2kap. 1 §

Med utgångspunkt i analysen ska verksamhetsutövaren planera och vidta de säkerhetsskyddsåtgärder som behövs med hänsyn till verksamhetens art och omfattning, förekomst av säkerhetsskyddsklassificerade uppgifter och övriga omständigheter.

Verksamhetsutövaren ska även kontrollera säkerhetsskyddet i den egna verksamheten, anmäla och rapportera sådant som är av vikt för säkerhetsskyddet och i övrigt vidta de åtgärder som krävs enligt denna lag.

Så långt det är möjligt ska säkerhetsskyddsåtgärderna utformas så att de inte medför någon skada eller annan olägenhet för andra allmänna eller enskilda intressen.

Anmälningsplikt 6 §

En verksamhetsutövare ska utan dröjsmål anmäla att den bedriver säkerhetskänslig verksamhet till tillsynsmyndigheten.

När den säkerhetskänsliga verksamheten har upphört ska verksamhetsutövaren utan dröjsmål anmäla detta till tillsynsmyndigheten.

Säkerhetsskyddschef 7 §

Vid verksamhet som omfattas av denna lag ska det finnas en säkerhetsskyddschef, om det inte är uppenbart obehövligt.

Säkerhetsskyddschefen ska leda och samordna säkerhetsskyddsarbetet samt kontrollera att verksamheten bedrivs enligt lagen och de föreskrifter som har meddelats i anslutning till lagen. Detta ansvar kan inte delegeras.

Säkerhetsskyddschefen ska vara direkt underställd chefen för verksamhetsutövarens verksamhet, om en sådan chef finns, och annars verksamhetsutövarens ledning.

Prop. 2020/21:194

7

Prop. 2020/21:194

15 §

Regeringen eller den myndighet som regeringen bestämmer får meddela ytterligare föreskrifter om säkerhetsskyddsanalys samt anmälnings- och rapporteringsskyldighet enligt 1 §, säkerhetsskyddsåtgärder enligt 2–4 §§, säkerhetsskyddsklassificering enligt 5 § och säkerhetsskyddsavtal enligt 6 §.

Lydelse enligt SFS 2021:76

8 §

Regeringen eller den myndighet som regeringen bestämmer får meddela ytterligare föreskrifter om säkerhetsskyddsanalys samt anmälnings- och rapporteringsskyldighet enligt 1 §, säkerhetsskyddsåtgärder enligt 2–4 §§ och säkerhetsskyddsklassificering enligt 5 §.

Föreslagen lydelse

12 § Om ett pågående förfarande som omfattas av ett krav på säkerhetsskyddsavtal enligt 1 § är olämpligt från säkerhetsskyddssynpunkt, får tillsynsmyndigheten besluta om de förelägganden mot verksamhetsutövaren och den andra aktören i förfarandet som behövs för att förhindra skada för Sveriges säkerhet. Ett sådant beslut om föreläggande får förenas med vite.

Skyldigheter inför överlåtelse av säkerhetskänslig verksamhet och viss egendom

13 § En verksamhetsutövare ska göra en särskild säkerhetsskyddsbedömning och lämplighetsprövning enligt 14 § och samråda enligt 15 §, om verksamhetsutövaren avser att överlåta

1.hela eller någon del av den säkerhetskänsliga verksamheten, eller

2.egendom som har betydelse för Sveriges säkerhet eller ett för Sverige förpliktande internationellt åtagande om säkerhetsskydd.

Första stycket gäller inte för överlåtelser av fast egendom.

Regeringen får meddela föreskrifter om ytterligare undantag från första stycket. Om det finns särskilda skäl får regeringen också besluta om sådana undantag i enskilda fall.

14 § Innan ett förfarande för sådan överlåtelse som avses i 13 § inleds ska verksamhetsutövaren genom en särskild säkerhetsskyddsbedömning identifiera vilka säkerhetsskyddsklassificerade uppgifter eller vilken säkerhetskänslig verksamhet i övrigt som förvärvaren kan få tillgång till och som kräver säkerhetsskydd.

Med utgångspunkt i den särskilda säkerhetsskyddsbedömningen och övriga omständigheter ska verksamhetsutövaren pröva om överlåtelsen är lämplig från säkerhetsskyddssynpunkt.

Den särskilda säkerhetsskyddsbedömningen och lämplighetsprövningen ska dokumenteras.

Om lämplighetsprövningen leder till bedömningen att överlåtelsen är olämplig från säkerhetsskyddssynpunkt, får överlåtelsen inte genomföras.

15 § Om lämplighetsprövningen enligt 14 § leder till bedömningen att överlåtelsen inte är olämplig från säkerhetsskyddssynpunkt, ska verksamhetsutövaren samråda med tillsynsmyndigheten.

Tillsynsmyndigheten får besluta att förelägga verksamhetsutövaren att vidta åtgärder för att fullgöra sina skyldigheter enligt denna lag och föreskrifter som har meddelats i anslutning till lagen.

Skyldigheten att samråda och det som anges i andra stycket om verksamhetsutövaren gäller även den som avser att överlåta aktier eller andelar i säkerhetskänslig verksamhet, dock inte aktier i aktiebolag som är publika enligt aktiebolagslagen (2005:551).

16 § Om överlåtaren inte samråder med tillsynsmyndigheten trots att det finns en skyldighet att göra det, får tillsynsmyndigheten inleda samrådet.

17 § Om ett beslut om föreläggande enligt 15 § inte följs eller om överlåtelsen är olämplig från säkerhetsskyddssynpunkt även om ytter-

Prop. 2020/21:194

11

Sekretess hindrar inte att den myndighet som avses i 5 kap. 6 § i ett ärende om underlag för säkerhetsprövning enligt 5 kap. 4 § lämnar ut en uppgift som har

kommit fram vid registerkontroll eller särskild personutredning till en utländsk myndighet eller en mellanfolklig organisation, om det står klart att ett sådant utlämnande är förenligt med svenska intressen.

kommit fram vid registerkontroll Prop. 2020/21:194 eller särskild personutredning till

en utländsk myndighet eller en mellanfolklig organisation, om det står klart att ett sådant utlämnande är förenligt med svenska intressen.

