rådighetsinskränkningar omfattar inte rätten att använda lös egendom (prop. 2009/10:80 s. 164). Det är därför i första hand de förslag som berör upplåtelser som skulle kunna aktualisera bestämmelsens tillämpning. Den skulle exempelvis kunna aktualiseras om en verksamhetsutövare hindras från att hyra ut en fastighet eller byggnad till följd av tillsynsmyndighetens beslut om föreläggande eller förbud. Det går inte heller att utesluta att ett ingripande i ett pågående förfarande skulle kunna medföra en rådighetsinskränkning.

Förslagen kan också medföra inskränkningar av egendomsskyddet enligt Europakonventionen, som gäller som lag i Sverige (lag [1994:1219] om den europeiska konventionen angående skydd för de mänskliga rättigheterna och de grundläggande friheterna). Av 2 kap. 19 § regeringsformen följer att lag eller annan föreskrift inte får meddelas i strid med Sveriges åtaganden på grund av Europakonventionen. Enligt första stycket

Prop. 2020/21:194

69

Prop. 2020/21:194 i artikel 1 i det första tilläggsprotokollet till Europakonventionen ska varje fysisk eller juridisk person ha rätt till respekt för sin egendom och ingen får berövas sin egendom annat än i det allmännas intresse och under de förutsättningar som anges i lag och i folkrättens allmänna grundsatser. Enligt andra stycket inskränker emellertid detta inte en stats rätt att genomföra sådan lagstiftning som staten finner nödvändig för att reglera nyttjandet av egendom i överensstämmelse med bl.a. det allmännas intresse. Med egendom avses inte bara fast och lös egendom utan också begränsade sakrätter samt fordringar om immateriella rättigheter. Vid samtliga slag av äganderättsintrång gäller en proportionalitetsprincip som innebär att nödvändigheten av ett intrång i det allmännas intresse måste balanseras mot det men den enskilde lider av intrånget. Ett krav på proportionalitet följer också av 2 kap. 15 § regeringsformen (se bl.a. NJA 2018 s. 753).

Förslagen kan vidare medföra en inskränkning av näringsfriheten, som kommer till uttryck i 2 kap. 17 § regeringsformen. Där anges att begränsningar i rätten att driva näring eller utöva yrke får införas endast för att skydda angelägna allmänna intressen och aldrig i syfte enbart att ekonomiskt gynna vissa personer eller företag. Europakonventionen innehåller inget specifikt skydd för näringsfrihet (prop. 2003/04:65 s. 15).

Förslagen är förenliga med egendomsskyddet och näringsfriheten

Som framgår ovan är egendomsskyddet inte ovillkorligt utan kan inskränkas när det krävs för att tillgodose angelägna allmänna intressen. Detsamma gäller näringsfriheten. Som regeringen tidigare har anfört utgör Sveriges säkerhet – som de nu föreslagna bestämmelserna om förelägganden och förbud syftar till att skydda – utan tvekan ett sådant angeläget allmänt intresse som kan motivera inskränkningar i egendomsskyddet och näringsfriheten (prop. 2020/21:13 s. 27 f.). Det finns enligt regeringen inte några mindre ingripande alternativ som skapar ett tillräckligt skydd mot från säkerhetsskyddssynpunkt olämpliga utkontrakteringar och liknande förfaranden. Enligt regeringen är förslagen såväl ändamålsenliga som nödvändiga. Regeringen har viss förståelse för de önskemål om ytterligare tydlighet som framförs av Svenskt Näringsliv, i vart fall när det gäller förslagen om ingripande i efterhand som är förhållandevis vida i sin utformning. Som framgår i avsnitt 7.4 är utformningen i denna del dock nödvändig och enligt regeringen godtagbar utifrån det viktiga skyddsintresse som ligger till grund för regleringen.

Sammantaget anser regeringen att den föreslagna regleringen är tillräckligt tydlig och att det stärkta skydd för Sveriges säkerhet som den medför står i proportion till sådana eventuella inskränkningar i egendomsskyddet och näringsfriheten som tillämpningen kan komma att medföra. Regeringen anser med andra ord, i likhet med utredningen, att förslagen är förenliga med de grundlagsskyddade fri- och rättigheterna och Europakonventionens bestämmelser om egendomsskydd. Regeringen delar inte Näringslivets regelnämnds, IKEM Innovations- och kemiindustriernas och It- och telekomföretagens uppfattning att frågan behöver utredas vidare.

70

Det behöver inte införas ett krav på proportionalitet i Prop. 2020/21:194
säkerhetsskyddslagen  
Av Europadomstolens praxis framgår att en proportionalitetsbedömning  
ska göras i varje enskilt fall där det allmänna inskränker den enskildes rätt  
att använda sin egendom. Detta innebär att även om det finns ett allmänt  
intresse som kan motivera ingreppet måste det vägas mot den enskildes  
intresse, och åtgärden måste genomföras på ett sådant sätt att den inte  
innebär en oskälig börda för den enskilde. Som framgår ovan följer en  
motsvarande princip av 2 kap. 15 § regeringsformen.  
Proportionalitetsprincipen kommer också till uttryck i 5 § tredje stycket  
förvaltningslagen där det anges att en myndighet får ingripa i ett enskilt  
intresse endast om åtgärden kan antas leda till det avsedda resultatet.  
Vidare anges att åtgärden inte får vara mer långtgående än vad som behövs  
och får vidtas endast om det avsedda resultatet står i rimligt förhållande  
till de olägenheter som kan antas uppstå för den som åtgärden riktas mot.  
Denna bestämmelse gäller vid tillsynsmyndigheternas handläggning av  
ärenden enligt säkerhetsskyddslagen. De måste därför göra en proport-  
ionalitetsbedömning i varje enskilt fall där ett föreläggande eller förbud  
övervägs och påverkar ett enskilt intresse.  
Utredningen har mot bakgrund av proportionalitetskravets stora betydel-  
se vid nu aktuella beslut om förelägganden och förbud föreslagit att det  
ska införas en särskild bestämmelse om proportionalitet i säkerhetsskydds-  
lagen. Regeringen har i samband med införandet av regleringen om över-  
låtelse av säkerhetskänslig verksamhet gjort bedömningen att en sådan  
bestämmelse inte är nödvändig (prop. 2020/21:13 s. 28 f.). Regeringen gör  
ingen annan bedömning nu. Proportionalitetsprincipen är som framgått en  
central rättsprincip och är därtill numera även fastslagen i förvaltnings-  
lagen. Principen kan därför tillgodoses vid tillsynsmyndigheternas  
beslutsfattande enligt säkerhetsskyddslagen även utan att det införs en  
sådan bestämmelse som utredningen föreslår.  
7.6.2 Ersättning för rådighetsinskränkningar  
   
Regeringens bedömning: Det bör inte införas någon rätt till ersättning  
vid rådighetsinskränkning som grundas på säkerhetsskyddslagen.  
   
Utredningens bedömning överensstämmer med regeringens.  
Remissinstanserna: Majoriteten av remissinstanserna har inget att  
invända mot bedömningen eller yttrar sig inte särskilt i denna del. Närings-  
livets regelnämnd motsätter sig att åtgärder och inskränkningar i ägande-  
rätten och näringsfriheten ska kunna göras utan att det utgår ersättning.  
Energiföretagen Sverige anser att det kan ifrågasättas om det är propor-  
tionerligt och förenligt med egendomsskyddet att en drabbad verksamhets-  
utövare inte får en lagstadgad rätt till ersättning. Kammarrätten i Stock-  
holm och Sveriges advokatsamfund anser att frågan om rätt till ersättning  
bör utredas vidare. Flera remissinstanser, bl.a. JO, Svenskt Näringsliv och  
Evry AB, har synpunkter på rätten till ersättning vid ingrepp i pågående  
avtalsförhållanden. JO anser att rätten till ersättning i dessa fall bör över-  
vägas vidare. Svenskt Näringsliv framhåller att även om ingripanden i  
pågående förfaranden blir ovanliga, är omvärldsutvecklingen oförutsägbar 71
   

Prop. 2020/21:194 och ett försämrat läge skulle kunna påverka ett flertal sektorer samtidigt. I

  ett sådant läge skulle det, enligt Svenskt Näringsliv, innebära en stor
  osäkerhet för drabbade företag att behöva lita på att regeringen ska fatta
  tillfredställande ex gratia-beslut. Svenskt Näringsliv menar att privata
  aktörer som agerat korrekt utifrån en tidigare existerande hotbild bör få
  ersättning för de kostnader som uppstår om tillsynsmyndigheten ingriper.
  Evry AB föreslår att det införs en möjlighet för verksamhetsutövarens
  motpart att kräva ersättning när en tillsynsmyndighet begränsar eller
  avbryter en upphandling. Uppsala universitet (Juridiska fakulteten) under-
  stryker att en proportionalitetsbedömning vad gäller ingreppet i en rättig-
  het måste göras separat från bedömningen av ersättningens vara eller inte
  vara. Att en rådighetsinskränkning är godtagbar med hänsyn till en
  proportionalitetsbedömning utesluter inte per automatik en bedömning av
  ersättningsfrågan. Enligt universitetet kan en inskränkning dock, enligt
  konventionsrätten, anses oproportionerlig om skälig ersättning inte utgår.
  Skälen för regeringens bedömning: I 2 kap. 15 § andra stycket
  regeringsformen finns bestämmelser om ersättning till den som drabbas av
  inskränkningar i sin rätt till egendom till följd av antingen expropriation
  eller annat sådant förfogande eller rådighetsinskränkningar. Enligt huvud-
  regeln avseende rådighetsinskränkningar ska ersättning tillförsäkras den
  för vilken det allmänna inskränker användningen av mark eller byggnad
  på sådant sätt att pågående markanvändning inom berörd del av fastigheten
  avsevärt försvåras eller att skada uppkommer som är betydande i för-
  hållande till värdet på denna del av fastigheten. I förarbetena anges att
  ersättningsrätt enligt denna regel föreligger exempelvis vid inskränkningar
  till följd av beslut enligt miljöbalken om nationalparker, naturreservat,
  kulturreservat och biotopskyddsområden (prop. 2009/10:80 s. 168).
  I 2 kap. 15 § tredje stycket regeringsformen anges att det vid inskränk-
  ningar som sker av hälsoskydds-, miljöskydds-, eller säkerhetsskäl gäller
  vad som följer av lag i fråga om rätt till ersättning. Bestämmelsen ger
  uttryck för principen enligt svensk rätt att ingripanden från det allmänna
  som har sin grund i hälsoskydds-, miljöskydds- eller säkerhetsskäl inte
  medför rätt till ersättning (prop. 2009/10:80 s. 168). Innebörden av
  bestämmelsen är att det i samband med att lagstiftning tas fram som
  medför rätt för det allmänna att inskränka användningen av mark eller
  byggnad av något av de angivna skälen, ska göras en bedömning av om
  det bör finnas en rätt till ersättning. Eftersom de eventuella inskränkningar
  som kan uppstå till följd av de nu aktuella förslagen kommer att ske av
  säkerhetsskäl, inställer sig frågan om det ska införas en rätt till ersättning
  i händelse av en sådan inskränkning.
  Som framgått kommer ingripanden med stöd av den föreslagna
  regleringen att vidtas i syfte att skydda Sveriges säkerhet. Detta är enligt
  regeringen ett så angeläget allmänt intresse att ingripanden i regel bör få
  ske utan att någon ersättning lämnas. Det gäller även i de fall där den
  enskildes intresse kan sägas väga tungt. Det kan vidare konstateras att
  regleringen syftar till att avvärja risker och att merparten av de åtgärder
  som tillsynsmyndigheten genom förslagen får rätt att vidta, handlar om
  förebyggande åtgärder som aktualiseras innan ett förfarande inleds. I linje
  med vad regeringen tidigare har anfört, bör den som bedriver verksamhet
  som är av betydelse för Sveriges säkerhet och därmed omfattas av säker-
72 hetsskyddslagen inte kunna åberopa legitima förväntningar att fritt – utan

hänsyn till eventuell skada för Sverige – kunna genomföra t.ex. utkontrakteringar eller inleda samarbeten med andra aktörer (prop. 2020/21:13 s. 30). Allt detta talar med styrka för att det inte bör införas bestämmelser om rätt till ersättning vid inskränkningar som grundas på säkerhetsskyddsregleringen.

En särskild fråga är hur man bör se på möjligheten till ersättning för ingripanden i pågående förfaranden. Det som skulle kunna tala för en särbehandling av dessa ingripanden, när det gäller frågan om rätt till ersättning, är att de i vissa fall kan medföra större konsekvenser för de inblandade parterna än de rent förebyggande åtgärder som tillsynsmyndigheten kan vidta i samband med ett samråd och att ingripandet skulle kunna aktualiseras till följd av förhållanden som i någon mån ligger utanför parternas kontroll, t.ex. vid ändrade hotbilder eller förändringar i motpartens ägarförhållanden. En verksamhetsutövare måste dock vara medveten om att den typen av förändrade förhållanden kan uppstå och innebära konsekvenser för verksamhetens säkerhetsskydd. Verksamhetsutövaren måste därför beakta dessa risker i ett tidigare skede, t.ex. vid ingåendet av avtal i samband med utkontrakteringar och liknande förfaranden. Det kan exempelvis avse frågor om prissättning och reglering av kostnadsansvar. I linje med detta föreslår regeringen i avsnitt 6.4 också att verksamhetsutövare i ett säkerhetsskyddsavtal ska reglera en rätt att revidera avtalet vid ändrade förhållanden. Av viss betydelse är också att inskränkningarna som kan uppstå till följd av ett ingripande är förhållandevis begränsade i den mening att de är inriktade på ett visst specifik förfarande. Sådana situationer är därmed inte jämförbara med de mer permanenta inskränkningar i form av t.ex. inrättande av naturreservat och nationalparker som enligt huvudregeln bör medföra ersättningsrätt. De är vidare, till skillnad från sådana beslut, inte heller av bevarandekaraktär utan syftar till att avvärja risker avseende ett mycket tungt vägande allmänt intresse som är direkt eller indirekt hänförliga till de aktörer som ingripandet riktas mot. Även detta talar för att någon rätt till ersättning inte ska föreligga (se SOU 2013:59 s. 104). Vidare ska, som framgår i avsnitt 7.4, möjligheten att ingripa i efterhand tillämpas restriktivt och endast när övriga förebyggande åtgärder inte har varit tillräckliga. Utgångspunkten är att sådana ingripanden ska fungera som en ”nödbroms” som alltså ska tillgripas som en sista utväg. I samtliga fall ska ingripanden dessutom bara ske när det bedöms proportionerligt. Regeringens förslag om utökade krav på säkerhetsskyddsavtal, särskild säkerhetsskyddsbedömning och lämplighetsprövning, i kombination med verksamhetsutövarens arbete med sin säkerhetsskyddsanalys, syftar till att förfaranden som redan från början framstår som olämpliga ska kunna sållas bort i ett tidigt skede. Regeringen utgår därmed från att det kommer bli mycket ovanligt att reglerna behöver tillämpas och att mer omfattande ingripanden, som leder till att t.ex. ett avtalsförhållande måste avbrytas, kommer att bli oerhört sällsynta.

Vid en sammantagen bedömning anser regeringen, till skillnad från bl.a. Näringslivets regelnämnd, Svenskt Näringsliv, Energiföretagen Sverige och Evry AB, inte att det är befogat att föreslå särskilda regler om rätt till ersättning vid rådighetsinskränkningar till följd av vare sig ingripanden i planerade eller pågående förfaranden. Till skillnad från JO, Kammarrätten

Prop. 2020/21:194

73

Prop. 2020/21:194 i Stockholm och Sveriges advokatsamfund ser regeringen inte behov av att utreda frågorna vidare.

Europakonventionens bestämmelser om egendomsskydd innehåller inte något uttryckligt krav på ersättning vid rådighetsinskränkningar. Hänsyn ska dock, som Uppsala universitet (Juridiska fakulteten) framhåller, tas till om den enskilde tillerkänns ersättning vid avgörandet om ett ingrepp i den enskildes rätt är proportionerligt.

  8 Tillsyn
  8.1 Tillsynens övergripande utformning
   
  Regeringens förslag: Det ska förtydligas att tillsynsmyndighetens
  uppgift är att kontrollera att verksamhetsutövare följer säkerhets-
  skyddslagen och föreskrifter som har meddelats i anslutning till den
  lagen. Tillsyn i detta syfte ska även få utövas hos de aktörer som verk-
  samhetsutövare har ingått säkerhetsskyddsavtal med.
  Regeringens bedömning: Bestämmelser om vilken eller vilka
  myndigheter som ska vara tillsynsmyndighet bör liksom i dag meddelas
  i förordning.
   
  Utredningens förslag överensstämmer delvis med regeringens. Utred-
  ningen föreslår dock inte att syftet med tillsynen hos dem som har ingått
  säkerhetsskyddsavtal med verksamhetsutövare ska förtydligas.
  Remissinstanserna: Flera remissinstanser har synpunkter på om
  regeringen bör utse en eller flera tillsynsmyndigheter, vilka myndigheter
  som därvid ska utses och vilka tillsynsobjekt som ska omfattas av respek-
  tive myndighets tillsynsansvar. Specialfastigheter AB anser inte att
  tillsynsåtgärder bör kunna riktas mot aktörer som verksamhetsutövare har
  ingått säkerhetsskyddsavtal med eftersom säkerhetsskyddslagstiftningen
  inte gäller för sådana aktörer om de inte bedriver någon egen säkerhets-
  känslig verksamhet.
  Skälen för regeringens förslag
  Tillsynsstrukturen
  Ansvaret för tillsyn enligt säkerhetsskyddslagen (2018:585) är i dag upp-
  delat mellan flera myndigheter. I 5 kap. 4 § första stycket säkerhets-
  skyddslagen finns en bestämmelse som upplyser om att den myndighet
  som regeringen bestämmer ska utöva tillsyn över säkerhetsskyddet hos
  myndigheter och andra som lagen gäller för. Den närmare uppdelningen
  av tillsynsansvaret regleras i 7 kap. 1 § säkerhetsskyddsförordningen
  (2018:658). Där framgår att tillsyn över säkerhetsskyddet ska utövas av
  Försvarsmakten när det gäller Fortifikationsverket, Försvarshögskolan och
  de myndigheter som hör till Försvarsdepartementet och av Säkerhets-
  polisen när det gäller övriga myndigheter, förutom Justitiekanslern, samt
  kommuner och regioner. Vidare framgår att tillsynen över säkerhets-
74 skyddet hos enskilda verksamhetsutövare utövas av Affärsverket svenska
   

kraftnät, Transportstyrelsen, Post- och telestyrelsen (PTS) och läns- Prop. 2020/21:194 styrelserna, enligt en närmare angiven uppdelning utifrån olika sektorer.

Utredningen har identifierat ett antal brister i tillsynsverksamheten på säkerhetsskyddsområdet, varav vissa anknyter till utformningen av tillsynsstrukturen. Utredningen konstaterar bl.a. att det inte finns någon myndighet som har en samlad bild över tillsynen, att tillsynen som bedrivs generellt är begränsad och att vissa tillsynsmyndigheter inte bedriver någon tillsyn alls. Det har också framkommit att vissa tillsynsmyndigheter saknar den sak- och tillsynskunskap som behövs. Regeringen anser utifrån detta att det behövs en reformering av tillsynsstrukturen. Det behövs också en bred ambitions- och kunskapshöjning på tillsynsområdet.

Säkerhetspolisen och Försvarsmakten har en särställning inom tillsynen

Inom Säkerhetspolisen och Försvarsmakten finns hög kompetens avseende säkerhetsskydd. Myndigheterna har också en omfattande erfarenhet av tillsyn och rådgivning på området. Regeringen anser därför att tillsynsstrukturen även framöver ska bygga på att det huvudsakliga ansvaret för tillsynen ska vila på dessa myndigheter.

Att tillsynsansvaret i dag är uppdelat mellan flera myndigheter har bl.a. fått till följd att det inte finns någon myndighet med en samlad bild över hur tillsynen bedrivs. Säkerhetspolisen och Försvarsmakten kan enligt 7 kap. 2 § säkerhetsskyddsförordningen kontrollera säkerhetsskyddet hos enskilda verksamhetsutövare som i första hand kontrolleras av de sektorsansvariga myndigheterna. De har dock ingen författningsreglerad skyldighet att upprätthålla en sammantagen bild över tillsynen. Avsaknaden av en sådan bild gör det svårare att systematiskt följa upp, utvärdera och utveckla tillsynen. Den minskar också möjligheterna att prioritera tillsynsinsatser och att avgöra om tillsynsverksamheten som bedrivs är ändamålsenlig och kostnadseffektiv.

Utredningen föreslår mot denna bakgrund att Säkerhetspolisen och Försvarsmakten, utöver att ha ansvar för tillsyn över vissa verksamhetsutövare, ska utses till samordningsmyndigheter med uppdrag att följa upp, utvärdera och utveckla tillsynsarbetet på området. Genom samordningsrollen ska myndigheterna, enligt utredningen, få en bättre överblick över tillsynen som bedrivs, vilket möjliggör för dem att fånga upp om någon tillsynsmyndighet inte bedriver tillräcklig tillsyn. I syfte att bl.a. höja tillsynskompetensen bland tillsynsmyndigheterna, föreslår utredningen vidare att samordningsrollen ska innefatta ett ansvar att verka för erfarenhetsutbyte mellan tillsynsmyndigheterna samt att utveckla metodstöd och förmedla relevant hotinformation till dem. Regeringen anser att samordning mellan tillsynsmyndigheterna i någon form kan vara viktig för att uppnå en effektiv och enhetlig tillsyn. Regeringen kommer i det fortsatta förordningsarbetet att överväga om och i så fall hur samordningen bör regleras. Regeringen har vidare gett Försvarsmakten och Säkerhetspolisen i uppdrag att bl.a. inrätta samarbetsforum för att underlätta samordning och åstadkomma en effektiv och likvärdig tillsyn (Ju/2021/01245).

75

Prop. 2020/21:194

76

Tillsyn ska även i fortsättningen bedrivas sektorsvis

Utredningen föreslår att Säkerhetspolisen och Försvarsmakten alltjämt ska vara tillsynsmyndigheter över de allra mest skyddsvärda verksamheterna och att tillsyn i övrigt ska koncentreras till områden där det typiskt sett bedrivs säkerhetskänslig verksamhet. Utredningen föreslår att tillsyn ska koncentreras till de tillsynsområden där Affärsverket svenska kraftnät, PTS och Transportstyrelsen i dag är ansvariga samt till områdena finansiella företag, kärnteknisk verksamhet, energi- och elförsörjning och försvarsmateriel. Inom dessa områden föreslår utredningen att det ska finnas en särskilt utpekad tillsynsmyndighet som har särskild kompetens på området. Utöver det bedömer utredningen att det liksom i dag behöver finnas myndigheter som har särskilt ansvar för tillsyn över verksamhetsutövare som inte direkt kan anses bedriva verksamhet inom något av de angivna områdena.

Att utöva tillsyn över aktörer som bedriver säkerhetskänslig verksamhet kan många gånger vara en komplex uppgift. Regeringen delar därför utredningens uppfattning att denna verksamhet måste fördelas på flera myndigheter. Närmare bestämmelser om vilka myndigheter som ska vara tillsynsmyndigheter och vilka tillsynsområden som de ska ha ansvar över, bör även framöver anges i förordning. I säkerhetsskyddslagen bör det därför, på liknande sätt som i dag, endast upplysas om att den myndighet som regeringen bestämmer ska vara tillsynsmyndighet.

En ordning med flera tillsynsmyndigheter medför vissa utmaningar för tillsynsmyndigheterna. En svårighet är att det inte alltid är självklart vilken sektor som en verksamhetsutövare ska anses tillhöra. En annan komplicerad situation kan vara att verksamhetsutövaren bedriver verksamhet som faller in under flera tillsynsmyndigheters ansvarsområden. Situationen kan tänkas uppstå inom samtliga tillsynsområden men särskilt inom området försvarsmateriel, som innefattar företag som samverkar med försvarsmyndigheter och samtidigt är aktiva inom ett annat tillsynsområde. Det är därför viktigt att tillsynsmyndigheterna verkar för en samsyn i dessa frågor.

Riksdagen har, som framgår i avsnitt 3, tillkännagett för regeringen att den ställer sig bakom det som utskottet anför om att det bör göras en översyn av tillsynsmyndigheternas ansvar, organisation och resursfördelning (bet. 2017/18:JuU21 punkt 4, rskr. 2017/18:289). Enligt regeringens bedömning tillgodoses tillkännagivandet delvis genom den föreslagna regleringen om tillsyn. Tillkännagivandet är inte slutbehandlat.

Tillsynsmyndighetens uppdrag

Som framgår ovan föreskrivs i 5 kap. 4 § första stycket säkerhetsskyddslagen att den myndighet som regeringen bestämmer ska utöva tillsyn över säkerhetsskyddet hos myndigheter och andra som säkerhetsskyddslagen gäller för. Vilka aktörer som säkerhetsskyddslagen gäller för framgår av 1 kap. 1 § första stycket säkerhetsskyddslagen. Där anges att lagen gäller för verksamhetsutövare, dvs. den som till någon del bedriver verksamhet av betydelse för Sveriges säkerhet eller som omfattas av ett för Sverige förpliktande internationellt åtagande om säkerhetsskydd. I 1 kap. 1 § andra stycket säkerhetsskyddslagen anges att lagen även innehåller bestämmelser som gäller den som avser att överlåta aktier eller andelar i säker-

hetskänslig verksamhet. Sådana aktie- eller andelsägare bedriver dock, till skillnad från verksamhetsutövare, ingen egen säkerhetskänslig verksamhet. Till skillnad från verksamhetsutövares motparter i säkerhetsskyddsavtal hanterar de inte heller verksamhetsutövarens skyddsvärden. Det är verksamhetsutövaren själv, som egen juridisk person, som ansvarar för verksamhetens skyddsvärden. Aktie- och andelsägare bör därför inte omfattas av tillsyn enligt säkerhetsskyddslagen. Detta bör förtydligas i lagtexten. En annan sak är att dessa aktörer inom ramen för ett samråd inför en överlåtelse av säkerhetskänslig verksamhet kan behöva lämna information till samrådsmyndigheten för att denna ska kunna pröva lämpligheten i förfarandet. Detta ligger i samrådets natur och följer direkt av samrådsskyldigheten enligt 2 kap. 9 § säkerhetsskyddslagen.

En traditionellt inriktad tillsyn tar sikte på att tillsynsmyndigheten ska kontrollera att de krav som följer av det relevanta regelverket följs. Så är tillsynsuppgiften definierad i exempelvis lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster. Det är enligt regeringen också detta som är tillsynsuppgiften på säkerhetsskyddsområdet. Regeringen anser att även detta bör förtydligas i lagtexten. I stället för den nuvarande regleringen i 5 kap. 4 § första stycket säkerhetsskyddslagen, bör det därför föreskrivas att tillsynsmyndigheten ska utöva tillsyn över att verksamhetsutövare följer lagen och de föreskrifter som har meddelats i anslutning till den.

Av 5 kap. 4 § andra stycket säkerhetsskyddslagen framgår att den myndighet som regeringen bestämmer även får utöva tillsyn hos leverantörer som har träffat säkerhetsskyddsavtal. Som Specialfastigheter AB framhåller gäller inte säkerhetsskyddslagstiftningens krav för en aktör som har ingått säkerhetsskyddsavtal med en verksamhetsutövare, förutsatt att inte aktören själv bedriver säkerhetskänslig verksamhet. Aktörens säkerhetsskyddsåtaganden vilar i stället på obligationsrättslig grund, dvs. på säkerhetsskyddsavtalet. Syftet med regleringen om tillsyn hos leverantörer är därför inte att kontrollera om leverantören uppfyller kraven i säkerhetsskyddslagstiftningen. Avsikten med tillsynen är i stället att tillsynsmyndigheten ska kunna kontrollera att verksamhetsutövare som har ingått säkerhetsskyddsavtal med en leverantör uppfyller säkerhetsskyddslagens krav på säkerhetsskydd i sin verksamhet, vilken leverantören fått tillgång till.

Det är av stor vikt att tillsynsmyndigheten även fortsättningsvis har möjlighet att bedriva tillsyn mot aktörer som omfattas av ett säkerhetsskyddsavtal. Behovet av tillsyn i detta avseende handlar framför allt om att tillsynsmyndigheten ska ha möjlighet att inhämta information om hur säkerhetsskyddsavtalet har upprätthållits och vilka åtgärder som verksamhetsutövaren har vidtagit för att följa upp och kontrollera hur den säkerhetskänsliga verksamheten har skyddats. Regeringen anser alltså att det även framöver bör finnas en bestämmelse som ger tillsynsmyndigheten möjlighet att bedriva tillsyn hos aktörer som har ingått säkerhetsskyddsavtal. Det bör dock förtydligas vad syftet med tillsynen ska vara. Vidare behöver bestämmelsen anpassas för att omfatta en befogenhet att utöva tillsyn hos alla de aktörer – inte enbart leverantörer – som verksamhetsamhetsutövare enligt regeringens förslag i avsnitt 6.1 kan ingå säkerhetsskyddsavtal med.

Prop. 2020/21:194

77

Prop. 2020/21:194

78

Tillsyn och rådgivning

Tillsynen på säkerhetsskyddsområdet är i dag huvudsakligen av rådgivande och stödjande karaktär. Regeringen har tidigare framhållit att det ligger i tillsynsmyndighetens uppgift att genom bl.a. föreskrifter, rekommendationer och rådgivning bidra till att underlätta verksamhetsutövares arbete med att bedöma om de omfattas av säkerhetsskyddslagen, ta fram enhetliga riktlinjer och vägledningar kring utformning av säkerhetsskyddsanalyser, ge stöd i fråga om personalsäkerhet och i övrigt bistå verksamhetsutövare med råd t.ex. när säkerhetsskyddsavtal ska upprättas (se prop. 2017/18:89 s. 43, 56 och 108).

I denna proposition lämnas förslag som innebär att tillsynsmyndigheterna får nya tillsynsbefogenheter och möjligheter att ingripa mot verksamhetsutövare som inte uppfyller säkerhetsskyddslagens krav, bl.a. genom att besluta om sanktionsavgifter. Förslagen medför att tillsynen ändrar karaktär från i huvudsak rådgivande och stödjande verksamhet till tillsyn i mer traditionell mening.

Utredningen gör bedömningen att en kombinerad roll som rådgivande myndighet och tillsynsmyndighet visserligen kan ha fördelar, exempelvis när det gäller samordningsvinster, men att övervägande skäl talar för att rollerna inte bör förenas. De huvudsakliga skäl som anförs för detta är att det finns en risk för att de dubbla rollerna underminerar syftet med tillsynen som en fristående granskning och att verksamhetens ansvar för dess bedömningar och säkerhetsskyddsåtgärder förskjuts i riktning mot tillsynsmyndigheterna.

Regeringen har viss förståelse för utredningens bedömning. Samtidigt är det stöd som tillsynsmyndigheterna i dagsläget tillhandahåller mycket värdefullt för berörda verksamheter, inte minst för mindre myndigheter och enskilda verksamhetsutövare. Detta har också påtalats av flera remissinstanser. Vissa remissinstanser framhåller att en avveckling eller inskränkning av tillsynsmyndigheternas stödjande funktion riskerar att leda till försämrade förutsättningar för verksamhetsutövare att upprätthålla ett tillräckligt säkerhetsskydd. Det går enligt regeringen inte att bortse från dessa synpunkter.

Sammantaget anser regeringen att det är både nödvändigt och ofrånkomligt att tillsynsmyndigheterna även framöver ger verksamhetsutövare stöd i säkerhetsskyddsarbetet. I linje med vad utredningen framhåller bör sådant stöd som utgångspunkt inte besvara frågor om vad ska göras i ett specifikt fall utan snarare innefatta upplysningar om innebörden av den relevanta regleringen och hur den ska tolkas samt metoder för hur den kan uppfyllas. Sådant stöd är, som regeringen tidigare framhållit, ofta en förutsättning för att verksamheten ska kunna utföra ett korrekt och relevant säkerhetsskyddsarbete (se prop. 2017/18:89 s. 56). Regeringen noterar att detta även ligger i linje med den utveckling på tillsynsområdet som Statskontoret redovisar i en rapport från 2020 gällande den statliga tillsynens utveckling. En slutats som dras i den rapporten är att tillsynen kan bli mer kvalitativ genom att tillsynsmyndigheten prioriterar dialog och muntlig kommunikation (På väg mot en bättre tillsyn? En studie av den statliga tillsynens utveckling, 2020, s. 5 f.). Det finns dock skäl att understryka att

– oavsett den förändring av tillsynen som nu föreslås – ansvaret för

identifiering och bedömning av behovet av säkerhetsskydd ligger kvar hos Prop. 2020/21:194 verksamhetsutövaren.

Som framgår i avsnitt 3 har riksdagen tillkännagett för regeringen att den ställer sig bakom det som utskottet anför om bättre möjligheter till stöd och vägledning till verksamhetsutövare (bet. 2020/21:JuU10 punkt 4, rskr. 2020/21:79). Av tillkännagivandet framgår att riksdagen anser att det är viktigt att säkerställa att det finns goda möjligheter för berörda verksamhetsutövare att få stöd i form av dialog med samrådsmyndigheten och vägledning i form av generella riktlinjer (bet 2020/21:JuU10 s. 14 f.). Tillkännagivandet beslutades i samband med riksdagens behandling av propositionen Åtgärder till skydd för Sveriges säkerhet vid överlåtelser av säkerhetskänslig verksamhet (prop. 2020/21:13), i vilken regeringen föreslog nya regler om bl.a. samråd vid överlåtelse av säkerhetskänslig verksamhet. Som regeringen då anförde innebär ett samrådsförfarande en möjlighet för verksamhetsutövare att föra en dialog med tillsynsmyndigheten om hur en ett visst förfarande ska kunna genomföras (samma prop.

s.20).

Regeringen kommer att beakta behovet av stöd till verksamhetsutövare

i det fortsatta förordningsarbetet. Tillkännagivandet är inte slutbehandlat genom förslagen i denna proposition.

8.2 Anmälningsplikt  
   
Regeringens förslag: Den som bedriver säkerhetskänslig verksamhet  
ska utan dröjsmål anmäla detta till tillsynsmyndigheten. Detsamma ska  
gälla när den säkerhetskänsliga verksamheten har upphört.  
   
Utredningens förslag överensstämmer med regeringens.  
Remissinstanserna: Majoriteten av remissinstanserna har inget att  
erinra mot förslaget och yttrar sig inte särskilt i denna del. Flera av de som  
yttrar sig, bl.a. Affärsverket svenska kraftnät, Skövde kommun och  
Stockholms tingsrätt, tillstyrker förslaget. Svenskt Näringsliv framför att  
en anmälningsplikt vore problematisk, bl.a. eftersom det finns risk att  
företagen inte känner till säkerhetsskyddslagen och att det därtill kan vara  
svårt för dessa att avgöra om de träffas av den. Svensk Näringsliv anser  
därför att staten, som bär ansvaret för Sveriges säkerhet, genom tillsyns-  
myndigheterna bör informera berörda företag om att de bör analysera om  
de träffas av lagstiftningen och samråda med tillsynsmyndigheten om  
resultatet av deras analys. Stockholms tingsrätt ställer sig tveksam till om  
det är proportionerligt att en anmälan om att en säkerhetskänslig verk-  
samhet har upphört ska ske utan dröjsmål. Strålsäkerhetsmyndigheten  
anser inte att anmälningsplikten bör omfatta myndigheter, i vart fall inte  
de myndigheter som Säkerhetspolisen och Försvarsmakten ska ha tillsyn  
över. Energimyndigheten välkomnar anmälningsplikten men ifrågasätter  
om det finns tillräckligt mandat för tillsynsmyndigheten att begära in  
underlag från verksamhetsutövare för att kunna bedöma om plikten  
försummats. Energimyndigheten anser att det bör övervägas att ge tillsyns-  
myndigheten ett sådant mandat i de fall det finns skäl att anta att den verk-  
samhet som bedrivs omfattas av anmälningskravet. Transportstyrelsen  
anför att en anmälningsplikt skapar bättre förutsättningar att bedriva och 79

Prop. 2020/21:194 planera tillsyn men anser att det därutöver även bör införas bestämmelser

  om att Säkerhetspolisen ska tillgängliggöra information i incidentrapporter
  för tillsynsmyndigheterna.
  Skälen för regeringens förslag: Som framgår ovan har utredningen
  identifierat ett antal brister i tillsynsverksamheten på säkerhetsskydds-
  området. En brist som uppmärksammats är att flera tillsynsmyndigheter
  har haft svårt att ange hur många tillsynsobjekt de har ansvar för. Det får
  anses vara en förutsättning för att kunna bedriva ändamålsenlig tillsyn att
  myndigheten har en uppfattning om vilka verksamheter som man har i
  uppdrag att kontrollera. Utan en bild över vilken säkerhetskänslig verk-
  samhet som bedrivs inom respektive tillsynsområde är det knappast möj-
  ligt att planera och bedriva en effektiv tillsyn.
  Det kan enligt utredningen med fog också antas att det finns verksam-
  heter av betydelse för Sveriges säkerhet som överhuvudtaget inte tillämpar
  säkerhetsskyddslagstiftningen. Det är givetvis mycket allvarligt ur ett
  säkerhetsskyddsperspektiv. Den verksamhetsutövare som inte är med-
  veten om att verksamheten omfattas av säkerhetsskyddsregleringen kom-
  mer inte heller att följa den. Detta kan få negativa konsekvenser för
  Sveriges säkerhet.
  Det finns med anledning av det anförda skäl att överväga att införa en
  skyldighet för alla som till någon del bedriver säkerhetskänslig verksamhet
  att anmäla detta till en tillsynsmyndighet. En sådan skyldighet skulle ge
  tillsynsmyndigheten bättre förutsättningar att få en samlad bild över till-
  synsområdet. Det skulle också bli lättare för tillsynsmyndigheterna att
  ringa in vilka tillsynsobjekt som finns och planera och prioritera i tillsyns-
  verksamheten. En anmälningsskyldighet kan vidare motverka att aktörer
  som bedriver säkerhetskänslig verksamhet inte tillämpar säkerhetsskydds-
  lagen. Med en sådan mekanism skapas ett incitament för verksamhets-
  utövare att noga överväga om den verksamhet de bedriver helt eller delvis
  är säkerhetskänslig, vilket kan medföra att de påbörjar det säkerhets-
  skyddsarbete som krävs enligt säkerhetsskyddslagstiftningen.
  Det finns alltså starka skäl för att införa en anmälningsplikt. Det som
  främst talar mot ett införande är att det, som Svenskt Näringsliv påpekar,
  kan vara svårt för en verksamhetsutövare, särskilt en enskild sådan, att ta
  ställning till om den omfattas av säkerhetsskyddslagen. Svenskt Näringsliv
  anser att det vore rimligare med en omvänd ordning där tillsynsmyndig-
  heterna informerar de företag som de antar kan träffas av lagstiftningen
  och i samband med det upplyser företagen om att de ska göra en säkerhets-
  skyddsanalys. Denna fråga aktualiserades även vid arbetet med den nu
  gällande säkerhetsskyddslagen. Regeringen tog då tydligt ställning mot att
  tillsynsmyndigheterna skulle peka ut vilka verksamheter som de anser
  omfattas av säkerhetsskyddslagstiftningen. I motiven framhöll regeringen
  särskilt att ansvaret för identifiering och bedömning av behovet av säker-
  hetsskydd är knutet till verksamhetsutövaren. Regeringen pekade också på
  att det på samma sätt som gäller inom t.ex. kris- och beredskapslag-
  stiftningen måste vara den enskilde verksamhetsutövarens ansvar att hålla
  sig informerad om och bedriva sin verksamhet enligt de lagar och regler
  som gäller på detta område (se prop. 2017/18:89 s. 43). Det finns inte skäl
  att göra någon annan bedömning nu. Det är en annan sak att respektive
  tillsynsmyndighet kan underlätta verksamhetsutövares arbete med
80 bedömningar om hur säkerhetsskyddslagstiftningen ska tillämpas genom

föreskrifter och vägledning. Vidare kan tillsynsmyndigheterna genom en anmälningsplikt få bättre kunskap om aktörer och förhållanden inom sitt ansvarsområde, vilket kan leda till att myndigheterna får större möjlighet att aktivt uppmärksamma aktörer på att dessa kan bedriva verksamhet som omfattas av säkerhetsskyddslagens tillämpningsområde.

Sammantaget anser regeringen, i likhet med utredningen, att skälen för att införa en anmälningsplikt väger tyngre än skälen mot. En verksamhetsutövare bör därför vara skyldig att anmäla sin verksamhet. Det framstår som naturligt att anmälan ska göras till tillsynsmyndigheten. Anmälan bör, med hänsyn till de värden som säkerhetsskyddet avser att skydda, ske utan dröjsmål. Det förtjänar att påpekas att fullgjord anmälningsplikt inte är en förutsättning för att tillsyn ska kunna ske. Även om anmälningskravet inte har uppfyllts kan tillsyn utövas mot en aktör om tillsynsmyndigheten bedömer att den omfattas av säkerhetsskyddslagen.