Överklagande 4 §

Beslut om föreläggande enligt

4 kap. 9 och 15 §§ och 6 kap. 4 och 6 §§ eller sanktionsavgift enligt 7 kap. får överklagas till Förvaltningsrätten i Stockholm. När ett sådant beslut överklagas är tillsynsmyndigheten motpart. Prövningstillstånd krävs vid överklagande till kammarrätten.

Beslut om förbud enligt 4 kap. 11, 17 och 18 §§ och föreläggande enligt 4 kap. 12 och 19 §§ får överklagas till regeringen.

Andra beslut enligt denna lag får inte överklagas.

Inför att säkerhetsskyddsavtal ska träffas enligt 2 kap. 6 § säkerhetsskyddslagen (2018:585) med anledning av upphandling till egendom som används som tjänstebostad för statsministern ska den upphandlande myndigheten samråda med Säkerhetspolisen.

Inför att säkerhetsskyddsavtal ska träffas enligt 4 kap. 1 § första

stycket säkerhetsskyddslagen (2018:585) med anledning av upphandling till egendom som används som tjänstebostad för statsministern ska den upphandlande myndigheten samråda med Säkerhetspolisen.

Vad det föreslagna kravet på säkerhetsskyddschefens organisatoriska ställning innebär för en verksamhetsutövare beror på vilken organisation det är fråga om. I en statlig myndighet är myndighetschefen att anse som chefen för verksamhetsutövarens verksamhet. Säkerhetsskyddschefen ska alltså liksom i dag vara underställd myndighetschefen när en sådan finns. I de fall som en statlig myndighet är en nämndmyndighet innebär kravet normalt sett att säkerhetsskyddschefen ska vara underställd den nämnd som leder myndigheten. I ett aktiebolag är den verkställande direktören vanligtvis att anse som chefen för verksamhetsutövarens verksamhet. Om det inte finns en verkställande direktör för aktiebolaget ska säkerhetsskyddschefen i stället vara underställd styrelsen. SKR, Gävle kommun, Kristianstads kommun och Luleå kommun ställer sig frågande till hur regleringen ska förstås i förhållande till kommuner och kommunala bolag. För kommuner och regioner är kommunrespektive regiondirektören att anse som chef för verksamhetsutövarens verksamhet (7 kap. 1 och 2 §§ kommunallagen [2017:725]). Säkerhetsskyddschefen ska alltså precis som i dag vara underställd den person som har den befattningen. I kommunala bolag är den verkställande direktören i normalfallet att anse som chef för verksamheten, liksom när det gäller andra bolag. Det kan noteras att Säkerhetspolisen och Försvarsmakten enligt 7 kap. 4 § 3 respektive 7 kap. 5 § 3 säkerhetsskyddsförordningen får meddela verkställighetsföreskrifter om kravet på säkerhetsskyddschef, t.ex. i syfte att precisera vem som är att anse som chefen för verksamhetsutövarens verksamhet respektive verksamhetsutövarens ledning i olika fall.

Säkerhetsskyddschefens ansvar utvecklas och förtydligas

Säkerhetsskyddschefens nuvarande funktion – att kontrollera att verksamheten bedrivs i enlighet med säkerhetsskyddslagen och säkerhetsskyddsförordningen – är viktig och behöver finnas kvar. I enlighet med utredningens förslag bör dock kontrollansvaret inte bara avse förenligheten med säkerhetsskyddslagen och säkerhetsskyddsförordningen, utan även de myndighets- och verkställighetsföreskrifter som meddelats i anslutning till säkerhetsskyddslagen.

Däremot har det framkommit att det finns behov av att förtydliga och utvidga säkerhetsskyddschefens roll i arbetet med att ta fram och bibehålla ett väl anpassat säkerhetsskydd. Behovet har bl.a. framkommit genom flera uppmärksammade händelser de senaste åren där det visat sig att centrala verksamhetsutövare haft ett eftersatt säkerhetsskydd. Ett exempel är den upphandling om förändrad it-drift hos Transportstyrelsen som bl.a. medförde att säkerhetsskyddsklassificerade och av andra skäl sekretessbelagda uppgifter hanterades på ett sätt som stred mot svensk lag. Under 2017 genomfördes en granskning av upphandlingen som redovisas i promemorian Granskning av Transportstyrelsens upphandling av it-drift (Ds 2018:6). Utredaren konstaterar att den grundläggande orsaken till att säkerhetsskyddsklassificerade uppgifter röjdes var att det i allt för hög grad saknades relevant kunskap om vilken information som myndigheten hanterade, hur denna information hanterades och vilka krav som ställdes på informationshanteringen. Detta berodde enligt utredaren i sin tur bl.a. på att säkerhetsfunktionerna på myndigheten var utspridda och saknade tillräcklig samordning. Enligt utredaren uppfattade säkerhetsskyddschefen

Prop. 2020/21:194

25

Förutom att ett säkerhetsskyddsavtal innebär att en leverantör kontraktuellt har förbundit sig att vidta vissa säkerhetsskyddsåtgärder, utgör ett säkerhetsskyddsavtal också grund för säkerhetsprövning av personal hos leverantören enligt 3 kap. säkerhetsskyddslagen (prop. 2017/18:89 s. 104 och 141). Ett säkerhetsskyddsavtal innebär dock inte i sig att säkerhetsskyddslagen blir direkt tillämplig på leverantörens verksamhet. Däremot kan en leverantör som exempelvis tillhandahåller driftstjänster åt ett flertal myndigheter genom sitt samlade engagemang anses bedriva säkerhetskänslig verksamhet. Säkerhetsskyddslagstiftningen kan alltså i sådana fall bli direkt tillämplig på leverantören av driftstjänsterna.