Nästa fråga är om det även ska införas en skyldighet att anmäla när verksamheten inte längre är säkerhetskänslig. En sådan skyldighet skulle motverka att olika moment inom säkerhetsprövningen, i synnerhet registerkontroller, fortsätter att löpa när det inte är motiverat. Den skulle också bidra till att hålla tillsynsmyndighetens bild över sina tillsynsobjekt uppdaterad vilket i sin tur motverkar att tillsynsmyndigheten lägger resurser på åtgärder som inte längre är nödvändiga. Regeringen anser mot bakgrund av detta att anmälningsplikten också ska gälla det förhållandet att den säkerhetskänsliga verksamheten upphört. De ovan angivna integritets- och resursaspekterna motiverar även ett krav på att skyldigheten att avanmäla ska uppfyllas utan dröjsmål. Regeringen delar därför inte Stockholms tingsrätts synpunkt om att ett sådant krav är oproportionerligt.

Med hänsyn till den variation av myndigheter som kan omfattas av säkerhetsskyddslagen är det enligt regeringens uppfattning inte lämpligt att generellt undanta myndigheter från anmälningsplikten, vilket Strålsäkerhetsmyndigheten föreslår. Att peka ut vissa myndigheter som undantagna skulle kräva ett stort kartläggningsarbete och innefatta gränsdragningsproblem. Att anmäla en säkerhetskänslig verksamhet innebär därtill knappast något större merarbete för de större myndigheter som Strålsäkerhetsmyndigheten särskilt pekar på. Sammantaget finns enligt regeringen inte tillräckliga skäl att undanta myndigheter från anmälningsplikten, varken generellt eller genom utpekande av vissa myndigheter.

Vad gäller Energimyndighetens ifrågasättande av om det finns tillräckligt mandat för tillsynsmyndigheten att begära in underlag från verksamhetsutövare för att kunna bedöma om anmälningsplikten har försummats, konstaterar regeringen att det i avsnitt 8.3 lämnas förslag om bestämmelser om utökade undersökningsbefogenheter som innefattar bl.a. en rätt för tillsynsmyndigheten att inhämta den information som den behöver för tillsynen. Regeringen anser inte att det därutöver behöver införas bestämmelser om en sådan rätt att inhämta underlag som Energimyndigheten efterfrågar.

Enligt säkerhetsskyddsförordningen ska olika former av säkerhetshotande händelser och verksamhet anmälas till Säkerhetspolisen och Försvarsmakten. För att tillsynen ska kunna bedrivas på ett effektivt och konstruktivt sätt är det viktigt att tillsynsmyndigheten har kännedom om vilka brister som kan finnas hos en verksamhetsutövare för att över tid

Prop. 2020/21:194

81

Prop. 2020/21:194 kunna följa upp vilka åtgärder som har vidtagits för att avhjälpa sådana brister. Frågan om i vilken mån incidentrapporter som inkommit till Säkerhetspolisen ska delas med tillsynsmyndigheterna, som Transportstyrelsen tar upp, får övervägas i det fortsatta förordningsarbetet.

Regeringen eller den myndighet som regeringen bestämmer kan meddela närmare föreskrifter om vilken information som en anmälan ska innehålla liksom föreskrifter om de närmare formerna för fullgörandet av anmälningsskyldigheten.

Frågan om anmälningsplikten ska vara sanktionerad behandlas i avsnitt 9.3.1.

8.3Tillsynsmyndighetens undersökningsbefogenheter

Regeringens förslag: Den som står under tillsyn ska på begäran ge tillsynsmyndigheten den information som behövs för tillsynen.

Tillsynsmyndigheten ska ha rätt att i den omfattning det behövs för tillsynen få tillträde till områden, lokaler och andra utrymmen, dock inte bostäder, som används i verksamhet som omfattas av tillsyn.

Tillsynsmyndigheten ska få förelägga den som står under tillsyn att tillhandahålla information och att ge tillträde till lokaler och liknande. Ett sådant föreläggande ska få förenas med vite.

Tillsynsmyndigheten ska även få begära handräckning av Kronofogdemyndigheten för att genomföra tillsynsåtgärder. Vid handräckning gäller bestämmelserna i utsökningsbalken om verkställighet av förpliktelser som inte avser betalningsskyldighet, avhysning eller avlägsnande.

Utredningens förslag överensstämmer med regeringens. Remissinstanserna: Majoriteten av remissinstanserna tillstyrker för-

slaget eller har inget att invända mot det. Försvarets materielverk (FMV) påpekar att det finns svårigheter att bedriva tillsyn hos utländska leverantörer.

Skälen för regeringens förslag

Det finns skäl att införa undersökningsbefogenheter

Säkerhetsskyddslagstiftningen innehåller i dag inga särskilda befogenheter för utövande av tillsyn. En grundläggande förutsättning för tillsynen av säkerhetsskyddet är därför att tillsynsobjekten samarbetar med tillsynsmyndigheterna och rättar sig efter deras anvisningar och rekommendationer.

Regeringen anser att ett effektivt system för tillsyn inte kan bygga på antagandet att det alltid finns samförstånd mellan tillsynsmyndigheten och tillsynsobjektet. Detta gäller inte minst med hänsyn till de skyddsvärden det är fråga samt eftersom antalet verksamheter av betydelse för Sveriges säkerhet har ökat i takt med privatiseringen av offentlig verksamhet och får antas fortsätta öka framöver (se prop. 2017/18:89 s. 125).

82

Regeringen anser, i likhet med utredningen, att det finns skäl för att ge tillsynsmyndigheterna undersökningsbefogenheter för tillsyn enligt säkerhetsskyddslagen. Frågan om vilka närmare befogenheter tillsynsmyndigheten bör ha behandlas nedan. Tillsynsmyndighetens möjlighet att besluta åtgärdsföreläggande och sanktionsavgift vid överträdelse av säkerhetsskyddslagstiftningens bestämmelser behandlas i avsnitt 9.

Som FMV framhåller finns det många gånger begränsade möjligheter att utöva tillsyn över utländska leverantörer och det är inte alltid tillräckligt att en sådan leverantör har godkänts genom en kontroll enligt den andra statens säkerhetsskyddslagstiftning. Det är emellertid alltid verksamhetsutövarens ansvar att bedöma om det är lämpligt att involvera en extern aktör för arbete eller uppdrag som medför krav på säkerhetsskyddsavtal. Möjligheten att kontrollera att en utländsk motpart genomför de åtgärder som följer av säkerhetsskyddsavtalet är en parameter som verksamhetsutövaren måste överväga inför att ett säkerhetsskyddsavtal ingås. Som framgår av avsnitt 7.2 ska en lämplighetsbedömning alltid göras i vissa förfaranden som rör verksamheter med högre skyddsvärden. I situationer där motparten i säkerhetsskyddsavtalet har sitt säte i ett annat land förefaller det lämpligt att tillsynsmyndigheten i första hand inriktar tillsynsåtgärderna mot verksamhetsutövaren, t.ex. genom att undersöka vilka ansträngningar som verksamhetsutövaren gjort för att kontrollera att avtalet efterlevs.

Tillgång till information

För att en tillsynsmyndighet ska kunna kontrollera att verksamhetsutövare uppfyller de krav som följer av säkerhetsskyddslagen och anknytande föreskrifter, behöver den kunna inhämta information från tillsynsobjekten. Det kan t.ex. röra sig om uppgifter eller handlingar som visar att en verksamhetsutövare har genomfört en säkerhetsskyddsanalys, vad den därvid kommit fram till och vilka säkerhetsskyddsåtgärder som den därefter vidtagit. Det bör därför införas en skyldighet för den som står under tillsyn att på begäran från tillsynsmyndigheten lämna den information som behövs för tillsynen.

Uppgiftsskyldigheten bör gälla alla som står under tillsyn. Detta innefattar, utöver verksamhetsutövare, även sådana aktörer som har ingått säkerhetsskyddsavtal med verksamhetsutövare. I linje med det som anförs om tillsyn över sådana utomstående aktörer i avsnitt 8.1, bedömer regeringen det som motiverat att tillsynsmyndigheten ska kunna inhämta information från en sådan aktör för att kontrollera att verksamhetsutövaren uppfyller kraven på säkerhetsskydd, trots att den utomstående aktören inte själv har några övriga skyldigheter enligt säkerhetsskyddslagen.

Tillträdesrätt

Med hänsyn till behovet av en effektiv tillsyn anser regeringen att tillsynsmyndigheten i den utsträckning det behövs för tillsynen bör ha rätt att få tillträde till områden, lokaler och andra utrymmen som används i verksamhet som omfattas av tillsyn.

Rätten till tillträde bör omfatta utrymmen som disponeras av sådana aktörer som omfattas av tillsyn, vilket enligt regeringens förslag kan vara

Prop. 2020/21:194

83

Prop. 2020/21:194 både verksamhetsutövare och motparter i säkerhetsskyddsavtal. Av

84

integritetsskäl bör tillträdesrätten inte gälla bostäder.

Enligt 2 kap. 6 § regeringsformen är var och en skyddad mot husrannsakan och liknande intrång. Någon närmare definition av begreppet husrannsakan ges inte i regeringsformen, men enligt lagmotiven används uttrycket för att beteckna varje av myndighet företagen undersökning av hus, rum eller slutet förvaringsställe oavsett syftet med undersökningen (jfr prop. 1973:90 s. 246 och 1975/76:209 s. 147). Skyddet mot husrannsakan kan enligt 2 kap. 20 och 21 §§ regeringsformen begränsas genom lag, men en sådan begränsning får endast göras för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle och får aldrig gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett den. Ett liknande skydd som det som föreskrivs i 2 kap. 6 § regeringsformen följer av artikel 8 i Europakonventionen. Enligt artikeln har var och en rätt till skydd för sitt privat- och familjeliv, sitt hem och sin korrespondens. In- skränkningar i skyddet kan godtas, under förutsättning att de är lagliga och nödvändiga i ett demokratiskt samhälle för att tillgodose något av de i artikeln uppräknade intressena, däribland den nationella säkerheten. Den nu föreslagna rätten till tillträde gäller för en avgränsad krets, nämligen aktörer som bedriver säkerhetskänslig verksamhet och dessas motparter i säkerhetsskyddsavtal. Förslaget bedöms vara nödvändigt för att tillsynsmyndigheterna ska kunna bedriva ett effektivt arbete med att kontrollera att säkerhetsskyddslagen följs och att därigenom motverka skador på Sveriges säkerhet. Den föreslagna tillträdesrätten bedöms således utgöra en godtagbar inskränkning av enskildas fri- och rättigheter. Det ankommer dock alltid på de rättstillämpande myndigheterna att göra en bedömning av om de vidtagna undersökningsåtgärderna är proportionerliga i det enskilda fallet (jfr även 5 § tredje stycket förvaltningslagen [2017:900]). Det som anförts innebär att kraven i regeringsformen och Europakonventionen är uppfyllda.

Förelägganden och handräckning

I avsnitten ovan föreslår regeringen att tillsynsmyndigheten ska ha rätt att få viss information från tillsynsobjekten och tillträdesrätt till områden, lokaler och andra utrymmen som används i verksamhet som omfattas av tillsyn. Tillsynsmyndigheten bör i linje med de förslagen även kunna meddela de förelägganden som behövs för att förmå tillsynsobjekt som inte samarbetar att tillhandahålla den information och ge det tillträde som behövs för tillsynen.

Ett beslut om föreläggande bör, för att bli tillräckligt verkningsfullt, kunna förenas med vite. Allmänna bestämmelser om viten finns i lagen (1985:206) om viten, kallad viteslagen. Det finns inte anledning att införa bestämmelser som avviker från dem. Bestämmelserna i viteslagen är tillämpliga på såväl offentliga som enskilda aktörer. Regeringen instämmer i utredningens bedömning att det är godtagbart med vite i förhållande till statliga myndigheter och kommuner på området för säkerhetsskydd (se även avsnitt 7.4 ovan).

Om ett tillsynsobjekt ändå vägrar att ge tillsynsmyndigheten information eller tillträde till en lokal kan tvångsåtgärder behöva användas. Det ligger inte inom tillsynsmyndighetens befogenheter att vidta sådana åtgärder. Det

finns inte anledning att anta att det kommer finnas risk för hot eller hand- Prop. 2020/21:194 gripligheter i samband med tillsynen enligt säkerhetsskyddslagen. De

eventuella hinder som kan uppstå får i stället antas vara av fysiskt art. För att tillsynsmyndigheten i en sådan situation ska kunna genomföra sin tillsyn bör myndigheten kunna begära handräckning av Kronofogdemyndigheten. Vid sådan handräckning gäller bestämmelserna i utsökningsbalken om verkställighet av förpliktelser som inte avser betalningsskyldighet, avhysning eller avlägsnande (jfr prop. 2018/19:38 s. 37 f.).

Bestämmelserna ska tas in i säkerhetsskyddslagen

Bestämmelserna om uppgiftsskyldighet och tillsynsmyndighetens övriga befogenheter enligt ovan avser delvis förhållandet mellan enskilda och det allmänna och gäller delvis även skyldigheter för enskilda gentemot det allmänna. De ska därför tas in i säkerhetsskyddslagen.

Som framgår av avsnitt 3 och 7.3 har riksdagen tillkännagett för regeringen att den ställer sig bakom det som utskottet anför om att tillsynsmyndigheternas ansvar och befogenheter ska regleras i säkerhetsskyddslagen (bet. 2017/18:JuU21 punkt 3, rskr. 2017/18:289). Genom de nu redovisade förslagen om tillsynsbefogenheter och de i avsnitt 7.3 och 7.4 behandlade förslagen om samråd m.m. vid utkontrakteringar och liknande förfaranden, anser regeringen att tillkännagivandet är tillgodosett och slutbehandlat.

9 Ingripanden och sanktioner  
I dag finns endast begränsade befogenheter att ingripa mot den som inte  
sköter sitt säkerhetsskydd.  
  Enligt 2 kap. 9 och 11–13 §§ säkerhetsskyddslagen (2018:585) kan  
samrådsmyndigheten besluta om förelägganden och förbud i samband  
med överlåtelse av säkerhetskänslig verksamhet och viss egendom. Dess-  
utom får samrådsmyndigheten, när den beslutat förbud mot att genomföra  
en viss överlåtelse, besluta vitessanktionerade förelägganden för att för-  
hindra skada för Sveriges säkerhet. Enligt förslaget i avsnitt 13 ska det  
vara tillsynsmyndigheten i stället för samrådsmyndigheten som har dessa  
befogenheter. I avsnitt 7 föreslår regeringen dessutom att tillsyns-  
myndigheten i stort ska ha motsvarande befogenheter i samband med vissa  
förfaranden som kräver säkerhetsskyddsavtal. Säkerhetsskyddslag-  
stiftningen i övrigt innehåller dock inte några befogenheter för tillsyns-  
myndigheten att ingripa mot den som åsidosatt sitt säkerhetsskydd. Säker-  
hetsskyddslagstiftningen bygger i stället till allra största del på att verk-  
samhetsutövare samarbetar med tillsynsmyndigheten och följer de råd och  
rekommendationer som tillsynsmyndigheten ger.  
  Avsaknaden av ingripandebefogenheter gör att det finns en risk att  
verksamhetsutövare är mindre benägna att efterleva säkerhetsskydds-  
lagstiftningens krav, särskilt eftersom säkerhetsskyddsåtgärder kan vara  
kostsamma. Det har också framkommit att det finns fall där påpekade  
brister inte har rättats till (se bl.a. SOU 2015:25 s. 476–478). Detta är inte  
en acceptabel ordning när det gäller åtgärder som ska motverka risker för  
Sveriges säkerhet. Regeringen anser därför att det bör införas ytterligare 85

Prop. 2020/21:194 administrativa sanktioner och andra ingripandemöjligheter för att säkerställa säkerhetsskyddslagstiftningens efterlevnad.

Vidare finns det redan i dag straffbestämmelser som träffar vissa överträdelser av säkerhetsskyddslagen. Det bör därför även övervägas om det straffbara området för överträdelser av säkerhetsskyddslagstiftningen bör utvidgas på något sätt.

  9.1 Överträdelser av säkerhetsskyddslagstiftningen
    bör inte vara straffsanktionerade utöver vad
    som redan gäller
   
  Regeringens bedömning: Det bör inte införas nya straffbestämmelser
  för överträdelse av säkerhetsskyddslagstiftningen. Inte heller bör be-
  fintliga straffbestämmelser utvidgas för att i större utsträckning omfatta
  sådana överträdelser.
   
  Utredningens bedömning överensstämmer med regeringens.
  Remissinstanserna: Svea hovrätt, Svenskt Näringsliv och Uppsala
  universitet (juridiska fakulteten) instämmer i bedömningen. Försvars-
  makten anser att grovt oaktsam hantering av säkerhetsskyddsklassificerade
  uppgifter bör bli straffbart om det innebär fara för att uppgifterna kommer
  främmande makt till del, även om det inte är möjligt att avgöra om upp-
  gifterna faktiskt har avslöjats eller uppenbarats för någon obehörig person.
  Skälen för regeringens bedömning: Den som röjer säkerhetsskydds-
  klassificerade uppgifter för någon obehörig på ett sätt som kan medföra
  men för Sveriges säkerhet kan, under vissa förutsättningar, ha gjort sig
  skyldig till obehörig befattning med hemlig uppgift, grov obehörig
  befattning med hemlig uppgift eller vårdslöshet med hemlig uppgift enligt
  19 kap. 7, 8 eller 9 § brottsbalken (BrB). Vidtas gärningen för att gå
  främmande makt tillhanda kan det i stället vara fråga om spioneri eller
  grovt spioneri enligt 19 kap. 5 eller 6 § BrB. Åsidosättanden av åligganden
  enligt säkerhetsskyddslagen kan även utgöra tjänstefel enligt 20 kap. 1 §
  BrB, om det sker vid myndighetsutövning, t.ex. i samband med en säker-
  hetsprövning av personal. Dessutom kan någon som olovligen röjer en
  hemlig (säkerhetsskyddsklassificerad) uppgift i vissa fall göra sig skyldig
  till brott mot tystnadsplikt enligt 20 kap. 3 § BrB. Detta gäller även om
  uppgiften hanterats av en enskild verksamhetsutövare (5 kap. 2 § första
  stycket säkerhetsskyddslagen). Genom nämnda straffbestämmelser kan
  alltså vissa överträdelser av säkerhetsskyddslagstiftningen redan i dag
  utgöra brott.
  Det finns inget absolut hinder mot att – parallellt med ytterligare
  administrativa sanktioner – utvidga befintliga straffbestämmelser eller
  införa nya straffbestämmelser för att förmå verksamhetsutövare att följa
  säkerhetsskyddslagstiftningen. Däremot bör kriminalisering som metod
  för att försöka hindra överträdelser av olika normer i samhället användas
  med försiktighet. En anledning till det är att alltför omfattande kriminal-
  isering riskerar att undergräva straffsystemets brottsavhållande verkan,
  särskilt om rättsväsendet inte kan beivra alla brott på ett effektivt sätt.
86 Vidare framstår det i nuläget inte heller som nödvändigt med nya eller ut-
   

vidgade straffbestämmelser för att förmå verksamhetsutövare att i större Prop. 2020/21:194 utsträckning uppfylla kraven på säkerhetsskydd. Den effekten kan i stället

uppnås genom administrativa sanktioner. Regeringen anser därför – liksom utredningen – att några nya straffbestämmelser inte bör införas. Till skillnad mot vad Försvarsmakten förespråkar bör inte heller befintliga straffbestämmelser utvidgas i nuläget.

9.2Vilka ytterligare administrativa sanktioner och andra möjligheter till ingripande bör införas?

Frågan är vilka ytterligare administrativa sanktioner och andra ingripandemöjligheter som ska införas för att säkerställa säkerhetsskyddslagstiftningens efterlevnad. Exempel på ingripande är återkallelse av tillstånd, förbud mot fortsatt verksamhet, åtgärdsföreläggande som kan förenas med vite och administrativa sanktionsavgifter.

Säkerhetsskyddslagen innehåller inga regler om krav på tillstånd för att verksamhetsutövare ska få bedriva säkerhetskänslig verksamhet. Regler om återkallelse av tillstånd är därför inte aktuellt som ingripande för överträdelse av säkerhetsskyddslagstiftningen. Inte heller förbud mot att bedriva en viss verksamhet är en framkomlig väg, bl.a. eftersom det i många fall är viktigt att en säkerhetskänslig verksamhet fortsätter att bedrivas och att det i vissa fall även finns en skyldighet att bedriva sådan verksamhet. Mot denna bakgrund anser regeringen att de ingripanden som bör övervägas är åtgärdsförelägganden och sanktionsavgifter.

9.2.1 Tillsynsmyndigheten ska kunna besluta om  
  vitessanktionerade åtgärdsförelägganden  
   
Regeringens förslag: Tillsynsmyndigheten ska få förelägga verksam-  
hetsutövare att vidta åtgärder för att fullgöra sina skyldigheter enligt  
säkerhetsskyddslagen och föreskrifter som har meddelats i anslutning  
till den lagen. Ett sådant föreläggande ska få förenas med vite.  
   
Utredningens förslag överensstämmer i huvudsak med regeringens.  
Utredningen föreslår dock att tillsynsmyndigheten även ska få besluta  
åtgärdsförelägganden mot dem som har ingått säkerhetsskyddsavtal med  
en verksamhetsutövare.  
Remissinstanserna: Majoriteten av remissinstanserna har inget att  
erinra mot förslaget eller yttrar sig inte särskilt i denna del. Försvars-  
makten och Transportstyrelsen tillstyrker förslaget. Specialfastigheter AB  
anser inte att tillsynsmyndigheten bör få besluta åtgärdsförelägganden mot  
dem som har ingått säkerhetsskyddsavtal med en verksamhetsutövare.  
Skälen för regeringens förslag: Åtgärdsföreläggande som kan förenas  
med vite är ett handlingsdirigerande påtryckningsmedel som syftar till att  
tvinga fram ett önskat agerande eller att få ett oönskat agerande att  
upphöra. Föreläggandets utformning skapar möjligheter för tillsynsorganet  
att anpassa ingripandet efter vad som är behövligt i varje enskilt fall.  
Vidare kan vitets storlek anpassas efter vad som utgör ett tillräckligt  
påtryckningsmedel mot aktören i fråga. Regeringen har i skrivelsen En 87

Prop. 2020/21:194 tydlig, rättssäker och effektiv tillsyn anfört att en tillsynsmyndighet som utgångspunkt bör ha en möjlighet att besluta om vitessanktionerade åtgärdsförelägganden (skr. 2009/10:79 s. 44). Åtgärdsföreläggande finns också i de flesta tillsynssystem.

Enligt regeringen är åtgärdsföreläggande ett flexibelt och effektivt ingripande som passar väl för överträdelser av säkerhetsskyddslagstiftningen. Tillsynsmyndigheterna bör därför – liksom i de flesta andra tillsynssystem – ha befogenhet att besluta åtgärdsförelägganden som kan förenas med vite. I avsnitt 7.4 har regeringen gjort bedömningen att tillsynsmyndigheten bör kunna besluta vitesförelägganden även mot statliga myndigheter trots att utgångspunkten i svensk rätt är att vitesförelägganden inte bör riktas mot staten. Där framhålls även att det endast undantagsvis torde komma i fråga att tillsynsmyndigheten behöver förena ett föreläggande mot en statlig myndighet med vite. Dessa överväganden gör sig i allt väsentligt gällande även i den här aktuella situationen och regeringen anser därför att också åtgärdsförelägganden mot statliga myndigheter bör kunna förenas med vite.

Utredningen föreslår att åtgärdsförelägganden – förutom mot verksamhetsutövare – även ska få riktas mot dem som har ingått säkerhetsskyddsavtal med en verksamhetsutövare för att fullgöra skyldigheter enligt säkerhetsskyddslagen. Som skäl anger utredningen att det är nödvändigt för att åtgärdsförelägganden ska få avsedd effekt. Aktörer som en verksamhetsutövare ingått säkerhetsskyddsavtal med har dock inga skyldigheter enligt säkerhetsskyddslagen, såvida de inte bedriver säkerhetskänslig verksamhet och följaktligen är verksamhetsutövare. I linje med vad Specialfastigheter AB anför är det därför som utgångspunkt inte proportionerligt att åtgärdsförelägganden ska kunna riktas mot dem för att verksamhetsutövare ska uppfylla sina skyldigheter. Regeringen ser inte heller något större behov av sådana förelägganden. Det bör därför inte införas en möjlighet för tillsynsmyndigheten att förelägga aktörer som en verksamhetsutövare har ingått säkerhetsskyddsavtal med för att fullgöra skyldigheter enligt säkerhetsskyddslagen. Däremot har regeringen i avsnitt 8.3 funnit att tillsynsmyndigheten bör kunna förelägga en sådan aktör att tillhandahålla information och ge tillträde till vissa utrymmen i syfte att undersöka om den verksamhetsutövare som aktören har ingått säkerhetsskyddsavtal med uppfyller sina skyldigheter.

Utöver verksamhetsutövare har även de som avser att överlåta aktier eller andelar i säkerhetskänslig verksamhet skyldigheter enligt säkerhetsskyddslagen. Enligt förslaget i avsnitt 13 ska de samråda med tillsynsmyndigheten inför en sådan överlåtelse. Tillsynsmyndigheten kan besluta förelägganden inom ramen för samrådet. Något behov för tillsynsmyndigheten att kunna besluta ytterligare förelägganden mot aktie- och andelsägare ser regeringen inte.

Mot denna bakgrund bör tillsynsmyndigheten få förelägga verksamhetsutövare att vidta åtgärder för att fullgöra sina skyldigheter enligt säkerhetsskyddslagen och föreskrifter som har meddelats i anslutning till den. Ett sådant föreläggande ska få förenas med vite.

Av 35 § förvaltningslagen (2017:900) följer att tillsynsmyndigheten i vissa fall, såsom när ett väsentligt allmänt intresse kräver det, får bestämma att ett beslut om föreläggande ska gälla omedelbart.

88

9.2.2Tillsynsmyndigheten ska kunna besluta om sanktionsavgift

Regeringens förslag: Tillsynsmyndigheten ska kunna besluta om sanktionsavgift för överträdelser.

Utredningens förslag överensstämmer med regeringens. Remissinstanserna: Flera remissinstanser, såsom Affärsverket svenska

kraftnät, Kammarrätten i Stockholm, Migrationsverket, Myndigheten för samhällsskydd och beredskap, Riksgäldskontoret, Skövde kommun och Stockholms tingsrätt, tillstyrker förslaget. Ett antal remissinstanser, bl.a. Försvarets materielverk (FMV), Gotlands kommun, Gävle kommun, Region Norrbotten, Sveriges kommuner och regioner (SKR) och Västra Götalandsregionen, ifrågasätter om sanktionsavgifter kommer att leda till ett förbättrat säkerhetsskydd och vissa av dem menar att lagstiftningen i stället bör fokusera på tidiga åtgärder. FMV efterlyser också en djupare analys av förslaget när det gäller utländska leverantörer, som är utom räckhåll för tillsynsmyndigheternas jurisdiktion. Svenska bankföreningen anser inte banker ska kunna påföras sanktionsavgift eftersom bankerna redan omfattas av andra regelverk som ger Finansinspektionen befogenhet att besluta fler och kraftigare sanktioner. IKEM Innovations- och kemiindustrierna och SKR anser inte att det är tillräckligt tydligt vilka som omfattas av säkerhetsskyddslagen för att sanktionsavgift ska anses vara en lämplig sanktion för överträdelser av regleringen. Försvarsmakten framhåller att det bör övervägas om sanktionsavgifter ska införas i ett senare skede än övriga förslag. Skövde kommun, Socialstyrelsen och Svenskt Näringsliv framför att ett rättssäkrare alternativ vore att tillsynsmyndigheten får möjlighet att väcka talan i förvaltningsdomstol om utdömande av sanktionsavgift.

Skälen för regeringens förslag

Sanktionsavgift införs som ingripande vid överträdelser

Sanktionsavgift är en snabb och effektiv ekonomisk sanktion som vanligen riktar sig mot en konstaterad överträdelse av en författningsbestämmelse. Sanktionsavgift är till skillnad från vitessanktionerade åtgärdsföreläggande i huvudsak en tillbakaverkande sanktion som är handlingsdirigerande genom att verka avskräckande. Om sanktionsavgiften riskerar att innebära en kostnad eller förlust som är lika stor som eller större än den besparing som görs genom att regelverket inte följs, skapar avgiften incitament att undvika överträdelser. När sanktionsavgift tas ut av en myndighet har den ekonomiska aspekten dock inte lika stor betydelse. Sanktionsavgifter finns inom en rad rättsområden och har olika tillämpningsområde, syfte och utformning. I vissa fall kan avgift tas ut vid sidan av eller i stället för straff och i andra fall är sanktionsavgift ett komplement till andra ingripanden. Det finns också regelverk där sanktionsavgift är den enda sanktionen för en överträdelse.

För att införa sanktionsavgifter som ett komplement till åtgärdsförelägganden talar bl.a. att det skulle ge en möjlighet att i större utsträckning anpassa ingripanden till varje enskilt fall. Som exempel kan det vid upp-

Prop. 2020/21:194

89

Prop. 2020/21:194 repade, uppsåtliga eller av andra skäl särskilt allvarliga överträdelser vara

  lämpligare att ingripa med sanktionsavgift än med åtgärdsföreläggande.
  Regeringen anser också, till skillnad från FMV, Gotlands kommun,
  Gävle kommun, Region Norrbotten, SKR och Västra Götalandsregionen,
  att sanktionsavgifter bör bidra till ett bättre säkerhetsskydd. Som remiss-
  instanserna framför är tidiga åtgärder för att motverka överträdelser också
  mycket viktiga. Även risken för sanktionsavgifter bör dock enligt
  regeringen öka incitamenten för verksamhetsutövare att satsa på före-
  byggande åtgärder och att avsätta tillräckliga resurser för att säkerställa att
  de uppfyller kraven på säkerhetsskydd. Ett system med endast åtgärdsföre-
  lägganden skapar inte samma incitament att agera proaktivt.
  Enligt regeringen kan det dessutom ha betydelse för andra länders för-
  troende för Sverige att det finns en tydlig och effektiv sanktion för den
  som exempelvis har ett otillräckligt skydd för säkerhetsskyddsklassi-
  ficerade uppgifter. Internationella samarbeten vilar nämligen ofta på överens-
  kommelser om säkerhetsskydd där Sverige åtar sig att skydda andra länders
  säkerhetskänsliga information på motsvarande sätt som sin egen.
  Som FMV påpekar omfattas leverantörer, inhemska som utländska, av
  säkerhetsskyddslagen endast om de bedriver egen säkerhetskänslig verk-
  samhet i Sverige. Sanktionsavgift skulle därför, som FMV anför, bl.a. inte
  kunna tas ut av ett utländskt bolag som levererar varor till landet. Att
  sanktionsavgift inte skulle kunna tas ut av sådana aktörer är dock inte skäl
  för att underlåta att införa sanktionsavgifter helt och hållet.
  Regeringen anser inte heller – till skillnad från Svenska bankföreningen
  – att den omständigheten att banker redan omfattas av andra regelverk som
  ger Finansinspektionen möjlighet att besluta sanktionsavgifter till stora
  belopp talar emot att införa sanktionsavgifter för banker som överträder
  säkerhetsskyddslagstiftningen. Regelverken har i huvudsak olika syften.
  Något som kan tala emot att införa sanktionsavgifter är, i linje med vad
  IKEM Innovations- och kemiindustrierna och SKR framför, att det i
  undantagsfall kan vara svårt att avgöra om man bedriver säkerhetskänslig
  verksamhet och följaktligen omfattas av säkerhetsskyddslagstiftningens
  krav. Regeringen anser dock inte att det utgör hinder mot att införa en
  möjlighet att besluta sanktionsavgift, så länge det i enlighet med förslagen
  i avsnitt 9.3 finns utrymme att avstå från att ta ut sanktionsavgift i sådana
  fall.
  Vidare bör beaktas att ett sanktionssystem med både vitessanktionerade
  åtgärdsförelägganden och sanktionsavgifter lämnar ett visst utrymme för
  tillsynsmyndigheten att välja mellan att genomdriva en åtgärd med vite
  eller att påföra sanktionsavgift, vilket kan innebära att systemet inte blir så
  förutsägbart som kan önskas. Regeringen anser dock att angivna fördelar
  med det utrymmet, som att det finns möjlighet att använda en ändamåls-
  enlig och effektiv sanktion i varje enskilt fall, överväger detta. Vidare
  föreslår regeringen i avsnitt 9.3.4 vilka faktorer som särskilt ska beaktas
  vid bedömningen av om en sanktionsavgift ska beslutas, vilket ökar
  förutsebarheten.
  Mot denna bakgrund anser regeringen att sanktionsavgift bör införas
  som ett komplement till möjligheten att meddela vitessanktionerade
  åtgärdsförelägganden. Till skillnad från Försvarsmakten anser regeringen
  inte att det finns anledning att vänta med att införa sanktionsavgifter för
90 att se effekten av andra förslag, såsom att tillsynsmyndigheterna ska få

besluta åtgärdsförelägganden. Det är snarare angeläget att i samband med Prop. 2020/21:194 övriga skärpningar av tillsynssystemet också införa sanktionsavgifter.

Tillsynsmyndigheten bör besluta om sanktionsavgift

Beslut om sanktionsavgift fattas som huvudregel av en tillsynsmyndighet eller av en domstol efter ansökan från tillsynsmyndigheten. Generellt sett anses en tillsynsmyndighet bättre lämpad att besluta om sanktionsavgift när reglerna är relativt enkla att tillämpa, beslutsfattandet är förhållandevis schabloniserat och sanktionsbestämmelserna bygger på strikt ansvar. En domstol brukar anses bättre lämpad att besluta om sanktionsavgift om det är aktuellt att pröva subjektiva eller andra svårbedömda rekvisit.

I enlighet med vad Skövde kommun, Socialstyrelsen och Svenskt Näringsliv framför kan de bedömningar och avvägningar som måste göras vid beslut om sanktionsavgift vara komplicerade, vilket talar för att det bör vara en domstol som beslutar om sanktionsavgift i första instans.

Det är dock tillsynsmyndigheterna som genom sin sakkunskap har eller kan skaffa sig bäst förutsättningar att bedöma om en överträdelse har skett. Tillsynsmyndigheterna har även, genom sitt tillsynsansvar, en god inblick i verksamhetsutövares verksamheter och är väl förtrogna med säkerhetsskyddslagstiftningen. Erfarenheten visar också att det är ovanligt att sanktionsavgiftsbeslut som meddelas av en tillsynsmyndighet överklagas och att de beslut som överklagas sällan ändras (se SOU 2014:83 s. 105). Beslut om sanktionsavgift kommer vidare enligt regeringens förslag i avsnitt 10 kunna överklagas till domstol, vilket tillgodoser rättssäkerhetsaspekterna för den som åläggs sanktionsavgift och gör att det kommer bildas domstolspraxis till vägledning för tillsynsmyndigheternas beslut. Om tillsynsmyndigheten fattar beslut om sanktionsavgift kan det dessutom antas att handläggningen som regel blir snabbare än om domstol ska besluta efter ansökan av tillsynsmyndigheten.

Enligt regeringen överväger fördelarna med att tillsynsmyndigheterna beslutar om sanktionsavgift de eventuella nackdelar som en sådan ordning skulle kunna innebära. Följaktligen anser regeringen, liksom utredningen men till skillnad från Skövde kommun, Socialstyrelsen och Svenskt Näringsliv, att det bör vara tillsynsmyndigheten som beslutar om sanktionsavgift.

91

Prop. 2020/21:194 9.3 Sanktionsavgifter

9.3.1Överträdelser som ska kunna leda till sanktionsavgift

Regeringens förslag: Sanktionsavgift ska kunna tas ut av en verksamhetsutövare som har åsidosatt någon av de centrala skyldigheterna enligt säkerhetsskyddslagstiftningen.

En sanktionsavgift ska även få tas ut av en verksamhetsutövare som har inlett ett förfarande eller genomfört en överlåtelse i strid med ett förbud, eller som har lämnat oriktiga uppgifter i samband med samråd eller tillsyn.

En sanktionsavgift ska dessutom kunna tas ut av en aktie- eller andelsägare som inte har uppfyllt sin samrådsskyldighet inför överlåtelse av aktier eller andelar i säkerhetskänslig verksamhet, har genomfört en sådan överlåtelse i strid med ett förbud, eller har lämnat oriktiga uppgifter i samband med samrådet.

Utredningens förslag överensstämmer i huvudsak med regeringens. Utredningen föreslår dock att sanktionsavgift ska kunna tas ut vid fler överträdelser. Vidare föreslår utredningen att det ska krävas att ett säkerhetsskyddsavtal är ”bristfälligt i väsentlig mån” för att sanktionsavgift ska kunna tas ut för åsidosättande av kravet om vad ett säkerhetsskyddsavtal ska innehålla.

Remissinstanserna: Försvarsmakten, Kammarrätten i Stockholm, Stockholms tingsrätt och Svea hovrätt ifrågasätter behovet av sanktionsavgift vid underlåtelse att anmäla att den säkerhetskänsliga verksamheten har upphört. Svenskt Näringsliv anser att en förutsättning för sanktionsavgift mot ett företag bör vara att företaget har informerats av tillsynsmyndigheten om att det omfattas av säkerhetsskyddslagen, bl.a. eftersom kraven på säkerhetsskydd ligger i statens snarare än företagens intresse. Vissa remissinstanser, såsom Lidingö kommun, Luleå kommun och Myndigheten för samhällsskydd och beredskap (MSB), har synpunkter på hur ofta det bör krävas att en säkerhetsskyddsanalys uppdateras. Flera remissinstanser, bl.a. Försvarsmakten, Svea hovrätt, Post- och telestyrelsen (PTS), Trafikverket och IKEM Innovations- och kemiindustrierna, ifrågasätter om vissa av de krav vars åsidosättande föreslås kunna leda till sanktionsavgift är tillräckligt tydliga, såsom kraven på säkerhetsskyddsåtgärder, säkerhetsskyddsklassificering och säkerhetsskyddsavtal. PTS anser även att det är oklart vad som avses med att lämna oriktiga uppgifter i samband med tillsyn eller samråd. Svea hovrätt anser att det är angeläget att en verksamhetsutövare inte påförs sanktionsavgifter innan tillräckliga preciseringar av aktuellt krav finns på plats, t.ex. genom ett åtgärdsföreläggande, eventuellt i förening med vite. Försäkringskassan efterlyser tydlig vägledning om hur säkerhetsskyddsklassificering ska genomföras. FMV, Försvarets radioanstalt (FRA), Försvarsmakten, Inspektionen för strategiska produkter och Svenskt Näringsliv ifrågasätter om det är lämpligt att tillsynsmyndigheten ska kunna ta ut sanktionsavgifter av andra statliga myndigheter.

92

Skälen för regeringens förslag

Överträdelser av bestämmelser med krav som är centrala för säkerhetsskyddet

Regeringen anser – liksom utredningen – att sanktionsavgift i första hand bör komma i fråga vid åsidosättande av de skyldigheter som är allra viktigast för säkerhetsskyddet. Det innebär att sanktionsavgifter bör reserveras för överträdelser av bestämmelser med krav som har avgörande betydelse för att upprätthålla ett väl anpassat säkerhetsskydd och där ett åsidosättande ytterst kan leda till allvarliga konsekvenser för Sveriges säkerhet. Kraven måste dock även vara tillräckligt tydliga så att det är förutsebart för verksamhetsutövare i vilka fall en sanktionsavgift får tas ut, eftersom sanktionsavgifter har en straffliknande karaktär och kommer kunna uppgå till betydande belopp.

I anslutning till de centrala skyldigheterna i säkerhetsskyddslagen har det meddelats omfattande föreskrifter som preciserar och utvecklar skyldigheterna. Föreskrifterna är i vissa fall meddelade med direkt eller indirekt stöd av säkerhetsskyddslagen och i andra fall med stöd av rätten att meddela verkställighetsföreskrifter. Vidare kommer nya föreskrifter meddelas med anledning av de skyldigheter som regeringen föreslår i denna proposition. I de fall regeringen föreslår att åsidosättande av en skyldighet ska kunna leda till sanktionsavgift bör både överträdelse av lagbestämmelsen i fråga och överträdelse av föreskrifter som har meddelats i anslutning till bestämmelsen kunna leda till sanktionsavgift. Detta bör framgå tydligt av lagtexten.

Kravet på att anmäla säkerhetskänslig verksamhet till tillsynsmyndigheten

Förslaget i avsnitt 8.2 om att en verksamhetsutövare ska anmäla till tillsynsmyndigheten att den bedriver säkerhetskänslig verksamhet har flera funktioner. Bland annat främjar anmälningsplikten att de som bedriver verksamhet noga analyserar om deras verksamhet i någon mån är att anse som säkerhetskänslig och följaktligen omfattas av säkerhetsskyddslagstiftningen. Anmälningsplikten motverkar på så sätt att säkerhetskänsliga verksamheter står utan säkerhetsskydd och är därför mycket viktig för säkerhetsskyddet. Underlåtenhet att anmäla en säkerhetskänslig verksamhet bör därför kunna leda till sanktionsavgift.

Den skyldighet att göra en anmälan när den säkerhetskänsliga verksamheten har upphört som regeringen föreslår i avsnitt 8.2 är däremot inte avgörande för säkerhetsskyddet, utan syftar främst till att ge tillsynsmyndigheten en bättre överblick över sina tillsynsobjekt. Regeringen anser därför

i likhet med Försvarsmakten, Kammarrätten i Stockholm, Stockholms tingsrätt och Svea hovrätt men i motsats till utredningen – inte att det är befogat med sanktionsavgift när en verksamhetsutövare har försummat att göra en sådan anmälan.

Till skillnad från Svenskt Näringsliv anser regeringen inte att en förutsättning för sanktionsavgift, vare sig när det gäller åsidosättande av anmälningsplikten eller andra krav, bör vara att verksamhetsutövaren har informerats av tillsynsmyndigheten om att den omfattas av säkerhetsskyddslagen. Som regeringen anför i avsnitt 8.2 ska det även fortsättningsvis vara den enskilde verksamhetsutövarens ansvar att se till att verk-

Prop. 2020/21:194

93

Prop. 2020/21:194

94

samheten bedrivs enligt säkerhetsskyddslagstiftningen. Det är en annan sak att respektive tillsynsmyndighet kan underlätta arbetet med sådana frågeställningar genom föreskrifter och vägledning.

Kravet på att utse en säkerhetsskyddschef

Skyldigheten att utse en säkerhetsskyddschef med det ansvar och den organisatoriska placering som föreslås i avsnitt 5 är grundläggande för att säkerhetsskyddet ska få den centrala roll i verksamheten som är nödvändig. Åsidosättande av detta krav bör därför kunna leda till sanktionsavgift.

Kravet på att göra och uppdatera en säkerhetsskyddsanalys

En annan central skyldighet är kravet i 2 kap. 1 § första stycket säkerhetsskyddslagen på att utreda behovet av säkerhetsskydd genom en säkerhetsskyddsanalys. Analysen ska enligt 2 kap. 1 § säkerhetsskyddsförordningen (2018:658) hållas uppdaterad.

Säkerhetsskyddsanalysen ligger till grund för verksamhetsutövarens säkerhetsskyddsåtgärder och för den särskilda säkerhetsskyddsbedömning som ska göras inför vissa förfaranden som innebär att andra aktörer kan få tillgång till den säkerhetskänsliga verksamheten. Säkerhetsskyddsanalysens centrala betydelse för att verksamhetsutövare ska ha ett väl anpassat säkerhetsskydd gör att underlåtenhet att göra och uppdatera en sådan bör kunna leda till sanktionsavgift.

Lidingö kommun, Luleå kommun och MSB har synpunkter om hur kravet i 2 kap. 1 § säkerhetsskyddsförordningen på att uppdatera säkerhetsskyddsanalysen bör specificeras för att kunna ligga till grund för sanktionsavgift. Sedan remissvaren skrevs har detta krav dock specificerats på ett tillfredställande sätt genom 2 kap. 10 § Säkerhetspolisens föreskrifter om säkerhetsskydd (PMFS 2019:2) och 2 kap. 2 § Försvarsmaktens föreskrifter om säkerhetsskydd (FFS 2019:2), som båda stadgar att analysen ska uppdateras vid behov och minst en gång vartannat år.

Kravet på att planera och vidta säkerhetsskyddsåtgärder

Det kanske mest centrala kravet är det i 2 kap. 1 § andra stycket säkerhetsskyddslagen om att verksamhetsutövare, med utgångspunkt i säkerhetsskyddsanalysen, ska planera och vidta de säkerhetsskyddsåtgärder som behövs med hänsyn till verksamhetens art och omfattning, förekomst av säkerhetsskyddsklassificerade uppgifter och övriga omständigheter. De tre olika huvudområden inom vilka säkerhetsskyddsåtgärder ska vidtas framgår av 2 kap. 2–4 §§ säkerhetsskyddslagen och omfattar informationssäkerhet, fysisk säkerhet och personalsäkerhet.

Bristande säkerhetsskyddsåtgärder kan leda till mycket allvarliga konsekvenser för Sveriges säkerhet. Det finns därför starka skäl för att tillsynsmyndigheten ska kunna besluta sanktionsavgift mot den verksamhetsutövare som underlåter att planera eller vidta de säkerhetsskyddsåtgärder som behövs.

Flera remissinstanser, bl.a. Försvarsmakten, PTS och Svea hovrätt, ifrågasätter om kravet på att vidta säkerhetsskyddsåtgärder är tillräckligt tydligt. Kravet specificeras i 3 kap. säkerhetsskyddslagen och 3–5 kap. säkerhetsskyddsförordningen. Sedan utredningens betänkande remittera-

des har skyldigheten dessutom preciserats ytterligare genom 3–6 kap. och Prop. 2020/21:194 3–7 kap. i Säkerhetspolisens respektive Försvarsmaktens föreskrifter om säkerhetsskydd. Regeringen anser därför att kravet på säkerhetsskydds-

åtgärder är tillräckligt tydligt för att sanktionsavgift ska kunna åläggas den som underlåtit att vidta de säkerhetsskyddsåtgärder som behövs. Om en tillsynsmyndighet i ett enskilt fall finner att det inte varit tillräckligt tydligt vad en verksamhetsutövare borde ha vidtagit för säkerhetsskyddsåtgärder bör den dock, som Svea hovrätt anför, snarare välja att ingripa med åtgärdsföreläggande, eventuellt i förening med vite.

Kravet på att säkerhetsskyddsklassificera uppgifter

Enligt 2 kap. 5 § säkerhetsskyddslagen ska säkerhetsskyddsklassificerade uppgifter delas in i en av fyra säkerhetsskyddsklasser utifrån den skada som ett röjande av uppgiften kan medföra för Sveriges säkerhet. Av 7 kap. 4 och 5 §§ säkerhetsskyddsförordningen följer att Säkerhetspolisen och Försvarsmakten får meddela föreskrifter om hur säkerhetsskyddsklassificering av uppgifter ska gå till. Säkerhetspolisen och Försvarsmakten har gett ut vägledningar.

Den säkerhetsskyddsklassificering som uppgifter har avgör vilka säkerhetsskyddsåtgärder som ska vidtas för uppgifterna. Underlåtenhet att säkerhetsskyddsklassificera eller en bristfällig klassificering kan vidare innebära att personer som ska anställas eller på annat sätt delta i den säkerhetskänsliga verksamheten inte säkerhetsprövas i den omfattning som krävs enligt 3 kap. säkerhetsskyddslagen. Säkerhetsprövningens omfattning styrs nämligen av vilken säkerhetsklass som är tillämplig för anställningen eller deltagandet, vilket i sin tur styrs av vilken tillgång till säkerhetsskyddsklassificerade uppgifter den som innehar befattningen har och vilken möjlighet personen har att orsaka skada för Sveriges säkerhet. Klassificeringen har dessutom betydelse för om ett säkerhetsskyddsavtal ska ingås och hur det ska utformas. En utebliven eller bristfällig klassificering kan alltså göra att säkerhetsskyddsåtgärder inte vidtas eller att de inte blir välanpassade, vilket kan få stora konsekvenser för Sveriges säkerhet.

Det är inte svårt för tillsynsmyndigheten att kontrollera om säkerhetsskyddsklassificering har skett. Däremot kan det, som Trafikverket anför, ibland vara svårt att bedöma vilken skada för Sveriges säkerhet som ett röjande av en uppgift skulle kunna medföra och följaktligen vilken klass uppgiften ska placeras i. Den bedömningen bör dock verksamhetsutövare, med sin verksamhetskunskap, och tillsynsmyndigheten, med sin verksamhets- och sektorkunskap, i normalfallet ha goda förutsättningar att göra. I likhet med vad Försäkringskassan anför kan det dock finnas behov av tydligare vägledningar i frågan.

Regeringen anser därför, till skillnad från Trafikverket, att åsidosättande av skyldigheten att säkerhetsskyddsklassificera uppgifter bör kunna leda till sanktionsavgift. Tillsynsmyndigheten bör dock inte ingripa med sanktionsavgift när det i ett enskilt fall varit svårt för en verksamhetsutövare att avgöra hur klassificeringen ska göras.

95

Prop. 2020/21:194

96

Kravet på att kontrollera det egna säkerhetsskyddet

Enligt 2 kap. 1 § tredje stycket säkerhetsskyddslagen ska en verksamhetsutövare kontrollera säkerhetsskyddet i den egna verksamheten. Skyldigheten specificeras i Säkerhetspolisens och Försvarsmaktens föreskrifter om säkerhetsskydd. Att verksamhetsutövare regelbundet kontrollerar att de säkerhetsskyddsåtgärder som vidtagits fungerar på det sätt som är avsett och att skyddet i övrigt är lämpligt utformat är naturligtvis viktigt för ett väl anpassat säkerhetsskydd. Underlåtenhet att kontrollera säkerhetsskyddet i den egna verksamheten bör därför kunna leda till sanktionsavgift.

Kravet på att anmäla och rapportera sådant som är av vikt för säkerhetsskyddet

Enligt 2 kap. 1 § tredje stycket säkerhetsskyddslagen ska en verksamhetsutövare anmäla och rapportera sådant som är av vikt för säkerhetsskyddet. Kravet innebär att verksamhetsutövaren ska fullgöra sådan anmälnings- och rapporteringsskyldighet som framgår av föreskrifter (prop. 2017/18:89 s. 137).

Det finns ett flertal anmälnings- och rapporteringsskyldigheter i säkerhetsskyddsförordningen och myndighetsföreskrifter. Bland annat ska en verksamhetsutövare enligt 2 kap. 10 § säkerhetsskyddsförordningen anmäla till Säkerhetspolisen eller Försvarsmakten om en säkerhetsskyddsklassificerad uppgift kan ha röjts, om det inträffat en viss typ av it-incident som har betydelse för säkerhetskänslig verksamhet eller om verksamhetsutövaren har fått kännedom eller misstanke om någon annan för denne allvarlig säkerhetshotande verksamhet. Vidare ska en verksamhetsutövare enligt 2 kap. 5 § säkerhetsskyddsförordningen göra en anmälan till tillsynsmyndigheten när den avser att ingå ett säkerhetsskyddsavtal och enligt 7 § samma kapitel anmäla till Säkerhetspolisen när ett sådant avtal har upphört. Dessutom ska en verksamhetsutövare enligt 5 kap. 22 § säkerhetsskyddsförordningen göra en anmälan till Säkerhetspolisen när en registerkontroll ska avslutas eller anpassas till en lägre säkerhetsklass. Vissa av anmälnings- och rapporteringsskyldigheterna, såsom skyldigheten att anmäla att en säkerhetsskyddsklassificerad uppgift kan ha röjts och att det inträffat en it-incident, kan ha stor betydelse för säkerhetsskyddet. Regeringen anser dock i nuläget – till skillnad från utredningen – inte att underlåtelse att göra sådana anmälningar och rapporteringar bör kunna leda till sanktionsavgift. Det kan dock finnas anledning att återkomma i denna fråga.

Kravet på säkerhetsskyddsavtal

Enligt regeringens förslag i avsnitt 6.1 ska en verksamhetsutövare ingå säkerhetsskyddsavtal inför vissa förfaranden, såsom upphandlingar, utkontrakteringar och samarbeten, som innebär att en annan aktör kan få tillgång till den säkerhetskänsliga verksamheten. Genom ett säkerhetsskyddsavtal kan säkerhetsskyddet upprätthållas under förfarandet. Kriterierna för när ett säkerhetsskyddsavtal ska ingås är enligt regeringen tillräckligt preciserade för att ett åsidosättande av skyldigheten ska kunna leda till sanktionsavgift. Med hänsyn till vikten av att säkerhetsskyddet

upprätthålls under angivna förfaranden bör också en sådan överträdelse Prop. 2020/21:194 kunna leda till sanktionsavgift.

Ett säkerhetsskyddsavtal ska enligt förslaget i avsnitt 6.4 bl.a. innehålla de krav på motparten som behövs för att kraven på säkerhetsskydd ska kunna bli tillgodosedda. Det huvudsakliga syftet med ett säkerhetsskyddsavtal är att reglera de säkerhetsskyddsåtgärder, inom områdena informationssäkerhet, fysisk säkerhet och personalsäkerhet, som motparten behöver vidta under ett visst förfarande. Att säkerhetsskyddsavtal har ett genomtänkt innehåll är minst lika viktigt som att avtalet ingås. Även den verksamhetsutövare som ingår ett bristfälligt avtal bör därför kunna åläggas sanktionsavgift. Kraven på vad ett säkerhetsskyddsavtal ska innehålla behöver dock, i linje med vad PTS anför, preciseras i förordning eller myndighetsföreskrifter.

Utredningen föreslår att sanktionsavgift endast ska få beslutas i de fall där ett säkerhetsskyddsavtal är bristfälligt i väsentlig mån, för att sanktionsavgift inte ska kunna bli aktuellt i de fall när det finns utrymme för olika rimliga bedömningar av hur ett säkerhetsskyddsavtal bör utformas. Regeringen anser dock inte att en sådan begränsning behövs eftersom sådana fall kommer sållas bort genom de faktorer som regeringen i avsnitt 9.3.4 föreslår ska påverka tillsynsmyndighetens bedömning av om sanktionsavgift över huvud taget ska tas ut.

Vidare ska en verksamhetsutövare kontrollera att motparten följer säkerhetsskyddsavtalet. Skyldigheten preciseras i Säkerhetspolisens och Försvarsmaktens föreskrifter om säkerhetsskydd. Bristande eller utebliven kontroll av att motparten följer säkerhetsskyddsavtalet kan i värsta fall få mycket allvarliga konsekvenser för Sveriges säkerhet, eftersom det utan en sådan kontroll är svårt att få reda på och göra något åt att skyldigheterna enligt avtalet inte följs. Vidare kan bristande uppföljning göra att verksamhetsutövaren inte uppmärksammar att säkerhetsskyddsavtalet behöver revideras för att vara ändamålsenligt. Tillsynsmyndigheten bör därför kunna ta ut sanktionsavgift av den verksamhetsutövare som åsidosätter sin skyldighet att kontrollera att motparten följer säkerhetsskyddsavtalet.

Kravet på att samråda och agerande i strid med förbud

Enligt regeringens förslag i avsnitt 7.3 och 13 ska en verksamhetsutövare samråda med tillsynsmyndigheten innan den inleder vissa förfaranden som kräver säkerhetsskyddsavtal och innan den överlåter säkerhetskänslig verksamhet eller viss egendom. Tillsynsmyndigheten kan besluta att verksamhetsutövaren inte får genomföra det planerade förfarandet eller överlåtelsen. Även aktie- och andelsägare har en samrådsskyldighet i samband med överlåtelse av aktier eller andelar i säkerhetskänslig verksamhet och kan meddelas förbud. Åtgärderna har en mycket stor betydelse för att förebygga skador för Sveriges säkerhet. Det bör därför finnas en möjlighet att ta ut sanktionsavgift av den verksamhetsutövare eller aktie- eller andelsägare som har åsidosatt sin samrådsskyldighet. Detsamma gäller för den som har inlett ett förfarande eller genomfört en överlåtelse i strid med ett förbud.

97

Prop. 2020/21:194

98

Att lämna oriktiga uppgifter i samband med tillsyn och samråd

I avsnitt 8.3 föreslår regeringen att den som står under tillsyn på begäran ska tillhandahålla tillsynsmyndigheten den information som behövs för tillsynen och att tillsynsmyndigheten ska få förelägga verksamhetsutövaren att vid vite tillhandahålla sådan information. För en effektiv tillsyn som bidrar till ett bättre säkerhetsskydd är det av stor vikt att den verksamhetsutövare som är föremål för tillsyn lämnar korrekta uppgifter till tillsynsmyndigheten. På samma sätt är det viktigt att de uppgifter som verksamhetsutövare och aktie- och andelsägare lämnar i samband med samråd är riktiga. I syfte att motverka att oriktiga uppgifter lämnas vid tillsyn och samråd bör det vara möjligt att besluta om sanktionsavgift mot verksamhetsutövare och aktie- och andelsägare när så ändå har skett. Regeringen delar inte PTS:s uppfattning om att det är otydligt vad som avses med att lämna oriktiga uppgifter. En annan sak är i vilken mån oriktiga uppgifter har lämnats uppsåtligen eller i vilken mån det varit oaktsamt, vilket enligt förslaget i avsnitt 9.3.4 ska beaktas vid bedömningen av om sanktionsavgift ska tas ut.

Sanktionsavgift ska kunna tas ut av statliga myndigheter

Som flera remissinstanser anför, bl.a. FMV, FRA, Försvarsmakten, Inspektionen för strategiska produkter och Svenskt Näringsliv, kan det ifrågasättas om det är lämpligt att tillsynsmyndigheten ska kunna ta ut sanktionsavgifter av andra statliga myndigheter, eftersom det innebär att staten betalar en avgift till staten.

Sanktionsavgift har dock bedömts vara en lämplig sanktion mot statliga myndigheter för överträdelser av vissa regelverk, såsom miljösanktionsavgift för överträdelser av miljöbalken och upphandlingsskadeavgift för överträdelser av bestämmelser i lagen (2016:1145) om offentlig upphandling. Regeringen har också bedömt att sanktionsavgift är en lämplig sanktion mot myndigheter vid överträdelser av regler om personuppgiftsbehandling i brottsdatalagen (2018:1177) och vid åsidosättande av krav på säkerhetsåtgärder och incidentrapportering i lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster.

På liknande sätt som nämnda regelverk gäller säkerhetsskyddslagstiftningen statliga myndigheter på i stort samma sätt som andra aktörer som träffas av regleringen. Intresset av säkerhetsskydd väger också lika tungt oavsett om den säkerhetskänsliga verksamheten bedrivs av en myndighet eller exempelvis en privat aktör. Flertalet av de mest centrala verksamhetsutövarna och de som bedriver särskilt säkerhetskänslig verksamhet är dessutom myndigheter. Enligt regeringen finns det därför inte anledning att särbehandla statliga myndigheter i detta avseende, även om sanktionsavgift inte kommer vara kännbart ekonomiskt för dem på samma sätt som för andra verksamhetsutövare. Sanktionsavgift bör alltså kunna tas ut av statliga myndigheter.

9.3.2 Sanktionsavgift ska inte alltid tas ut Prop. 2020/21:194

Regeringens förslag: Regleringen av sanktionsavgift ska bygga på strikt ansvar. Det ska inte vara obligatoriskt att ta ut sanktionsavgift för överträdelser som kan leda till sanktionsavgift.

Utredningens förslag överensstämmer delvis med regeringens. Utredningen föreslår dock att det ska vara obligatoriskt att ta ut sanktionsavgift vid överträdelser som kan leda till sanktionsavgift.

Remissinstanserna: Majoriteten av remissinstanserna har inget att invända mot förslaget eller yttrar sig inte särskilt i denna del. Flera remissinstanser, såsom Sveriges advokatsamfund, Telia Company AB, Totalförsvarets forskningsinstitut (FOI), Försvarsmakten och Fortum AB, ifrågasätter eller motsätter sig dock obligatoriska sanktionsavgifter under strikt ansvar med hänsyn till att säkerhetsskyddslagstiftningen delvis är komplex och innefattar krav på svåra bedömningar. Försvarsmakten ifrågasätter också om obligatoriska sanktionsavgifter leder till ett bättre säkerhetsskydd. Vidare anser Försvarsmakten och FOI att det finns en motsättning i att tillsynsmyndigheten enligt utredningens förslag får meddela åtgärdsföreläggande om en verksamhetsutövare inte efterlever något av säkerhetsskyddslagstiftningens krav, och samtidigt kan vara tvungen att ta ut sanktionsavgift för samma brist.

Skälen för regeringens förslag

Sanktionsavgiftssystemet ska bygga på strikt ansvar

Huvudregeln är att sanktionsavgift ska bygga på strikt ansvar, dvs. att avgiften ska tas ut oberoende av om överträdelsen har varit uppsåtlig eller berott på oaktsamhet. Det är framför allt den omständigheten att det inte behöver bevisas att överträdelsen varit avsiktligt eller hur oaktsam den varit som gör att sanktionsavgifter anses vara så effektiva. Det kan också antas att de överträdelser som ska kunna leda till sanktionsavgift i normalfallet beror på uppsåt eller oaktsamhet. Regeringen anser därför inte att det finns anledning att frångå huvudregeln om strikt ansvar. Det ska alltså som utgångspunkt räcka med att en bestämmelse faktiskt har överträtts för att ta ut sanktionsavgift. Däremot ska den omständigheten att en överträdelse varit uppsåtlig eller berott på oaktsamhet enligt regeringens förslag i avsnitt 9.3.4 kunna påverka bedömningen av om sanktionsavgift ska tas ut i det enskilda fallet och avgiftens storlek.

Det behöver inte i lagtext upplysas om att avgiftsskyldigheten bygger på strikt ansvar. I motsats till vad som gäller för straffbestämmelser finns det nämligen inte något formellt krav på uppsåt eller oaktsamhet för att besluta om sanktionsavgift.

Det ska inte vara obligatoriskt att ta ut sanktionsavgift

Strikt ansvar innebär inte att sanktionsavgift också ska tas ut vid varje överträdelse. Bestämmelser om sanktionsavgift är dock oftast obligatoriska, dvs. formulerade så att sanktionsavgift ”ska” tas ut, även om det också finns regleringar där tillsynsmyndigheten får större utrymme att bedöma vilken typ av ingripande som är lämpligt i det enskilda fallet.

99

Prop. 2020/21:194 Enligt lagen om informationssäkerhets för samhällsviktiga och digitala
  tjänster, kallad NIS-lagen, ”ska” sanktionsavgifter tas ut vid överträdelser,
  om det inte finns förutsättningar att efterge avgiften. Skälet för det är enligt
  förarbetena att tillsynsmyndighetens möjligheter till mer skönsmässiga
  bedömningar som utgångspunkt bör vara begränsade med hänsyn till
  behovet av likabehandling, objektivitet och proportionalitet. Vidare ansågs
  behovet av att säkerställa likabehandling vara särskilt starkt när det gäller
  sanktionsavgifter enligt NIS-lagen eftersom utgångspunkten var att flera
  tillsynsmyndigheter skulle tillämpa bestämmelserna (prop. 2017/18:205
  s. 69 och 70).
  Enligt brottsdatalagen ”får” sanktionsavgift tas ut vid vissa över-
  trädelser. Det är alltså upp till tillsynsmyndigheten att bedöma om en över-
  trädelse av en bestämmelse i brottsdatalagen är så allvarlig att sanktions-
  avgift bör beslutas. Skälet för det är enligt förarbetena att reglerna om
  personuppgiftsbehandling är mycket komplexa och att det därför skulle
  ställa alltför höga krav på de personuppgiftsansvariga och lägga en orimlig
  börda på tillsynsmyndigheten om varje överträdelse skulle leda till sank-
  tionsavgift (prop. 2017/18:232 s. 324 f.).
  Det som främst talar för att det bör vara obligatoriskt att ta ut sanktions-
  avgift vid överträdelser av säkerhetsskyddslagstiftningen är behovet av
  likabehandling. Liksom när det gäller NIS-lagen ska flera tillsynsmyndig-
  heter tillämpa sanktionsbestämmelserna. Obligatoriska sanktionsavgifter
  skulle minska utrymmet för skönsmässiga bedömningar och följaktligen
  för att överträdelser behandlas olika av tillsynsmyndigheterna.
  Det som talar mot att det bör vara obligatoriskt att ta ut sanktionsavgift är
  främst, som bl.a. Sveriges advokatsamfund, Telia Company AB, FOI,
  Försvarsmakten och Fortum AB påpekar, att säkerhetsskyddslagstiftningen
  innehåller krav på bedömningar som i vissa fall är komplexa. Exempelvis
  innefattar kraven på säkerhetsskyddsåtgärder en bedömning av vilka
  skyddsvärden som finns i verksamheten, alltså vad som ska skyddas, och
  vad den säkerhetskänsliga verksamheten ska skyddas mot. Ibland kan det
  vara svårbedömt, även om det finns stöd i Säkerhetspolisens och Försvars-
  maktens föreskrifter och vägledningar samt i de hotbilder som myndig-
  heterna tillhandahåller. I undantagsfall kan det också vara svårt att bedöma
  om en aktör bedriver säkerhetskänslig verksamhet, dvs. om aktören är en
  verksamhetsutövare som omfattas av säkerhetsskyddslagens krav. Det vore
  därför orimligt om alla överträdelser skulle leda till att sanktionsavgift tas
  ut.
  Vidare är det, som Försvarsmakten framhåller, osäkert om en reglering
  med obligatoriska sanktionsavgifter leder till ett bättre säkerhetsskydd än en
  reglering som ger tillsynsmyndigheten större utrymme att bedöma vilket
  ingripande som är lämpligt i det enskilda fallet. Både för att bedöma om en
  aktör anses bedriva säkerhetskänslig verksamhet och vilka säkerhetsskydds-
  åtgärder som i så fall behöver vidtas, kan det i vissa fall krävas att aktören
  tar kontakt med tillsynsmyndigheten och informerar om sin verksamhet. En
  reglering med obligatoriska sanktionsavgifter främjar inte det utbytet. Dess-
  utom skulle ett krav på att ta ut sanktionsavgift vid varje överträdelse, som
  Försvarsmakten och FOI påpekar, innebära att tillsynsmyndigheten ska
  besluta om sanktionsavgift för en överträdelse oavsett om verksamhets-
  utövaren i fråga dessförinnan har följt ett åtgärdsföreläggande avseende
100 samma överträdelse. Incitamenten att följa förelägganden borde alltså bli

svagare än om det finns utrymme för att i vissa fall endast ingripa med ett Prop. 2020/21:194 föreläggande. I många mindre allvarliga fall kan det också antas vara lämp-

ligare att föra en dialog med verksamhetsutövaren eller att ingripa med ett åtgärdsföreläggande än att besluta sanktionsavgift.

Mot denna bakgrund anser regeringen – till skillnad från utredningen – att övervägande skäl talar för att det inte bör vara obligatoriskt att ta ut sanktionsavgift för en överträdelse som kan leda till sanktionsavgift. Det bör i stället ligga hos tillsynsmyndigheten att bedöma om en överträdelse ska leda till sanktionsavgift i det enskilda fallet. I avsnitt 9.3.4 föreslår regeringen vilka omständigheter som tillsynsmyndigheten särskilt ska beakta vid bedömningen av om en sanktionsavgift ska tas ut.

9.3.3 Sanktionsavgiftens storlek  
   
Regeringens förslag: Sanktionsavgiften ska bestämmas till lägst  
25 000 kronor och högst 50 miljoner kronor.  
Sanktionsavgiften för en statlig myndighet, kommun eller region ska  
dock inte bestämmas till ett högre belopp än 10 miljoner kronor.  
   
Utredningens förslag överensstämmer inte med regeringens. Utred-  
ningen föreslår att en sanktionsavgift – för alla typer av verksam-  
hetsutövare – ska bestämmas till lägst 5 000 kronor och högst 10 miljoner  
kronor.    
Remissinstanserna: MSB tillstyrker förslaget. Finansinspektionen  
anser att regeringen bör överväga att koppla sanktionsavgiften till om-  
sättning. Transportstyrelsen framhåller att utredningen bör kompletteras  
med en analys av vilka beloppsgränser som är relevanta för att uppnå av-  
sedd effekt. Flera remissinstanser, såsom Affärsverket svenska kraftnät,  
PTS, Finansinspektionen och Specialfastigheter AB, anser att den högsta  
möjliga sanktionsavgiften bör vara högre än 10 miljoner kronor, bl.a. efter-  
som de anser att det beloppet inte kommer vara tillräckligt avskräckande  
för vissa aktörer och att säkerhetsskyddslagstiftningens skyddsintresse  
motiverar ett högre belopp. Skövde kommun framhåller att minimibeloppet  
bör vara högre än 5 000 kr, eftersom det beloppet enligt kommunen varken  
kan antas ha någon avskräckande effekt eller står i paritet med de över-  
trädelser som ska kunna leda till sanktionsavgift.  
Skälen för regeringens förslag  
I sanktionsavgiftsregleringar anges ibland fasta belopp som sanktions-  
avgift ska tas ut med för olika typer av överträdelser. I andra fall är de  
utformade på så sätt att sanktionsavgiften ska fastställas till ett belopp  
inom ett bestämt beloppsintervall eller till en viss procent av årsom-  
sättningen i näringsverksamhet.  
Regeringen anser, till skillnad från Finansinspektionen, inte att det är  
lämpligt att koppla sanktionsavgiftens storlek till omsättning när det gäller  
överträdelser av säkerhetsskyddslagstiftningen, bl.a. eftersom många  
verksamhetsutövare är statliga myndigheter och kommuner. Det är inte  
heller lämpligt att i förväg fastställa belopp för sanktionsavgifterna,  
eftersom ett flertal faktorer som inte går att standardisera måste beaktas  
för att avgöra hur stor sanktionsavgiften ska vara. Ett system med 101

Prop. 2020/21:194 bestämda beloppsintervall är därför att föredra. Vid bestämmandet av vilket beloppsintervall som bör gälla för överträdelser av säkerhetsskyddslagstiftningen finns det skäl att titta på vad som gäller enligt andra regelverk.

102

Beloppsintervall inom andra regelverk

Sanktionsavgifter har införts inom en rad områden, såsom miljö-, arbets- miljö-, upphandlings- och finansområdet. Vidare kan sanktionsavgift beslutas mot den som åsidosatt vissa krav i NIS-lagen och personuppgiftsregleringen.

På miljö- och arbetsmiljöområdet är det lägsta belopp som kan beslutas i sanktionsavgift för en överträdelse 1 000 kronor och det högsta 1 miljon kronor. För upphandlingsskadeavgift enligt lagen om offentlig upphandling är det lägsta beloppet 10 000 kronor och det högsta 10 miljoner kronor. Avgiften får dock aldrig överstiga en viss andel av upphandlingens värde.

Enligt NIS-lagen, som innehåller krav på säkerhetsåtgärder och incidentrapportering för leverantörer av samhällsviktiga och digitala tjänster, är det lägsta belopp som kan beslutas 5 000 kronor och det högsta 10 miljoner kronor. Som skäl för det beloppsintervallet anförs i förarbetena att maximibeloppet måste vara tillräckligt avskräckande för alla typer av aktörer som omfattas av regleringen (prop. 2017/18:205 s. 71).

För överträdelser av personuppgiftsregleringen gäller delvis olika beloppsintervall. Enligt EU:s dataskyddsförordning, som utgör grunden för generell personuppgiftsbehandling inom EU, kan sanktionsavgifter tas ut med 10 miljoner euro för mindre allvarliga överträdelser och 20 miljoner euro för allvarligare överträdelser, alternativt en viss procentsats av den totala globala årsomsättningen. Något minibelopp anges inte. Enligt lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, kallad dataskyddslagen, kan sanktionsavgift även tas ut av statliga och kommunala myndigheter för överträdelse av EU:s dataskyddsförordning. En sanktionsavgift kan enligt dataskyddslagen bestämmas till högst 5 miljoner kronor för mindre allvarliga överträdelser och till högst 10 miljoner kronor för allvarligare överträdelser. Motsvarande beloppsintervall gäller enligt brottsdatalagen, som reglerar personuppgiftsbehandling av vissa myndigheter i vissa syften, såsom att förebygga, förhindra eller upptäcka brottslig verksamhet och att utreda eller lagföra brott. Att maximibeloppet bestämdes till ett lägre belopp i dataskyddslagen och brottsdatalagen än i EU:s dataskyddsförordning motiverades i förarbetena till båda lagarna bl.a. med att det framför allt var myndigheter som skulle omfattas av regleringarna (prop. 2017/18: 105 s. 141 och prop. 2017/18: 232 s. 326).

Några av de högsta sanktionsavgifterna kan beslutas på det finansiella området. Som exempel kan nämnas lagen (2004:297) om bank- och finansieringsrörelse. Enligt den lagen ska sanktionsavgiften för ett kreditinstitut fastställas till högst det högsta av tio procent av kreditinstitutets omsättning eller, i förekommande fall, motsvarande omsättning på koncernnivå närmast föregående räkenskapsår, två gånger den vinst som institutet gjort till följd av regelöverträdelsen, eller ett belopp motsvarande fem miljoner euro. Sanktionsavgiften får dock inte bestämmas till ett lägre

belopp än 5 000 kronor. I förarbetena till lagen anförs att sanktionsavgifterna måste kunna uppnå en nivå som är stor nog att balansera eventuella fördelar som en överträdelse genererat och vara stor nog att avskräcka även större institut från att begå överträdelser (prop. 2013/14:228 s. 235).

Beloppsintervallet för sanktionsavgift ska vara stort och variera mellan olika typer av aktörer

Säkerhetsskyddslagen omfattar olika typer av aktörer, såsom statliga myndigheter, kommuner, regioner och företag. Aktörerna skiljer sig dessutom åt i storlek och ekonomiska förutsättningar. Vad som är en avskräckande avgift för en verksamhetsutövare kan därför vara i det närmaste obetydlig för en annan. De överträdelser som kan leda till sanktionsavgift är också av varierande karaktär och inrymmer allt ifrån mindre allvarliga överträdelser till mycket allvarliga sådana som kan leda till stora skador för Sveriges säkerhet. För att tillsynsmyndigheten ska kunna bestämma sanktionsavgifter som är effektiva, proportionella och avskräckande i alla enskilda fall bör därför beloppsintervallet inom vilket avgift kan bestämmas vara mycket stort. Till skillnad från Transportstyrelsen anser regeringen dock inte att det behövs ytterligare utredning för att avgöra vilka beloppsgränser som ger avsedd effekt.

När det gäller vilket belopp som sanktionsavgift högst ska kunna bestämmas till anser regeringen, liksom bl.a. Affärsverket svenska kraftnät, PTS, Finansinspektionen och Specialfastigheter AB men till skillnad från utredningen, inte att 10 miljoner kronor är tillräckligt högt. Som exempel kan 10 miljoner kronor vara ett alldeles för lågt belopp när det gäller överträdelse av förbud mot överlåtelse av säkerhetskänslig verksamhet. Vidare kan det beloppet vara en affärsmässigt acceptabel kostnad för vissa stora aktörer jämfört med de investeringar som kan krävas för att skapa ett väl avvägt säkerhetsskydd. För att beloppsintervallet ska inrymma avskräckande och proportionerliga sanktionsavgifter för de allvarligaste överträdelserna av de största aktörerna anser regeringen att det, med undantag för statliga myndigheter, kommuner och regioner, är motiverat med ett maximibelopp om 50 miljoner kronor.

När det gäller sanktionsavgifter för statliga myndigheter, kommuner och regioner anser regeringen – i linje med vad som gäller enligt personuppgiftsregleringen – inte att det är motiverat med ett lika högt maximibelopp som för andra. Enligt regeringen krävs normalt sett inte lika höga belopp för statliga myndigheter, kommuner och regioner som exempelvis för stora företag för att påverka agerandet i önskvärd riktning. Till det kommer att ett felaktigt handlande av en myndighet sällan föranleds av en önskan att maximera sin vinst eller att göra en större besparing (jfr prop. 2017/18: 232 s. 326). Mot denna bakgrund anser regeringen att en avgift om 10 miljoner kronor är en effektiv, proportionell och avskräckande sanktion också för allvarliga överträdelser av en statlig myndighet, kommun eller region. Sanktionsavgiften för en sådan aktör bör därför som högst kunna bestämmas till det beloppet.

Beträffande det lägsta belopp som ska kunna bestämmas i sanktionsavgift anser regeringen, liksom Skövde kommun men till skillnad från utredningen, att 5 000 kronor är för lågt. Som Skövde kommun anför står

Prop. 2020/21:194

103

Prop. 2020/21:194 det beloppet inte i paritet med de överträdelser som kan motivera att sanktionsavgift beslutas. Enligt regeringen bör minimibeloppet i stället vara 25 000 kr.

9.3.4När och till vilket belopp ska sanktionsavgift beslutas i det enskilda fallet?

Regeringens förslag: Vid bedömningen av om en sanktionsavgift ska tas ut och när storleken på avgiften ska bestämmas ska särskild hänsyn tas till den skada eller sårbarhet för Sveriges säkerhet som uppstått till följd av överträdelsen, om överträdelsen varit uppsåtlig eller berott på oaktsamhet, vad verksamhetsutövaren eller aktie- eller andelsägaren har gjort för att överträdelsen ska upphöra och för att begränsa dess verkningar och om verksamhetsutövaren eller aktie- eller andelsägaren tidigare har begått en överträdelse. När sanktionsavgiftens storlek bestäms ska särskild hänsyn även tas till den vinst som den avgiftsskyldige har gjort till följd av överträdelsen.

Sanktionsavgiften ska få sättas ned, helt eller delvis, om överträdelsen är ringa eller ursäktlig eller om det annars med hänsyn till omständigheterna skulle vara oskäligt att ta ut avgiften.

Utredningens förslag överensstämmer delvis med regeringens. Utredningen föreslår dock inte några bestämmelser om vilka omständigheter som tillsynsmyndigheten ska ta särskild hänsyn till vid bedömningen av om sanktionsavgift ska tas ut. Vidare föreslår utredningen inte att tillsynsmyndigheten, när storleken på avgiften ska bestämmas, ska ta särskild hänsyn till om överträdelsen varit uppsåtlig eller berott på oaktsamhet och vad den avgiftsskyldige har gjort för att överträdelsen ska upphöra och begränsa dess verkningar. Utredningen föreslår inte heller att den vinst som den avgiftsskyldige gjort till följd av överträdelsen särskilt ska beaktas vid den bedömningen, utan endast de kostnader som undvikits.

Remissinstanserna: Lidingö kommun anser att sanktionsavgiftens storlek endast bör bestämmas med beaktande av den skada eller sårbarhet för Sveriges säkerhet som överträdelsen inneburit. Uppsala universitet (juridiska fakulteten) menar att ett skäl för jämkning kan vara att verksamhetsutövaren har gjort en rimlig missbedömning om hur den bör verkställa ett råd från tillsynsmyndigheten. Transportstyrelsen anser att Säkerhetspolisen och Försvarsmakten bör få i uppdrag att ta fram handböcker eller liknande vägledande dokument för bestämmande av sanktionsavgift. Enligt FRA bör tillsynsmyndigheten beakta om verksamhetsutövaren arbetat aktivt med att komma tillrätta med överträdelserna. Skövde kommun anser att köpeskillingens storlek är relevant att beakta när sanktionsavgiftens storlek bestäms för överträdelse av förbud mot att sälja säkerhetskänslig verksamhet. Svenskt Näringsliv framhåller att den avgiftsskyldiges storlek och likviditet bör påverka sanktionsavgiftens storlek. Lidingö kommun efterfrågar förtydligande av vilka typer av överträdelser som kan generera vilken sanktionsavgift. FMV anser att en sanktionsavgift bör kunna efterges för det fall en sådan riskerar att medföra skada i form av exponering av den säkerhetskänsliga verksamheten.

104

Skälen för regeringens förslag

Omständigheter som ska påverka om och med hur stort belopp sanktionsavgift ska tas ut

Eftersom regeringen, till skillnad från utredningen, föreslår att sanktionsavgift inte alltid ska tas ut vid en överträdelse, bör det regleras vilka omständigheter som ska påverka bedömningen av om någon sanktionsavgift ska tas ut. Vidare finns det behov av reglering om vad som kan påverka avgiftens storlek.

När tillsynsmyndigheten ska bedöma om en sanktionsavgift ska tas ut och när den ska bestämma storleken på avgiften bör hänsyn tas till alla relevanta omständigheter. Det är dock inte möjligt att i säkerhetsskyddslagen ange samtliga relevanta omständigheter som kan behöva beaktas i enskilda fall. Däremot bör det anges vilka omständigheter som är särskilt viktiga att beakta.

Både vid bedömningen av om en avgift överhuvudtaget ska tas ut och vid bestämmandet av avgiftens storlek bör för det första särskild hänsyn tas till den skada eller sårbarhet för Sveriges säkerhet som uppstått till följd av överträdelsen. Det innebär att ju större skadan eller sårbarheten som uppstått är, desto mindre blir utrymmet att avstå från att ta ut avgift eller att bestämma avgiften till ett lågt belopp. I motsats till Lidingö kommun anser regeringen att det även finns andra omständigheter som är särskilt viktiga att beakta.