Det finns behov av att utvidga kravet på säkerhetsskyddsavtal

Liksom utredningen anser regeringen att det kan finnas ett behov av säkerhetsskyddsavtal under andra förfaranden än sådana offentliga upphandlingar och andra anskaffningar som i dag omfattas av krav på säkerhetsskyddsavtal.

För det första krävs inte säkerhetsskyddsavtal inför avtal, samverkan och samarbeten som inte sker i anslutning till offentlig upphandling eller annan anskaffning. Exempelvis sker sådan samverkan och sådant samarbete inom ramen för forskning, t.ex. när det gäller utveckling av försvarsmateriel eller informationssystem. Ett annat exempel är samverkan inom ramen för arbetet med informations- och cybersäkerhet. Vid förfaranden av de angivna slagen kan säkerhetsskyddsklassificerade uppgifter eller i övrigt säkerhetskänslig verksamhet behöva exponeras för de andra aktörer som verksamhetsutövaren samverkar eller samarbetar med. Om de utomstående aktörerna inte genomför tillräckliga säkerhetsskyddsåtgärder, såsom säkerhetsprövning av personal och informationssäkerhetsåtgärder för att förhindra att obehöriga får tillgång till säkerhetsskyddsklassificerade uppgifter, kan det innebära sårbarheter för Sveriges säkerhet. Det kan därför finnas behov av säkerhetsskyddsavtal inför avtal, samverkan och samarbeten som inte sker i anslutning till anskaffning för att kraven på säkerhetsskydd ska tillgodoses.

Det finns inte heller krav på säkerhetsskyddsavtal inför förfaranden då verksamhetsutövaren är leverantör och beställaren kan få tillgång till säkerhetskänslig verksamhet genom uppdraget. Ett praktiskt exempel är när offentliga eller enskilda verksamhetsutövare med höga skyddsvärden upplåter en fastighet, lokal eller anläggning – kanske inklusive tekniska resurser – åt någon annan aktör. Det kan vara fråga om upplåtelse av plats i skyddsrum eller bergrum eller möjlighet att använda ett laboratorium. Ett annat exempel kan vara när offentliga eller enskilda verksamhetsutövare levererar varor, såsom när FMV överlåter eller upplåter stridsflygplan eller annan lös egendom med höga skyddsvärden. Vid dessa former av upplåtelse och försäljning kan det finnas ett behov av att klargöra för hyresgästen eller beställaren hur olika skyddsvärden ska skyddas under t.ex. ett upphandlingsförfarande, en avtalsförhandling eller under avtalstiden. Om ett säkerhetsskyddsavtal inte ingås finns det en fara att skyddsvärdena inte får ett tillräckligt skydd.

Vidare är det oklart om det krävs säkerhetsskyddsavtal när statliga myndigheter ska ingå avtal om varor, tjänster eller byggentreprenader med

Prop. 2020/21:194

29

avgörande. Att det är risken för exponering snarare än anledningen till exponeringen som bör vara avgörande tillstyrks också av flera remissinstanser, såsom FMV, ISP, PTS och Säkerhetspolisen. En reglering som är inriktad på t.ex. en viss typ av avtal eller samarbete riskerar dessutom att bli överspelad. Regeringen anser därför att en verksamhetsutövare som huvudregel bör vara skyldig att ingå ett säkerhetsskyddsavtal oavsett om denne är leverantör eller beställare och oavsett vilken typ av avtal, samverkan eller samarbete det är fråga om, under förutsättning att den andra aktören kan få tillgång till den säkerhetskänsliga verksamheten.

Att utvidga kravet på säkerhetsskyddsavtal kan, som flera remissinstanser påpekar, innebära en ökad arbetsbörda för verksamhetsutövare och fördröja vissa samarbeten. Det gäller särskilt, såsom Försvarsmakten, Säkerhets- och försvarsföretagen, Lidingö kommun, Livsmedelsverket, Luleå kommun och Länsstyrelsen i Norrbotten anför, inom forskningssamarbeten, totalförsvarsplaneringen inklusive arbete med civilt försvar och krisberedskap, när säkerhetsskyddsklassificerad information delas mellan ett stort antal statliga myndigheter, kommuner, regioner och privata aktörer. Som Vattenfall, Finansinspektionen och Swedavia påpekar kan det även få liknande konsekvenser vid samarbeten mellan flera bolag inom samma koncern. Dessa konsekvenser är dock motiverade med hänsyn till det behov av säkerhetsskydd som normalt även finns vid samarbeten. Det är vidare varken möjligt eller lämpligt att, som Vattenfall föreslår, ändra begreppet verksamhetsutövare till att i vissa fall avse hela koncerner med följd att det inte skulle krävas säkerhetsskyddsavtal mellan aktiebolag inom samma koncern. Som Vattenfall anför anses en verksamhetsutövare inte kunna vara två aktiebolag, utan varje juridisk person, statlig myndighet, kommun eller region som bedriver säkerhetskänslig verksamhet utgör en verksamhetsutövare med en egen skyldighet att tillgodose kraven på säkerhetsskydd. Det är därför som ett aktiebolag ska ingå säkerhetsskyddsavtal med ett annat bolag i samma koncern om förutsättningarna i övrigt i 2 kap. 6 § säkerhetsskyddslagen är uppfyllda (prop. 2017/18:89 s. 142). Något beredningsunderlag för att ändra detta centrala begrepp inom ramen för detta lagstiftningsärende finns inte. Det är vidare inte lämpligt att ändra begreppets omfattning till att ibland omfatta koncerner, bl.a. med tanke på att åtgärdsförelägganden och sanktionsavgifter, som tillsynsmyndigheterna enligt regeringens förslag i avsnitt 9 ska få besluta, bör beslutas mot ett bolag och inte en koncern. Det finns inte heller beredningsunderlag för att inom detta lagstiftningsärende behandla Vattenfalls förslag om att införa ett certifieringssystem för säkerhetsskydd.