För det andra anser regeringen – till skillnad från utredningen – att särskild hänsyn bör tas till om överträdelsen varit avsiktlig eller berott på oaktsamhet. Anledningen till det är främst att regelverket i vissa avseenden är komplext. En avsiktlig överträdelse visar dessutom tydligt på nonchalans mot regleringen och de intressen som den avser skydda. Utrymmet att underlåta att ta ut avgift eller att bestämma avgiften till ett lågt belopp vid uppsåtliga överträdelser bör därför vara mycket litet. Tvärtom talar avsiktliga överträdelser starkt för att sanktionsavgift ska tas ut och att den ska bestämmas till ett högt belopp. I många fall kan dock överträdelser tänkas vara resultatet av mer eller mindre oaktsamma förfaranden, t.ex. missförstånd om hur regleringen ska tillämpas. Även graden av oaktsamhet bör därför vägas in. I linje med vad Uppsala universitet (juridiska fakulteten) anför innebär det bl.a. att sanktionsavgift som utgångspunkt inte bör tas ut för en överträdelse som skett till följd av ursäktliga felbedömningar. Bedömningen av om en verksamhetsutövare begått en överträdelse avsiktligen eller i vilken mån den varit oaktsam bör inte bara inbegripa handlande av personer i ledande ställning hos verksamhetsutövaren som lett till överträdelsen, utan även av andra som kan konstateras handla på verksamhetsutövarens vägnar, såsom en arbetstagare eller uppdragstagare.

För det tredje anser regeringen – i likhet med FRA men till skillnad mot utredningen – att särskild hänsyn bör tas till vad verksamhetsutövaren eller aktie- eller andelsägaren har gjort för att överträdelsen ska upphöra och begränsa dess verkningar. Enligt regeringen framstår en överträdelse inte som lika klandervärd om en aktör snabbt har gjort rättelse sedan överträdelsen uppdagats, vidtagit åtgärder för att begränsa överträdelsens skadeverkningar eller aktivt har samarbetat med tillsynsmyndigheten i dessa syften. Däremot framstår en överträdelse som mer klandervärd om aktören

Prop. 2020/21:194

105

Prop. 2020/21:194 i fråga har vidtagit sådana åtgärder först efter påtryckningar från tillsyns-

  myndigheten eller har vägrat samarbeta med tillsynsmyndigheten.
  För det fjärde bör särskilt beaktas om verksamhetsutövaren eller aktie-
  eller andelsägaren tidigare har gjort sig skyldig till en överträdelse, efter-
  som det är särskilt graverande om aktören trots påpekanden vid upprepade
  tillfällen har handlat i strid med regleringen.
  När det gäller bestämmandet av sanktionsavgiftens storlek föreslår
  utredningen att särskild hänsyn dessutom ska tas till de kostnader som den
  avgiftsskyldige undvikit till följd av överträdelsen. Till skillnad mot
  Lidingö kommun anser regeringen att det är en viktig faktor. Det kan dock
  bli orimligt att endast beakta de kostnader som den avgiftsskyldige
  undvikit om denne i samband med överträdelsen även har gått miste om
  intäkter som svarar mot kostnaderna. Som Skövde kommun påpekar kan
  det dessutom vara så att den avgiftsskyldige har erhållit intäkter till följd
  av överträdelsen, vilket i så fall också är relevant att beakta. Regeringen
  anser därför att särskild hänsyn i stället bör tas till den ekonomiska fördel
  som överträdelsen inneburit för den avgiftsskyldige. Liksom i lagen
  (2007:528) om värdepappersmarknaden och lagen om bank- och finan-
  sieringsrörelse kan detta uttryckas så att särskild hänsyn ska tas till den
  ”vinst” som den avgiftsskyldige gjort till följd av överträdelsen. Det
  uttrycket omfattar såväl intäkter minskat med kostnader som förluster som
  undvikits. Att en sådan faktor särskilt ska beaktas främjar att sanktions-
  avgiften blir proportionerlig för varje verksamhetsutövare. Vidare bör det
  motverka att verksamhetsutövare räknar in sanktionsavgiften som en
  godtagbar kostnad jämfört med att genomföra en viss åtgärd.
  Som exempel på andra omständigheter som kan vara relevanta att beakta
  både vid bedömningen av om någon sanktionsavgift ska tas ut och när
  storleken på avgiften ska bestämmas, men som enligt regeringen inte
  behöver anges särskilt i säkerhetsskyddslagen, kan nämnas hur länge som
  överträdelsen pågått. Om aktören i fråga tidigare gjort sig skyldig till över-
  trädelse av säkerhetsskyddslagstiftningen kan det vara aktuellt att beakta
  om överträdelserna är likartade och den tid som har gått mellan de olika
  överträdelserna. Det kan också vara relevant att beakta bestämmelsens
  betydelse för tillsynsområdet. Vid bedömningen av sanktionsavgiftens
  storlek kan dessutom – i linje med vad Svensk Näringsliv anför – den
  avgiftsskyldiges finansiella ställning ha betydelse. Om en tillsynsmyndig-
  het ska ta ut sanktionsavgift för flera överträdelser som en verksamhets-
  utövare har gjort sig skyldig till, måste vidare beaktas att sanktionsavgiften
  ska vara en rimlig reaktion på de överträdelser som är uppe till bedömning.
  Sanktionsavgiften bör i sådana fall därför bestämmas med utgångspunkt i
  de samlade överträdelsernas allvar.
  Lidingö kommun efterfrågar förtydliganden om hur stora belopp i sank-
  tionsavgift som olika överträdelser kan leda till. Som framgår ovan är det
  många faktorer som kan påverka sanktionsavgiftens storlek. Överträdelser
  av samma bestämmelse kan därför leda till helt olika belopp i sanktions-
  avgift. Vilket belopp som en överträdelse motiverar i det enskilda fallet
  kommer därför få avgöras av tillsynsmyndigheten eller, efter över-
  klagande, domstol. Det kan dock sägas att belopp i den övre halvan av
  föreslagna beloppsintervall endast bör komma i fråga för mycket allvarliga
  överträdelser. I linje med vad Transportstyrelsen anför kan det finnas
106 anledning för Säkerhetspolisen och Försvarsmakten att ta fram hand-

böcker eller liknande vägledande dokument för bestämmande av Prop. 2020/21:194 sanktionsavgift.

Jämkning och eftergift

Att avgiftsskyldigheten bygger på strikt ansvar gör att det behöver finnas utrymme för att jämka eller helt sätta ned sanktionsavgiften. Det bör därför införas en bestämmelse som ger tillsynsmyndigheten utrymme att jämka eller helt efterge avgiften om överträdelsen är ringa eller ursäktlig eller om det annars med hänsyn till omständigheterna skulle vara oskäligt att ta ut avgiften. En situation som kan innebära att det framstår som oskäligt att besluta om sanktionsavgift är om en verksamhetsutövare drabbats av sanktionsavgift enligt något annat regelverk för i princip samma brist. Bestämmelser om säkerhetsåtgärder och sanktionsavgifter för den som bryter mot dessa bestämmelser finns t.ex. i lagen med kompletterande bestämmelser till EU:s dataskyddsförordning, i NIS-lagen samt i speciallagstiftning inom de olika sektorerna. Vidare kan en överträdelse som berott på omständigheter utanför den avgiftsskyldiges kontroll i undantagsfall anses ursäktlig och det därför finnas grund för jämkning. Till skillnad från FMV anser regeringen dock inte att den omständigheten att det finns en risk att den säkerhetskänsliga verksamheten blottläggs vid överklagande till domstol bör kunna innebära att det vore oskäligt att ta ut sanktionsavgift. Sådana eventuella risker får i stället hanteras vid domstolens handläggning av ärendet.

Möjligheten att sätta ned eller efterge avgiften bör tillämpas restriktivt och endast när det skulle te sig oskäligt att ta ut avgiften.

9.3.5 Förfarandet vid beslut om sanktionsavgift
 
Regeringens förslag: En sanktionsavgift ska endast få beslutas om den
som anspråket riktas mot har getts tillfälle att yttra sig inom två år från
överträdelsen. Ett beslut om sanktionsavgift ska delges.
Sanktionsavgiften ska betalas till tillsynsmyndigheten inom 30 dagar
från det att beslutet om att ta ut avgiften har fått laga kraft eller inom
den längre tid som anges i beslutet. Om sanktionsavgiften inte betalas
inom denna tid, ska tillsynsmyndigheten lämna den obetalda avgiften för
indrivning. Vid indrivning ska verkställighet få ske enligt utsöknings-
balken. En beslutad sanktionsavgift ska falla bort till den del beslutet om
avgiften inte har verkställts inom fem år från det att beslutet fick laga
kraft. Sanktionsavgifter ska tillfalla staten.
 
Utredningens förslag överensstämmer med regeringens.
Remissinstanserna: Stockholms tingsrätt tillstyrker förslagen. Svenskt
Näringsliv anser att betalningsplikt inom 30 dagar kan vara problematiskt
i vissa fall.  
Skälen för regeringens förslag: Ett beslut om administrativa
sanktionsavgifter är en särskilt ingripande åtgärd. Sådana beslut bör därför
delges den betalningsskyldige enligt delgivningslagen (2010:1932).
På grund av sanktionsavgiftens ingripande natur bör det finnas en bortre
tidsgräns för när en sanktionsavgift får beslutas. Regeringen anser att en  
sanktionsavgift endast bör få beslutas om den som anspråket riktas mot har 107
 

Prop. 2020/21:194 getts tillfälle att yttra sig inom två år från överträdelsen. Det innebär att om kommunikation enligt 25 § förvaltningslagen med den som avgiften ska tas ut av inte har skett inom två år från överträdelsen, får en sanktionsavgift inte tas ut. Bevisbördan för att kommunikation har skett ligger på tillsynsmyndigheten.

108

Vidare bör det finnas en tidsgräns för när sanktionsavgiften senast ska betalas. Svensk Näringsliv anser att utredningens förslag – 30 dagar från det att beslutet fått laga kraft eller den längre tid som anges i beslutet – är problematisk, speciellt för mindre företag som kanske saknar likviditet. För att regleringen om sanktionsavgifter ska bli tillräckligt handlingsdirigerande och effektiv anser regeringen dock att betalning bör ske inom den tid som utredningen föreslår. Om avgiften inte betalas inom denna tid bör tillsynsmyndigheten vara skyldig att lämna den obetalda avgiften för indrivning. Bestämmelser om indrivning finns i lagen (1993:891) om indrivning av statliga fordringar m.m.

Vidare bör den avgift som tillsynsmyndigheten beslutat kunna drivas in utan att det krävs något domstolsavgörande. Av 3 kap. 1 § första stycket 6 utsökningsbalken följer att en förvaltningsmyndighets beslut får verkställas om det finns en särskild föreskrift om detta. Det bör alltså införas en bestämmelse i säkerhetsskyddslagen om att en sanktionsavgift som inte betalats inom angiven tid får verkställas enligt utsökningsbalken.

I allmänhet gäller för den här typen av avgifter att de preskriberas i den utsträckning verkställighet inte har skett inom fem år. Regeringen bedömer att det saknas anledning att införa någon annan preskriptionstid än den som i allmänhet används. En beslutad sanktionsavgift bör därför falla bort om avgiften inte har verkställts inom fem år från det att beslutet fått laga kraft.

Sanktionsavgifter bör som brukligt tillfalla staten.

9.3.6Hinder mot sanktionsavgift

Regeringens förslag: Tillsynsmyndigheten ska inte få besluta om sanktionsavgift om överträdelsen omfattas av ett föreläggande om vite och överträdelsen ligger till grund för en ansökan om utdömande av vitet.

Utredningens förslag överensstämmer med regeringens. Remissinstanserna tillstyrker eller har inga invändningar mot förslaget. Skälen för regeringens förslag: Av Europakonventionen och Europe-

iska unionens stadga om de grundläggande rättigheterna framgår det att ingen får bli lagförd eller straffad två gånger för samma brott (gärning), det s.k. dubbelbestraffningsförbudet. Som regeringen har konstaterat i flera lagstiftningsärenden får begreppet straff i den mening som avses i Europakonventionen anses omfatta vite (se prop. 2007/08:107 s. 24 och prop. 2012/13:143 s. 69). Om ett vite har dömts ut bör det därför inte vara möjligt att besluta om en sanktion – administrativ eller straffrättslig – för samma sak. Den avgörande tidpunkten för när sådant hinder uppkommer bör anses vara när det inleds en domstolsprocess angående frågan om utdömande av vite (jfr prop. 2016/17:22 s. 228). Ett föreläggande om vite bör därför inte hindra ett senare ingripande med sanktionsavgift så länge som tillsynsmyndigheten inte har ansökt om utdömande av vitet. När

tillsynsmyndigheten har ansökt om utdömande av vitet bör tillsyns- Prop. 2020/21:194 myndigheten dock vara förhindrad att besluta om sanktionsavgift för en

överträdelse som omfattas av vitesföreläggandet. En bestämmelse om detta bör tas in i säkerhetsskyddslagen.

10Överklagande

Regeringens förslag: Tillsynsmyndighetens beslut om föreläggande under samråd eller vid tillsyn samt om sanktionsavgift ska få överklagas till Förvaltningsrätten i Stockholm. När ett sådant beslut överklagas ska tillsynsmyndigheten vara motpart i domstolen. Det ska krävas prövningstillstånd vid överklagande till kammarrätten.

Tillsynsmyndighetens beslut om förbud ska få överklagas till regeringen. Detsamma ska gälla beslut om förelägganden som avser en genomförd och ogiltig överlåtelse eller ett pågående förfarande som är olämpligt från säkerhetsskyddssynpunkt.

Andra beslut enligt säkerhetsskyddslagen ska inte få överklagas.

Utredningens förslag överensstämmer med regeringens. Remissinstanserna: Majoriteten av remissinstanserna har inte några in-

vändningar mot förslaget. Inspektionen för strategiska produkter (ISP) anser att överklagande bör ske till regeringen när en statlig förvaltningsmyndighet som lyder under regeringen överklagar ett beslut om sanktionsavgift. Försvarets radioanstalt (FRA) instämmer i utredningens bedömning om att beslut om förbud bör prövas av regeringen, men konstaterar att även sanktionsbeslut och åtgärdsförelägganden kan innehålla aspekter av utrikes-, försvars- och säkerhetspolitisk natur. FRA och Försvarsunderrättelsedomstolen anser att Försvarsunderrättelsedomstolen skulle kunna handlägga överklaganden om åtgärdsförelägganden. Försvarsmakten anser att mål om överklagande av myndigheternas beslut ska avgöras av sådana avdelningar vid Förvaltningsrätten i Stockholm som från säkerhetsskyddssynpunkt har behörighet att hantera sådana måltyper. Förvaltningsrätten i Stockholm konstaterar att Säkerhetspolisen utövar tillsyn över domstolar och därigenom har befogenhet att rikta samma typ av beslut mot förvaltningsrätten som domstolen har till uppgift att överpröva och anser att lämpligheten av den ordningen kan ifrågasättas. Kammarrätten i Stockholm anser att ordningen med beslut som får överklagas till domstol respektive till regeringen bör utredas vidare, bl.a. när det gäller risken för parallella processer om samma sak.

Skälen för regeringens förslag

Beslut om sanktionsavgift, förelägganden och förbud ska kunna överklagas

Artikel 6 i Europakonventionen ställer krav på att enskilda ska ha rätt till en rättvis domstolsprövning vid prövning av hans eller hennes civila rättigheter och skyldigheter. Beslut om sanktionsavgift, förelägganden och för-

bud för en verksamhetsutövare att genomföra en överlåtelse eller ett annat

109

Prop. 2020/21:194 förfarande påverkar i allmänhet dennes civila rättigheter och skyldigheter. Det innebär att det bör finnas en möjlighet att överklaga sådana beslut till domstol. Även myndigheter och andra offentliga aktörer som tillsynsmyndighetens beslut gått emot bör ha rätt att överklaga.

Sanktionsavgifter och förelägganden ska få överklagas till Förvaltningsrätten i Stockholm

Eftersom beslut om sanktionsavgift och förelägganden vid samråd och tillsyn är förvaltningsbeslut är det en naturlig utgångspunkt att besluten överklagas till allmän förvaltningsdomstol. Dessutom bör sådana beslut normalt sett inte aktualisera den sorts utrikes-, försvars- och säkerhetspolitiska överväganden som bör hanteras av regeringen. Det kan dock vara fråga om mycket känsliga uppgifter ur ett säkerhetsperspektiv. Försvarsunderrättelsedomstolen och FRA anser att Försvarsunderrättelsedomstolen skulle kunna handlägga överklaganden om åtgärdsförelägganden. Försvarsunderrättelsedomstolen har särskild kunskap och erfarenhet i fråga om underrättelseverksamhet, sekretess och säkerhetsskydd. Detta skulle dock kräva att en helt ny reglering utformas särskilt för denna typ av process, vilket inte är möjligt inom ramen för detta lagstiftningsärende. Enligt regeringens mening bör besluten överklagas till allmän förvaltningsdomstol. På så sätt kan prövningen ansluta till en befintlig processordning. Som ISP påtalar kan det förekomma att en statlig förvaltningsmyndighet överklagar en tillsynsmyndighets beslut. Detta är enligt regeringen inte något hinder mot att besluten överklagas till förvaltningsdomstol. Motsvarande regelverk finns t.ex. i lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster. Sådana överklaganden kan dessutom antas bli mycket sällsynta.

Som utredningen påtalar är målen enligt de föreslagna bestämmelserna av ett så särpräglat slag att det kan bli svårt att skapa och upprätthålla tillräcklig kompetens hos alla förvaltningsrätter. Detta gäller särskilt eftersom antalet mål kan förväntas bli få. Dessutom bör den typen av känsliga uppgifter som kan förekomma i ärendena hållas inom en så begränsad krets som möjligt. Det finns därför enligt utredningens uppfattning skäl att koncentrera mål enligt de föreslagna bestämmelserna till en domstol. Utredningen föreslår att överklagande ska få ske till Förvaltningsrätten i Stockholm. Denna domstol kan därmed upparbeta den särskilda kompetens på området som krävs, organisera arbetet med dessa mål på ett lämpligt sätt och vidta de säkerhetsskyddsåtgärder som kan behövas. Detsamma gäller i fråga om Kammarrätten i Stockholm, som i förekommande fall överprövar förvaltningsrättens avgöranden. Försvarsmakten framför att målen bör avgöras av sådana avdelningar vid Förvaltningsrätten i Stockholm som ur säkerhetsskyddssynpunkt kan hantera sådana mål på ett korrekt sätt. Regeringen instämmer i utredningens bedömning och konstaterar att den organisatoriska frågan avgörs av domstolen.

Om en enskild överklagar en myndighets beslut följer det av 7 a § förvaltningsprocesslagen (1971:291) att myndigheten är den enskildes motpart i domstol. Detsamma bör gälla om beslut överklagas av en myndighet. Det bör därför anges i bestämmelsen att tillsynsmyndigheten är motpart i domstolen när ett beslut överklagas. Vidare bör det anges att prövnings-

tillstånd krävs vid överklagande till kammarrätten.

110

Förvaltningsrätten i Stockholm påtalar att Säkerhetspolisen har befogenhet att rikta samma typ av beslut mot förvaltningsrätten som domstolen har till uppgift att överpröva, vilket skulle kunna bli problematiskt. Enligt regeringens uppfattning är det dock närmast uteslutet att denna problematik i praktiken kommer att uppkomma för en enskild förvaltningsdomstol. Det bör till exempel inte kunna bli aktuellt med en situation där en enskild förvaltningsdomstol inleder ett förfarande för sådana typer av överlåtelser eller upplåtelser av säkerhetskänslig verksamhet och viss egendom som omfattas av de föreslagna bestämmelserna.

Beslut om förbud och vissa beslut om förelägganden ska få överklagas till regeringen

När det gäller överklagande av tillsynsmyndighetens beslut om förbud mot överlåtelser och andra förfaranden gör sig vissa andra argument gällande än när det rör sig om ett överklagande av ett föreläggande under samrådet. Liksom i ärenden enligt lagen (1991:572) om särskild utlänningskontroll kan det antas att ärenden om förbud kan kräva känsliga utrikespolitiska bedömningar och innehålla känslig information, som till exempel utländsk underrättelseinformation (jfr prop. 2009/10:31 s. 237 f.). Sådana ärenden kan antas ha stor betydelse för Sveriges säkerhet. Dessutom kan en prövning av ett beslut om ett förbud ofta aktualisera den sorts utrikes-, försvars- och säkerhetspolitiska överväganden som bör hanteras av regeringen. Mot bakgrund av regeringens övergripande ansvar för Sveriges säkerhet talar därför starka skäl för att sådana beslut ska överklagas till regeringen. Till saken hör också att det sannolikt kommer att vara relativt få ärenden där det blir aktuellt med ett beslut om förbud mot en överlåtelse eller ett annat förfarande. Som utredningen framför bör samrådet i de allra flesta fall vara tillräckligt för att verksamhetsutövare självmant ska avstå från förfaranden som tillsynsmyndigheten anser vara olämpliga från säkerhetsskyddssynpunkt.

Kammarrätten i Stockholm anser att ordningen med två instanser för överklagande bör utredas vidare, bl.a. när det gäller risken för parallella processer om samma sak. Regeringen instämmer i det problematiska om en sådan situation skulle uppstå men bedömer samtidigt att frågan om ett föreläggande under samråd ofta bör ha förfallit när ett slutligt beslut om att ett visst förfarande inte får genomföras väl har fattats. Om parallella processer skulle uppkomma kan detta vidare hanteras genom sedvanliga handläggningsåtgärder, exempelvis genom ett beslut om vilandeförklaring. Det skulle inte heller vara en lämplig ordning att låta alla beslut enligt de föreslagna bestämmelserna överklagas till antingen regeringen eller en allmän förvaltningsdomstol.

Regeringen anser sammantaget att beslut om förbud bör få överklagas till regeringen. Det gäller oavsett om förbudet beslutas avseende ett planerat förfarande eller efter att en överlåtelse redan har genomförts. Även förelägganden som avser en genomförd och ogiltig överlåtelse eller ett pågående förfarande som är olämpligt från säkerhetsskyddssynpunkt bör överklagas till regeringen. Regeringens beslut kan bli föremål för rättsprövning enligt lagen (2006:304) om rättsprövning av vissa regeringsbeslut, om beslutet innefattar en prövning av enskildas civila rättigheter och skyldigheter enligt artikel 6 i Europakonventionen. Därigenom kan de

Prop. 2020/21:194

111

Prop. 2020/21:194 krav på domstolsprövning som följer av artikel 6 i konventionen tillgodoses.

Övriga beslut enligt säkerhetsskyddslagen ska inte få överklagas

Enligt regeringen bör andra beslut som fattas med stöd av säkerhetsskyddslagen (2018:585) inte få överklagas. Det gäller till exempel beslut om säkerhetsprövning, om att placera en anställning i säkerhetsklass och Säkerhets- och integritetsskyddsnämndens beslut om huruvida uppgifter som kommit fram vid en registerkontroll och särskild personutredning ska lämnas ut för säkerhetsprövning. Detta överensstämmer med vad som sedan länge gäller på säkerhetsskyddsområdet (prop. 1995/96:129 s. 64 f.). I sammanhanget bör det dock noteras att de sedvanliga möjligheterna enligt annan lagstiftning att få ett beslut om uppsägning eller omplacering prövat av domstol kan gälla även om beslutet baseras på information som framkommit vid en säkerhetsprövning (jfr. AD 39/2019).

  11 Offentlighet och sekretess
   
  Regeringens bedömning: Förslagen medför inga behov av ändringar i
  offentlighets- och sekretesslagen.
  Det behövs inte några inskränkningar av reglerna i förvaltningslagen
  och förvaltningsprocesslagen om partsinsyn och kommunikation.
   
  Utredningens förslag överensstämmer med regeringens.
  Remissinstanserna: Majoriteten av remissinstanserna gör samma
  bedömning som utredningen eller har inte något att invända mot bedöm-
  ningen. Ett fåtal remissinstanser har synpunkter som avser frågor om
  sekretess i förhållande till förslagen om tillsyn. Totalförsvarets forsknings-
  institut (FOI) framhåller att det inom försvars- och säkerhetsskydds-
  området finns särskilt skyddsvärd verksamhet med höga sekretesskrav och
  att en reglering om undersökningsbefogenheter för tillsynsmyndigheten
  måste utformas så att dessa verksamheter inte lider skada. FOI menar
  därför att undersökningsbefogenheterna måste begränsas och inte vara lika
  långtgående som utredningen föreslår. Inspektionen för strategiska
  produkter (ISP) anser att det kan finnas behov av en särskild sekretess-
  reglering på förordningsnivå till skydd för enskilda intressen när det gäller
  tillsyn av enskilda verksamhetsutövare. Finansinspektionen framhåller att
  tillsynsmyndigheternas möjlighet att lämna sekretessbelagda uppgifter till
  samordningsmyndigheten, t.ex. rörande ett enskilt tillsynsobjekt, bör
  belysas ytterligare.
  Skälen för regeringens bedömning
  Sekretesskyddet hos tillsynsmyndigheten
  I ärenden om samråd kan det förekomma uppgifter som är mycket känsliga
  och som omfattas av sekretess hos verksamhetsutövaren. Samma sak
  gäller, som FOI påpekar, hos tillsynsobjekten i tillsynsärenden. Aktuella
112 sekretessgrunder kan antas vara primärt utrikessekretess, sekretess i det

internationella samarbetet och försvarssekretess enligt 15 kap. 1, 1 a och 2

§§offentlighets- och sekretesslagen (2009:400), OSL. I vissa fall kan även underrättelsesekretess enligt 18 kap. 2 § OSL aktualiseras. Sekretess enligt de nu nämnda paragraferna gäller oavsett hos vilken myndighet uppgifterna finns. Om tillsynsmyndigheten genom samrådet respektive tillsynen får tillgång till uppgifter som är sekretessbelagda enligt dessa bestämmelser, kommer uppgifterna därför att ha samma sekretesskydd hos tillsynsmyndigheten som de haft hos verksamhetsutövaren respektive tillsynsobjektet. Vidare kan, när det gäller tillsyn, eventuell sekretess enligt andra bestämmelser överföras från tillsynsobjektet till tillsynsmyndigheten enligt 11 kap. 1 § OSL. Regeringen anser därför, till skillnad från FOI, inte att förekomsten av sådana känsliga uppgifter som myndigheten pekar på ger anledning ett begränsa tillsynsbefogenheterna. Det finns enligt regeringens bedömning inte heller skäl att utöka det befintliga sekretesskyddet för allmänna intressen genom ändringar i OSL. När det gäller sekretess med hänsyn till enskildas intressen för uppgifter som lämnas till tillsynsmyndigheterna inom ramen för samråd och tillsyn, skulle ett kompletterande skydd, som ISP anför, kunna åstadkommas genom ändringar i offentlighets- och sekretessförordningen (2009:641).

Utlämnande av uppgifter i samband med samråd och tillsyn

En annan fråga är i vilken mån en verksamhetsutövare eller ett tillsynsobjekt som omfattas av OSL över huvud taget kan överlämna uppgifter som omfattas av sekretess till tillsynsmyndigheten i ett ärende om samråd eller tillsyn. Sekretess gäller nämligen även mellan myndigheter, vilket innebär att uppgifter som omfattas av sekretess hos en verksamhetsutövare eller ett tillsynsobjekt inte kan överlämnas till tillsynsmyndigheten med mindre än att det tillåts med stöd av en sekretessbrytande bestämmelse. När det gäller tillsynsärenden kan uppgifter som begärs från tillsynsmyndigheten och som omfattas av sekretess hos tillsynsobjektet lämnas över med stöd av 10 kap. 17 § OSL, som bl.a. föreskriver att sekretess inte hindrar att en uppgift lämnas till en myndighet om uppgiften behövs där för tillsyn över den myndighet där uppgiften förekommer. I ärenden om samråd finns ingen lika uppenbart tillämplig sekretessbrytande bestämmelse. Av 10 kap. 2 § OSL följer dock att sekretess inte hindrar att en uppgift lämnas till en enskild eller till en annan myndighet, om det är nödvändigt för att den utlämnande myndigheten ska kunna fullgöra sin verksamhet. Eftersom myndigheten i de aktuella fallen har en skyldighet att samråda med tillsynsmyndigheten bör ett överlämnande av sekretessbelagda uppgifter inom ramen för samrådet regelmässigt kunna ske med stöd av 10 kap. 2 § OSL. Ett överlämnande bör i många fall också kunna ske enligt 10 kap. 27 § OSL, den s.k. generalklausulen, som medger utlämnande om det är uppenbart att intresset av att uppgiften lämnas har företräde framför det intresse som uppgiften ska skydda. Det finns därmed stöd för de verksamhetsutövare respektive tillsynsobjekt som omfattas av OSL att lämna över de sekretessbelagda uppgifter som krävs för samrådet respektive tillsynen till tillsynsmyndigheten.

När det gäller frågan i vilken utsträckning tillsynsmyndigheten kan lämna sekretessbelagda uppgifter till samordningsmyndigheten, som Finansinspektionen tar upp, kan konstateras att regeringen inte lämnar

Prop. 2020/21:194

113

Prop. 2020/21:194 några förslag om samordning i denna proposition. Med utgångspunkt i de förslag som utredningen har lämnat rörande samordningsmyndigheternas roll (se avsnitt 8.1) bedömer regeringen dock att sådant överlämnande bör kunna ske med stöd av 10 kap. 27 § OSL. Regeringen får vid behov återkomma till frågan.

114

Partsinsyn och kommunikation

Vid tillsynsmyndighetens handläggning enligt den föreslagna regleringen om samråd gäller förvaltningslagen (2017:900). När ett beslut om föreläggande i ett samrådsärende överklagas till förvaltningsdomstol gäller förvaltningsprocesslagen (1971:291). De nu nämnda lagarna innehåller vissa bestämmelser om partsinsyn och kommunikation. I 10 § förvaltningslagen föreskrivs att den som är part i ett ärende har rätt att ta del av allt material som har tillförts ärendet. Av 25 § samma lag följer att en myndighet innan den fattar beslut i ett ärende, om det inte är uppenbart obehövligt, ska underrätta den som är part om allt material av betydelse för beslutet och ge parten tillfälle att inom en bestämd tid yttra sig över materialet. Av 18 § förvaltningsprocesslagen framgår att en part, innan ett mål avgörs, som huvudregel ska ha fått kännedom om det som tillförts målet genom annan än honom eller henne själv och fått tillfälle att yttra sig över det. Även enligt 10 § första stycket och 12 § förvaltningsprocesslagen gäller en viss underrättelseskyldighet gentemot part.

De nu nämnda bestämmelserna gäller, enligt 10 § och 25 § tredje stycket förvaltningslagen respektive 19 § förvaltningsprocesslagen, med de begränsningar som följer av 10 kap. 3 § OSL. Av 10 kap. 3 § första stycket OSL framgår att sekretess inte hindrar att en enskild, som är part i ett mål eller ärende hos domstol eller annan myndighet och som på grund av sin partsställning har rätt till insyn i handläggningen, tar del av en handling eller annat material i målet eller ärendet. En sådan handling eller ett sådant material får dock inte lämnas ut till parten i den utsträckning det av hänsyn till allmänt eller enskilt intresse är av synnerlig vikt att sekretessbelagd uppgift i materialet inte röjs. I sådana fall ska parten på annat sätt få upplysning om vad materialet innehåller i den utsträckning det behövs för att parten ska kunna ta till vara sin rätt och det kan ske utan allvarlig skada för det intresse som sekretessen ska skydda. Upplysningsskyldigheten kan fullgöras både skriftligen och muntligen, t.ex. genom en muntlig redogörelse för innehållet i vissa handlingar (prop. 1971:30 s. 431 och 443).

Som framgår ovan kan det i ett samrådsärende förekomma sekretessbelagda uppgifter av mycket känslig natur. Ett röjande av sådana uppgifter, även till någon som är part i ärendet, skulle i vissa fall kunna skada Sveriges säkerhet. Sveriges säkerhet är ett synnerligen starkt allmänt intresse. När det finns anledning att ingripa med stöd av de föreslagna bestämmelserna torde därför en tillämpning av 10 kap. 3 § OSL regelmässigt resultera i bedömningen att det är av synnerlig vikt att inte röja uppgifter av sådan karaktär att det skulle innebära skada för Sveriges säkerhet att lämna ut dem. En annan bedömning kan göras när det gäller mindre känsliga uppgifter av mer teknisk karaktär, som t.ex. vilken typ av säkerhetsskyddsåtgärd som är nödvändig för att uppnå ett väl anpassat säkerhetsskydd i det planerade förfarandet. Regeringen anser mot denna bakgrund att bestämmelserna i förvaltningslagen och förvaltnings-

processlagen tillsammans med kravet på synnerlig vikt i 10 kap. 3 § OSL Prop. 2020/21:194 på ett rimligt sätt balanserar intresset av partsinsyn och kommunikation

mot intresset av att skydda känsliga uppgifter i de aktuella ärendena. Mot denna bakgrund bedöms det inte behövas några inskränkningar av reglerna om partsinsyn och kommunikation.

12 Den slutliga bedömningen av  
  säkerhetsprövningen på området  
  luftfartsskydd  
   
Regeringens förslag: Transportstyrelsen ska göra den slutliga bedöm-  
ningen av säkerhetsprövningen när det gäller personer som ska genomgå  
säkerhetsprövning till följd av ett internationellt säkerhetsskyddsåtagande  
på området luftfartsskydd.  
   
Transportstyrelsens förslag överensstämmer med regeringens.  
Remissinstanserna: Majoriteten av remissinstanserna tillstyrker eller  
har inte något att invända mot förslaget. Västerås kommun instämmer i att  
det finns ett behov av att förtydliga regleringen men föreslår att ansvaret  
för säkerhetsprövningen inom området luftfartsskydd i stället ska vara  
delat mellan Transportstyrelsen och verksamhetsutövaren i syfte att inte  
det kommunala perspektivet ska gå förlorat vid säkerhetsprövningen.  
Lycksele kommun framhåller att kommuner i regel har större möjlighet att  
hålla fysiska möten med personer som ska genomgå säkerhetsprövning  
och att kommuner och regioner i och med det flyttade ansvaret kan komma  
att förlora kompetens och resurser som har byggts upp för att kunna  
hantera dessa ärenden. Sveriges Kommuner och Regioner (SKR) och  
Kristianstads kommun menar att gränsdragningen mellan Transport-  
styrelsens olika roller inom säkerhetsskyddet bör förtydligas. Region  
Örebro län anser att de arbetsrättsliga och bolagsrättsliga konsekvenserna  
måste utredas närmare innan slutlig ställning kan tas till förslaget. Flera  
remissinstanser, bl.a. SKR, lyfter behovet av kompletterande anvisningar  
i olika avseenden, bl.a. när det gäller vilket underlag verksamhetsutövaren  
ska tillhandahålla Transportstyrelsen och hur uppgifterna ska förmedlas.  
Skälen för regeringens förslag  
I vilken mån en anställning eller något annat deltagande i säkerhetskänslig  
verksamhet ska placeras i säkerhetsklass regleras i 3 kap. 6–10 §§ säker-  
hetsskyddslagen (2018:585). Av 3 kap. 9 § säkerhetsskyddslagen följer att  
en anställning eller något annat deltagande i säkerhetskänslig verksamhet  
också i andra fall än de som följer av 6–8 §§ ska placeras i en säkerhets-  
klass som motsvarar de krav på säkerhetsprövning som följer av ett inter-  
nationellt åtagande om säkerhetsskydd. Sådana krav på säkerhetsprövning  
finns inom det EU-rättsliga regelverket för luftfartsskydd, närmare  
bestämt i Europaparlamentets och rådets förordning (EG) nr 300/2008 av  
den 11 mars 2008 om gemensamma skyddsregler för den civila luftfarten  
och om upphävande av förordning (EG) nr 2320/2002, samt i 115

Prop. 2020/21:194 Kommissionens genomförandeförordning (EU) 2015/1998 av den 5 november 2015 om detaljerade bestämmelser för genomförande av de gemensamma grundläggande standarderna avseende luftfartsskydd. Transportstyrelsen är enligt förordningen (1994:1808) om behöriga myndigheter på den civila luftfartens område ansvarig för att utföra de uppgifter som åligger Sverige i detta avseende.

Som huvudregel ska den som beslutar om anställning eller annat deltagande i den säkerhetskänsliga verksamheten enligt 3 kap. 4 § andra stycket säkerhetsskyddslagen också göra bedömningen av säkerhetsprövningen. Om en myndighet har det bestämmande inflytandet över den prövades lämplighet att delta i säkerhetskänslig verksamhet hos en enskild verksamhetsutövare, är det dock i stället myndigheten som gör den slutliga bedömningen. Detta undantag infördes bl.a. med hänvisning till den ordning som gäller inom luftfartsskyddet, där Transportstyrelsen har att dels besluta om registerkontroll som en följd av att internationella konventioner anger villkor för tillträde till olika slag av behörighetsområden på flygplatser, dels lämna sitt godkännande av säkerhetsprövningen (prop. 2017/18:89 s. 99 f.). På detta område går säkerhetsprövningen därför till på så vis att verksamhetsutövaren ansvarar för att en grundutredning genomförs och utifrån den gör en första bedömning. Om den prövade bedöms vara pålitlig, begärs sedan att Transportstyrelsen ansöker om att en registerkontroll ska genomföras. Efter genomförd registerkontroll beslutar Transportstyrelsen om den som kontrollen avser ska få delta i verksamheten. På grundval av myndighetens beslut kan sedan ett behörighetsbevis i enlighet med internationella regelverk utfärdas.

Transportstyrelsens ansvar för den slutliga bedömningen av säkerhetsprövningen bör gälla alla flygplatser

Att Transportstyrelsen enligt 3 kap. 4 § säkerhetsskyddslagen endast ska göra den slutliga bedömningen av den prövades lämplighet när det gäller enskilda verksamhetsutövare som myndigheten har ett bestämmande inflytande över, får till följd att Transportstyrelsen inte har ett sådant ansvar när det gäller flygplatser som ägs eller drivs av en kommun eller region. Transportstyrelsens ansvar för Sveriges EU-rättsliga skyldigheter i fråga om säkerhetsprövning av personal gäller dock även dessa flygplatser. Transportstyrelsen bör därför även enligt säkerhetsskyddslagen ha ansvar för att göra den slutliga bedömningen av säkerhetsprövningen i dessa fall. Transportstyrelsen bör alltså göra den slutliga bedömningen av säkerhetsprövningen i alla fall som personer ska genomgå säkerhetsprövning till följd av ett internationellt säkerhetsskyddsåtagande på området luftfartsskydd.

Till skillnad från Västerås kommun anser regeringen inte att det finns skäl att nu ändra systematiken som gäller för säkerhetsprövning på luftfartsskyddsområdet. Verksamhetsutövarens bör även fortsättningsvis ha ansvaret för att göra en grundutredning enligt 3 kap. 4 § säkerhetsskyddslagen och utifrån den göra en första bedömning av säkerhetsprövningen. Som Lycksele kommun påpekar är det verksamhetsutövarna (kommunerna) som i regel har bäst möjlighet att hålla fysiska möten och vidta andra åtgärder inom ramen för säkerhetsprövningen. Genom att

bibehålla den systematik som gäller på området blir det även i fortsätt-

116

ningen en fråga för de kommunala verksamhetsutövarna att genomföra Prop. 2020/21:194 dessa moment. Enligt regeringen saknas det också skäl att ytterligare för-

tydliga gränsdragningen mellan Transportstyrelsens olika roller inom säkerhetsskyddet, som SKR och Kristianstads kommun framför.

Eftersom förslaget endast gäller säkerhetsprövning till följd av ett internationellt säkerhetsskyddsåtagande på området luftfartsskydd, påverkar det inte möjligheten att även fortsättningsvis placera en anställning eller något annat deltagande i säkerhetskänslig verksamhet i säkerhetsklass på annan grund. Förslaget påverkar inte heller Transportstyrelsens möjligheter att enligt regelverket för luftfartsskydd ta ut avgifter från de kommuner och regioner som berörs. Vidare anser inte regeringen att förslaget påverkar de arbetsrättsliga eller bolagsrättsliga ansvarsförhållandena för flygplatserna i fråga. Något skäl att utreda de arbetsrättsliga och bolagsrättsliga konsekvenserna av förslaget, vilket Region Örebro län framför, finns därför inte.

Flera remissinstanser, bl.a. SKR, lyfter behovet av kompletterande anvisningar i olika avseenden. Det blir dock en fråga för Transportstyrelsen att bedöma behovet av sådana föreskrifter.

13Säkerhetsskyddslagens struktur och följdändringar

Regeringens förslag: Det ska införas nya kapitel i säkerhetsskyddslagen och vissa befintliga bestämmelser ska flyttas, delas upp eller tas bort. Till följd av omstruktureringen ska följdändringar göras i säkerhetsskyddslagen, lagen om ansvar för vissa säkerhetsfrågor vid statsministerns tjänstebostäder och lagen om säkerhetsskydd i riksdagen och dess myndigheter.

Vidare ska samråd inför överlåtelse av säkerhetskänslig verksamhet eller viss egendom ske med tillsynsmyndigheten i stället för med samrådsmyndigheten. Tillsynsmyndigheten ska få inleda samråd samt besluta om förelägganden och förbud i samband med sådana överlåtelser.

Dessutom ska det tydliggöras att med ”verksamhetsutövare” i säkerhetsskyddslagen avses den som till någon del bedriver säkerhetskänslig verksamhet.

Utredningens förslag överensstämmer i huvudsak med regeringens. Utredningen föreslår också nya kapitel men kapitlen har en något annorlunda struktur. Vidare föreslår utredningen inte att befintliga bestämmelser ska flyttas på ett sådant sätt att det behövs följdändringar. Dessutom föreslår utredningen inte att det ska tydliggöras vad som avses med ”verksamhetsutövare” i säkerhetsskyddslagen.

Remissinstanserna: De flesta remissinstanserna yttrar sig inte över förslaget. Några remissinstanser, som Transportstyrelsen och Energimyndigheten, har synpunkter på vilka myndigheter som samråd bör ske med.

117

Prop. 2020/21:194 Kammarrätten i Stockholm anser att begreppet verksamhetsutövare bör definieras i säkerhetsskyddslagen.

118

Skälen för regeringens förslag

Säkerhetsskyddslagen struktur ändras

För att säkerhetsskyddslagen (2018:585) ska vara överskådlig även med de bestämmelser som föreslås i denna proposition, bör det införas tre nya kapitel i vilka vissa befintliga och föreslagna bestämmelser tas in. Vidare bör två befintliga kapitel flyttas och betecknas om. Dessutom bör vissa bestämmelser flyttas, delas upp eller tas bort.

På grund av att vissa bestämmelser i säkerhetsskyddslagen flyttas behöver följdändringar göras i säkerhetsskyddslagen, lagen (2014:514) om ansvar för vissa säkerhetsfrågor vid statsministerns tjänstebostäder och lagen (2019:109) om säkerhetsskydd i riksdagen och dess myndigheter.

Samråd inför överlåtelser ska ske med tillsynsmyndigheten i stället för med samrådsmyndigheten

Enligt 2 kap. 7–9 §§ säkerhetsskyddslagen är en verksamhetsutövare som avser att överlåta säkerhetskänslig verksamhet eller viss egendom skyldig att i vissa fall samråda med en samrådsmyndighet. I avsnitt 7.3 gör regeringen bedömningen att en verksamhetsutövare inför vissa utkontrakteringar, upplåtelser och andra förfaranden som kräver säkerhetsskyddsavtal ska samråda med sin tillsynsmyndighet. Regeringen anser att samråd bör ske med samma myndighet oavsett om det är fråga om överlåtelse, utkontraktering eller något annat liknande förfarande. Samrådsansvaret och samrådsmyndighetens befogenheter vid överlåtelse av säkerhetskänslig verksamhet och viss egendom bör därmed flyttas över till tillsynsmyndigheten.

Uttrycket verksamhetsutövare

Kraven i säkerhetsskyddslagstiftningen avser i huvudsak ”den som till någon del bedriver säkerhetskänslig verksamhet”. Det innefattar enligt 1 kap. 1 § första stycket säkerhetsskyddslagen både den som till någon del bedriver verksamhet som är av betydelse för Sveriges säkerhet och den som till någon del bedriver verksamhet som omfattas av ett för Sverige förpliktande internationellt åtagande om säkerhetsskydd. Av formuleringen ”den” som bedriver säkerhetskänslig verksamhet framgår att alla verksamheter, oavsett verksamhetsform, kan omfattas. Den som bedriver säkerhetskänslig verksamhet kan följaktligen vara en myndighet, en kommun, en region eller en enskild oberoende av verksamhetsform (prop. 2017/18:89 s. 47 och 133).

I flera bestämmelser i säkerhetsskyddslagen och säkerhetsskyddsförordningen (2018:658) används begreppet ”verksamhetsutövare” synonymt med ”den som till någon del bedriver säkerhetskänslig verksamhet”. Begreppet verksamhetsutövare används också ofta i den betydelsen i föreskrifter och andra sammanhang.

Regeringen anser – i linje med vad Kammarrätten i Stockholm anför – att det i säkerhetsskyddslagen bör anges vad som avses med verksamhetsutövare, bl.a. för att göra lagen tydligare. Kammarrätten föreslår att det

införs en definitionslista i början av lagen där det bl.a. anges vad som avses Prop. 2020/21:194 med uttrycket verksamhetsutövare. Regeringen anser dock i nuläget att det

är lämpligare att i 2 kap. 1 § första stycket säkerhetsskyddslagen förtydliga att med verksamhetsutövare avses den som till någon del bedriver säkerhetskänslig verksamhet, i enlighet med 1 kap. 1 § första stycket säkerhetsskyddslagen.

14Ikraftträdande- och övergångsbestämmelser

Regeringens förslag: De föreslagna lagändringarna ska träda i kraft den 1 december 2021. Äldre föreskrifter ska fortfarande gälla för ärenden om samråd som har inletts före ikraftträdandet. För säkerhetsskyddsavtal som har ingåtts före ikraftträdandet ska äldre föreskrifter om säkerhetsskyddsavtal gälla. Sanktionsavgift ska endast få beslutas för överträdelser som har skett efter ikraftträdandet.

Utredningens förslag överensstämmer delvis med regeringens. Utredningen föreslår dock att lagändringarna ska träda i kraft den 1 januari 2021. Vidare föreslår utredningen inte någon övergångsbestämmelse om vad som ska gälla för säkerhetsskyddsavtal som har ingåtts före ikraftträdandet.

Remissinstanserna: Flera remissinstanser pekar på att det är viktigt att berörda parter får rimligt med tid att förbereda sig inför de nya krav som föreslås.

Skälen för regeringens förslag: De föreslagna lagändringarna är mycket angelägna. Förslagen bör därför, även med beaktande av att ett snabbt ikraftträdande ger berörda aktörer en relativt kort tid att förbereda sig, träda i kraft så snart som möjligt. Med hänsyn till den tid som de olika leden i lagstiftningsprocessen kan förväntas ta, anser regeringen att ett ikraftträdande är möjligt tidigast den 1 december 2021. Regeringen har gett Försvarsmakten och Säkerhetspolisen i uppdrag att vidta de förberedande åtgärder som krävs inför etableringen av ett nytt tillsynssystem inom säkerhetsskyddsområdet samt att inrätta samarbetsforum för att underlätta samordning och åstadkomma en effektiv och likvärdig tillsyn (Ju/2021/01245).

När det gäller behovet av övergångsbestämmelser kan inledningsvis konstateras att de föreslagna bestämmelserna om samråd med tillsynsmyndigheten vid överlåtelser och vissa andra förfaranden delvis överlappar den befintliga regleringen i 2 kap. 9 § säkerhetsskyddslagen (2018:558) och 2 kap. 6 § säkerhetsskyddsförordningen (2018:658), som bl.a. innebär krav på samråd med Försvarsmakten eller Säkerhetspolisen vid överlåtelser och vissa typer av statliga upphandlingar. Regeringen anser i likhet med utredningen att det är lämpligt att samråd som har inletts före ikraftträdandet av den nu föreslagna regleringen får slutföras i enlighet med den ordning som då gällde. Äldre föreskrifter bör alltså fortsätta gälla för ärenden om samråd som har inletts före ikraftträdandet. Detta

119

Prop. 2020/21:194 behöver komma till uttryck i en övergångsbestämmelse till den föreslagna lagen om ändring i säkerhetsskyddslagen.

Avseende de föreslagna bestämmelserna om säkerhetsskyddsavtal ska huvudprincipen om att civilrättslig lagstiftning inte ska ges retroaktiv verkan beaktas. Enligt regeringen bör bestämmelserna därför inte tillämpas på sådana säkerhetsskyddsavtal som har ingåtts före ikraftträdandet. För sådana avtal bör i stället den hittills gällande 2 kap. 6 § säkerhetsskyddslagen och föreskrifter som har meddelats i anslutning till den paragrafen gälla. Till skillnad från utredningen anser regeringen att det bör komma till uttryck i en övergångsbestämmelse. Vidare bör samarbeten och samverkan som har inletts före ikraftträdandet och som inte omfattas av det nuvarande kravet på säkerhetsskyddsavtal inte heller omfattas av det föreslagna utvidgade kravet på att ingå säkerhetsskyddsavtal. Det bör alltså inte finnas en skyldighet att ingå säkerhetsskyddsavtal i efterhand i sådana situationer. Någon övergångsbestämmelse för att bestämmelserna ska tillämpas på det sättet behövs dock inte.

Det behövs inte heller någon övergångsbestämmelse till de föreslagna bestämmelserna om att tillsynsmyndigheterna ska få besluta vitessanktionerade förelägganden i samband med tillsyn, eftersom ett vitesföreläggande är en framåtsyftande åtgärd som inte kan tillämpas för överträdelser som skett före ikraftträdandet. I de fall hittills gällande bestämmelser om säkerhetsskyddsavtal i 2 kap. 6 § säkerhetsskyddslagen gäller ska tillsynen

när det gäller säkerhetsskyddsavtal – avse efterlevnaden av de hittills gällande bestämmelserna och inte den nu föreslagna regleringen om säkerhetsskyddsavtal.

Vidare bedöms det inte behövas någon övergångsbestämmelse till de föreslagna bestämmelserna i 4 kap. 12 § säkerhetsskyddslagen om att tillsynsmyndigheten ska kunna ingripa i pågående förfaranden som omfattas av krav på säkerhetsskyddsavtal. Av den föreslagna paragrafens ordalydelse följer att den endast kan tillämpas på förfaranden som inleds efter ikraftträdandet. Regeringen anser till skillnad från utredningen att detta är en rimlig ordning, dvs. att ett sådant ingripande inte ska få ske i förfaranden som inletts före ikraftträdandet utan bara i sådana som inletts därefter.

När det gäller förslaget om att tillsynsmyndigheten ska få besluta sanktionsavgift måste förbudet mot retroaktiv straff- och skattelagstiftning i 2 kap. 10 § regeringsformen beaktas. Förbudet mot retroaktiv skattelagstiftning anses vara analogt tillämpligt på straffliknande administrativa påföljder (prop. 1975/76:209 s. 125). En sanktionsavgift med stöd av de föreslagna bestämmelserna bör därför få beslutas endast för överträdelser som har skett efter ikraftträdandet, vilket bör anges i en övergångsbestämmelse.

120

15Konsekvenser

Regeringens bedömning: Skyddet för Sveriges säkerhet stärks genom förslagen.

För de verksamhetsutövare som kommer att träffas av förslagen kan de innebära ökade kostnader och administrativa bördor. Eventuella kostnader för statliga myndigheter ryms inom respektive myndighets befintliga anslagsram.

Förslagen innebär även vissa ökade förvaltningskostnader för de myndigheter som kommer att vara tillsynsmyndigheter. Med anledning av dessa kostnader har berörda myndigheters anslag utökats.

Förslagen medför dessutom att de allmänna förvaltningsdomstolarna får något fler arbetsuppgifter. Kostnaderna för domstolarna ryms inom befintlig anslagsram.

Utredningens bedömning överensstämmer med regeringens. Remissinstanserna: Flera remissinstanser, såsom Sveriges kommuner

och regioner (SKR), E-hälsomyndigheten, Vattenfall AB, Swedavia AB, Göteborgs kommun, Skövde kommun, Energiföretagen Sverige, Säkerhets- och försvarsföretagen och Totalförsvarets forskningsinstitut (FOI), anser att förslagen om utvidgat krav på att ingå säkerhetsskyddsavtal och om krav på särskild säkerhetsskyddsbedömning, lämplighetsprövning och samråd inför vissa förfaranden innebär att kostnaderna för verksamhetsutövare kan bli betydande. Svenskt Näringsliv anser att det bör utgå någon form av kostnadstäckning till företag via offentliga medel om kostnadsökningarna blir mer än marginella. Regelrådet, Näringslivets regelnämnd och Svenskt Näringsliv anser att utredningens redovisning av förslagens konsekvenser för företag som bedriver säkerhetskänslig verksamhet i viss mån är bristfällig. Förvaltningsrätten i Stockholm och Kammarrätten i Stockholm ifrågasätter bedömningen angående kostnadsökningen för domstolarna. Region Kronoberg och Lidingö kommun pekar på att förslagen påverkar den kommunala självstyrelsen. Flera remissinstanser tar upp att förslagen medför ett ökat behov av kompetensförsörjning när det gäller säkerhetsskydd och annan relevant expertis. Säkerhets- och integritetsskyddsnämnden anser att förslaget om utvidgat krav på säkerhetsskyddsavtal kan innebära fler registerkontroller och att konsekvenserna för nämnden därför behöver analyseras ytterligare.

Skälen för regeringens bedömning

Stärkt skydd för Sveriges säkerhet

Säkerhetsskydd handlar om skyddet för Sveriges mest skyddsvärda verksamheter. Konsekvenserna av att skyddet fallerar kan därför bli mycket allvarliga. Den föreslagna regleringen syftar bl.a. till att säkerhetsskyddsfrågor ska få en central roll hos verksamhetsutövare, att förhindra utkontrakteringar, samarbeten och andra liknande förfaranden som är olämpliga ur säkerhetsskyddssynpunkt och att öka efterlevnaden av säkerhetsskyddslagstiftningen. Förslagen innebär på detta sätt en förstärkning av skyddet för Sveriges säkerhet.

Prop. 2020/21:194

121

Prop. 2020/21:194

122

Ekonomiska konsekvenser för verksamhetsutövare

Förslagen innebär till viss del att verksamhetsutövare påförs ytterligare krav.

Förslagen om säkerhetsskyddschefens roll innebär att det införs krav på att säkerhetsskyddschefen – utöver ansvar för att verksamheten bedrivs i enlighet med säkerhetsskyddsregleringen – även ska ha ansvar för ledning och samordning av säkerhetsskyddsarbetet samt att det införs ett generellt krav på säkerhetsskyddschefens organisatoriska ställning. Enligt regeringen bör förslagen i denna del inte medföra annat än begränsade kostnader för verksamhetsutövare.

Förslaget om ett utvidgat krav på säkerhetsskyddsavtal innebär i stort att ett sådant avtal ska ingås inför fler förfaranden än anskaffningar, såsom samarbeten och samverkan, om förfarandet innebär att en annan aktör kan få tillgång till den säkerhetskänsliga verksamheten. Verksamhetsutövare ska redan i dag ha god kännedom om sina skyddsvärden och – oavsett krav på säkerhetsskyddsavtal – se till att säkerhetsskyddet tillgodoses under förfaranden där en annan aktör kan få tillgång till den säkerhetskänsliga verksamheten. Förslaget kan ändå innebära ökade kostnader, främst genom det merarbete som kan uppstå när ett säkerhetsskyddsavtal tas fram och förhandlas men även genom att samarbeten kan fördröjas.

Vad gäller förslaget om att verksamhetsutövare ska göra en särskild säkerhetsskyddsbedömning och lämplighetsprövning inför vissa förfaranden som kräver säkerhetsskyddsavtal, bör de bedömningarna utgå från den säkerhetsskyddsanalys som alla verksamhetsutövare redan i dag har en skyldighet att göra enligt 2 kap. 1 § säkerhetsskyddslagen (2018:585). Kravet på att göra en särskild säkerhetsskyddsbedömning och lämplighetsprövning innebär att riskerna för de skyddsvärden som har identifierats i säkerhetsskyddsanalysen konkretiseras i förhållande till en viss situation. De nya kraven medför därför inte något betydande merarbete eller annan kostnad. Om lämplighetsprövningen mynnar ut i bedömningen att förfarandet inte är olämpligt från säkerhetsskyddssynpunkt, ska verksamhetsutövaren enligt regeringens förslag även samråda med tillsynsmyndigheten. Samrådet bör bygga på det underlag som verksamhetsutövaren redan tagit fram inom ramen för den särskilda säkerhetsskyddsbedömningen. Regeringen anser därför att den faktiska arbetsinsatsen för att inleda och genomföra samrådet är begränsad. Däremot kan samrådsprocessen göra att det tar längre tid att inleda ett förfarande än vad som annars hade varit fallet, vilket kan påverka verksamheten negativt. Hur lång tid samrådet kommer att ta och vad det kommer att mynna ut i har dock verksamhetsutövaren ofta en möjlighet att själv påverka.

Det som kan ha störst ekonomisk påverkan är förslagen om att tillsynsmyndigheten under vissa omständigheter ska få besluta om förbud mot att inleda ett planerat förfarande och om förelägganden under ett pågående förfarande för att förhindra skada för Sveriges säkerhet. För den verksamhetsutövare som meddelas förbud kan det innebära t.ex. att verksamhetsutövaren måste köpa en tjänst av en annan motpart som kräver högre ersättning eller att verksamhetsutövaren måste utföra tjänsten i egen regi. Möjligheten att besluta om förbud är dock ett sistahandsalternativ när övriga möjligheter är uttömda eller bedöms som utsiktslösa. Även föreläggande under pågående förfarande bedöms bli mycket sällsynt. För-

slagen kan initialt även ha den indirekta effekten att motparter tar höjd för risken att förfarandet inte kan genomföras som planerat när priset beräknas eller avstår från att ingå ett avtal eller inleda ett samarbete med en verksamhetsutövare. Denna eventuella konsekvens borde dock plana ut i takt med att kunskapen om regleringen ökar.

Mot denna bakgrund bedömer regeringen – i likhet med utredningen men till skillnad från SKR, E-hälsomyndigheten, Vattenfall AB, Swedavia AB, Göteborgs kommun, Skövde kommun, Energiföretagen Sverige, Säkerhets- och försvarsföretagen och FOI – att förslagen i de flesta fall endast kommer medföra begränsade administrativa och andra kostnader för offentliga och enskilda verksamhetsutövare. Kostnadsökningen för statliga myndigheter som är verksamhetsutövare bör enligt regeringen rymmas inom respektive myndighets befintliga anslagsram. Svenskt Näringsliv framför att det bör utgå någon form av kostnadstäckning via offentliga medel om kostnaderna för ett företag blir mer betydande. Rätten till ersättning och förslagens förhållande till egendomsskyddet och näringsfriheten utvecklas i avsnitt 7.6 och behandlas därför inte närmare här.

Regeringen har en viss förståelse för Regelrådets, Näringslivets regelnämnds och Svenskt Näringslivs synpunkter på så sätt att utredningens redovisning av förslagens konsekvenser för företag som är verksamhetsutövare i viss mån inte är så utförlig som kan önskas. Regeringen anser emellertid att konsekvenserna för företag – genom betänkandet och denna proposition – har belysts tillräckligt för att kunna ligga till grund för regeringens förslag. I denna bedömning ligger också att det är ett begränsat antal företag som berörs av förslagen och att de ekonomiska konsekvenserna kommer att variera. Vissa kostnader kommer dessutom kunna kompenseras genom prissättning och annan kostnadsreglering utifrån de eventuella risker och arbetsinsatser som förslagen innebär.

Ekonomiska konsekvenser för tillsynsmyndigheterna

I syfte att höja ambitionsnivån för tillsynen kommer tillsynsstrukturen inom säkerhetsskyddet delvis att förändras, med följd att vissa myndigheter utses till nya tillsynsmyndigheter och att vissa befintliga tillsynsmyndigheter får fler tillsynsobjekt. Vidare föreslår regeringen att tillsynsmyndigheterna ska få vissa nya uppgifter som att ansvara för samråd. Dessutom föreslår regeringen att tillsynsmyndigheterna ska få nya befogenheter, t.ex. möjlighet att besluta om förbud mot överlåtelse av säkerhetskänslig verksamhet, förelägga tillsynsobjekt att tillhandahålla den information som behövs för tillsynen samt besluta om åtgärdsförelägganden och sanktionsavgift mot den som inte efterlever säkerhetsskyddslagstiftningens krav. Kostnaderna för de myndigheter som kommer att bli tillsynsmyndigheter och de myndigheter som även fortsatt ska vara tillsynsmyndigheter kommer alltså att öka. Genom budgetpropositionen för 2021 utökades därför berörda myndigheters anslag med 100 miljoner kronor från och med 2021 och med ytterligare 10 miljoner kronor från och med 2022. Regeringen har dessutom i propositionen Totalförsvaret 2021– 2025 (prop. 2020/21:30) aviserat en inriktning att anslagen kommer utökas med ytterligare 10 miljoner kronor från och med 2024.

Prop. 2020/21:194

123

Prop. 2020/21:194

124

Ekonomiska konsekvenser för domstolarna

Tillsynsmyndighetens beslut om föreläggande under samråd och vid tillsyn och om att ta ut sanktionsavgift ska enligt regeringens förslag få överklagas till Förvaltningsrätten i Stockholm. För prövning i Kammarrätten i Stockholm kommer det enligt förslaget krävas prövningstillstånd. Regeringen bedömer att ökningen av antalet mål kommer att bli begränsad. Även med beaktande av att målen – som Kammarrätten i Stockholm påpekar – kan vara komplexa anser regeringen därför att kostnaderna för den ökade måltillströmningen kommer vara begränsade. Som Förvaltningsrätten i Stockholm påpekar kan även domstolarnas säkerhetsskydd behöva anpassas med anledning av de säkerhetsskyddsklassificerade uppgifter som kan förekomma i målen. Regeringen anser dock i nuläget att både kostnaderna för den något ökade måltillströmningen och eventuella anpassningar av säkerhetsskyddet bör rymmas inom befintliga anslagsramar.

Konsekvenser för verksamhetsutövarens motpart

Inte bara verksamhetsutövare träffas av det utvidgade kravet på säkerhetsskyddsavtal, utan även verksamhetsutövares motparter. Vidare innebär förslaget om att tillsynsmyndigheten ska få vissa undersökningsbefogenheter att de som en verksamhetsutövare har ingått säkerhetsskyddsavtal med kan behöva ge tillsynsmyndigheten tillträde till sina lokaler och ge ut sådan information som behövs för tillsynen. Enligt regeringen bör kostnaderna för att ta fram och förhandla säkerhetsskyddsavtal och för att bistå tillsynsmyndigheten som regel vara begränsade.

Även förslagen om att tillsynsmyndigheten ska kunna besluta om förbud mot att inleda ett förfarande och föreläggande under pågående förfarande kan innebära att verksamhetsutövares motparter påverkas ekonomiskt, eftersom de i sällsynta fall kan medföra att ett planerat förfarande inte kan inledas eller att ett pågående förfarande måste inskränkas eller avbrytas. Risken för att drabbas av sådana förbud och förelägganden kan dock antas plana ut i takt med att kunskapen om den föreslagna regleringen ökar.

Konsekvenser för den kommunala självstyrelsen

Kommuner och regioner kan bedriva verksamhet av betydelse för Sveriges säkerhet. Säkerhetskänslig verksamhet i sådan verksamhet som kommuner och regioner bedriver, till exempel räddningstjänst, energi- eller dricksvattenförsörjning och sjukvård, kan påverkas av förslagen. Om en tillsynsmyndighet beslutar om förbud mot att inleda ett förfarande eller föreläggande under ett pågående förfarande innebär det att kommunen eller regionen ifråga inte fritt kan förfoga över sin egendom. Vidare kan förslaget om utvidgat krav på säkerhetsskyddsavtal innebära att kommuner och regioner inte kan samarbeta och samverka med andra aktörer på det sätt som kommunerna och regionerna finner lämpligast. I enlighet med vad bland andra Region Kronoberg och Lidingö kommun påpekar påverkar alltså förslagen den kommunala självstyrelsen. Den föreslagna regleringen går dock inte utöver vad som är nödvändigt för att skydda de mest skyddsvärda verksamheterna i samhället. Dessutom ska såväl förbud som förelägganden under pågående förfaranden användas restriktivt och som en sista utväg när andra åtgärder inte är tillräckliga.

Förslagen berör därför den kommunala självstyrelsen på det minst in- Prop. 2020/21:194 gripande sätt som är möjligt.

Kompetensförsörjning

Det finns i dag ett stort behov av kompetensförsörjning inom säkerhetsskyddsområdet. Många tillsynsmyndigheter och andra aktörer har påpekat att det redan i dag är svårt att rekrytera personal med rätt kompetens. Bland annat finns det brist på personer med kunskap om it-säkerhet, informationssäkerhet och allmän kunskap om säkerhetsskydd. Vidare kommer förslagen i denna proposition, som flera remissinstanser påpekar, innebära att behovet av kompetensförsörjning ökar. Om kompetensförsörjningen inte hanteras finns det en risk att förslagen inte får det genomslag som behövs för att höja ambitionsnivån inom säkerhetsskyddet. Utredningen har som ett första steg föreslagit att Försvarsmakten och Säkerhetspolisen får i uppdrag att utreda hur kompetensförsörjningen kan tryggas. Regeringen har denna dag gett myndigheterna ett sådant uppdrag (Ju2021/02005).

Övriga konsekvenser

När det gäller förslaget om att Transportstyrelsen ska ansvara för den slutliga bedömningen av säkerhetsprövningar som sker till följd av ett internationellt säkerhetsskyddsåtagande på området luftfartsskydd, innebär det endast att det ansvar som myndigheten redan har enligt förordningen (1994:1808) om behöriga myndigheter på den civila luftfartens område kan realiseras. Förslaget bedöms därmed inte innebära några merkostnader för Transportstyrelsen.

Som Säkerhets- och integritetsskyddsnämnden anför kommer förslaget om utvidgat krav på säkerhetsskyddsavtal även innebära att det kommer göras fler registerkontroller och särskilda personutredningar. Det innebär i sin tur bl.a. att Säkerhets- och integritetsskyddsnämnden, som har till uppgift att besluta om uppgifter som kommit fram vid registerkontroll och särskild personutredning ska lämnas ut för säkerhetsprövning, får en något utökad arbetsbörda. Enligt regeringen kan dessa kostnader dock hanteras inom myndighetens befintliga anslagsram.

16Författningskommentar

16.1 Förslaget till lag om ändring i säkerhetsskyddslagen (2018:585)

1 kap.

3 §  
Paragrafen anger i vilken utsträckning lagen gäller för riksdagen och dess  
myndigheter och i vilken utsträckning regeringen får besluta om undantag  
för Regeringskansliet, utlandsmyndigheterna och kommittéväsendet.  
Övervägandena finns i avsnitt 13. 125
 
Prop. 2020/21:194 Ändringen i första stycket är en följd av att 4 kap. betecknas om till
  5 kap. och innebär inte någon ändring i sak.

2 kap.

1 §

Paragrafen reglerar de grundläggande skyldigheterna för den som till någon del bedriver säkerhetskänslig verksamhet. Övervägandena finns i avsnitt 13.

Ändringen i första stycket innebär att det förtydligas att med ”verksamhetsutövare” i lagen avses den som till någon del bedriver säkerhetskänslig verksamhet. Detta innebär inte någon ändring i sak. Vad som utgör säkerhetskänslig verksamhet framgår av 1 kap. 1 § första stycket.

6 §

Paragrafen, som är ny, innehåller bestämmelser om anmälningsskyldighet för verksamhetsutövare. Övervägandena finns i avsnitt 8.2.

Enligt första stycket ska en verksamhetsutövare anmäla att den bedriver säkerhetskänslig verksamhet. Anmälan ska ske utan dröjsmål efter det att den säkerhetskänsliga verksamheten påbörjas. För den som redan bedriver säkerhetskänslig verksamhet vid tidpunkten för ikraftträdandet av paragrafen innebär kravet att anmälan ska ske utan dröjsmål efter ikraftträdandet.

Enligt andra stycket ska en verksamhetsutövare anmäla till tillsynsmyndigheten när den säkerhetskänsliga verksamheten har upphört. Även denna anmälan ska göras utan dröjsmål.

7 §

Paragrafen, som är ny, innehåller bestämmelser om krav på verksamhetsutövare att ha en säkerhetsskyddschef, vilka uppgifter säkerhetsskyddschefen ska ha och säkerhetsskyddschefens placering i organisationen. Bestämmelserna motsvarar delvis hittills gällande 2 kap. 2 § säkerhetsskyddsförordningen (2018:658). Övervägandena finns i avsnitt 5.

Enligt första stycket ska en verksamhetsutövare som huvudregel ha en säkerhetsskyddschef. Kravet gäller inte om det är uppenbart obehövligt med en säkerhetsskyddschef, vilket exempelvis kan vara fallet om den säkerhetskänsliga verksamheten är av en mycket begränsad omfattning.

Enligt andra stycket ska säkerhetsskyddschefen ha till uppgift att leda och samordna säkerhetsskyddsarbetet. Det innebär att säkerhetsskyddschefen ska vara aktiv och operativ och inte enbart passivt kontrollera säkerhetsskyddet i efterhand. Vidare anges att säkerhetsskyddschefen ska kontrollera att verksamheten bedrivs enligt lagen och de föreskrifter som har meddelats i anslutning till den. Med uttrycket ”föreskrifter som har meddelats i anslutning till lagen” avses såväl föreskrifter som har meddelats med direkt eller indirekt stöd av lagen som föreskrifter som har meddelats med stöd av restkompetensen eller rätten att meddela verkställighetsföreskrifter. Dessutom framgår att säkerhetsskyddschefens ansvar inte kan delegeras. Detta innebär inte något hinder mot att arbets-

126

uppgifter delegeras till andra medarbetare, men en sådan delegering på- Prop. 2020/21:194 verkar inte säkerhetsskyddschefens ansvar.

I tredje stycket föreskrivs att säkerhetsskyddschefen ska vara direkt underställd chefen för verksamhetsutövarens verksamhet om en sådan chef finns och annars verksamhetsutövarens ledning. För en statlig myndighet innebär kravet att säkerhetsskyddschefen ska vara direkt underställd myndighetschefen om en sådan finns och annars exempelvis den nämnd som leder myndigheten. För en kommun eller en region innebär det att säkerhetsskyddschefen ska vara direkt underställd kommunrespektive regiondirektören. När det gäller ett aktiebolag innebär kravet normalt att säkerhetsskyddschefen ska vara direkt underställd den verkställande direktören om en sådan finns. Bestämmelsen innebär inte bara ett formellt krav på att säkerhetsskyddschefen ska ha en viss plats i organisationen, utan också att säkerhetsskyddschefen i praktiken ska ges en reell möjlighet att ge stöd åt och påverka ledningen i frågor som involverar säkerhetsskyddsaspekter.

8 §

Paragrafen innehåller bemyndiganden för regeringen eller den myndighet som regeringen bestämmer. Paragrafen motsvarar hittills gällande 15 § med den ändringen att bemyndigandet om säkerhetsskyddsavtal flyttas till 4 kap. 6 §. Övriga ändringar är endast redaktionella. Övervägandena finns i avsnitt 13.

3kap.

4§

Paragrafen reglerar bl.a. vem som ansvarar för bedömningen av en säkerhetsprövning. Övervägandena finns i avsnitt 12.

Ändringen i andra stycket innebär att det som anges där om ansvar för bedömningen av säkerhetsprövningen inte gäller om något annat följer av 4 b §.

4 b §

Paragrafen, som är ny, reglerar Transportstyrelsens ansvar för den slutliga bedömningen av säkerhetsprövningen när det gäller den som ska genomgå säkerhetsprövning till följd av ett internationellt säkerhetsskyddsåtagande på området luftfartsskydd. Övervägandena finns i avsnitt 12.

Sådana internationella säkerhetsskyddsåtaganden som avses finns inom det EU-rättsliga regelverket för luftfartsskydd. I dessa fall genomförs säkerhetsprövningen på så sätt att den som beslutar om anställningen ansvarar för grundutredningen och utifrån den gör en första bedömning. Om den prövade bedöms vara pålitlig från säkerhetsskyddssynpunkt ska verksamhetsutövaren begära att Transportstyrelsen ansöker om registerkontroll. Efter att registerkontrollen är genomförd bestämmer Transportstyrelsen slutligt om den som kontrollen avser ska få delta i verksamheten.

127

Prop. 2020/21:194 16 §

Paragrafen innehåller en upplysning om att det även finns bestämmelser om registerkontroll i ett annat kapitel i lagen. Övervägandena finns i avsnitt 13.

Ändringen är en följd av att 4 kap. betecknas om till 5 kap. och innebär inte någon ändring i sak.

4 kap.

1 §

Paragrafen, som är ny, innehåller bestämmelser om när en verksamhetsutövare är skyldig att ingå säkerhetsskyddsavtal. Den har utformats i enlighet med Lagrådets förslag. Övervägandena finns i avsnitt 6.1.

Första stycket motsvarar delvis hittills gällande 2 kap. 6 § första och tredje styckena (prop. 2017/18:89 s. 140 f.). I förhållande till 2 kap. 6 § utvidgas kravet på säkerhetsskyddsavtal till att inte bara gälla upphandlingssituationer, utan alla slags avtal, samarbeten och samverkan, med de undantag som framgår av 2 § och av föreskrifter i förordning och regeringsbeslut enligt 6 §. Tvångsförfaranden såsom tvångsupplåtselser, beslag och husrannsakan är inte samarbeten eller samverkan och omfattas således inte av kravet. Detsamma gäller för t.ex. tillsynsåtgärder, tillståndsförfaranden och när enskilda verksamhetsutövare har en författningsreglerad uppgiftsskyldighet gentemot myndigheter såsom enligt 6 kap. 19 a § lagen (2003:389) om elektronisk kommunikation.

För att kravet på säkerhetsskyddsavtal ska aktualiseras krävs, förutom att det ska vara fråga om något av de angivna förfarandena, även att det handlar om ett förfarande som involverar en annan aktör än verksamhetsutövaren. En annan juridisk person, statlig myndighet, kommun eller region än verksamhetsutövaren är en annan aktör. Däremot är det inte fråga om en annan aktör när verksamhetsutövaren anställer eller anlitar en person för att delta i den egna verksamheten. Den som anställs eller anlitas omfattas då av verksamheten och är därmed inte att betrakta som en annan aktör.

I förhållande till hittills gällande 2 kap. 6 § utvidgas kravet på säkerhetsskyddsavtal dessutom till att gälla oavsett vilken roll som verksamhetsutövaren har gentemot den andra aktören. Det spelar alltså exempelvis ingen roll om verksamhetsutövaren är beställare eller leverantör i ett avtalsförhållande. Skyldigheten att ingå säkerhetsskyddsavtal gäller liksom tidigare endast om förfarandet kan innebära att den andra aktören kan få tillgång till säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller annan säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet.

I andra stycket förtydligas att en verksamhetsutövare även är skyldig att ingå säkerhetsskyddsavtal med en underleverantör som anlitas för att fullgöra den andra aktörens förpliktelse mot verksamhetsutövaren. Kravet gäller dock endast under förutsättning att underleverantören genom sitt uppdrag kan få tillgång till säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller annan säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet.

128

Kravet på säkerhetsskyddsavtal enligt paragrafen innebär inte att ett visst förfarande är lämpligt att genomföra ur säkerhetsskyddssynpunkt om ett säkerhetsskyddsavtal ingås. Enligt 8 § krävs en särskild säkerhetsskyddsbedömning och en lämplighetsprövning innan ett förfarande som kräver säkerhetsskyddsavtal inleds.

I tredje stycket förtydligas vad som redan gäller enligt hittills gällande

2 kap 6 §, nämligen att ett säkerhetsskyddsavtal ska ingås innan motparten i säkerhetsskyddsavtalet kan få tillgång till den säkerhetskänsliga verksamheten. Det innebär t.ex. att ett säkerhetsskyddsavtal ska ingås innan ett upphandlingsförfarande eller en avtalsförhandling inleds, om motparten kan få tillgång till den säkerhetskänsliga verksamheten under upphandlingsförfarandet eller avtalsförhandlingen.

2 §

Paragrafen, som är ny, innehåller bestämmelser som begränsar statliga myndigheters skyldighet att ingå säkerhetsskyddsavtal. Övervägandena finns i avsnitt 6.2.

Av paragrafen framgår att en statlig myndighet endast har en skyldighet att ingå säkerhetsskyddsavtal med en annan statlig myndighet när det gäller ett förfarande om anskaffning av en vara, tjänst eller byggentreprenad. Även när det gäller sådana förfaranden krävs att motparten kan få tillgång till den säkerhetskänsliga verksamheten på det sätt som beskrivs i 1 § första stycket för att det ska finnas en skyldighet att ingå säkerhetsskyddsavtal. Ledning vid tolkning av begreppet anskaffning kan hämtas i upphandlingslagstiftningen. Bestämmelsen innebär motsatsvis att det inte finns en skyldighet för en statlig myndighet att ingå säkerhetsskyddsavtal inför ett samarbete eller en samverkan med en annan statlig myndighet.

3 §

Paragrafen, som är ny, reglerar vad ett säkerhetsskyddsavtal ska innehålla. Övervägandena finns i avsnitt 6.4.

Av paragrafens första stycke framgår att ett säkerhetsskyddsavtal ska innehålla de krav på motparten som behövs för att kraven på säkerhetsskydd ska kunna tillgodoses under förfarandet. Denna bestämmelse motsvarar i huvudsak en bestämmelse i hittills gällande 2 kap. 6 § första stycket. Kravet anpassas till att gälla alla aktörer – inte endast leverantörer

som en verksamhetsutövare kan ha ingått säkerhetsskyddsavtal med enligt 1 §. Vidare förtydligas att verksamhetsutövare inte bara har en skyldighet att reglera vilka motpartens åtaganden är, utan även att tillse att de krav som ställs på motparten gör att kraven på säkerhetsskydd kan tillgodoses under förfarandet.

Enligt andra stycket ska verksamhetsutövaren även se till att det i säkerhetsskyddsavtalet anges hur verksamhetsutövaren ska få kontrollera att motparten följer säkerhetsskyddsavtalet och att verksamhetsutövaren har rätt att revidera säkerhetsskyddsavtalet om det krävs på grund av ändrade förhållanden. Vilka befogenheter som verksamhetsutövaren behöver tillförsäkra sig i avtalet för att kunna genomföra en fullgod kontroll beror bl.a. på karaktären av det avtal, samarbete eller den samverkansform det är fråga om. Det kan i vissa fall vara tillräckligt att reglera hur

Prop. 2020/21:194

129

Prop. 2020/21:194

130

verksamhetsutövaren ska kunna kontrollera att motparten har genomfört en fullgod säkerhetsprövning av den personal som ska delta i den säkerhetskänsliga verksamheten. I andra fall kan det vara nödvändigt att reglera att verksamhetsutövaren ska ges tillträde till motpartens lokaler eller åtkomst till motpartens informationssystem i syfte att kontrollera att krav om fysisk säkerhet eller informationssäkerhet är uppfyllda på ett tillfredställande sätt.

4 §

Paragrafen, som är ny, innehåller bestämmelser om säkerhetsprövning enligt ett säkerhetsskyddsavtal. Övervägandena finns i avsnitt 6.3.

Enligt paragrafen tillämpas 3 kap. och föreskrifter som har meddelats i anslutning till bestämmelserna i det kapitlet vid säkerhetsprövning enligt ett säkerhetsskyddsavtal. Det innebär bl.a. att avtalet kan utgöra grund för krav på säkerhetsprövning av motpartens personal i enlighet med de bestämmelserna. Vidare innebär det att avtalet kan utgöra grund för beslut om att placera en anställning eller annat deltagande hos motparten i säkerhetsklass och följaktligen även för registerkontroll och särskild personutredning. Bestämmelsen gäller inte överenskommelser om säkerhetsskydd som har ingåtts utan att det finns krav på säkerhetsskyddsavtal enligt 1 §.

5 §

Paragrafen, som är ny, innehåller bestämmelser om kontroll och revidering av ett säkerhetsskyddsavtal. Övervägandena finns i avsnitt 6.4.

Av första stycket framgår att en verksamhetsutövare som har ingått ett säkerhetsskyddsavtal ska kontrollera att motparten följer avtalet och revidera avtalet om det krävs på grund av ändrade förhållanden. Kravet på att kontrollera att säkerhetsskyddsavtalet följs motsvarar i allt väsentligt hittills gällande 2 kap. 6 § andra stycket. Kravet anpassas till att gälla alla aktörer – inte endast leverantörer – som en verksamhetsutövare kan ha ingått säkerhetsskyddsavtal med enligt 1 §. Kravet på verksamhetsutövaren att se till att säkerhetsskyddsavtalet revideras om det krävs på grund av ändrade förhållanden är nytt. Som exempel kan ett säkerhetsskyddsavtal som har ingåtts i samband med inledandet av ett upphandlingsförfarande behöva revideras när ett affärsavtal ingås för att också vara ändamålsenligt under avtalstiden. Ett annat exempel kan vara att hotbilden har förändrats på ett sådant sätt att det behöver ställas andra krav på informationssäkerhet och fysisk säkerhet. Ett ytterligare exempel är att uppgifter med en högre säkerhetsskyddsklass har tillkommit i verksamheten eller att det med tiden har ackumulerats en sådan mängd säkerhetsskyddsklassificerade uppgifter hos motparten att det måste ställas högre krav på säkerhetsskydd. Det kan också förekomma att förhållandena ändrats på så sätt att det finns anledning att sänka kraven på säkerhetsskydd. De ändrade förhållandena måste ha bäring på de krav som ställs i säkerhetsskyddslagstiftningen för att regeln om revidering ska gälla.