Regeringen anser däremot, till skillnad från FOI, inte att kravet på säkerhetsskyddsavtal bör utvidgas till att gälla förfaranden där den andra aktören endast kan få tillgång till uppgifter i säkerhetsskyddsklassen begränsat hemlig eller säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet. Som FOI påpekar kan det visserligen finnas behov av att skydda även begränsat hemliga uppgifter. Den frågan har dock inte omfattats av utredningens uppdrag och kan därför inte behandlas inom ramen för detta lagstiftningsärende. Det ska dock poängteras att det i situationer där det inte finns krav på säkerhetsskyddsavtal ändå kan finnas anledning att ingå andra typer av säkerhetsskyddsöverenskommelser för att reglera säkerhetsskyddet (jfr 7 kap. 1 § andra stycket PMFS 2019:2). Sådana överenskommelser utgör dock i sig

Prop. 2020/21:194

31

verksamhetsutövaren upptäcker behovet av ett sådant avtal först efter att ett affärsavtal har ingåtts. Att ett säkerhetsskyddsavtal ska vara på plats innan den andra aktören kan få tillgång till den säkerhetskänsliga verksamheten, innebär inte att skyldigheten att ingå säkerhetsskyddsavtal slutar gälla efter det skedet av förfarandet. Om verksamhetsutövaren felaktigt har bedömt att ett visst förfarande inte kräver säkerhetsskyddsavtal måste verksamhetsutövaren alltså ingå säkerhetsskyddsavtal i efterhand eller avbryta samarbetet i den del det innebär att den andra parten får tillgång till den säkerhetskänsliga verksamheten. En särskild bestämmelse om att teckna säkerhetsskyddsavtal i efterhand behövs därför inte.

Som E-hälsomyndigheten påpekar kan kraven på säkerhetsprövning i ett säkerhetsskyddsavtal få konsekvenser för arbetstagare i den verksamhet som omfattas av avtalet, såsom omplaceringar och uppsägningar. Detta är dock en konsekvens som redan följer av gällande lagstiftning. Regeringen anser därför till skillnad från E-hälsomyndigheten inte att de närmare arbetsrättsliga konsekvenserna av förslaget bör utredas vidare inom ramen för detta lagstiftningsärende.

Säkerhetsskyddsavtal ska även i fortsättningen ingås med underleverantörer

I linje med vad FOI och FMV uttrycker är det viktigt att en verksamhetsutövare, liksom i dag, även har ansvar för att ingå avtal med underleverantörer. Annars riskerar hela syftet med säkerhetsskyddsavtal att gå förlorat. Med hänsyn till att regeringen i avsnitt 9 föreslår att sanktionsavgift ska kunna beslutas bl.a. om verksamhetsutövare inte ingår säkerhetsskyddsavtal bör dock skyldigheten förtydligas. Det är även viktigt att skyldigheten tydliggörs med tanke på att det endast är i de fall det finns en skyldighet att ingå säkerhetsskyddsavtal som ett sådant avtal utgör grund för säkerhetsprövning av motpartens personal. Som Lagrådet anför bör skyldigheten gälla de underleverantörer som anlitas för att fullgöra leverantörens förpliktelse mot verksamhetsutövaren, oavsett om det är en underleverantör som leverantören anlitar eller en underleverantör i senare led. Liksom kravet på att ingå säkerhetsskyddsavtal med leverantörer och andra, bör kravet på säkerhetsskyddsavtal med en underleverantör endast gälla om underleverantören genom sitt uppdrag kan få tillgång till säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller annan säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet. Vidare bör det krävas att säkerhetsskyddsavtalet ingås innan underleverantören kan få tillgång till den säkerhetskänsliga verksamheten. I de fall som underleverantören i fråga endast kommer att kunna få tillgång till uppgifter i säkerhetsskyddsklassen begränsat hemlig eller säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet, kommer det alltså inte att finnas krav på säkerhetsskyddsavtal. En verksamhetsutövare behöver dock i sådana fall i regel vidta andra åtgärder för att tillgodose säkerhetsskyddet.

FMV anser att förslaget innebär att både den upphandlande myndigheten och leverantören kommer behöva teckna säkerhetsskyddsavtal med en underleverantör inom ramen för samma uppdrag. Det menar FMV är problematiskt eftersom det finns en risk att säkerhetsskyddsavtalen står i

Prop. 2020/21:194

33

34

6.2Den utvidgade skyldigheten att ingå säkerhetsskyddsavtal ska ha undantag

Regeringens förslag: Mellan statliga myndigheter ska kravet på säkerhetsskyddsavtal endast gälla vid anskaffning av en vara, tjänst eller byggentreprenad.

Regeringen ska få meddela föreskrifter om undantag från skyldigheten att ingå säkerhetsskyddsavtal. Om det finns särskilda skäl ska regeringen också få besluta om sådana undantag i enskilda fall.

Utredningens förslag överensstämmer i huvudsak med regeringens. Utredningen föreslår dock inte att det ska krävas särskilda skäl för att regeringen ska få besluta undantag från kravet på säkerhetsskyddsavtal i enskilda fall.