Enligt andra stycket har verksamhetsutövaren en skyldighet att agera om motparten inte följer säkerhetsskyddsavtalet. Verksamhetsutövaren ska i sådant fall vidta de åtgärder som behövs för att tillgodose kraven på säkerhetsskydd. I vissa fall kan det räcka med att verksamhetsutövaren

påpekar bristerna och begär att motparten åtgärdar dessa. I andra fall kan det krävas att verksamhetsutövaren avbryter det förfarande som ger motparten tillgång till den säkerhetskänsliga verksamheten.

6 §

Paragrafen, som är ny, innehåller bemyndiganden. Övervägandena finns i avsnitt 6.2 och 13.

Enligt första stycket får regeringen eller den myndighet som regeringen bestämmer meddela ytterligare föreskrifter om säkerhetsskyddsavtal enligt 1 och 3–5 §§. Bestämmelsen motsvarar i huvudsak en bestämmelse i hittills gällande 2 kap. 15 §.

Andra stycket, som inte har någon tidigare motsvarighet, innehåller ett bemyndigande för regeringen att meddela föreskrifter om undantag från skyldigheten att ingå säkerhetsskyddsavtal enligt 1 §. Om det finns särskilda skäl får regeringen även besluta om sådana undantag i enskilda fall.

7 §

Paragrafen, som är ny, innehåller bestämmelser om särskild säkerhetsskyddsbedömning, lämplighetsprövning och samråd inför förfaranden som kräver säkerhetsskyddsavtal. Övervägandena finns i avsnitt 7.2 och 7.3.

Enligt första stycket ska en verksamhetsutövare som avser att genomföra ett förfarande som innebär krav på säkerhetsskyddsavtal göra en särskild säkerhetsskyddsbedömning och en lämplighetsprövning enligt 8 § samt samråda enligt 9 §. Hänvisningen till 1 § första stycket innebär att skyldigheterna inte gäller inför ett sådant anlitande av en underleverantör som innebär krav på säkerhetsskyddsavtal enligt 1 § andra stycket.

Andra stycket innehåller ett bemyndigande för regeringen att meddela föreskrifter om undantag från skyldigheterna i första stycket och, om det finns särskilda skäl, besluta om sådana undantag i enskilda fall.

Av tredje stycket följer att skyldigheterna enligt första stycket inte gäller för överlåtelser av säkerhetskänslig verksamhet och viss egendom som omfattas av motsvarande skyldigheter enligt 13–20 §§.

8 §

Paragrafen, som är ny, innehåller bestämmelser om särskild säkerhetsskyddsbedömning och lämplighetsprövning. Paragrafen motsvarar delvis hittills gällande 2 kap. 6 § säkerhetsskyddsförordningen. Övervägandena finns i avsnitt 7.2.

Av första stycket framgår att en verksamhetsutövare ska göra en särskild säkerhetsskyddsbedömning innan den inleder ett sådant förfarande som avses i 1 § första stycket. Det innebär att verksamhetsutövaren ska identifiera vilka säkerhetsskyddsklassificerade uppgifter eller vilken säkerhetskänslig verksamhet i övrigt som den andra aktören kan få tillgång till och som kräver säkerhetsskydd. Den särskilda säkerhetsskyddsbedömningen ska utgöra ett underlag för den lämplighetsprövning som ska göras och som regleras i andra stycket.

Enligt andra stycket ska verksamhetsutövaren, med utgångspunkt i den särskilda säkerhetsskyddsbedömningen och övriga omständigheter, pröva om det planerade förfarandet är lämpligt från säkerhetsskyddssynpunkt.

Prop. 2020/21:194

131

Prop. 2020/21:194 Verksamhetsutövaren ska därvid bl.a. beakta behovet av säkerhetsskydd och om det är möjligt att genom ett säkerhetsskyddsavtal uppnå ett tillräckligt säkerhetsskydd. Det kan finnas förfaranden som inte är lämpliga oavsett vilka säkerhetsskyddsåtgärder som vidtas, t.ex. på grund av att de involverar uppgifter som är så känsliga att de aldrig bör anförtros utomstående. Ett förfarande kan också vara olämpligt för att motparten finns i ett land där det saknas möjligheter till en ändamålsenlig säkerhetsprövning av motpartens personal och av personalen hos eventuella underleverantörer. Vidare kan svårigheter att bedöma om motparten har illojala syften med förfarandet, t.ex. mot bakgrund av ägarförhållandena hos motparten, medföra att förfarandet är olämpligt.

132

Lämplighetsprövningen ska baseras på säkerhetsskyddsanalysen och den särskilda säkerhetsskyddsbedömningen samt sådan information om exempelvis hotbilder och beroenden mellan verksamheter som verksamhetsutövaren skaffat sig eller fått från tillsynsmyndigheten.

Både den särskilda säkerhetsskyddsbedömningen och lämplighetsprövningen ska avse samtliga moment i det planerade förfarandet. Om det t.ex. är fråga om offentlig upphandling kan säkerhetsskyddsklassificerade uppgifter exponeras under såväl upphandlingsprocessen som efter det att affärsavtalet ingåtts. Verksamhetsutövaren behöver då alltså inkludera båda dessa moment i den särskilda säkerhetsskyddsbedömningen och lämplighetsprövningen.

Av tredje stycket framgår att den särskilda säkerhetsskyddsbedömningen och lämplighetsprövningen ska dokumenteras.

I fjärde stycket klargörs att verksamhetsutövaren inte får inleda det planerade förfarandet om lämplighetsprövningen enligt andra stycket leder till bedömningen att det är olämpligt från säkerhetsskyddssynpunkt.

9 §

Paragrafen, som är ny, innehåller bestämmelser om samråd. Paragrafen motsvarar delvis hittills gällande 2 kap. 6 § säkerhetsskyddsförordningen. Övervägandena finns i avsnitt 7.3.

Enligt första stycket ska verksamhetsutövaren, om lämplighetsprövningen enligt 8 § leder till bedömningen att det planerade förfarandet inte är olämpligt från säkerhetsskyddssynpunkt, i vissa fall samråda med tillsynsmyndigheten.

Av punkt 1 framgår att en skyldighet att samråda inträder om förfarandet innebär att den andra aktören kan få tillgång till säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen hemlig eller högre. Med ”den andra aktören” avses detsamma som ”annan aktör” i 1 § (se författningskommentaren till den paragrafen).

Av punkt 2 framgår att samrådsskyldighet också inträder om förfarandet kan ge den andra aktören tillgång till annan säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet som de säkerhetsskyddsklassificerade uppgifter som avses i första punkten. Det innebär att tillgången till verksamheten måste kunna medföra allvarlig skada för Sveriges säkerhet för att andra punkten ska vara tillämplig. Bestämmelsen omfattar bl.a. en situation då den andra aktören kan få tillgång till ett informationssystem och åtkomst till systemet kan medföra allvarlig skada för Sveriges säkerhet, t.ex. genom att systemet görs otillgängligt eller ska-

das. Den kan även omfatta situationer då en annan aktör ska utföra arbete vid en säkerhetskänslig verksamhet eller hyra en lokal i ett område där det bedrivs säkerhetskänslig verksamhet och då kan få tillgång till en säkerhetskänslig anläggning, byggnad eller utrustning.

Verksamhetsutövaren ska ta initiativ till samråd efter det att den särskilda säkerhetsskyddsbedömningen och lämplighetsprövningen har genomförts men innan det planerade förfarandet inleds. Det är dock viktigt, särskilt i fråga om offentliga upphandlingar, att verksamhetsutövaren inte endast fokuserar på det enskilda moment som kräver samråd utan att den ser det planerade förfarandet i dess helhet. Även om leverantören skulle få tillgång till säkerhetsskyddsklassificerade uppgifter först efter att den offentliga upphandlingen har genomförts, finns det i regel anledning att inleda samrådet innan upphandlingen har påbörjats. Detta eftersom verksamhetsutövaren kan drabbas av stora negativa konsekvenser om det under samrådet visar sig att t.ex. ytterligare säkerhetsskyddsåtgärder är nödvändiga som gör att verksamhetsutövaren måste ställa nya krav på leverantören och frångå det tidigare förfrågningsunderlaget.

En naturlig utgångspunkt är att verksamhetsutövaren inleder samrådet genom att ge in dokumentationen av den särskilda säkerhetsskyddsbedömningen och lämplighetsprövningen samt eventuellt utkast till säkerhetsskyddsavtal till tillsynsmyndigheten. Vilket ytterligare underlag som kan vara nödvändigt att ge in kan variera från fall till fall. När det är fråga om offentlig upphandling bör även upphandlingsdokument med bilagor ges in. Om det inte är fråga om en upphandling bör en beskrivning av det planerade förfarandet ges in, liksom eventuell dokumentation avseende förfarandet. I många fall kan verksamhetsutövaren även behöva ge tillsynsmyndigheten tillgång till relevanta delar av sin säkerhetsskyddsanalys.

Samrådet kan bl.a. omfatta frågan om förfarandet bör begränsas på något sätt för att inte vara olämpligt. Tillsynsmyndighetens prövning bör också innefatta en bedömning av vad ett förfarande kan innebära på längre sikt. Ett exempel på en fråga som kan behöva analyseras är hur omvärldsförändringar kan påverka lämpligheten i att en extern aktör har tillgång till säkerhetskänslig verksamhet. Hur omfattande samrådet behöver vara får avgöras med hänsyn till omständigheterna i det enskilda fallet.

Enligt andra stycket får tillsynsmyndigheten förelägga verksamhetsutövaren att vidta åtgärder för att fullgöra sina skyldigheter enligt lagen och föreskrifter som har meddelats i anslutning till den. Ett föreläggande kan innehålla anvisningar om vad verksamhetsutövaren behöver förbättra i fråga om säkerhetsskyddsåtgärder. Föreläggandet kan också innebära att verksamhetsutövaren vid en senare tidpunkt under samrådet ska återrapportera till tillsynsmyndigheten hur olika åtgärder har utförts.

Om tillsynsmyndigheten bedömer att syftet med samrådet har uppfyllts och att verksamhetsutövaren kan gå vidare med det planerade förfarandet bör myndigheten fatta beslut om att avsluta samrådet utan vidare åtgärd. I vilka fall tillsynsmyndigheten får besluta om förbud mot att inleda det planerade förfarandet regleras i 11§.

Utgångspunkten är att samrådet ska ha avslutats innan det planerade förfarandet inleds. Det innebär bl.a. att en offentlig upphandling som utgångspunkt får påbörjas först när samrådet har genomförts och under

Prop. 2020/21:194

133

Prop. 2020/21:194

134

förutsättning att tillsynsmyndigheten inte har fattat beslut om förbud enligt 11 §. Om tillsynsmyndigheten bedömer det som nödvändigt bör den dock kunna ge klartecken till att en upphandlingsprocess påbörjas och att samrådet ska pågå fortlöpande under upphandlingsprocessen.

10 §

Paragrafen, som är ny, innehåller bestämmelser om när tillsynsmyndigheten får inleda ett samråd. Övervägandena finns i avsnitt 7.3.

Enligt paragrafen får tillsynsmyndigheten inleda ett samråd om verksamhetsutövaren underlåter att göra det trots att samrådsskyldighet föreligger. Utgångspunkten är att verksamhetsutövaren ska ta initiativ till samrådet när det föreligger en samrådsskyldighet enligt 9 §. Det kan dock inträffa att tillsynsmyndigheten får kännedom om att någon avser att genomföra ett samrådspliktigt förfarande och att något samråd inte har inletts av verksamhetsutövaren. I en sådan situation kan tillsynsmyndigheten med stöd av bestämmelsen själv inleda ett samråd. Det som föreskrivs i 9 § andra stycket om förelägganden och 11 § om förbud gäller även i fråga om ett sådant samråd.

11 §

Paragrafen, som är ny, innehåller bestämmelser om när tillsynsmyndigheten får besluta att ett förfarande inte får genomföras (förbud). Övervägandena finns i avsnitt 7.3.

Av paragrafen framgår att tillsynsmyndigheten får besluta att det planerade förfarandet inte får genomföras om ett föreläggande inte följs eller om förfarandet är olämpligt från säkerhetsskyddssynpunkt även om ytterligare åtgärder vidtas.

Av 5 § förvaltningslagen (2017:900) följer att beslut om förbud får fattas bara om det är proportionerligt. En proportionalitetsbedömning ska göras i varje enskilt fall. Bedömningen ska bl.a. avse om det önskade resultatet kan uppnås på något annat och mindre ingripande sätt och om det avsedda resultatet står i rimligt förhållande till de olägenheter som kan antas uppstå för den som åtgärden riktas mot. Det kan exempelvis bli fråga om en avvägning mellan den potentiella skadan för Sveriges säkerhet och de ekonomiska skadorna för verksamhetsutövaren och den andra aktören. Av kravet på proportionalitet följer att möjligheten att förbjuda verksamhetsutövaren att genomföra ett visst förfarande är en sista utväg och ska användas restriktivt.

Så långt det är möjligt bör tillsynsmyndigheten sträva efter att eventuella problem ska hanteras genom samrådet och förelägganden. Det kan dock finnas fall där en verksamhetsutövare, trots förelägganden, inte vidtar de åtgärder som behövs för att förfarandet ska vara lämpligt från säkerhetsskyddssynpunkt. Det kan också finnas förfaranden som är olämpliga oavsett vilka säkerhetsskyddsåtgärder som vidtas. Ett exempel kan vara att det inte är möjligt att genomföra säkerhetsprövning av personalen hos den tänkta motparten. Ett annat kan vara att det i verksamheten förekommer säkerhetsskyddsklassificerade uppgifter som är så känsliga att det inte under några förhållanden är lämpligt att de förvaras utanför verksamhetsutövarens lokaler. Det kan vidare vara så att den tänkta motparten inte uppfyller de krav på tillförlitlighet som måste ställas när det är fråga om

säkerhetskänslig verksamhet, exempelvis på grund av dennes ägarför- Prop. 2020/21:194 hållanden.

12 §

Paragrafen, som är ny, innehåller bestämmelser om förelägganden som kan riktas mot en verksamhetsutövare eller dennes motpart under ett pågående förfarande som kräver säkerhetsskyddsavtal. Övervägandena finns i avsnitt 7.4.

Enligt paragrafen får tillsynsmyndigheten utfärda förelägganden mot en verksamhetsutövare och den andra aktören i ett pågående förfarande som omfattas av ett krav på säkerhetsskyddsavtal om förfarandet är olämpligt från säkerhetsskyddssynpunkt. Det kan t.ex. handla om en pågående utkontraktering eller ett annat pågående samarbete där ändrade förhållanden medfört att förfarandet helt eller delvis blivit olämpligt från säkerhetsskyddssynpunkt. Föreläggandet ska gå ut på att verksamhetsutövaren eller motparten åläggs att vidta de åtgärder som är nödvändiga för att förhindra skada för Sveriges säkerhet. Bestämmelsen innehåller inte några särskilda begränsningar om vad ett föreläggande ska avse, utan endast att syftet ska vara att förhindra skada för Sveriges säkerhet. Det kan alltså handla om allt från krav på mindre ingripande åtgärder, såsom t.ex. att verksamhetsutövaren ska återta kontrollen av vissa uppgifter, till krav på att avsluta ett visst samarbete helt eller delvis.

Det ställs inget uttryckligt krav i fråga om hur allvarlig den potentiella skadan för Sveriges säkerhet ska vara för att tillsynsmyndigheten ska få besluta förelägganden enligt paragrafen. Möjligheten att meddela förelägganden och valet av förelagd åtgärd begränsas dock av kravet på proportionalitet, som bl.a. kommer till uttryck i 5 § förvaltningslagen (se kommentaren till 11 § om innebörden av kravet). Den potentiella skadan för Sveriges säkerhet är ett viktigt kriterium vid proportionalitetsbedömningen. Ju mer ingripande åtgärd det handlar om, desto högre krav måste ställas i fråga om skadans allvar. En annan viktig faktor att beakta är om ingripandet faktiskt kommer att kunna leda till att skador förhindras.

Förelägganden enligt paragrafen får förenas med vite. I ett sådant fall är lagen (1985:206) om viten tillämplig.

13 §

Paragrafen, som är ny, innehåller bestämmelser om särskild säkerhetsskyddsbedömning, lämplighetsprövning och samråd inför vissa överlåtelser. Den motsvarar hittills gällande 2 kap. 7 § (prop. 2020/21:13 s. 39 f.). Övervägandena finns i avsnitt 13.

14 §

Paragrafen, som är ny, innehåller bestämmelser om särskild säkerhetsskyddsbedömning och lämplighetsprövning. Den motsvarar hittills gällande 2 kap. 8 § (prop. 2020/21:13 s. 41). Övervägandena finns i avsnitt 13.

135

Prop. 2020/21:194

136

15 §

Paragrafen, som är ny, innehåller bestämmelser om samråd. Den motsvarar hittills gällande 2 kap. 9 § (prop. 2020/21:13 s. 41 f.) med den ändringen att samråd ska ske med tillsynsmyndigheten, i stället för samrådsmyndigheten, och att tillsynsmyndigheten får besluta om åtgärdsförelägganden. Övervägandena finns i avsnitt 13.

16 §

Paragrafen, som är ny, innehåller bestämmelser om när tillsynsmyndigheten får inleda ett samråd. Den motsvarar hittills gällande 2 kap. 10 § (prop. 2020/21:13 s. 42) med den ändringen att det är tillsynsmyndigheten, i stället för samrådsmyndigheten, som får inleda ett samråd. Övervägandena finns i avsnitt 13.

17 §

Paragrafen, som är ny, innehåller bestämmelser om när tillsynsmyndigheten får besluta att en överlåtelse inte får genomföras (förbud). Den motsvarar hittills gällande 2 kap. 11 § (prop. 2020/21:13 s. 42 f.) med den ändringen att det är tillsynsmyndigheten, i stället för samrådsmyndigheten, som får fatta beslut om förbud. Övervägandena finns i avsnitt 13.

18 §

Paragrafen, som är ny, innehåller bestämmelser om ogiltighet och förbud i efterhand. Den motsvarar hittills gällande 2 kap. 12 § (prop. 2020/21:13 s. 43 f.) med den ändringen att det är tillsynsmyndigheten, i stället för samrådsmyndigheten, som får fatta beslut om förbud i efterhand. Övervägandena finns i avsnitt 13.

19 §

Paragrafen, som är ny, innehåller bestämmelser om förelägganden i samband med en ogiltig överlåtelse. Den motsvarar hittills gällande 2 kap. 13 § (prop. 2020/21:13 s. 44) med den ändringen att det är tillsynsmyndigheten, i stället för samrådsmyndigheten, som får besluta om förlägganden. Övervägandena finns i avsnitt 13.

20 §

Paragrafen, som är ny, innehåller bestämmelser om upplysningsskyldighet i samband med överlåtelse. Den motsvarar hittills gällande 2 kap. 14 § (prop. 2020/21:13 s. 44). Övervägandena finns i avsnitt 13.

6 kap.

1 §

Paragrafen, som är ny, innehåller bl.a. bestämmelser om vad tillsynsmyndighetens uppgift är och vilka aktörer som kan bli föremål för tillsyn. Den motsvarar delvis hittills gällande 5 kap. 4 § (prop. 2017/18:89 s. 156). Övervägandena finns i avsnitt 8.1.

Av första stycket framgår att regeringen bestämmer vilken eller vilka myndigheter som ska vara tillsynsmyndighet.

I andra stycket förtydligas att tillsynsmyndighetens uppgift är att utöva tillsyn över att verksamhetsutövare följer lagen och de föreskrifter som har meddelats i anslutning till den. Det anges vidare att tillsynsmyndigheten får utöva tillsyn hos den som har ingått säkerhetsskyddsavtal med en verksamhetsutövare. Bestämmelsen motsvarar hittills gällande 5 kap. 4 § andra stycket men anpassas till att omfatta alla de aktörer – inte enbart leverantörer – som verksamhetsutövare enligt 4 kap. 1 § kan ingå säkerhetsskyddsavtal med. I förhållande till den hittills gällande regleringen innehåller bestämmelsen också ett förtydligande av vad syftet med tillsynen hos dessa aktörer ska vara, nämligen att kontrollera att verksamhetsutövare uppfyller sina skyldigheter enligt säkerhetsskyddslagstiftningen.

2 §

Paragrafen, som är ny, reglerar tillsynsobjekts skyldighet att tillhandahålla tillsynsmyndigheten information. Övervägandena finns i avsnitt 8.3.

Informationsskyldigheten gäller för den som står under tillsyn. Som framgår av 1 § kan både verksamhetsutövare och den som har ingått säkerhetsskyddsavtal med en verksamhetsutövare vara föremål för tillsyn.

Skyldigheten gäller sådan information som behövs för tillsynen. Det kan t.ex. vara fråga om säkerhetsskyddsanalyser, särskilda säkerhetsskyddsbedömningar och lämplighetsprövningar, ingångna säkerhetsskyddsavtal och åtgärdsplaner. Det kan också handla om information som behövs för en bedömning av säkerheten i nätverk och informationssystem, inbegripet dokumenterade riktlinjer och rutiner, som används i den säkerhetskänsliga verksamheten.

3 §

Paragrafen, som är ny, reglerar tillsynsmyndighetens rätt att få tillträde till områden, lokaler och andra utrymmen. Övervägandena finns i avsnitt 8.3.

För att tillsynsmyndigheten ska ha rätt till tillträde krävs det att utrymmet används i verksamhet som omfattas av tillsyn enligt 1 § och att tillträdet behövs för tillsynen. Tillträdesrätten omfattar inte bostäder. Rätten motsvaras av en skyldighet för den som står under tillsyn att tillhandahålla det begärda tillträdet. Det intrång som tillträdet innebär måste stå i proportion till behovet av tillsynsåtgärden. Tillträdesrätten ger inte tillsynsmyndigheten rätt att bereda sig tillträde med tvång. Om den som står under tillsyn inte samarbetar kan dock tillsynsmyndigheten förelägga denne att ge tillträde vid äventyr av vite och i sista hand begära handräckning av Kronofogdemyndigheten, se 4 och 5 §§.

4 §

Paragrafen, som är ny, reglerar tillsynsmyndighetens möjlighet att besluta förelägganden om information och tillträde. Övervägandena finns i avsnitt 8.3.

Enligt paragrafen får tillsynsmyndigheten förelägga den som står under tillsyn att tillhandahålla information och ge tillträde enligt 2 och 3 §§. Som utgångspunkt ska dock tillsynsmyndigheten i första hand försöka få till

Prop. 2020/21:194

137

Prop. 2020/21:194 stånd frivillig rättelse. Ett beslut om föreläggande får förenas med vite. När vite föreläggs är lagen om viten tillämplig.

5 §

Paragrafen, som är ny, reglerar tillsynsmyndighetens möjlighet att begära handräckning av Kronofogdemyndigheten för att genomföra tillsynsåtgärder. Övervägandena finns i avsnitt 8.3.

Av paragrafen följer att tillsynsmyndigheten får begära handräckning av Kronofogdemyndigheten för att genomföra de åtgärder som avses i 2 och 3 §§. Vid sådan handräckning gäller bestämmelserna i utsökningsbalken om verkställighet av förpliktelser som inte avser betalningsskyldighet, avhysning eller avlägsnande. Det innebär att bestämmelserna i 16 kap. 11– 12 a §§ utsökningsbalken ska tillämpas, men också fler bestämmelser i samma balk, som t.ex. 2 kap. 17 §, där det bl.a. anges vilka befogenheter en förrättningsman har.

6 §

Paragrafen, som är ny, reglerar tillsynsmyndighetens möjlighet att besluta om åtgärdsförelägganden i samband med tillsyn. Övervägandena finns i avsnitt 9.2.1.

Enligt paragrafen får tillsynsmyndigheten besluta de förelägganden mot verksamhetsutövare som behövs för att de ska uppfylla sina skyldigheter enligt lagen och föreskrifter som har meddelats i anslutning till den. Ett föreläggande får förenas med vite. När vite föreläggs är lagen om viten tillämplig.

7 kap.

1 §

Paragrafen, som är ny, reglerar uttömmande vid vilka överträdelser en sanktionsavgift får tas ut av en verksamhetsutövare. Övervägandena finns i avsnitt 9.3.1.

Det är inte obligatoriskt att ta ut sanktionsavgift när en överträdelse har konstaterats, utan det är tillsynsmyndigheten som avgör om en avgift ska tas ut i det enskilda fallet. De omständigheter som särskilt ska beaktas vid den bedömningen anges i 3 §. Även statliga myndigheter, kommuner och regioner kan påföras sanktionsavgift.

Innan tillsynsmyndigheten tar ut en sanktionsavgift ska verksamhetsutövaren ges tillfälle att yttra sig. Detta följer av förvaltningslagen.

2 §

Paragrafen, som är ny, reglerar uttömmande vid vilka överträdelser en sanktionsavgift får tas ut av aktie- eller andelsägare. Övervägandena finns i avsnitt 9.3.1.

Det är inte obligatoriskt att ta ut sanktionsavgift när en överträdelse har konstaterats, utan det är tillsynsmyndigheten som avgör om avgift ska tas ut i det enskilda fallet. De omständigheter som särskilt ska beaktas vid den bedömningen anges i 3 §.

138

Innan tillsynsmyndigheten tar ut en sanktionsavgift ska aktie- eller andelsägaren ges tillfälle att yttra sig. Detta följer av förvaltningslagen.

3 §

Paragrafen, som är ny, reglerar vilka omständigheter som särskilt ska beaktas vid bedömningen av om någon sanktionsavgift ska tas ut. Övervägandena finns i avsnitt 9.3.4.

Enligt punkt 1 ska tillsynsmyndigheten särskilt beakta vilken skada eller sårbarhet för Sveriges säkerhet som uppstått till följd av överträdelsen. Det innebär att ju större skada eller sårbarhet som uppstått, desto mindre blir utrymmet att avstå från att ta ut avgift. Det kan vara lika allvarligt att det uppkommit en sårbarhet som kan få allvarliga konsekvenser som att det uppkommit en skada.

Enligt punkt 2 ska det särskilt beaktas om överträdelsen varit uppsåtlig eller berott på oaktsamhet. Bedömningen bör inte bara inbegripa handlande av någon i ledande ställning hos verksamhetsutövaren som lett till överträdelsen, utan även av andra som kan konstateras handla på verksamhetsutövarens vägnar, såsom en arbetstagare eller uppdragstagare.

Om en överträdelse varit avsiktlig bör det i princip vara uteslutet att avstå från att ta ut en sanktionsavgift. Tillvägagångssättet och om det varit fråga om systematiskt handlande har också betydelse. Det finns skäl att se särskilt allvarligt på överträdelser som har en tydlig karaktär av nonchalans mot regelverket eller som innebär att förfaranden som tidigare lett till påpekanden från tillsynsmyndigheten upprepas.

Om en överträdelse berott på oaktsamhet är det graden av oaktsamhet som påverkar vilket utrymme som finns att avstå från att ta ut en sanktionsavgift. Ju ringare oaktsamheten är, desto starkare skäl kan det finnas att avstå från att ta ut avgift. Om en verksamhetsutövare har gjort rimliga ansträngningar för att agera korrekt men felbedömt rättsläget är utrymmet att avstå från att ta ut en sanktionsavgift också större. Det kan dock inte uteslutas att en sanktionsavgift i vissa fall bör tas ut även om omständigheterna är förmildrande. Det kan vara fallet t.ex. om överträdelsen fått eller riskerat att få allvarliga konsekvenser för Sveriges säkerhet.

Enligt punkt 3 ska tillsynsmyndigheten ta särskild hänsyn till vad verksamhetsutövaren eller aktie- eller andelsägaren har gjort för att överträdelsen ska upphöra och för att begränsa dess verkningar. Det innebär att den omständigheten att verksamhetsutövaren eller aktie- eller andelsägaren snabbt har gjort rättelse eller vidtagit åtgärder för att begränsa en eventuell skada kan tala för att en sanktionsavgift inte ska tas ut. Detsamma gäller om denne aktivt har samarbetat med tillsynsmyndigheten. I motsatt riktning talar att en aktör har vidtagit åtgärder först efter påtryckningar från tillsynsmyndigheten eller har vägrat samarbeta med tillsynsmyndigheten.

Av punkt 4 framgår att den omständigheten att verksamhetsutövaren eller aktie- eller andelsägaren tidigare har begått en överträdelse kan anses vara försvårande. Det gäller särskilt om överträdelserna är likartade och ligger nära i tiden.

Uppräkningen i paragrafen är inte uttömmande, utan det kan finnas andra relevanta omständigheter som bör beaktas. Utöver de i paragrafen angivna omständigheterna kan hänsyn t.ex. behöva tas till hur länge över-

Prop. 2020/21:194

139

Prop. 2020/21:194 trädelsen har pågått. Det kan också vara relevant att beakta den överträdda bestämmelsens betydelse för tillsynsområdet.

4 §

Paragrafen, som är ny, fastställer minimi- och maximibelopp för sanktionsavgift. Övervägandena finns i avsnitt 9.3.3.

Av paragrafen framgår att det lägsta belopp som en sanktionsavgift ska bestämmas till är 25 000 kronor. Om det finns skäl att sätta ned avgiften med stöd av 6 § kan sanktionsavgiften dock bestämmas till ett ännu lägre belopp. Vidare framgår att det högsta belopp som en sanktionsavgift får bestämmas till skiljer sig åt beroende på vilken typ av aktör det är fråga om. Sanktionsavgiften för en statlig myndighet, kommun eller region får bestämmas till högst 10 miljoner kronor och för andra aktörer till högst 50 miljoner kronor.

Hur avgiftens storlek närmare ska bestämmas regleras i 5 §.

5 §

Paragrafen, som är ny, reglerar vilka omständigheter som särskilt ska beaktas när storleken på en sanktionsavgift bestäms. Övervägandena finns i avsnitt 9.3.4.

Av paragrafen framgår inledningsvis att de omständigheter som tillsynsmyndigheten enligt 3 § ska ta särskild hänsyn till vid bedömningen av om en sanktionsavgift över huvud taget ska tas ut, även ska beaktas när storleken på avgiften bestäms. Det innebär bl.a. att om en överträdelse är avsiktlig talar det för en högre avgift än i andra fall. Om överträdelsen har sin grund i oaktsamhet talar det däremot för en lägre sanktionsavgift, såvida inte oaktsamheten är grov. Det innebär också att ju större skada eller sårbarhet för Sveriges säkerhet som överträdelsen inneburit, desto mindre blir utrymmet att bestämma avgiften till ett lågt belopp. Vidare kan den omständigheten att den avgiftsskyldige snabbt har vidtagit rättelse eller samarbetat med tillsynsmyndigheten tala för en lägre avgift. Om den avgiftsskyldige tidigare har begått en överträdelse kan det motivera ett högre belopp, särskilt om överträdelserna är likartade och ligger nära i tiden.

Av paragrafen framgår också att tillsynsmyndigheten, utöver de omständigheter som anges i 3 §, särskilt ska beakta den vinst som den avgiftsskyldige gjort till följd av överträdelsen. Med uttrycket ”vinst” avses den ekonomiska fördel som erhållits, dvs. såväl de intäkter minskat med kostnader som överträdelsen inneburit som de förluster som undvikits till följd av överträdelsen.

Utöver de omständigheter som tillsynsmyndigheten ska ta särskild hänsyn till enligt paragrafen kan det finnas andra relevanta förhållanden som bör beaktas. Exempelvis kan det i vissa fall vara relevant att beakta hur länge en överträdelse pågått eller den avgiftsskyldiges finansiella ställning.

Om tillsynsmyndigheten ska ta ut sanktionsavgift för flera överträdelser, bör det totala beloppet i sanktionsavgift bestämmas med utgångspunkt i de samlade överträdelsernas allvar.

140

6 § Prop. 2020/21:194
Paragrafen, som är ny, innehåller en bestämmelse om eftergift av  
sanktionsavgift. Övervägandena finns i avsnitt 9.3.4.  
Enligt paragrafen får tillsynsmyndigheten sätta ned sanktionsavgiften,  
helt eller delvis, om överträdelsen är ringa eller ursäktlig eller om det  
annars med hänsyn till omständigheterna skulle vara oskäligt att ta ut  
sanktionsavgift. Det kan exempelvis vara oskäligt att ta ut en avgift om  
den avgiftsskyldige redan har drabbats av en sanktionsavgift enligt något  
annat regelverk för i princip samma brist. Det är däremot inte oskäligt att  
ta ut en sanktionsavgift när överträdelsen berott på att verksamhets-  
utövaren inte känt till reglerna eller överträdelsen berott på dålig ekonomi,  
tidsbrist eller bristande rutiner. Att överträdelsen berott på omständigheter  
utanför den avgiftsskyldiges kontroll kan i undantagsfall göra över-  
trädelsen ursäktlig och därför utgöra grund för eftergift.  
7 §  
Paragrafen, som är ny, innehåller bestämmelser som syftar till att förhindra  
att samma överträdelse blir föremål för dubbla prövningar och sanktioner.  
Övervägandena finns i avsnitt 9.3.5.  
Paragrafen innebär att en tillsynsmyndighet är förhindrad att besluta om  
sanktionsavgift om den har meddelat ett vitesföreläggande för samma  
överträdelse och en domstolsprocess har inletts om utdömande av vitet.  
8 §  
Paragrafen, som är ny, reglerar bl.a. den bortre tidsgränsen för när en  
sanktionsavgift får beslutas. Övervägandena finns i avsnitt 9.3.6.  
Första stycket innebär att om kommunikation enligt förvaltningslagen  
med den som avgiften ska tas ut av inte har skett inom två år från över-  
trädelsen, får en sanktionsavgift inte tas ut. Bevisbördan för att kommun-  
ikation har skett ligger på tillsynsmyndigheten.  
Av andra stycket framgår att ett beslut om sanktionsavgift ska delges  
den avgiftsskyldige. Det innebär att myndigheten ska använda sig av de  
metoder för delgivning som regleras i delgivningslagen (2010:1932) för  
att säkerställa att den som beslutet gäller får del av underrättelsen.  
9 och 10 §§  
Paragraferna, som är nya, innehåller bestämmelser om betalning och in-  
drivning av sanktionsavgifter. Övervägandena finns i avsnitt 9.3.6.  

8 kap.

3 §

Paragrafen innehåller en sekretessbrytande bestämmelse. Paragrafen motsvarar hittills gällande 5 kap. 3 § (prop. 2017/18:89 s.155 f.). Övervägandena finns i avsnitt 13.

Ändringarna är en följd av att 4 kap. betecknas om till 5 kap. och innebär inte någon ändring i sak.

141

Prop. 2020/21:194 4 §

Paragrafen, som är ny, innehåller bestämmelser om överklagande och motsvarar delvis hittills gällande 2 kap. 16 § (prop. 2020/21:13 s. 44). Övervägandena finns i avsnitt 10.

Av första stycket framgår att beslut om föreläggande under samråd eller vid tillsyn samt om sanktionsavgift får överklagas till Förvaltningsrätten i Stockholm och att tillsynsmyndigheten är motpart när beslut överklagas. Prövningstillstånd krävs vid överklagande till kammarrätten.

Enligt andra stycket får tillsynsmyndighetens beslut om förbud och förelägganden som avser en ogiltig överlåtelse eller ett pågående förfarande överklagas till regeringen.

Av tredje stycket framgår att andra beslut enligt lagen inte får överklagas.

Ikraftträdande- och övergångsbestämmelser

Övervägandena finns i avsnitt 14.

Punkt 1 föreskriver att lagen träder i kraft den 1 december 2021.

Enligt punkt 2 gäller äldre föreskrifter fortfarande för ärenden om samråd som har inletts före ikraftträdandet. Det innebär att ärenden om samråd i samband med överlåtelser och upphandlingar som har inletts före ikraftträdandet handläggs enligt äldre föreskrifter.

Enligt punkt 3 gäller upphävda 2 kap. 6 § för säkerhetsskyddsavtal som har ingåtts före ikraftträdandet. Det innebär att kraven enligt den paragrafen på ett säkerhetsskyddsavtals innehåll och hur det ska följas upp gäller för sådana avtal som har ingåtts före ikraftträdandet.

Enligt punkt 4 får en sanktionsavgift beslutas endast för överträdelser som har skett efter ikraftträdandet.

16.2Förslaget till lag om ändring i lagen (2014:514) om ansvar för vissa säkerhetsfrågor vid statsministerns tjänstebostäder

4 §

Paragrafen innehåller bestämmelser om samråd inför upphandling till egendom som används som tjänstebostad för statsministern. Övervägandena finns i avsnitt 13.

Ändringen är en följd av att bestämmelserna om krav på säkerhetsskyddsavtal flyttas från 2 kap. 6 § säkerhetsskyddslagen till 4 kap. 1 § samma lag och innebär inte någon ändring i sak.

142

16.3 Förslaget till lag om ändring i lagen (2019:109) Prop. 2020/21:194
  om säkerhetsskydd i riksdagen och dess
  myndigheter

11 §

Paragrafen innehåller bestämmelser om befogenhet att utfärda säkerhetsintyg och besluta om registerkontroll för personer som deltar i verksamhet vid riksdagen och myndigheter under riksdagen. Övervägandena finns i avsnitt 13.

Ändringarna är en följd av att 4 kap. säkerhetsskyddslagen betecknas om till 5 kap. och innebär inte någon ändring i sak.

143

Prop. 2020/21:194 Bilaga 1

Sammanfattning av betänkandet Kompletteringar till den nya säkerhetsskyddslagen (SOU 2018:82)

Utredningens uppdrag

Enligt kommittédirektiven ska utredningen:

kartlägga behovet av att förebygga att säkerhetsskyddsklassificerade uppgifter eller i övrigt säkerhetskänslig verksamhet utsätts för risker i samband med utkontraktering, upplåtelse och överlåtelse av sådan verksamhet, och föreslå olika förebyggande åtgärder, t.ex. tillståndsprövning,

föreslå ett system med sanktioner i säkerhetsskyddslagstiftningen,

föreslå hur en ändamålsenlig tillsyn enligt säkerhetsskyddslagstiftningen ska vara utformad, och

analysera och föreslå i vilken utsträckning verksamhetsutövare som bedriver säkerhetskänslig verksamhet ska vara skyldiga att ingå säkerhetsskyddsavtal vid överenskommelser med utomstående som berör den säkerhetskänsliga verksamheten.

Utredningens huvudsakliga förslag framgår nedan.

Skyldigheten att ingå säkerhetsskyddsavtal utvidgas

Enligt 2 kap. 6 § säkerhetsskyddslagen ska statliga myndigheter, kommuner och landsting som avser att genomföra en upphandling och ingå ett avtal om varor, tjänster eller byggentreprenader i vissa fall vara skyldiga att ingå ett säkerhetsskyddsavtal med leverantören. I avtalet ska det anges hur kraven på säkerhetsskydd ska tillgodoses. Skyldigheten att ingå säkerhetsskyddsavtal gäller även för enskilda verksamhetsutövare i motsvarande situationer.

Kravet på säkerhetsskyddsavtal omfattar inte alla relevanta situationer där säkerhetsskyddsklassificerade uppgifter eller i övrigt säkerhetskänslig verksamhet kan exponeras för utomstående. Ett exempel på detta kan vara olika former av samarbeten och samverkan som inte handlar om anskaffning av varor, tjänster eller byggentreprenader. Ett annat exempel kan vara situationer där det är leverantörens och inte beställarens skyddsvärden som behöver skyddas. Det finns också situationer där det är oklart om det gäller krav på säkerhetsskyddsavtal. Avsaknaden av krav på säkerhetsskyddsavtal i dessa fall ökar sannolikheten för att motparten inte vidtar de säkerhetsskyddsåtgärder som behövs, med risk för skada på Sveriges säkerhet.

Skyldigheten att ingå säkerhetsskyddsavtal bör därför utvidgas på så sätt att den också ska gälla för andra förfaranden än upphandlingar och andra anskaffningar. Den utvidgade skyldigheten innebär att den som bedriver säkerhetskänslig verksamhet (verksamhetsutövaren) ska ingå ett säkerhetsskyddsavtal så snart verksamhetsutövaren avser att genomföra en upphandling, ingå ett avtal eller inleda någon annan form av samverkan eller samarbete med en utomstående part, om förfarandet

144

4. innebär att den utomstående parten kan få tillgång till säkerhets- Prop. 2020/21:194
skyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell Bilaga 1
eller högre, eller  

5.i övrigt avser eller kan ge den utomstående parten tillgång till säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet.

Det finns däremot inte något påtagligt behov av att statliga myndigheter som samverkar eller samarbetar om något annat än en anskaffning ska vara skyldiga att ingå säkerhetsskyddsavtal och att en sådan skyldighet dessutom skulle ha nackdelar. Skyldigheten att ingå säkerhetsskyddsavtal föreslås därför inte gälla samarbeten och samverkan mellan två eller flera statliga myndigheter som avser något annat än en anskaffning av varor, tjänster och byggentreprenader.

Det bör vidare införas ett bemyndigande som gör att regeringen kan föreskriva om undantag från skyldigheten att ingå säkerhetsskyddsavtal, t.ex. när det gäller anskaffning mellan vissa myndigheter, och besluta om undantag i enskilda fall.

Förebyggande åtgärder i samband med utkontraktering, upplåtelse och vissa andra förfaranden

Utvecklingsbehovet

Utredningens kartläggning visar att det finns flera brister i säkerhetsskyddsarbetet som bl.a. yttrar sig vid utkontraktering av säkerhetskänslig verksamhet men också vid vissa upplåtelser och andra förfaranden där utomstående involveras i den säkerhetskänsliga verksamheten. Vissa av bristerna gäller säkerhetsskyddet generellt, t.ex. att verksamhetsutövaren inte tillämpar säkerhetsskyddsreglerna eller har bristande kunskap om sina skyddsvärden. Andra brister handlar specifikt om olika förfaranden där utomstående involveras i den säkerhetskänsliga verksamheten, däribland utkontraktering och upplåtelse men också andra förfaranden. Bristerna handlar om att man inte alltid prövar om förfarandet är lämpligt eller att det är svårt att pröva lämpligheten, att säkerhetsskyddsavtal kan vara bristfälliga, att man inte följer upp förfarandet medan det pågår och att det saknas tillräckliga möjligheter för samhället att ingripa mot förfaranden som är olämpliga från säkerhetsskyddssynpunkt.

En bred ansats

Med utgångspunkt i kartläggningen av utvecklingsbehovet föreslår utredningen ett antal förebyggande åtgärder som inte enbart är inriktade på utkontraktering och upplåtelse, utan som kan aktualiseras även vid vissa andra förfaranden med utomstående parter. Utredningen delar upp åtgärderna i steg, som den kallar kontrollstationer.

Kontrollstation 1 – Särskild säkerhetsbedömning och egen lämplighetsprövning

Den första kontrollstationen gäller för den som bedriver säkerhetskänslig verksamhet och som avser att genomföra ett förfarande som kräver säker-

145

Prop. 2020/21:194 Bilaga 1

146

hetsskyddsavtal. Innan förfarandet inleds ska verksamhetsutövaren genom en särskild säkerhetsbedömning identifiera vilka säkerhetsskyddsklassificerade uppgifter eller vilken säkerhetskänslig verksamhet i övrigt som den utomstående parten kan få tillgång till och som kräver säkerhetsskydd. Med utgångspunkt i den särskilda säkerhetsbedömningen och övriga omständigheter ska verksamhetsutövaren pröva om det planerade förfarandet är lämpligt från säkerhetsskyddssynpunkt (lämplighetsprövning).

Om lämplighetsprövningen leder till bedömningen att det planerade förfarandet är olämpligt från säkerhetsskyddssynpunkt, får det inte inledas. Den särskilda säkerhetsbedömningen och lämplighetsprövningen ska dokumenteras.

Kontrollstation 2 – Samråd, förelägganden och förbud

Den andra kontrollstationen går bl.a. ut på att verksamhetsutövare som planerar att inleda ett förfarande i vissa fall ska samråda med tillsynsmyndigheten. Samrådsskyldigheten gäller om det planerade förfarandet innebär krav på säkerhetsskyddsavtal, och

1.innebär att den utomstående parten kan få tillgång till eller möjlighet att förvara säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen hemlig eller högre utanför verksamhetsutövarens lokaler,

2.utgör en upplåtelse som kan ge den utomstående parten tillgång till säkerhetskänslig verksamhet i övrigt av motsvarande betydelse för Sveriges säkerhet, eller

3.ger den utomstående parten tillgång till informationssystem utanför verksamhetsutövarens lokaler och åtkomst till systemen kan medföra allvarlig skada för Sveriges säkerhet.

I den andra kontrollstationen ingår även en möjlighet för tillsynsmyndigheten att förelägga verksamhetsutövaren att vidta åtgärder enligt säkerhetsskyddslagen och de föreskrifter som har meddelats i anslutning till lagen. Om ett föreläggande inte följs eller om tillsynsmyndigheten bedömer att det planerade förfarandet är olämpligt från säkerhetsskyddssynpunkt även om ytterligare åtgärder vidtas, får tillsynsmyndigheten besluta att verksamhetsutövaren inte får genom det planerade förfarandet. Ett föreläggande eller förbud får bara beslutas om skälen för åtgärden uppväger den skada eller annan olägenhet som åtgärden medför för allmänna eller enskilda intressen.

Ett föreläggande ska få överklagas till Förvaltningsrätten i Stockholm, varvid tillsynsmyndigheten bör vara motpart. Prövningstillstånd ska krävas vid överklagande till kammarrätten. Ett förbud föreslås få överklagas till regeringen. Enskilda kan begära att regeringens beslut prövas enligt lagen (2006:304) om rättsprövning av vissa regeringsbeslut.

Förslagen bygger på att verksamhetsutövaren själv är skyldig att initiera samrådet. Det kan dock förekomma att en verksamhetsutövare försummar att göra det, antingen medvetet eller av förbiseende.

Kontrollstation 3

Den tredje kontrollstationen är en sorts ”nödbroms”, som innebär en möjlighet för tillsynsmyndigheten att ingripa mot ett pågående förfarande,

t.ex. en pågående utkontraktering eller ett annat pågående samarbete. Om Prop. 2020/21:194
ett sådant pågående förfarande som omfattas av ett krav på säkerhets- Bilaga 1
skyddsavtal är olämpligt från säkerhetsskyddssynpunkt, får tillsynsmyn-  
digheten förelägga verksamhetsutövaren eller den utomstående parten i  
förfarandet att vidta de åtgärder som är nödvändiga för att förhindra skada  
för Sveriges säkerhet. Föreläggandet kan bl.a. innebära ett krav på att hela  
eller delar av förfarandet ska upphöra. Ett föreläggande får bara beslutas  
om skälen för åtgärden uppväger den skada eller annan olägenhet som  
åtgärden medför för allmänna eller enskilda intressen.  
Föreläggandet får förenas med vite och får överklagas till regeringen.  
Förtydligade krav på uppföljning  
Det är av stor vikt att verksamhetsutövare följer upp pågående utkontrakt-  
eringar och andra pågående samarbeten och förfaranden där det har ingåtts  
ett säkerhetsskyddsavtal. Verksamhetsutövaren ska därför både ha rätt och  
en skyldighet att revidera säkerhetsskyddsavtalet om det krävs på grund  
av ändrade förhållanden.  

Förebyggande åtgärder i samband med överlåtelse av säkerhetskänslig verksamhet och egendom med betydelse för Sveriges säkerhet

Utvecklingsbehovet

Överlåtelser av säkerhetskänslig verksamhet och egendom som har betydelse för Sveriges säkerhet kan medföra sårbarheter för Sveriges säkerhet. Till skillnad från andra förfaranden så som utkontraktering och upplåtelse innebär överlåtelser dessutom att den som tidigare bedrivit verksamheten förlorar möjligheten att påverka hur den säkerhetskänsliga verksamheten och de säkerhetsskyddsklassificerade uppgifterna kommer att användas efter överlåtelsen. Det är problematiskt att det inte finns någon uttrycklig skyldighet för verksamhetsutövaren att pröva lämpligheten av en överlåtelse av hela eller delar av verksamheten eller av egendom i verksamheten som har betydelse för Sveriges säkerhet. Det är även problematiskt att det inte finns några möjligheter för samhället att ingripa mot överlåtelser som är olämpliga från säkerhetsskyddssynpunkt.

Kontrollstation 1 och 2 tillämpas även vid vissa överlåtelser

Utredningen föreslår att kontrollstation 1 och 2 ska gälla även när en verksamhetsutövare som omfattas av säkerhetsskyddslagen avser att överlåta

1.hela eller någon del av den säkerhetskänsliga verksamheten, eller

2.någon egendom i den säkerhetskänsliga verksamheten som har betydelse för Sveriges säkerhet eller för ett för Sverige förpliktande internationellt åtagande om säkerhetsskydd.

Om dessa förutsättningar är uppfyllda ska verksamhetsutövaren genomföra en särskild säkerhetsbedömning och lämplighetsprövning och därefter samråda med tillsynsmyndigheten, som får förelägga överlåtaren att vidta åtgärder enligt säkerhetsskyddslagen och de föreskrifter som har med-

147

Prop. 2020/21:194 Bilaga 1

delats i anslutning till lagen. Om ett föreläggande inte följs eller om tillsynsmyndigheten bedömer att överlåtelsen är olämplig från säkerhetsskyddssynpunkt även om ytterligare åtgärder vidtas, får tillsynsmyndigheten besluta att överlåtelsen inte får genomföras. En skillnad i förhållande till utkontraktering, upplåtelse och vissa andra förfaranden är att samrådet vid överlåtelse även får avslutas med ett föreläggande som innebär att överlåtelsen endast får genomföras på vissa villkor, vid påföljd att överlåtelsen annars är ogiltig.

Kontrollstation 2 ska gälla även den som avser att överlåta aktier eller andelar i säkerhetskänslig verksamhet. Skälet är bl.a. att det annars blir för lätt att kringgå reglerna. Kraven föreslås dock inte gälla i fråga om den som avser att överlåta aktier i publika aktiebolag.

Även dessa förelägganden ska få överklagas till Förvaltningsrätten i Stockholm, varvid tillsynsmyndigheten bör vara motpart. Förbud ska få överklagas till regeringen.

Liksom när det gäller utkontraktering m.m. är den samrådsskyldige som ska inleda samrådet, men det ska vara tillåtet för tillsynsmyndigheten att initiera samrådet om förutsättningarna för samrådsskyldighet är uppfyllda.

Vissa överlåtelser ska anses ogiltiga

Överlåtelse av säkerhetskänslig verksamhet eller egendom ska vara ogiltig om den har genomförts trots att tillsynsmyndigheten förbjudit överlåtelsen. Samma sak föreslås gälla om samrådet har avslutats med ett föreläggande vid påföljd av ogiltighet och överlåtelsen genomförts i strid med de villkor som ställts upp i föreläggandet.

Om en samrådspliktig överlåtelse har genomförts utan samråd och förutsättningarna för ett förbud enligt kontrollstation 2 är uppfyllda, ska tillsynsmyndigheten ska kunna förbjuda överlåtelsen i efterhand. Även i det fallet ska överlåtelsen ska ogiltig.

Om en överlåtelse är ogiltig ska tillsynsmyndigheten ha en möjlighet att meddela de förelägganden mot överlåtaren och förvärvaren som behövs för att förhindra skada för Sveriges säkerhet, och att förena föreläggandet med vite.

Förelägganden och förbud ska få överklagas till regeringen.

En ändrad anmälningsplikt

Anmälningsplikten vid överlåtelser av säkerhetskänslig verksamhet enligt 2 kap. 9 § första stycket säkerhetsskyddsförordningen ersätts av en annan anmälningsplikt. Den nya anmälningsplikten ska gälla för en verksamhetsutövare som får kännedom om att någon annan planerar att överlåta eller har överlåtit säkerhetskänslig verksamhet eller sådan egendom i verksamheten som har betydelse för Sveriges säkerhet eller för ett för Sverige förpliktande åtagande om säkerhetsskydd. Verksamhetsutövaren ska i sådana fall skyndsamt anmäla förhållandet till tillsynsmyndigheten.

Tvångsåtgärder

Tillsynsmyndigheten ska kunna ansöka om att Stockholm tingsrätt ska besluta om sådana tvångsåtgärder som avses i 15 kap. 1–3 §§ rättegångs-

balken, dvs. bland annat kvarstad, när det gäller beslut om förelägganden

148

och förbud i samband med utkontraktering, upplåtelse, överlåtelse och Prop. 2020/21:194
vissa andra förfaranden Ansökan ska kunna beviljas om tvångsåtgärden Bilaga 1
behövs för att ändamålet med förbudet eller föreläggandet inte ska  
motverkas och det är proportionerligt med en sådan tvångsåtgärd. En  
tvångsåtgärd ska kunna beslutas även om föreläggandet eller förbudet inte  
fått laga kraft.  
Tillsynsmyndigheten åläggs vidare en skyldighet att genast meddela  
rätten när syftet med en tvångsåtgärd har uppnåtts, eller det av någon  
annan anledning inte längre finns skäl för åtgärden. Rätten ska omedelbart  
upphäva åtgärden om det inte längre finns skäl för den och ska ompröva  
åtgärden med fyra veckors mellanrum. Åtgärden får inte upphävas utan  
hörande av tillsynsmyndigheten.  

En förbättrad tillsyn med utökade befogenheter

Utvecklingsbehovet

Det är varken definierat eller avgränsat vad tillsynen inom säkerhetsskyddet syftar till och avser. Ingen myndighet har en samlad bild över tillsynen. Det saknas vidare reglering om hur tillsynsmyndigheterna ska utbyta hotinformation med Säkerhetspolisen och Försvarsmakten.

Själva tillsynen har vidare hittills bedrivits i alltför begränsad omfattning. Dessutom saknar tillsynsmyndigheterna de befogenheter som krävs för att de ska kunna genomföra en effektiv tillsyn och åstadkomma rättelse. Tillsynskompetensen behöver öka hos många tillsynsmyndigheter och det behöver skapas en överblick över vilka tillsynsobjekt som finns inom respektive tillsynsområde.

Säkerhetspolisen och Försvarsmakten blir samordningsmyndigheter

Med utgångspunkt i utvecklingsbehovet föreslår utredningen att Säkerhetspolisen och Försvarsmakten ska vara samordningsmyndigheter. I denna roll ligger att de ska ansvara för att följa upp, utvärdera och utveckla tillsynsarbetet, i samråd utveckla och tillhandahålla metodstöd för tillsyn, verka för erfarenhetsutbyte och förmedla relevant hotinformation till tillsynsmyndigheterna.

En utvecklad tillsynsstruktur

Utredningen föreslår också en delvis ny tillsynsstruktur.

Den nya strukturen innebär bl.a. att Säkerhetspolisens och Försvarsmakten i huvudsak ska vara samordningsmyndigheter och endast ha tillsyn över de allra mest skyddsvärda verksamheterna.

Dessutom ska det finnas en tillsynsmyndighet för varje sakområde där det typiskt sett bedrivs säkerhetskänslig verksamhet. Ett antal myndigheter får fortsatt ansvar för att bedriva tillsyn enligt nya säkerhetsskyddslagen, nämligen Försvarsmakten, Säkerhetspolisen, Affärsverket svenska kraftnät, Transportstyrelsen, Post och telestyrelsen samt länsstyrelserna i Stockholms, Skåne, Västra Götalands och Norrbottens län. De övriga länsstyrelserna som är tillsynsmyndigheter i dag ska inte längre ska vara tillsynsmyndigheter. Vidare ska Försvarets materielverk, Finansinspek-

149

Prop. 2020/21:194 Bilaga 1

150

tionen, Statens energimyndighet och Strålsäkerhetsmyndigheten bli nya tillsynsmyndigheter.

Dessutom ska det förtydligas i säkerhetsskyddslagen att tillsynen går ut på kontroll av att säkerhetsskyddslagen och föreskrifter som har meddelats i anslutning till lagen följs.

Säkerhetspolisen och Försvarsmakten kan ta över tillsynsansvaret

I vissa situationer finns det ett behov av att Säkerhetspolisen eller Försvarsmakten utövar tillsyn över ett tillsynsobjekt som ligger under någon annan myndighets ordinarie tillsynsansvar. Ett exempel kan vara när det på grund av förändrade omständigheter är nödvändigt för att snabbt kunna agera och se till att åtgärder vidtas. Ett annat exempel kan vara att det inom ramen för ett samrådsförfarande inför t.ex. en utkontraktering eller överlåtelse av säkerhetskänslig verksamhet uppmärksammas att ärendet inrymmer särskilt känsliga uppgifter som inte bör hanteras av den ordinarie tillsynsmyndigheten. Säkerhetspolisen och Försvarsmakten föreslås därför få möjlighet att ta över tillsynsansvaret över tillsynsobjekt som tillhör en annan tillsynsmyndighets ansvarsområde om det finns särskilda skäl. När det inte längre finns skäl för övertagandet ska tillsynsansvaret enligt förslaget återgå till tillsynsmyndigheten.

Tillsynsmyndigheterna får nya undersökningsbefogenheter

I syfte att förstärka och effektivisera tillsynen ska tillsynsmyndigheterna få nya undersökningsbefogenheter och dessutom en informationsskyldighet för tillsynsobjekten. Tillsynsmyndigheten ges rätt att

i den omfattning det behövs för tillsynen få tillträde till områden, lokaler och andra utrymmen, dock inte bostäder, som används i verksamhet som omfattas av tillsyn,

begära handräckning av Kronofogdemyndigheten för att genomföra tillsynsåtgärder, och

förelägga den som står under tillsyn att tillhandahålla information och att ge tillträde till lokaler och liknande och att förena föreläggandet med vite.

Vidare införs en uttrycklig skyldighet för den som står under tillsyn att på begäran ge tillsynsmyndigheten den information som behövs för tillsynen.

Tillsynsmyndigheten får meddela åtgärdsförelägganden för att åstadkomma rättelse

Tillsynsmyndigheten ska få besluta de förelägganden som behövs för att de som omfattas av tillsyn enligt säkerhetsskyddslagen ska fullgöra skyldigheter enligt lagen eller föreskrifter som har meddelats i anslutning till den (åtgärdsföreläggande) och att sådana förelägganden ska få förenas med vite.

Förelägganden som utfärdas i samband med tillsyn ska kunna överklagas till Förvaltningsrätten i Stockholm, varvid tillsynsmyndigheten bör vara motpart. Prövningstillstånd ska krävas vid överklagande till kammarrätten.

Förbättrad överblick över tillsynsobjekten

Det krävs en samlad bild över den säkerhetskänsliga verksamhet som bedrivs inom respektive ansvarsområde för att tillsynsmyndigheten ska kunna planera och bedriva en effektiv tillsyn. Den som bedriver säkerhetskänslig verksamhet åläggs därför en skyldighet att utan dröjsmål anmäla detta till tillsynsmyndigheten, och att även utan dröjsmål anmäla när den säkerhetskänsliga verksamheten upphör. Tillsynsmyndigheten ska också genom en systematisk och regelbunden kartläggning identifiera de verksamheter inom tillsynsmyndighetens ansvarsområde som omfattas av säkerhetsskyddslagen och hålla en uppdaterad förteckning över dessa.

Prop. 2020/21:194 Bilaga 1

Ett system med sanktioner

Tillsynsmyndigheten ska kunna ta ut sanktionsavgift vid vissa överträdelser

Utredningen föreslår att tillsynsmyndigheten ska ta ut en sanktionsavgift av verksamhetsutövare som underlåter att uppfylla vissa centrala skyldigheter såsom att anmäla att den säkerhetskänsliga verksamheten bedrivs eller har upphört, vidta säkerhetsskyddsåtgärder, säkerhetsskyddsklassificera uppgifter, kontrollera säkerhetsskyddet i den egna verksamheten eller att fullgöra anmälnings eller rapporteringsplikt, ingå ett säkerhetsskyddsavtal eller som ingår ett säkerhetsskyddsavtal som är bristfälligt i väsentlig mån, eller utse en säkerhetsskyddschef.

Sanktionsavgift ska också tas ut av en verksamhetsutövare som inleder ett förfarande eller genomför en samrådspliktig överlåtelse i strid med ett meddelat förbud eller utan att fullgöra samrådsskyldigheten. Detsamma föreslås gälla en verksamhetsutövare som genomför en överlåtelse i strid med villkor som meddelats i samband med att samrådet avslutades. Även en verksamhetsutövare som lämnar oriktiga uppgifter i samband med tillsyn eller samråd ska kunna åläggas sanktionsavgift. Dessutom ska sanktionsavgift tas ut av en aktie eller andelsägare som genomför en överlåtelse utan att fullgöra sin samrådsskyldighet eller i strid med ett meddelat förbud eller villkor, eller som lämnar oriktiga uppgifter vid samrådet.

Sanktionsavgift ska alltid tas ut

Sanktionsavgifter ska bygga på strikt ansvar och att det ska vara obligatoriskt att ta ut sanktionsavgift när en bestämmelse i säkerhetsskyddslagstiftningen som kan föranleda avgift har överträtts.

Sanktionsavgiftens storlek

Avgiften ska bestämmas till lägst 5 000 kronor och högst 10 miljoner kronor. När sanktionsavgiftens storlek bestäms i det enskilda fallet ska särskild hänsyn ska tas till den skada eller sårbarhet för Sveriges säkerhet som uppstått till följd av överträdelsen, till om den avgiftsskyldige tidigare begått en överträdelse och till de kostnader som den avgiftsskyldige undvikit till följd av överträdelsen. Sanktionsavgiften ska kunna efterges helt eller delvis om överträdelsen är ringa eller ursäktlig eller om det

151

Prop. 2020/21:194 Bilaga 1

annars med hänsyn till omständigheterna skulle vara oskäligt att ta ut avgiften.

Hinder mot sanktionsavgift

Tillsynsmyndigheten ska dock inte få ingripa med sanktionsavgift om överträdelsen omfattas av ett föreläggande om vite och överträdelsen ligger till grund för en ansökan om utdömande av vitet.

Förfarandet vid beslut om sanktionsavgift

Sanktionsavgift ska inte få beslutas om den som anspråket riktas mot inte har getts tillfälle att yttra sig inom två år efter överträdelsen. Ett beslut om sanktionsavgift ska delges. Sanktionsavgiften ska betalas till tillsynsmyndigheten inom 30 dagar från det att beslutet om att ta ut avgiften har fått laga kraft eller inom den längre tid som anges i beslutet. Om sanktionsavgiften inte betalas inom denna tid, ska tillsynsmyndigheten lämna den obetalda avgiften för indrivning. Vid indrivning ska verkställighet få ske enligt utsökningsbalken. En beslutad sanktionsavgift ska falla bort till den del beslutet om avgiften inte har verkställts inom fem år från det att beslutet fick laga kraft. Sanktionsavgifter ska tillfalla staten. Beslutet ska få överklagas till Förvaltningsrätten i Stockholm, varvid tillsynsmyndigheten är motpart. Prövningstillstånd ska krävas vid överklagande till kammarrätten.

Övriga förslag

Utredningen lämnar även vissa andra förslag, däribland om skärpta krav på uppdatering av säkerhetsskyddsanalys och en förtydligad koppling mellan säkerhetsskyddsavtal och säkerhetsprövning. Mot bakgrund av att säkerhetsskyddsfrågor ofta får en alltför undanskymd roll i verksamheten föreslås också att alla säkerhetskänsliga verksamheter ska ha en säkerhetsskyddschef, om det inte är uppenbart obehövligt. Vidare förtydligas säkerhetsskyddschefens roll genom att det ställs krav på att säkerhetsskyddschefen ska vara direkt underställd den person som är ansvarig för verksamhetsutövarens verksamhet.

152

Betänkandets lagförslag

Förslag till lag om ändring i säkerhetsskyddslagen (2018:585)

Härigenom föreskrivs beträffande säkerhetsskyddslagen (2018:585) dels att 2 kap. 6 och 7 §§, 5 kap. 4 § och rubriken närmast 5 kap. 4 § ska

ha följande lydelse,

dels att det ska införas tre nya kapitel, 2 a kap., 4 a kap. och 4 b kap. och fem nya paragrafer, 2 kap. 1 a, 6 a–6 c §§ och 5 kap. 6 § av följande lydelse och närmast 5 kap. 6 § en ny rubrik av följande lydelse,

dels att det ska införas nya ikraftträdande- och övergångsbestämmelser av följande lydelse.

Lydelse fr.o.m. den 1 april 2019 Föreslagen lydelse

2 kap.

1 a §

Den som bedriver säkerhetskänslig verksamhet ska utan dröjsmål anmäla detta till den myndighet som enligt 4 a kap. 1 § första stycket utövar tillsyn över verksamheten (tillsynsmyndigheten).

När den säkerhetskänsliga verksamheten upphört ska verksamhetsutövaren utan dröjsmål anmäla detta till tillsynsmyndigheten.

6 §

Prop. 2020/21:194 Bilaga 2

Statliga myndigheter, kommuner och landsting som avser att genomföra en upphandling och ingå ett avtal om varor, tjänster eller byggentreprenader ska se till att det i ett säkerhetsskyddsavtal anges hur kraven på säkerhetsskydd enligt 1 § ska tillgodoses av leverantören om

1.det i upphandlingen förekommer säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller

2.upphandlingen i övrigt avser eller ger leverantören tillgång till säkerhetskänslig verksamhet av

motsvarande betydelse för Sveriges säkerhet.

Den som bedriver säkerhetskänslig verksamhet och som avser att genomföra en upphandling, ingå ett avtal eller inleda någon annan form av samverkan eller samarbete med en utomstående part ska ingå ett säkerhetsskyddsavtal med den utomstående parten om förfarandet

1.innebär att den utomstående parten kan få tillgång till säkerhetsskyddsklassificerade uppgifter i

säkerhetsskyddsklassen konfidentiell eller högre, eller

2.i övrigt avser eller kan ge den utomstående parten tillgång till säkerhetskänslig verksamhet av

motsvarande betydelse för Sveriges säkerhet.

153

Prop. 2020/21:194 Bilaga 2

154

Verksamhetsutövaren ska kontrollera att leverantören följer säkerhetsskyddsavtalet.

Det som anges i första och andra styckena gäller även för enskilda verksamhetsutövare som ingår avtal om varor, tjänster och byggentreprenader med utomstående leverantörer.

Det som anges i första stycket gäller inte samverkan och samarbeten mellan statliga myndigheter som avser något annat än en anskaffning av en vara, tjänst eller byggentreprenad.

Bestämmelserna om säkerhetsprövning i 3 kap. får tillämpas när ett säkerhetsskyddsavtal har ingåtts.

6 a §

I ett säkerhetsskyddsavtal ska det anges

1.hur kraven på säkerhetsskydd enligt 1 § ska tillgodoses av den utomstående parten, och

2.att verksamhetsutövaren har rätt att revidera säkerhetsskyddsavtalet om det krävs på grund av ändrade förhållanden.

6 b §

Den verksamhetsutövare som avses i 6 § ska kontrollera att den utomstående parten följer säkerhetsskyddsavtalet och se till att säkerhetsskyddsavtalet revideras om det krävs på grund av ändrade förhållanden.

6 c §

Vid en verksamhet som omfattas av lagen ska det finnas en säkerhetsskyddschef, om det inte är uppenbart obehövligt.

Säkerhetsskyddschefen ska leda och samordna säkerhetsskyddsarbetet samt kontrollera att verksamheten bedrivs i enlighet med vad som föreskrivs i denna lag och de föreskrifter som meddelats i anslutning till lagen. Detta ansvar får inte delegeras.

Säkerhetsskyddschefen ska vara direkt underställd den person som är ansvarig för verksamhetsutövarens verksamhet.

7 § Prop. 2020/21:194
Regeringen eller den myndighet som regeringen bestämmer får meddela Bilaga 2
ytterligare föreskrifter om säkerhetsskyddsanalys samt anmälnings- och  
rapporteringsskyldighet enligt 1 §, säkerhetsskyddsåtgärder enligt 2–4 §§,  
säkerhetsskyddsklassificering enligt 5 § och säkerhetsskyddsavtal enligt  
6 §.  

Regeringen får meddela föreskrifter om undantag från skyldigheten att ingå säkerhetsskyddsavtal enligt 6 § samt i enskilda fall besluta om undantag från denna skyldighet.

2 a kap. Skyldigheter och befogenheter i samband med vissa förfaranden

Proportionalitet

1 §

Ett föreläggande eller förbud enligt detta kapitel eller en åtgärd enligt 12 § får bara beslutas om skälen för åtgärden uppväger den skada eller annan olägenhet som åtgärden medför för allmänna eller enskilda intressen.

Upphandling och vissa andra förfaranden

2 §

Den som bedriver säkerhetskänslig verksamhet och avser att genomföra ett förfarande som innebär ett krav på säkerhetsskyddsavtal enligt 2 kap. 6 § ska, innan förfarandet inleds,

1.identifiera vilka säkerhets-

skyddsklassificerade uppgifter eller vilken säkerhetskänslig verksamhet i övrigt som den utomstående parten kan få tillgång till och som kräver säkerhetsskydd (särskild säkerhetsbedömning), och

2.med utgångspunkt i den särskilda säkerhetsbedömningen och övriga omständigheter pröva om det planerade förfarandet är

155

Prop. 2020/21:194 Bilaga 2

156

lämpligt från säkerhetsskyddssynpunkt (lämplighetsprövning).

Om lämplighetsprövningen leder till bedömningen att det planerade förfarandet är olämpligt från säkerhetsskyddssynpunkt, får det inte inledas.

Den särskilda säkerhetsbedömningen och lämplighetsprövningen ska dokumenteras.

3 §

Innan en verksamhetsutövare inleder ett förfarande som innebär krav på säkerhetsskyddsavtal enligt 2 kap. 6 § ska verksamhetsutövaren samråda med den myndighet som enligt 4 a kap. 1 § första stycket utövar tillsyn över verksamhetsutövaren (tillsynsmyndigheten), om det planerade förfarandet

1.innebär att den utomstående parten kan få tillgång till eller möjlighet att förvara säkerhetsskyddsklassificerade uppgifter i

säkerhetsskyddsklassen hemlig eller högre utanför verksamhetsutövarens lokaler,

2.utgör en upplåtelse som kan ge den utomstående parten tillgång till säkerhetskänslig

verksamhet i övrigt av

motsvarande betydelse för Sveriges säkerhet, eller

3.ger den utomstående parten tillgång till informationssystem utanför verksamhetsutövarens lokaler och åtkomst till systemen kan medföra allvarlig skada för Sveriges säkerhet.

Tillsynsmyndigheten får förelägga verksamhetsutövaren att vidta åtgärder enligt denna lag och de föreskrifter som har meddelats i anslutning till lagen. Om ett föreläggande inte följs eller om tillsynsmyndigheten bedömer att det

planerade förfarandet är olämpligt från säkerhetsskyddssynpunkt även om ytterligare

åtgärder vidtas, får tillsynsmyn- Prop. 2020/21:194
digheten besluta att verksamhets- Bilaga 2
utövaren inte får genomföra det  
planerade   förfarandet.  
Tillsynsmyndigheten får även  
ansöka om tvångsåtgärder enligt  
12 §.            
4 §            
Om förutsättningarna i 3 §  
första stycket är uppfyllda får även  
tillsynsmyndigheten ta initiativ till  
samråd. Bestämmelserna i andra  
stycket samma paragraf gäller då.  

5 §

Om ett pågående förfarande som omfattas av ett krav på säkerhetsskyddsavtal enligt 2 kap. 6 § är olämpligt från säkerhetsskyddssynpunkt, får tillsynsmyndigheten förelägga verksamhetsutövaren och den utomstående parten i förfarandet att vidta de åtgärder som är nödvändiga för att förhindra skada för Sveriges säkerhet.

Föreläggandet får förenas med vite.

Tillsynsmyndigheten får även ansöka om tvångsåtgärder enligt 12 §.

Överlåtelse av säkerhetskänslig verksamhet och viss egendom

6 §

Det som anges i 2 § om skyldighet göra en särskild säkerhetsbedömning och lämplighetsprövning gäller också den som

bedriver säkerhetskänslig verksamhet och som avser att överlåta

1.hela eller någon del av den säkerhetskänsliga verksamheten, eller

2.någon egendom i den säkerhetskänsliga verksamheten som har betydelse för Sveriges säkerhet eller ett för Sverige förpliktande

157

Prop. 2020/21:194 Bilaga 2

158

internationellt åtagande om säkerhetsskydd.

Skyldigheterna enligt första stycket ska fullgöras innan ett förfarande för överlåtelse inleds. Om lämplighetsprövningen leder till bedömningen att den planerade överlåtelsen är olämplig från säkerhetsskyddssynpunkt, får den inte inledas.

7 §

Om lämplighetsprövningen enligt

6 § leder till bedömningen att överlåtelsen får ske, ska verksamhetsutövaren samråda med den myndighet som enligt 4 a kap. 1 § första stycket utövar tillsyn över den verksamhet som överlåtelsen gäller.

Tillsynsmyndigheten får förelägga verksamhetsutövaren att vidta åtgärder enligt denna lag och de föreskrifter som har meddelats i anslutning till lagen. Om ett föreläggande inte följs eller om tillsynsmyndigheten bedömer att överlåtelsen är olämplig från säkerhetsskyddssynpunkt även om ytterligare åtgärder vidtas, får tillsynsmyndigheten besluta att överlåtelsen inte får genomföras. Samrådet får även avslutas med ett föreläggande som innebär att överlåtelsen endast får genomföras på vissa angivna villkor, vid påföljd att överlåtelsen annars är ogiltig. Tillsynsmyndigheten får även ansöka om tvångsåtgärder enligt 12 §.

Det som anges i första och andra styckena om verksamhetsutövaren gäller även den som avser att överlåta aktier eller andelar i säkerhetskänslig verksamhet, dock inte aktier i aktiebolag

som är publika enligt aktiebolagslagen (2005:551).

8 §

Om förutsättningarna i 7 § första eller tredje stycket är uppfyllda får även tillsynsmyndigheten ta initiativ till samråd. Be- stämmelserna i andra och tredje styckena samma paragraf gäller då.

9 §

En överlåtelse är ogiltig om den har genomförts i strid med ett förbud enligt 7 § eller ett föreläggande enligt samma paragraf som meddelats vid påföljd av ogiltighet.

Om en överlåtelse har gjorts utan att samråd skett enligt 7 eller 8 § och förutsättningarna för ett förbud enligt 7 § är uppfyllda, får tillsynsmyndigheten i efterhand meddela ett sådant förbud. Överlåtelsen är då ogiltig.

10 §

Om en överlåtelse är ogiltig enligt 9 § får tillsynsmyndigheten meddela de förelägganden mot överlåtaren och förvärvaren som behövs för att förhindra skada för Sveriges säkerhet. Ett sådant föreläggande får förenas med vite.

11 §

En verksamhetsutövare som avser att överlåta hela eller delar av den säkerhetskänsliga verksamheten ska upplysa förvärvaren om att denna lag gäller för verksamheten. En sådan upplysning ska innehålla en påminnelse om de skyldigheter som enligt 2 kap. 1 § gäller för den som är ansvarig för en säkerhetskänslig verksamhet.

Tvångsåtgärder

12 §

Om det behövs för att ändamålet med ett förbud eller föreläggande enligt detta kapitel inte ska motverkas får Stockholms tingsrätt

Prop. 2020/21:194 Bilaga 2

159

Prop. 2020/21:194 Bilaga 2

160

besluta om sådana åtgärder som avses i 15 kap. 1–3 §§ rättegångsbalken. Frågan tas upp på yrkande av tillsynsmyndigheten. En åtgärd får beslutas även om föreläggandet eller förbudet inte fått laga kraft.

13 §

Vid behandlingen av en fråga enligt 12 § tillämpar rätten vad som gäller när en fråga om åtgärd enligt 15 kap. 1, 2 eller 3 § rättegångsbalken uppkommer i en rättegång.

Ett yrkande får inte bifallas utan att motparten har fått tillfälle att yttra sig. Om det är fara i dröjsmål får dock rätten omedelbart bevilja åtgärden till dess annat beslutas.

14 §

Tillsynsmyndigheten ska genast meddela rätten när syftet med en tvångsåtgärd enligt 12 § har uppnåtts, eller det av någon annan anledning inte längre finns skäl för åtgärden. Rätten ska omedelbart upphäva en åtgärd som har beviljats enligt 12 § om det inte längre finns skäl för åtgärden.

Rätten ska ompröva åtgärden med fyra veckors mellanrum.

Åtgärden får inte upphävas utan hörande av tillsynsmyndigheten.

Tillsynsmyndighetens handläggning av samrådsärenden

15 §

Vid tillsynsmyndighetens handläggning av ärenden om samråd, föreläggande och förbud enligt detta kapitel gäller inte 12 § förvaltningslagen (2017:900).

Bemyndigande

16 §

Regeringen eller den myndighet som regeringen bestämmer får

meddela ytterligare föreskrifter om handläggningen av ärenden om samråd, föreläggande, förbud och tvångsåtgärder enligt 3, 4, 6, 7 och 12 §§.

4 a kap. Tillsyn

Tillsynsmyndighetens uppdrag

1 §

Den myndighet som regeringen bestämmer ska utöva tillsyn över säkerhetsskyddet hos myndigheter och andra som lagen gäller för.

Den myndighet som regeringen bestämmer får utöva tillsyn hos utomstående aktörer som har ingått säkerhetsskyddsavtal och utomstående verksamhetsutövare som aktören har anlitat inom ramen för säkerhetsskyddsavtalet.

Tillsynsmyndigheten ska utöva tillsyn över att denna lag och föreskrifter som har meddelats i anslutning till lagen följs.

Tillsynsmyndighetens undersökningsbefogenheter

2 §

Den som står under tillsyn ska på begäran tillhandahålla tillsynsmyndigheten den information som behövs för tillsynen.

3 §

Tillsynsmyndigheten har i den omfattning det behövs för tillsynen rätt att få tillträde till områden, lokaler och andra utrymmen, dock inte bostäder, som används i verksamhet som omfattas av tillsyn.

4 §

Tillsynsmyndigheten får förelägga den som står under tillsyn att tillhandahålla information och ge tillträde enligt 2 och 3 §§.

Ett sådant föreläggande får förenas med vite.

Prop. 2020/21:194 Bilaga 2

161

Prop. 2020/21:194 Bilaga 2

162

5 §

Tillsynsmyndigheten får begära handräckning av Kronofogdemyndigheten för att genomföra de åtgärder som avses i 2 och 3 §§. Vid handräckning gäller bestämmelserna i utsökningsbalken om verkställighet av förpliktelser som inte avser betalningsskyldighet, avhysning eller avlägsnande.

4 b kap. Ingripande och sanktioner

Åtgärdsförelägganden

1 §

Den myndighet som enligt

4 a kap. 1 § första stycket utövar tillsyn över verksamheten (tillsynsmyndigheten) får besluta de förelägganden som behövs för att de som omfattas av tillsyn enligt denna lag ska fullgöra skyldigheter enligt lagen eller föreskrifter som har meddelats i anslutning till den.

Ett föreläggande får förenas med vite.

Sanktionsavgift

2 §

Tillsynsmyndigheten ska ta ut en sanktionsavgift av den verksamhetsutövare som

1.underlåter att göra en anmälan enligt 2 kap. 1 a § eller enligt föreskrifter som har meddelats

ianslutning till den paragrafen,

2.underlåter att utföra eller uppdatera en säkerhetsskyddsanalys enligt 2 kap. 1 § eller enligt föreskrifter som har meddelats i anslutning till den paragrafen,

3.underlåter att vidta säkerhetsskyddsåtgärder enligt 2 kap. 2–4 §§ eller enligt föreskrifter som har meddelats i anslutning till de paragraferna,

4. underlåter att säkerhets- Prop. 2020/21:194
skyddsklassificera uppgifter enligt Bilaga 2
2 kap. 5 §,      
5. underlåter att enligt 2 kap.  

1§ eller föreskrifter som har meddelats i anslutning till den paragrafen kontrollera säkerhetsskyddet i den egna verksamheten eller att fullgöra anmälnings- eller rapporteringsplikt,

6.underlåter att ingå ett säkerhetsskyddsavtal enligt 2 kap. 6 § eller som ingår ett säkerhetsskyddsavtal som är bristfälligt i väsentlig mån,

7.inleder ett förfarande som avses i 2 a kap. 3 § eller genomför en överlåtelse som avses i 2 a kap.

7§ utan att fullgöra den samrådsskyldighet som följer av respektive paragraf,

8.inleder ett förfarande i strid med ett förbud som meddelats med stöd av 2 a kap. 3 eller 4 § eller genomför en överlåtelse i strid med ett förbud eller villkor som meddelats med stöd av 2 a kap. 7 eller

8§,

9.lämnar oriktiga uppgifter i samband med tillsyn eller samråd enligt de bestämmelser som anges i 7, eller

10.underlåter att enligt 2 kap.

6c § utse en säkerhetsskyddschef. Sanktionsavgift ska även tas ut av den som avses i 2 a kap. 7 § tredje stycket och som genomför en överlåtelse som avses där utan att fullgöra sin samrådsskyldighet eller i strid med ett förbud eller villkor som meddelats med stöd av andra stycket samma paragraf eller 8 §, eller som lämnar oriktiga

uppgifter vid samrådet.

3 §

En sanktionsavgift ska bestämmas till lägst 5 000 kronor och högst 10 000 000 kronor.

163

Prop. 2020/21:194 Bilaga 2

164

4 §

När sanktionsavgiftens storlek bestäms ska särskild hänsyn tas till den skada eller sårbarhet för Sveriges säkerhet som uppstått till följd av överträdelsen, till om den avgiftsskyldige tidigare begått en överträdelse och till de kostnader som den avgiftsskyldige undvikit till följd av överträdelsen.