Remissinstanserna: Skövde kommun, Socialstyrelsen och Affärsverket svenska kraftnät anser att det även kan finnas behov av säkerhetsskyddsavtal vid förfaranden mellan myndigheter som inte gäller anskaffning av en vara, tjänst eller byggentreprenad. Bland annat FOI, FRA och Försvarsunderrättelsedomstolen anser att gränsen mellan anskaffning respektive samarbete och samverkan kan behöva klargöras. SKR och ett antal kommuner, regioner och länsstyrelser, såsom Gävle kommun, Stockholms kommun, Gotlands kommun, Göteborgs kommun, Luleå kommun, Region Kronoberg, Region Skåne, Region Stockholm och Länsstyrelsen i Skåne, anser att det i någon mån behövs undantag för samarbete och samverkan mellan kommuner och mellan regioner. Vissa av dem anser att det även bör införas undantag för samverkan och samarbeten mellan kommuner och regioner, kommuner och deras bolag och regioner och dess bolag. Ett antal remissinstanser, såsom FOI, Försvarsmakten, FRA, Försvarsunderrättelsedomstolen, Säkerhets- och försvarsföretagen och Svenska Bankföreningen, anser att det i någon mån bör göras undantag från kravet på säkerhetsskyddsavtal när båda parter bedriver säkerhetskänslig verksamhet. Specialfastigheter AB framför att det behövs klargörande om vad

vara förenat med beaktansvärda tillämpningsproblem att urskilja vilken del av ett samarbete som avser anskaffning av en vara, tjänst eller byggentreprenad och därför kräver säkerhetsskyddsavtal.

Andra undantag bör inte införas i säkerhetsskyddslagen

SKR och ett antal kommuner, regioner och länsstyrelser, såsom Gävle kommun, Stockholms kommun, Gotlands kommun, Göteborgs kommun, Luleå kommun, Region Kronoberg, Region Skåne, Region Stockholm och Länsstyrelsen i Skåne, anser att det även behövs undantag för samarbete och samverkan mellan kommuner och mellan regioner. Vissa av remissinstanserna anser att det även bör införas undantag för samarbeten och samverkan mellan kommuner och regioner, kommuner och deras bolag och regioner och deras bolag. Flera av dessa remissinstanser framhåller att samma skäl som finns för ett undantag när det gäller statliga myndigheter också gör sig gällande för kommuner och regioner. Vidare framför vissa av dem att kravet på säkerhetsskyddsavtal kommer bli administrativt tungrott, resurskrävande och riskera att motverka samverkan.

Regeringen anser dock inte att skälen för ett undantag när det gäller samverkan och samarbeten mellan statliga myndigheter gör sig gällande på samma sätt beträffande kommuner och regioner. Kommuner och regioner sköter lokala och regionala angelägenheter av allmänt intresse och kan därför inte sägas företräda samma övergripande intresse som statliga myndigheter gör. Det kan alltså finnas ett spänningsförhållande mellan exempelvis kommunala och statliga intressen, vilket har uppmärksammats i ett flertal ärenden med säkerhetspolitiska inslag, t.ex. när det gäller uthyrningen av hamnkapacitet på Gotland och i Blekinge inom ramen för naturgasprojektet Nordstream 2. Med hänsyn till det anser regeringen att behovet av ett generellt krav på säkerhetsskyddsavtal i dessa situationer väger över de olägenheter som ett sådant krav kan innebära. Något undantag för kommuners och regioners samverkan och samarbeten bör därför inte införas i säkerhetsskyddslagen. Det bör dock framhållas att det många gånger kan finnas sätt att undvika att behöva ingå säkerhetsskyddsavtal, inte minst genom att verksamhetsutövare minimerar utomståendes insyn i verksamheten till situationer där det verkligen är nödvändigt, och genom att minimera utomståendes tillgång till säkerhetsskyddsklassificerade uppgifter. Om ett samarbete eller en samverkan kan genomföras utan att motparten kan få tillgång säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre eller säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet, behöver något säkerhetsskyddsavtal inte ingås.

FOI, Försvarsmakten, FRA, Försvarsunderrättelsedomstolen, Säkerhets- och försvarsföretagen och Svenska Bankföreningen anser att det i någon mån bör göras undantag från kravet på säkerhetsskyddsavtal när båda parter bedriver säkerhetskänslig verksamhet. Specialfastigheter AB framför att det behövs klargörande om vad som gäller när båda parter bedriver säkerhetskänslig verksamhet. En verksamhetsutövares säkerhetsskyddsåtgärder utgår från den egna säkerhetskänsliga verksamheten och de skyddsvärden som finns i den. När båda parter omfattas av säkerhetsskyddslagen har alltså säkerhetsskyddsavtal den funktionen att det

Prop. 2020/21:194

37

40

Av säkerhetsskyddslagen framgår dock inte tydligt att ett säkerhetsskyddsavtal kan utgöra grund för krav på säkerhetsprövning av motpartens personal, eller att det kan utgöra grund för beslut om placering i säkerhetsklass, registerkontroll och särskild personutredning. Denna koppling mellan säkerhetsskyddsavtal och säkerhetsprövning bör klargöras i lag, särskilt eftersom en säkerhetsprövning kan uppfattas som integritetskränkande och påverka den kontrollerades anställning.

Som utredningen föreslår bör det därför framgå direkt av säkerhetsskyddslagen att bestämmelserna i 3 kap. säkerhetsskyddslagen och föreskrifter som har meddelats i anslutning till de bestämmelserna tillämpas när ett säkerhetsskyddsavtal har ingåtts. För tydlighets skull bör det dock preciseras att det är vid säkerhetsprövning enligt avtalet som tillämpningen får ske.

6.4Kraven på uppföljning av säkerhetsskyddsavtal förtydligas

Regeringens förslag: Det ska införas ett krav i säkerhetsskyddslagen på att verksamhetsutövaren ska revidera ett säkerhetsskyddsavtal om det krävs på grund av ändrade förhållanden. Det ska även införas ett tydligare krav på verksamhetsutövare att vidta de åtgärder som behövs för att tillgodose kraven på säkerhetsskydd om motparten i ett säkerhetsskyddsavtal bryter mot avtalet.

Vidare ska det göras tydligare att ett säkerhetsskyddsavtal ska innehålla de krav på motparten som behövs för att kraven på säkerhetsskydd ska kunna tillgodoses. Dessutom ska det införas krav på att i säkerhetsskyddsavtal reglera hur verksamhetsutövaren ska få kontrollera att motparten följer säkerhetsskyddsavtalet och att verksamhetsutövaren har rätt att revidera avtalet om det krävs på grund av ändrade förhållanden.

Utredningens förslag överensstämmer delvis med regeringens. Utredningen föreslår dock inte att det ska tydliggöras vad en verksamhetsutövare har för skyldigheter när motparten i ett säkerhetsskyddsavtal bryter mot avtalet. Vidare föreslår utredningen varken att det ska tydliggöras att ett säkerhetsskyddsavtal ska innehålla de krav på motparten som behövs för att kraven på säkerhetsskydd ska kunna tillgodoses eller att ett säkerhetsskyddsavtal ska reglera hur verksamhetsutövaren ska få kontrollera att motparten följer avtalet.

Remissinstanserna: Majoriteten av remissinstanserna tillstyrker eller har inte några invändningar mot förslaget, såsom Polismyndigheten, Säkerhetspolisen, Finansinspektionen, Sjöfartsverket och Stockholms tingsrätt. Svenskt Näringsliv och Näringslivets regelnämnd har synpunkter på vem som ska kontrollera att ett säkerhetsskyddsavtal följs. Finansinspektionen anser att det bör regleras hur ofta en verksamhetsutövare ska

och revidering. Oftast är det endast den verksamhetsutövare som har ingått ett säkerhetsskyddsavtal med en leverantör som har en skyldighet att teckna säkerhetsskyddsavtal med en underleverantör som leverantören ska anlita för att fullgöra sin förpliktelse mot verksamhetsutövaren. I fall där även leverantören är verksamhetsutövare och har en skyldighet att teckna säkerhetsskyddsavtal med en underleverantör för att skydda sin säkerhetskänsliga verksamhet, kommer emellertid leverantören vara skyldig att kontrollera och revidera sitt säkerhetsskyddsavtal med underleverantören.

Upphandlingsmyndigheten och SKR anser att förhållandet mellan det föreslagna kravet på revidering och upphandlingslagstiftningen behöver förtydligas och i vissa fall regleras. Som Upphandlingsmyndigheten påpekar är det upphandlingslagstiftningen som sätter ramarna för vilka ändringar av ett upphandlat kontrakt som är tillåtna, se 17 kap. 8–16 §§ LOU, 16 kap. 8–16 §§ lagen (2016:1146) om upphandling inom försörjningssektorerna och 14 kap. 8–16 §§ lagen (2016:1147) om upphandling av koncessioner. Av de reglerna följer bl.a. att ändringar som inte ändrar kontraktets övergripande karaktär eller som inte är väsentliga kan göras utan ny upphandling. Att ändra ett säkerhetsskyddsavtal kan öka kostnaderna för leverantören och påverka kontraktets eller ramavtalets omfattning. Upphandlingsmyndigheten anser att det behövs en fördjupad analys av om, och i så fall under vilka förutsättningar, reglerna om ändring av avtal i upphandlingslagstiftningen kan komma i konflikt med föreslaget krav på revidering. Enligt regeringen är det dock svårt att generellt bedöma i vilka situationer som en revidering av ett säkerhetsskyddsavtal på grund av ändrade förhållanden kan anses utgöra en otillåten ändring av ett kontrakt, bl.a. eftersom det beror på vilket kontrakt och vad för typ av revidering det är fråga om. Utgångspunkten är att båda regelverken ska följas, vilket måste beaktas av den verksamhetsutövare som ska genomföra en upphandling som kräver säkerhetsskyddsavtal.

Flera remissinstanser har synpunkter på hur kostnaderna för revidering och uppsägning av avtal bör fördelas. Lidingö kommun avstyrker förslaget med hänsyn till att det är oklart vem som ska stå kostnaden för en revidering. Svenskt Näringsliv anser att det bör regleras att det är uppdragsgivande myndighet som ska stå för de kostnader som uppstår på grund av en revidering. Swedavia förespråkar i stället att leverantören ska stå för kostnaden. Regeringen anser emellertid inte att kostnadsansvaret bör regleras, utan att det som utgångspunkt ska stå parterna fritt att avtala om kostnaderna. Om den upphandlande myndigheten genom revideringen har brutit mot upphandlingslagstiftningen stadgar dock den lagstiftningen att myndigheten kan bli skadeståndsskyldig och att Konkurrensverket kan väcka talan om upphandlingsskadeavgift.

Sammanfattningsvis finns det endast skäl att föreslå smärre ändringar i befintliga krav på uppföljning. Bristerna i uppföljningen verkar till största del bero på bristande efterlevnad av de krav som finns. I avsnitt 9 föreslår regeringen att tillsynsmyndigheterna ska kunna besluta om åtgärdsförelägganden och, i vissa fall, sanktionsavgift om en verksamhetsutövare inte följer dessa krav, vilket är avsett att förbättra efterlevnaden.

Prop. 2020/21:194

43

Prop. 2020/21:194

44

Tydligare krav på vad ett säkerhetsskyddsavtal ska innehålla

Även innehållet i ett säkerhetsskyddsavtal har betydelse för uppföljningen av avtalet.

I 2 kap. 6 § säkerhetsskyddslagen stadgas att det i ett säkerhetsskyddsavtal ska anges hur kraven på säkerhetsskydd enligt 1 § samma kapitel ska tillgodoses av leverantören.