5 §

En sanktionsavgift får efterges helt eller delvis om överträdelsen är ringa eller ursäktlig eller om det annars med hänsyn till omständigheterna skulle vara oskäligt att ta ut avgiften.

6 §

En sanktionsavgift får inte beslutas om överträdelsen omfattas av ett föreläggande om vite och överträdelsen ligger till grund för en ansökan om utdömande av vitet.

7 §

En sanktionsavgift får endast beslutas om den som avgiften ska tas ut av har fått tillfälle att yttra sig inom två år från det att överträdelsen ägde rum.

Ett beslut om sanktionsavgift ska delges.

8 §

En sanktionsavgift ska betalas till tillsynsmyndigheten inom 30 dagar från det att beslutet om att ta ut avgiften har fått laga kraft eller inom den längre tid som anges i beslutet.

Om sanktionsavgiften inte betalas inom den tid som anges i första stycket, ska myndigheten lämna den obetalda avgiften för indrivning. Bestämmelser om indrivning finns i lagen (1993:891) om indrivning av statliga fordringar

m.m. Vid indrivning får

  verkställighet ske enligt utsöknings- Prop. 2020/21:194
  balken. Bilaga 2
  En sanktionsavgift tillfaller sta-  
  ten.  
  9 §  
  En beslutad sanktionsavgift faller  
  bort till den del beslutet om av-  
  giften inte har verkställts inom fem  
  år från det att beslutet fick laga  
  kraft.  
  5 kap.  
Tillsyn Förordnande om att ett beslut  
  ska gälla omedelbart  
  4 §  

Den myndighet som regeringen bestämmer ska utöva tillsyn över säkerhetsskyddet hos myndigheter och andra som lagen gäller för.

Den myndighet som regeringen bestämmer får utöva tillsyn hos leverantörer som har träffat säkerhetsskyddsavtal.

Tillsynsmyndigheten får bestämma att ett beslut om föreläggande enligt 2 a kap., 4 a kap. eller 4 b kap. denna lag ska gälla omedelbart.

Överklagande

6 §

Beslut om föreläggande enligt

2 a kap. 3, 4, 7 och 8 §§, 4 a kap. 4 § och 4 b kap. 1 § och sanktionsavgift enligt 4 b kap. 2 § överklagas till Förvaltningsrätten i

Stockholm. Prövningstillstånd krävs vid överklagande till kammarrätten.

Beslut om förbud enligt 2 a kap. 3, 4, 7, 8 eller 9 § och föreläggande enligt 2 a kap. 5 och 10 §§ överklagas till regeringen.

När ett beslut som avses i första stycket överklagas är tillsynsmyndigheten motpart.

Andra beslut enligt denna lag får inte överklagas.

1. Denna lag träder i kraft den 1 januari 2021.

165

Prop. 2020/21:194 Bilaga 2

166

2.Ärenden om samråd som har inletts hos Säkerhetspolisen eller Försvarsmakten före ikraftträdandet handläggs enligt äldre föreskrifter.

3.Sanktionsavgift får beslutas endast för överträdelser som har ägt rum eller pågår efter ikraftträdandet.

Förteckning över remissinstanserna

Prop. 2020/21:194 Bilaga 3

Remissinstanser som har gett in yttrande

Affärsverket svenska kraftnät, Arboga kommun, Centrala studiestödsnämnden, Datainspektionen, Domstolsverket, E-hälsomyndigheten, Energiföretagen Sverige, Eskilstuna kommun, Evry Sverige AB, Finansinspektionen, Folkhälsomyndigheten, Forsmark Kraftgrupp AB, Fortifikationsverket, Fortum AB, Försvarets materielverk, Försvarets radioanstalt, Försvarshögskolan, Försvarsmakten, Försvarsunderrättelsedomstolen, Försäkringskassan, Förvaltningsrätten i Stockholm, Gotlands kommun, Gävle kommun, Göteborgs kommun, Halmstads kommun, Inspektionen för strategiska produkter, Institutet för rymdfysik, IT&Telekomföretagen, Justitiekanslern, Region Jönköpings län, Region Kalmar län, Kammarrätten i Stockholm, Kemikalieinspektionen, Kommerskollegium, Konkurrensverket, Kriminalvården, Kristianstad kommun, Region Kronoberg, Kronofogdemyndigheten, Kungl. Tekniska högskolan, Kustbevakningen, Lantmäteriet, Lidingö kommun, Livsmedelsverket, Luftfartsverket, Luleå kommun, Länsstyrelsen i Norrbottens län, Länsstyrelsen i Skåne län, Länsstyrelsen i Stockholms län, Länsstyrelsen i Västra Götalands län, Malmö kommun, Migrationsverket, Myndigheten för digital förvaltning, Myndigheten för samhällsskydd och beredskap, Region Norrbotten, Näringslivets regelnämnd, Pensionsmyndigheten, Polismyndigheten, Post- och telestyrelsen, Postnord AB, Regelrådet, Riksarkivet, Riksdagens ombudsmän, Riksgäldskontoret, Ringhals AB, Rymdstyrelsen, Sjöfartsverket, Region Skåne, Skövde kommun, Socialstyrelsen, Specialfastigheter Sverige AB, Statens energimyndighet, Statens fastighetsverk, Statens haverikommission, Statens inspektion för försvarsunderrättelseverksamheten, Statens jordbruksverk, Statens servicecenter, Statens veterinärmedicinska anstalt, Statskontoret, Stockholms kommun, Region Stockholm, Stockholms tingsrätt, Stockholms universitet (Juridiska fakulteten), Strålsäkerhetsmyndigheten, Svea hovrätt, Swedavia AB, Svenskt Näringsliv, Sveriges Advokatsamfund, Sveriges Kommuner och Regioner, Sveriges lantbruksuniversitet, Sveriges Riksbank, Säkerhets- och försvarsföretagen, Säkerhets- och integritetsskyddsnämnden, Säkerhetspolisen, Telia Company AB, Totalförsvarets forskningsinstitut, Totalförsvarets rekryteringsmyndighet (numera Totalförsvarets plikt- och prövningsverk), Trafikverket, Transportstyrelsen, Tullverket, Upphandlingsmyndigheten, Uppsala universitet (Juridiska fakulteten), Vattenfall AB, Vetenskapsrådet, Västra Götalands läns region och Åklagarmyndigheten.

Övriga som har yttrat sig

IKEM – Innovations- och kemiindustrierna i Sverige och Svenska Bankföreningen.

Remissinstanser som inte har gett in remissvar

Ekonomistyrningsverket, Företagarna, Karlstads kommun, Norrköpings kommun, Riksrevisionen och Östhammars kommun.

167

Prop. 2020/21:194 Bilaga 3

168

Remissinstanser som uttryckligen har avstått från att yttra sig

ABB AB, Business Sweden, Eon AB, Ericsson AB, Försvarsförbundet, IBM Sverige AB, Karlskrona kommun, Kiruna kommun, Linköpings kommun, Nynäshamn kommun, OKG Aktiebolag, SAAB, Sigtuna kommun, Skatteverket, SME-D, SOS Alarm, Svedala kommun, Svenska rymdaktiebolaget, Sveriges hamnar, Sveriges Offentliga Inköpare, Sveriges Radio AB, Sveriges Television AB, Säkerhetsbranschen, Region Sörmland, Teknikföretagen, Tele 2 Sverige AB, Teracom Group AB, Trelleborgs kommun, Uniper, Vänersborgs kommun, Västerås kommun och Region Östergötland.

Sammanfattning av Transportstyrelsens framställan om ändring i säkerhetsskyddslagen

Prop. 2020/21:194 Bilaga 4

Transportstyrelsen föreslår att 3 kap. 4 § säkerhetsskyddslagen (2018:585) ändras så att Transportstyrelsen blir ansvarig för att göra den slutliga bedömningen av den prövades lämplighet att delta i säkerhetskänslig verksamhet även hos kommunala och regionala flygplatser inom luftfartsskyddet. I dag har Transportstyrelsen enligt säkerhetsskyddslagen ett sådant ansvar endast när det gäller enskilda verksamhetsutövare. Transportstyrelsen ansvarar dock för att utföra Sveriges åtaganden inom det EU- rättsliga regelverket för luftfartsskydd vilka bl.a. innefattar att säkerhetspröva personal på flygplatser oavsett vilken ägandeform verksamhetsutövaren har. För att kunna fullgöra sina åtaganden föreslår Transportstyrelsen att myndigheten även får ansvaret för att göra den slutliga bedömningen av den prövades lämplighet att delta i säkerhetskänslig verksamhet i dessa fall.

169

Prop. 2020/21:194 Transportstyrelsens lagförslag
Bilaga 5    
  Härigenom föreskrivs i fråga om säkerhetsskyddslagen (2018:585) att
  3 kap. 4 § ska ha följande lydelse.  
  Nuvarande lydelse Föreslagen lydelse
  3 kap.
    4 §
  Säkerhetsprövningen ska utgå från uppgifter som kommit fram när
  grundutredningen gjordes och den kännedom som i övrigt finns om den
  som ska prövas, uppgifter som har lämnats ut efter registerkontroll och
  särskild personutredning, arten av den verksamhet som prövningen gäller
  samt omständigheterna i övrigt.  
  Bedömningen görs av den som Bedömningen görs av den som
  beslutar om anställning eller annat beslutar om anställning eller annat
  deltagande i den säkerhetskänsliga deltagande i den säkerhetskänsliga
  verksamheten. Om en myndighet verksamheten. Om en myndighet
  har det bestämmande inflytandet har det bestämmande inflytandet
  över den prövades lämplighet att över den prövades lämplighet att
  delta i säkerhetskänslig verksamhet delta i säkerhetskänslig verksam-
  hos en enskild verksamhetsutövare, het hos en verksamhetsutövare, är
  är det i stället myndigheten som gör det i stället myndigheten som gör
  den slutliga bedömningen. den slutliga bedömningen.
  Om det finns anledning till det, ska en tidigare gjord bedömning av en

persons lämplighet att delta i den säkerhetskänsliga verksamheten omprövas.

170

Förteckning över remissinstanserna

Prop. 2020/21:194 Bilaga 6

Efter remiss har yttrande inkommit från Arvidsjaurs kommun, Försvarsmakten, Halmstads kommun, Karlstads kommun, Kramfors kommun, Kristianstads kommun, Linköpings kommun, Luftfartsverket, Lycksele kommun, Norrköpings kommun, Region Kronoberg, Region Örebro län, Skellefteå kommun, Sveriges Kommuner och Regioner, Säkerhetspolisen, Trafikverket, Transportstyrelsen, Trollhättans kommun, Västerås kommun, Växjö kommun och Örnsköldsviks kommun.

Följande remissinstanser har inte svarat eller angett att de avstår från att svara: Borlänge kommun, Gällivare kommun, Jönköpings kommun, Kalmar kommun, Mora kommun, Pajala kommun, Region Dalarna, Sollefteå kommun, Storumans kommun, Sundsvalls kommun, Svenska Regionala Flygplatser, Vilhelmina kommun, Vänersborg kommun och Örebro kommun.

171

Prop. 2020/21:194 Bilaga 7

Lagrådsremissens lagförslag

Förslag till lag om ändring i säkerhetsskyddslagen (2018:585)

Härigenom föreskrivs i fråga om säkerhetsskyddslagen (2018:585)4 dels att 2 kap. 6–14 och 16 §§ samt 5 kap. 4 och 5 §§ ska upphöra att

gälla,

dels att rubrikerna närmast före 2 kap. 6–9, 12–14 och 16 §§ samt 5 kap.

4 och 5 §§ ska utgå,

dels att nuvarande 4 och 5 kap. ska betecknas 5 kap. respektive 8 kap., och att nuvarande 2 kap. 15 § ska betecknas 2 kap. 8 §,

dels att 1 kap. 3 §, 2 kap. 1 §, den nya 2 kap. 8 §, 3 kap. 4 och 16 §§ och den nya 8 kap. 3 § ska ha följande lydelse,

dels att rubriken närmast före 2 kap. 15 § ska sättas före den nya 2 kap.

8 §,

dels att det ska införas tre nya kapitel, 4, 6 och 7 kap., fyra nya paragrafer, 2 kap. 6 och 7 §§, 3 kap. 4 b § och 8 kap. 4 §, och närmast före 2 kap. 6 och 7 §§ och 8 kap. 4 § rubriker av följande lydelse.

Nuvarande lydelseFöreslagen lydelse

1 kap.

3 §5

För riksdagen och dess myndig- För riksdagen och dess myndig-
heter gäller endast bestämmelserna heter gäller endast bestämmelserna
om säkerhetsskyddsklasser i 2 kap. om säkerhetsskyddsklasser i 2 kap.
5 §, säkerhetsprövning i 3 kap. och 5 §, säkerhetsprövning i 3 kap. och
säkerhetsintyg i 4 kap. I övrigt gäl- säkerhetsintyg i 5 kap. I övrigt gäl-
ler lagen (2019:109) om säkerhets- ler lagen (2019:109) om säkerhets-
skydd i riksdagen och dess myndig- skydd i riksdagen och dess myndig-
heter. heter.

Regeringen får i fråga om Regeringskansliet, utlandsmyndigheterna och kommittéväsendet meddela föreskrifter om undantag från andra bestämmelser i lagen än de som anges i första stycket.

4Senaste lydelse av

  2 kap. 6 § 2019:985 rubriken närmast före 2 kap. 7 § 2020:1007
  2 kap. 7 § 2020:1007 rubriken närmast före 2 kap. 8 § 2020:1007
  2 kap. 8 § 2020:1007 rubriken närmast före 2 kap. 9 § 2020:1007
  2 kap. 9 § 2020:1007 rubriken närmast före 2 kap. 12 § 2020:1007
  2 kap. 10 § 2020:1007 rubriken närmast före 2 kap. 13 § 2020:1007
  2 kap. 11 § 2020:1007 rubriken närmast före 2 kap. 14 § 2020:1007
  2 kap. 12 § 2020:1007 rubriken närmast före 2 kap. 16 § 2020:1007.
  2 kap. 13 § 2020:1007    
  2 kap. 14 § 2020:1007    
  2 kap. 16 § 2020:1007    
172 5 Senaste lydelse 2019:110.    

2kap. 1 §

Den som bedriver säkerhetskäns- Den som till någon del bedriver
lig verksamhet ska utreda behovet säkerhetskänslig verksamhet
av säkerhetsskydd (säkerhets- (verksamhetsutövare) ska utreda
skyddsanalys). Säkerhetsskydds- behovet av säkerhetsskydd (säker-
analysen ska dokumenteras. hetsskyddsanalys). Säkerhets-
  skyddsanalysen ska dokument-
  eras.  

Med utgångspunkt i analysen ska verksamhetsutövaren planera och vidta de säkerhetsskyddsåtgärder som behövs med hänsyn till verksamhetens art och omfattning, förekomst av säkerhetsskyddsklassificerade uppgifter och övriga omständigheter.

Verksamhetsutövaren ska även kontrollera säkerhetsskyddet i den egna verksamheten, anmäla och rapportera sådant som är av vikt för säkerhetsskyddet och i övrigt vidta de åtgärder som krävs enligt denna lag.

Så långt det är möjligt ska säkerhetsskyddsåtgärderna utformas så att de inte medför någon skada eller annan olägenhet för andra allmänna eller enskilda intressen.

Anmälningsplikt 6 §

En verksamhetsutövare ska utan dröjsmål anmäla att den bedriver säkerhetskänslig verksamhet till tillsynsmyndigheten.

När den säkerhetskänsliga verksamheten har upphört ska verksamhetsutövaren utan dröjsmål anmäla detta till tillsynsmyndigheten.

Säkerhetsskyddschef 7 §

Vid verksamhet som omfattas av denna lag ska det finnas en säkerhetsskyddschef, om det inte är uppenbart obehövligt.

Säkerhetsskyddschefen ska leda och samordna säkerhetsskyddsarbetet samt kontrollera att verksamheten bedrivs enligt lagen och de föreskrifter som har meddelats i anslutning till lagen. Detta ansvar får inte delegeras.

Säkerhetsskyddschefen ska vara direkt underställd chefen för verksamhetsutövarens verksamhet, om en sådan chef finns, och annars verksamhetsutövarens ledning.

Prop. 2020/21:194 Bilaga 7

173

Prop. 2020/21:194 Bilaga 7

15 §

Regeringen eller den myndighet som regeringen bestämmer får meddela ytterligare föreskrifter om säkerhetsskyddsanalys samt anmälnings- och rapporteringsskyldighet enligt 1 §, säkerhetsskyddsåtgärder enligt 2–4 §§, säkerhetsskyddsklassificering enligt 5 § och säkerhetsskyddsavtal enligt 6 §.

Lydelse enligt SFS 2021:76

8 §

Regeringen eller den myndighet som regeringen bestämmer får meddela ytterligare föreskrifter om säkerhetsskyddsanalys samt anmälnings- och rapporteringsskyldighet enligt 1 §, säkerhetsskyddsåtgärder enligt 2–4 §§ och säkerhetsskyddsklassificering enligt 5 §.

Föreslagen lydelse

3 kap.

4 §

Säkerhetsprövningen ska utgå från uppgifter som kommit fram när grundutredningen gjordes och den kännedom som i övrigt finns om den som ska prövas, uppgifter som har lämnats ut efter registerkontroll och särskild personutredning, arten av den verksamhet som prövningen gäller

samt omständigheterna i övrigt.  
Bedömningen görs av den som Bedömningen görs av den som
beslutar om anställning eller annat beslutar om anställning eller annat
deltagande i den säkerhetskänsliga deltagande i den säkerhetskänsliga
verksamheten, om inte annat följer verksamheten, om inte annat följer
av tredje stycket eller 4 a §. av tredje stycket, 4 a eller 4 b §.

Om en myndighet har det bestämmande inflytandet över den prövades lämplighet att delta i säkerhetskänslig verksamhet hos en enskild verksamhetsutövare, är det i stället myndigheten som gör den slutliga bedömningen.

Om det finns anledning till det, ska en tidigare gjord bedömning av en persons lämplighet att delta i den säkerhetskänsliga verksamheten omprövas.

Nuvarande lydelse Föreslagen lydelse  
  4 b §  
  Den slutliga bedömningen
  enligt 4 § görs av Transport-
  styrelsen när det gäller den som
  ska genomgå säkerhetsprövning
  till följd av ett internationellt
  säkerhetsskyddsåtagande
  området luftfartsskydd.  

16 §

Bestämmelser om registerkon- Bestämmelser om registerkon-
troll finns också i 4 kap. om inter- troll finns också i 5 kap. om inter-

174

nationell säkerhetsskyddssamver- nationell säkerhetsskyddssamver- Prop. 2020/21:194
kan och säkerhetsintyg. kan och säkerhetsintyg. Bilaga 7

4 kap. Skyldigheter när en annan aktör kan få tillgång till säkerhetskänslig verksamhet

Säkerhetsskyddsavtal

1 § En verksamhetsutövare som avser att genomföra en upphandling, ingå ett avtal eller inleda en samverkan eller ett samarbete med en annan aktör ska ingå ett säkerhetsskyddsavtal med aktören, om aktören genom förfarandet kan få tillgång till

1.säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller

2.annan säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet.

Verksamhetsutövaren ska även ingå ett säkerhetsskyddsavtal med en underleverantör som den andra aktören avser att anlita för att fullgöra sin förpliktelse, om underleverantören genom sitt uppdrag kan få en sådan tillgång till den säkerhetskänsliga verksamheten som anges i första stycket.

Ett säkerhetsskyddsavtal ska ingås innan motparten kan få tillgång till den säkerhetskänsliga verksamheten.

2 § Mellan statliga myndigheter gäller kravet på säkerhetsskyddsavtal enligt 1 § endast vid anskaffning av en vara, tjänst eller byggentreprenad.

3 § Ett säkerhetsskyddsavtal ska innehålla de krav på motparten som behövs för att kraven på säkerhetsskydd enligt 2 kap. 1 § ska kunna tillgodoses.

Ett säkerhetsskyddsavtal ska även reglera hur verksamhetsutövaren ska få kontrollera att motparten följer säkerhetsskyddsavtalet och att verksamhetsutövaren har rätt att revidera avtalet om det krävs på grund av ändrade förhållanden.

4 § Bestämmelserna i 3 kap. och föreskrifter som har meddelats i anslutning till de bestämmelserna får tillämpas för säkerhetsprövning enligt ett säkerhetsskyddsavtal.

5 § Verksamhetsutövaren ska kontrollera att motparten följer säkerhetsskyddsavtalet och revidera avtalet om det krävs på grund av ändrade förhållanden.

Om motparten inte följer säkerhetsskyddsavtalet, ska verksamhetsutövaren vidta de åtgärder som behövs för att tillgodose kraven på säkerhetsskydd.

6 § Regeringen eller den myndighet som regeringen bestämmer får meddela ytterligare föreskrifter om säkerhetsskyddsavtal enligt 1 och 3– 5 §§.

175

Prop. 2020/21:194 Regeringen får meddela föreskrifter om undantag från skyldigheten att

Bilaga 7ingå säkerhetsskyddsavtal. Om det finns särskilda skäl får regeringen också besluta om sådana undantag i enskilda fall.

Skyldigheter inför förfaranden som kräver säkerhetsskyddsavtal

7 § En verksamhetsutövare som avser att genomföra ett förfarande som innebär ett krav på säkerhetsskyddsavtal enligt 1 § första stycket ska göra en särskild säkerhetsskyddsbedömning och lämplighetsprövning enligt 8 §. Verksamhetsutövaren ska också samråda enligt 9 §.

Regeringen får meddela föreskrifter om undantag från första stycket. Om det finns särskilda skäl får regeringen också besluta om sådana undantag i enskilda fall.

För överlåtelser av säkerhetskänslig verksamhet och viss egendom gäller i stället 13–20 §§.

8 § Innan ett sådant förfarande som avses i 1 § första stycket inleds ska verksamhetsutövaren genom en särskild säkerhetsskyddsbedömning identifiera vilka säkerhetsskyddsklassificerade uppgifter eller vilken säkerhetskänslig verksamhet i övrigt som den andra aktören kan få tillgång till och som kräver säkerhetsskydd.

Med utgångspunkt i den särskilda säkerhetsskyddsbedömningen och övriga omständigheter ska verksamhetsutövaren pröva om det planerade förfarandet är lämpligt från säkerhetsskyddssynpunkt.

Den särskilda säkerhetsskyddsbedömningen och lämplighetsprövningen ska dokumenteras.

Om lämplighetsprövningen leder till bedömningen att det planerade förfarandet är olämpligt från säkerhetsskyddssynpunkt, får det inte inledas.

9 § Om lämplighetsprövningen enligt 8 § leder till bedömningen att det planerade förfarandet inte är olämpligt från säkerhetsskyddssynpunkt, ska verksamhetsutövaren innan den inleder förfarandet samråda med tillsynsmyndigheten, om det planerade förfarandet innebär att den andra aktören kan få tillgång till

1.säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen hemlig eller högre, eller

2.annan säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet.

Tillsynsmyndigheten får besluta att förelägga verksamhetsutövaren att vidta åtgärder enligt denna lag och föreskrifter som har meddelats i anslutning till lagen.

10 § Om verksamhetsutövaren inte samråder med tillsynsmyndigheten trots att det finns en skyldighet att göra det, får tillsynsmyndigheten inleda samrådet.

11 § Om ett beslut om föreläggande enligt 9 § inte följs eller om det planerade förfarandet är olämpligt från säkerhetsskyddssynpunkt även om ytterligare åtgärder vidtas, får tillsynsmyndigheten besluta att det planerade förfarandet inte får genomföras (förbud).

176

12 § Om ett pågående förfarande som omfattas av ett krav på säkerhetsskyddsavtal enligt 1 § är olämpligt från säkerhetsskyddssynpunkt, får tillsynsmyndigheten besluta om de förelägganden mot verksamhetsutövaren och den andra aktören i förfarandet som behövs för att förhindra skada för Sveriges säkerhet. Ett sådant beslut om föreläggande får förenas med vite.

Skyldigheter inför överlåtelse av säkerhetskänslig verksamhet och viss egendom

13 § En verksamhetsutövare ska göra en särskild säkerhetsskyddsbedömning och lämplighetsprövning enligt 14 § och samråda enligt 15 §, om verksamhetsutövaren avser att överlåta

1.hela eller någon del av den säkerhetskänsliga verksamheten, eller

2.egendom som har betydelse för Sveriges säkerhet eller ett för Sverige förpliktande internationellt åtagande om säkerhetsskydd.

Första stycket gäller inte för överlåtelser av fast egendom.

Regeringen får meddela föreskrifter om ytterligare undantag från första stycket. Om det finns särskilda skäl får regeringen också besluta om sådana undantag i enskilda fall.

14 § Innan ett förfarande för sådan överlåtelse som avses i 13 § inleds ska verksamhetsutövaren genom en särskild säkerhetsskyddsbedömning identifiera vilka säkerhetsskyddsklassificerade uppgifter eller vilken säkerhetskänslig verksamhet i övrigt som förvärvaren kan få tillgång till och som kräver säkerhetsskydd.

Med utgångspunkt i den särskilda säkerhetsskyddsbedömningen och övriga omständigheter ska verksamhetsutövaren pröva om överlåtelsen är lämplig från säkerhetsskyddssynpunkt.

Den särskilda säkerhetsskyddsbedömningen och lämplighetsprövningen ska dokumenteras.

Om lämplighetsprövningen leder till bedömningen att överlåtelsen är olämplig från säkerhetsskyddssynpunkt, får överlåtelsen inte genomföras.

15 § Om lämplighetsprövningen enligt 14 § leder till bedömningen att överlåtelsen inte är olämplig från säkerhetsskyddssynpunkt, ska verksamhetsutövaren samråda med tillsynsmyndigheten.

Tillsynsmyndigheten får besluta att förelägga verksamhetsutövaren att vidta åtgärder för att fullgöra sina skyldigheter enligt denna lag och föreskrifter som har meddelats i anslutning till lagen.

Skyldigheten att samråda och det som anges i andra stycket om verksamhetsutövaren gäller även den som avser att överlåta aktier eller andelar i säkerhetskänslig verksamhet, dock inte aktier i aktiebolag som är publika enligt aktiebolagslagen (2005:551).

16 § Om överlåtaren inte samråder med tillsynsmyndigheten trots att det finns en skyldighet att göra det, får tillsynsmyndigheten inleda samrådet.

17 § Om ett beslut om föreläggande enligt 15 § inte följs eller om överlåtelsen är olämplig från säkerhetsskyddssynpunkt även om ytter-

Prop. 2020/21:194 Bilaga 7

177

Prop. 2020/21:194 Bilaga 7

ligare åtgärder vidtas, får tillsynsmyndigheten besluta att överlåtelsen inte får genomföras (förbud).

18 § En överlåtelse i strid med ett förbud enligt 17 § är ogiltig.

Om en överlåtelse har genomförts utan samråd enligt 15 eller 16 § och förutsättningarna för ett förbud enligt 17 § är uppfyllda, får tillsynsmyndigheten i efterhand besluta om ett sådant förbud. Överlåtelsen är då ogiltig.

19 § Om en överlåtelse är ogiltig enligt 18 § får tillsynsmyndigheten besluta om de förelägganden mot överlåtaren och förvärvaren som behövs för att förhindra skada för Sveriges säkerhet. Ett sådant beslut om föreläggande får förenas med vite.

20 § En verksamhetsutövare som avser att överlåta hela eller någon del av den säkerhetskänsliga verksamheten ska upplysa förvärvaren om att denna lag gäller för verksamheten. En sådan upplysning ska innehålla information om de skyldigheter som enligt 2 kap. 1 § gäller för en verksamhetsutövare.

6 kap. Tillsyn

Tillsynsmyndighetens uppdrag

1 § Den myndighet som regeringen bestämmer ska vara tillsynsmyndighet.

Tillsynsmyndigheten ska utöva tillsyn över att verksamhetsutövare följer lagen och de föreskrifter som har meddelats i anslutning till lagen. I det syftet får tillsynsmyndigheten även utöva tillsyn hos de aktörer som verksamhetsutövare har ingått säkerhetsskyddsavtal med.

Tillsynsmyndighetens undersökningsbefogenheter

2 § Den som står under tillsyn ska på begäran tillhandahålla tillsynsmyndigheten den information som behövs för tillsynen.

3 § Tillsynsmyndigheten har i den omfattning som det behövs för tillsynen rätt att få tillträde till områden, lokaler och andra utrymmen, dock inte bostäder, som används i verksamhet som omfattas av tillsyn.

4 § Tillsynsmyndigheten får besluta att förelägga den som står under tillsyn att tillhandahålla information och ge tillträde enligt 2 och 3 §§. Ett sådant beslut om föreläggande får förenas med vite.

5 § Tillsynsmyndigheten får begära handräckning av Kronofogdemyndigheten för att genomföra de åtgärder som avses i 2 och 3 §§. Vid handräckning gäller bestämmelserna i utsökningsbalken om verkställighet av förpliktelser som inte avser betalningsskyldighet, avhysning eller avlägsnande.

178

Åtgärdsförelägganden

6 § Tillsynsmyndigheten får besluta att förelägga en verksamhetsutövare att vidta åtgärder för att fullgöra sina skyldigheter enligt denna lag och föreskrifter som har meddelats i anslutning till lagen. Ett sådant beslut om föreläggande får förenas med vite.

Prop. 2020/21:194 Bilaga 7

7 kap. Administrativa sanktionsavgifter

Överträdelser som kan leda till sanktionsavgift

1 § Tillsynsmyndigheten får besluta att ta ut en sanktionsavgift av en verksamhetsutövare som

1. har åsidosatt sina skyldigheter enligt någon av

a)2 kap. 1 § första eller andra stycket, 5 §, 6 § första stycket eller 7 § eller föreskrifter som har meddelats i anslutning till de bestämmelserna,

b)3 kap. 1–4 eller 6–9 §§ eller 11 § första stycket eller föreskrifter som har meddelats i anslutning till de bestämmelserna,

c)4 kap. 1 eller 3 §, 9 § första stycket eller 15 § första stycket eller föreskrifter som har meddelats i anslutning till de bestämmelserna,

2. inte har kontrollerat säkerhetsskyddet i den egna verksamheten enligt

2 kap. 1 § tredje stycket eller föreskrifter som har meddelats i anslutning till den bestämmelsen,

3. inte har kontrollerat att motparten följer säkerhetsskyddsavtalet enligt

4 kap. 5 § första stycket eller föreskrifter som har meddelats i anslutning till den bestämmelsen,

4. har inlett ett förfarande i strid med ett förbud som har meddelats med stöd av 4 kap. 11 § eller har genomfört en överlåtelse i strid med ett förbud som har meddelats med stöd av 4 kap. 17 §, eller

5. har lämnat oriktiga uppgifter i samband med samråd enligt 4 kap. 9 eller 15 § eller tillsyn.

2 § Tillsynsmyndigheten får besluta att ta ut en sanktionsavgift av en aktie- eller andelsägare som

1.inte har samrått enligt 4 kap. 15 § eller föreskrifter som har meddelats

ianslutning till den bestämmelsen,

2.har genomfört en överlåtelse i strid med ett förbud som har meddelats med stöd av 4 kap. 17 §, eller

3.har lämnat oriktiga uppgifter i samband med samråd enligt 4 kap. 15 §.

Hur sanktionsavgiften ska bestämmas

3 § Vid bedömningen av om en sanktionsavgift ska tas ut ska särskild hänsyn tas till

1.den skada eller sårbarhet för Sveriges säkerhet som uppstått till följd av överträdelsen,

2.om överträdelsen har varit uppsåtlig eller berott på oaktsamhet,

3.vad verksamhetsutövaren eller aktie- eller andelsägaren har gjort för att överträdelsen ska upphöra och för att begränsa dess verkningar, och

179

Prop. 2020/21:194 Bilaga 7

4.om verksamhetsutövaren eller aktie- eller andelsägaren tidigare har begått en överträdelse.

4 § En sanktionsavgift ska bestämmas till lägst 25 000 kronor och högst 50 000 000 kronor. Sanktionsavgiften för en statlig myndighet, kommun eller region ska dock bestämmas till högst 10 000 000 kronor.

5 § När sanktionsavgiftens storlek bestäms ska särskild hänsyn tas till de omständigheter som anges i 3 § och till den vinst som den avgiftsskyldige gjort till följd av överträdelsen.

6 § En sanktionsavgift får efterges helt eller delvis om överträdelsen är ringa eller ursäktlig eller om det annars med hänsyn till omständigheterna skulle vara oskäligt att ta ut avgiften.

Beslut om sanktionsavgift

7 § En sanktionsavgift får inte beslutas om överträdelsen omfattas av ett föreläggande om vite och överträdelsen ligger till grund för en ansökan om utdömande av vitet.

8 § En sanktionsavgift får endast beslutas om den som avgiften ska tas ut av har fått tillfälle att yttra sig inom två år från det att överträdelsen ägde rum.

Ett beslut om sanktionsavgift ska delges.

Betalning av sanktionsavgift

9 § En sanktionsavgift ska betalas till tillsynsmyndigheten inom 30 dagar från det att beslutet om att ta ut avgiften har fått laga kraft eller inom den längre tid som anges i beslutet.

Om sanktionsavgiften inte betalas inom den tid som anges i första stycket, ska myndigheten lämna den obetalda avgiften för indrivning. Bestämmelser om indrivning finns i lagen (1993:891) om indrivning av statliga fordringar m.m. Vid indrivning får verkställighet ske enligt utsökningsbalken.

En sanktionsavgift tillfaller staten.

10 § En beslutad sanktionsavgift faller bort till den del beslutet om avgiften inte har verkställts inom fem år från det att beslutet fick laga kraft.

Nuvarande lydelse Föreslagen lydelse
5 kap. 8 kap.
  3 §

180

Sekretess hindrar inte att den myndighet som avses i 4 kap. 6 § i ett ärende om underlag för säkerhetsprövning enligt 4 kap. 4 § lämnar ut en uppgift som har kommit fram vid registerkontroll

Sekretess hindrar inte att den myndighet som avses i 5 kap. 6 § i ett ärende om underlag för säkerhetsprövning enligt 5 kap. 4 § lämnar ut en uppgift som har kommit fram vid registerkontroll

eller särskild personutredning till en utländsk myndighet eller en mellanfolklig organisation, om det står klart att ett sådant utlämnande är förenligt med svenska intressen.

eller särskild personutredning till Prop. 2020/21:194
en utländsk myndighet eller en Bilaga 7
mellanfolklig organisation, om det  
står klart att ett sådant utlämnande  
är förenligt med svenska intressen.  

Överklagande 4 §

Beslut om föreläggande enligt

4 kap. 9 och 15 §§ och 6 kap. 4 och 6 §§ eller sanktionsavgift enligt 7 kap. 1 och 2 §§ får överklagas till Förvaltningsrätten i Stockholm. När ett sådant beslut överklagas är tillsynsmyndigheten motpart. Prövningstillstånd krävs vid överklagande till kammarrätten.

Beslut om förbud enligt 4 kap. 11, 17 och 18 §§ och föreläggande enligt 4 kap. 12 och 19 §§ får överklagas till regeringen.

Andra beslut enligt denna lag får inte överklagas.

1.Denna lag träder i kraft den 1 december 2021.

2.Äldre föreskrifter gäller fortfarande för ärenden om samråd som har inletts före ikraftträdandet.

3.Den upphävda 2 kap. 6 § gäller för säkerhetsskyddsavtal som har ingåtts före ikraftträdandet.

4.En sanktionsavgift enligt 7 kap. 1 eller 2 § får beslutas endast för överträdelser som skett efter ikraftträdandet.

181

Prop. 2020/21:194 Bilaga 7

Förslag till lag om ändring i lagen (2014:514) om ansvar för vissa säkerhetsfrågor vid statsministerns tjänstebostäder

Härigenom föreskrivs att 4 § lagen (2014:514) om ansvar för vissa säkerhetsfrågor vid statsministerns tjänstebostäder ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

4 §1

Inför att säkerhetsskyddsavtal ska träffas enligt 2 kap. 6 § säkerhetsskyddslagen (2018:585) med anledning av upphandling till egendom som används som tjänstebostad för statsministern ska den upphandlande myndigheten samråda med Säkerhetspolisen.

Inför att säkerhetsskyddsavtal ska träffas enligt 4 kap. 1 § första

stycket säkerhetsskyddslagen (2018:585) med anledning av upphandling till egendom som används som tjänstebostad för statsministern ska den upphandlande myndigheten samråda med Säkerhetspolisen.

Denna lag träder i kraft den 1 december 2021.

182 1 Senaste lydelse 2018:595.

Förslag till lag om ändring i lagen (2019:109) om säkerhetsskydd i riksdagen och dess myndigheter

Härigenom föreskrivs att 11 § lagen (2019:109) om säkerhetsskydd i riksdagen och dess myndigheter ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

Prop. 2020/21:194 Bilaga 7

    11 §    
Riksdagsförvaltningen utfärdar Riksdagsförvaltningen utfärdar
säkerhetsintyg och beslutar om säkerhetsintyg och beslutar om
registerkontroll enligt 4 kap. 1 och registerkontroll enligt 5 kap. 1 och
2 §§ säkerhetsskyddslagen 2 §§ säkerhetsskyddslagen
(2018:585) för personer som (2018:585) för personer som
deltar i     deltar i    

1.riksdagens eller Riksdagsförvaltningens verksamhet i annan egenskap än riksdagsledamot, och

2.verksamhet som de myndigheter som anges i 1 § 5–12 bedriver.

Riksbanken, Riksdagens om- Riksbanken, Riksdagens om-
budsmän och Riksrevisionen budsmän och Riksrevisionen
utfärdar säkerhetsintyg och beslutar utfärdar säkerhetsintyg och
om registerkontroll enligt 4 kap. 1 beslutar om registerkontroll enligt
och 2 §§ säkerhetsskyddslagen för 5 kap. 1 och 2 §§ säkerhets-
personer som deltar i respektive skyddslagen för personer som
myndighets verksamhetsområde. deltar i respektive myndighets
      verksamhetsområde.    

Denna lag träder i kraft den 1 december 2021.

183

Prop. 2020/21:194 Bilaga 8

Lagrådets yttrande

Utdrag ur protokoll vid sammanträde 2021-03-30

Närvarande: F.d. justitierådet Ella Nyström samt justitieråden Per Classon och Stefan Johansson

Ett starkare skydd för Sveriges säkerhet

Enligt en lagrådsremiss den 18 mars 2021 har regeringen (Justitiedepartementet) beslutat inhämta Lagrådets yttrande över förslag till

1.lag om ändring i säkerhetsskyddslagen (2018:585),

2.lag om ändring i lagen (2014:514) om ansvar för vissa säkerhetsfrågor vid statsministerns tjänstebostäder,

3.lag om ändring i lagen (2019:109) om säkerhetsskydd i riksdagen och dess myndigheter.

Förslagen har inför Lagrådet föredragits av kanslirådet Emelie Smiding och rättssakkunnige Robert Tischner.

Förslagen föranleder följande yttrande.

Förslaget till lag om ändring i säkerhetsskyddslagen

4 kap. 1 §

Paragrafen innehåller bestämmelser om när en verksamhetsutövare är skyldig att ingå säkerhetsskyddsavtal. Av andra stycket framgår att verksamhetsutövaren ska ingå säkerhetsskyddsavtal med en underleverantör som den andra aktören avser att anlita för att fullgöra sin förpliktelse, om underleverantören genom sitt uppdrag kan få tillgång till säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller annan säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet.

Som bestämmelsen i andra stycket är formulerad gäller kravet på säkerhetsskyddsavtal endast underleverantörer i första ledet. För det fall underleverantören i sin tur anlitar någon för att fullgöra förpliktelsen så finns det alltså inte något krav på att verksamhetsutövaren ska ingå ett säkerhetsskyddsavtal med den som underleverantören har anlitat. Detta innebär att det finns en risk för att säkerhetskraven kringgås. Lagrådet anser därför att verksamhetsutövaren bör ha en skyldighet att ingå säkerhetsskyddsavtal även med underleverantörer i senare led och föreslår att andra stycket ges följande lydelse.

Verksamhetsutövaren ska även ingå ett säkerhetsskyddsavtal med en underleverantör som anlitas för att fullgöra den andra aktörens förpliktelse, om underleverantören

184

genom sitt uppdrag kan få en sådan tillgång till den säkerhetskänsliga verksamheten som anges i första stycket.

Övriga lagförslag

Lagrådet lämnar förslagen utan erinran.

Prop. 2020/21:194 Bilaga 8

185

Prop. 2020/21:194

Justitiedepartementet

Utdrag ur protokoll vid regeringssammanträde den 20 maj 2021

Närvarande: statsminister Löfven, ordförande, och statsråden Bolund,

Johansson, Baylan, Hallengren, Hultqvist, Andersson, Damberg,

Shekarabi, Ygeman, Ekström, Eneroth, Nilsson, Ernkrans, Lind,

Nordmark, Micko, Stenevi, Olsson Fridh

Föredragande: statsrådet Damberg

Regeringen beslutar proposition Ett starkare skydd för Sveriges säkerhet

186