För att en verksamhetsutövare ska ha befogenhet gentemot motparten att kontrollera säkerhetsskyddsavtalet måste även det, som Säkerhetspolisen framhåller, regleras i säkerhetsskyddsavtalet. Detsamma gäller, som utredningen påpekar, för rätten till revidering. Om detta anges i avtalet blir det dessutom tydligt för t.ex. en myndighet som avser att genomföra en offentlig upphandling, att möjligheten till kontroll och revidering av säkerhetsskyddsavtalet måste framgå redan av förfrågningsunderlaget, så att anbudsgivarna kan anpassa sina anbud och andra förhållningssätt efter det. Motsvarande fördelar uppkommer för dem som inte omfattas av upphandlingslagstiftningen. Kravet på vad ett säkerhetsskyddsavtal ska innehålla bör därför kompletteras med krav på att reglera hur verksamhetsutövaren ska få kontrollera att säkerhetsskyddsavtalet följs och att verksamhetsutövaren har rätt att revidera säkerhetsskyddsavtalet om det krävs på grund av ändrade förhållanden.

Som Upphandlingsmyndigheten påpekar är det vid upphandlingar helt centralt att verksamhetsutövaren i upphandlingsdokumenten reglerar en rätt att säga upp affärsavtalet om motparten i någon mån bryter mot säkerhetsskyddsavtalet. Även när det gäller andra avtal, samarbeten och samverkan kan en sådan rätt behöva regleras. I vilken mån en rätt att avbryta det förfarande som ger motparten tillgång till den säkerhetskänsliga verksamheten behöver regleras och i vilken mån det är bäst att reglera rätten i säkerhetsskyddsavtalet eller på annat sätt varierar dock. Det bör därför inte införas krav på verksamhetsutövare att reglera den rätten i säkerhetsskyddsavtalet.

Befintligt krav på att i säkerhetsskyddsavtal ange hur kraven på säkerhetsskydd ska tillgodoses av leverantören behöver dessutom anpassas för att – utöver leverantörer – gälla alla som kan vara motparter i ett säkerhetsskyddsavtal enligt förslaget i avsnitt 6.1. Vidare anser regeringen att kravet behöver förtydligas så att det klart framgår att verksamhetsutövare inte bara har en skyldighet att reglera vilka motpartens åtaganden är, utan att de krav som ställs på motparten också ska göra att kraven på säkerhetsskydd kan bli tillgodosedda under förfarandet. Kravet bör därför formuleras så att ett säkerhetsskyddsavtal ska innehålla de krav på motparten som behövs för att kraven på säkerhetsskydd ska kunna tillgodoses.

Prop. 2020/21:194

46

säkerhetskänslig verksamhet eller delar av en sådan verksamhet. I rättsliga sammanhang brukar begreppet överlåtelse användas för att beteckna en övergång av äganderätt genom köp, byte eller gåva. När avtalet avser en mer begränsad rätt än äganderätt används i stället termen upplåtelse. Typexempel på upplåtelser är bl.a. avtal om hyra, leasing, arrende och andra nyttjanderätter som inte innebär att ägaren avhänder sig sin äganderätt.

Exempel på upplåtelser där det kan uppstå en problematik i förhållande till behovet av säkerhetsskydd, är att verksamhetsutövare till någon utomstående aktör upplåter en lokal i en anläggning där säkerhetskänslig verksamhet bedrivs eller den specifika lokal, t.ex. ett laboratorium, där säkerhetskänslig verksamhet bedrivs, vilket medför att den säkerhetskänsliga verksamheten exponeras.

Nuvarande krav på särskild säkerhetsskyddsbedömning och samråd vid överlåtelser och vissa upphandlingar

Sedan den 1 januari 2021 finns det särskilda krav enligt 2 kap. säkerhetsskyddslagen (2018:585) i samband med överlåtelse av säkerhetskänslig verksamhet och viss egendom. Kraven innebär i huvudsak att en verksamhetsutövare som avser att genomföra en sådan överlåtelse är skyldig att genomföra en särskild säkerhetsskyddsbedömning och en lämplighetsprövning samt samråda med en samrådsmyndighet. Samrådsmyndigheten har möjlighet att förelägga verksamhetsutövaren att vidta åtgärder för att uppfylla sina skyldigheter enligt lagen och ytterst besluta att en överlåtelse inte får genomföras (förbud).

Säkerhetsskyddslagen innehåller inte några motsvarande krav avseende utkontrakteringar eller upplåtelser. I säkerhetsskyddsförordningen (2018:685) finns dock bestämmelser om skyldigheter i samband med vissa statliga upphandlingar. Enligt 2 kap. 6 § säkerhetsskyddsförordningen ska statliga myndigheter som avser att genomföra en upphandling som innebär krav på säkerhetsskyddsavtal enligt 2 kap. 6 § säkerhetsskyddslagen, i vissa särskilt angelägna fall göra en särskild säkerhetsskyddsbedömning och samråda med tillsynsmyndigheten. Tillsynsmyndigheten får förelägga myndigheten att vidta åtgärder enligt säkerhetsskyddslagen och de föreskrifter som har meddelats i anslutning till den lagen. Om ett föreläggande inte följs eller om tillsynsmyndigheten bedömer att säkerhetsskyddslagens krav inte kan tillgodoses trots att ytterligare åtgärder vidtas, får tillsynsmyndigheten besluta att myndigheten inte får genomföra upphandlingen.

Det nuvarande regelverket behöver utvecklas

Utredningen har under sitt arbete identifierat ett antal problem och brister i säkerhetsskyddsarbetet som bl.a. yttrar sig vid utkontraktering av säkerhetskänslig verksamhet men också vid vissa upplåtelser och andra förfaranden där utomstående kan få tillgång till den säkerhetskänsliga verksamheten. Vissa av dessa brister avser säkerhetsskyddet generellt men får särskild betydelse vid utkontraktering och liknande förfaranden. Ett sådant generellt problem som utredningen pekar på, är att det antagligen finns verksamheter av stor betydelse för Sveriges säkerhet som inte tillämpar säkerhetsskyddslagen. Utredningen konstaterar att det är särskilt allvarligt med brister i tillämpningen vid utkontraktering, upplåtelser och liknande

förfaranden eftersom säkerhetskänslig verksamhet eller säkerhetsklassificerade uppgifter därigenom kan utsättas för ytterligare sårbarheter.

Utredningen har också identifierat ett antal brister som mer specifikt har att göra med utkontraktering. Den har t.ex. konstaterat att verksamheter i allt större utsträckning ställs inför frågan om delar av verksamheten bör utföras inom den egna organisationen eller av andra och att det då förekommer att myndigheter mer eller mindre tar för givet att säkerhetskänsliga delar av deras verksamheter ska utkontrakteras utan att myndigheterna dessförinnan har prövat det lämpliga i detta. Avsaknaden av lämplighetsprövningar har enligt utredningen i sig flera delorsaker, bl.a. att verksamhetsutövare har otillräcklig kunskap om sina egna skyddsvärden och att myndigheter inför beslut om utkontraktering ofta ställs inför målkonflikter där andra krav regelmässigt överordnas säkerhetsskyddet.

Ett annat problem med den nuvarande regleringen är att den endast ger begränsade möjligheter att ingripa mot olämpliga utkontrakteringar. Bestämmelserna i 2 kap. 6 § säkerhetsskyddsförordningen gäller till att börja med bara vid vissa upphandlingar som görs av statliga myndigheter. De innebär således ingen möjlighet till ingripande mot enskilda verksamhetsutövare. Som en följd av bl.a. privatiseringen av offentlig verksamhet har antalet verksamheter av betydelse för Sveriges säkerhet som bedrivs i enskild regi ökat. Förekomsten av sådana verksamheter kan också på goda grunder antas fortsätta öka framöver. Även behovet av att kunna ingripa mot enskilda verksamhetsutövares utkontrakteringar har därför ökat.

Vidare ger den nuvarande regleringen inga skarpa verktyg för att ingripa i en redan pågående utkontraktering. Tillsynsmyndigheten kan i en sådan situation uppmana verksamhetsutövaren att vidta åtgärder men i praktiken står det i dessa fall verksamhetsutövaren fritt att välja om uppmaningen ska följas. Denna problematik berördes bl.a. i granskningen av Transportstyrelsens upphandling av it-drift där det konstaterades att Säkerhetspolisen inte hade någon annan möjlighet än att i skarpa ordalag rekommendera Transportstyrelsen att vidta åtgärder (Ds 2018:6 s. 189). Införandet av bestämmelserna om krav på bl.a. samråd och möjlighet för Säkerhetspolisen och Försvarsmakten att vägra upphandlingar, som i dag alltså finns i 2 kap. 6 § säkerhetsskyddsförordningen, löser endast delvis problemet. Även om en utkontraktering har genomgått en sådan kontroll kan den vid ett senare tillfälle visa sig olämplig från säkerhetsskyddssynpunkt. Det kan ske t.ex. när den säkerhetskänsliga verksamheten ändrar karaktär eller på grund av förändrade ägarförhållanden hos leverantören, nya hotbilder och liknande.

Mot denna bakgrund anser regeringen, i likhet med utredningen, att det finns ett stort behov av att utveckla regelverket om statliga myndigheters upphandlingar för att bättre hantera riskerna med utkontraktering och liknande förfaranden.

Prop. 2020/21:194

47

särskild vikt i de fall en verksamhetsutövare planerar att genomföra en utkontraktering eller ett annat förfarande som innebär att verksamheten exponeras för andra aktörer. Statliga myndigheter som avser att genomföra en upphandling som innebär krav på säkerhetsskyddsavtal, är enligt 2 kap. 6 § säkerhetsskyddsförordningen i vissa fall skyldiga att göra en särskild säkerhetsskyddsbedömning. Den huvudsakliga innebörden av kravet är att verksamhetsutövaren ska identifiera vilka säkerhetsskyddsklassificerade uppgifter eller vilken säkerhetskänslig verksamhet i övrigt som den andra aktören kan få tillgång till genom förfarandet och som kräver säkerhetsskydd.

Regeringen anser att kravet på att göra en särskild säkerhetsskyddsbedömning bör utvidgas. Det finns till att börja med skäl att utvidga kretsen av verksamhetsutövare som omfattas av kravet. De befintliga bestämmelserna i säkerhetsskyddsförordningen gäller som framgått bara för statliga myndigheters upphandlingar. Med hänsyn till att enskilda aktörer numera i relativt stor omfattning bedriver säkerhetskänslig verksamhet och att sådan verksamhet även bedrivs i kommuner och regioner, anser regeringen att även den typen av verksamhetsutövare bör omfattas av bestämmelser om särskild säkerhetsskyddsbedömning. Bestämmelserna bör alltså gälla för alla verksamhetsutövare.

En annan fråga är vilka förfaranden som ska omfattas av reglerna om särskild säkerhetsskyddsbedömning. I dag gäller reglerna för upphandlingar som omfattas av krav på säkerhetsskyddsavtal. Som framgår i avsnitt

6.1föreslår regeringen att kravet på säkerhetsskyddsavtal ska utvidgas till att gälla inte bara vid upphandlingssituationer, utan vid alla slags avtal, samarbeten och samverkan. Skälen för det förslaget gör sig enligt regeringen gällande även beträffande kravet på särskild säkerhetsskyddsbedömning. Det som i första hand ska avgöra om det finns ett behov av en särskild säkerhetsskyddsbedömning är alltså om ett visst förfarande innebär att en annan aktör kan få tillgång till säkerhetsskyddsklassificerade uppgifter eller säkerhetskänslig verksamhet i övrigt. Detta kriterium har betydligt större praktisk betydelse än hur ett visst förfarande rubriceras rättsligt. Bestämmelserna om särskild säkerhetsskyddsbedömning bör därför, i linje med vad som föreslås gälla för säkerhetsskyddsavtal, frigöras från kopplingen till upphandling och särskilda typer av avtal. De bör inte heller begränsas till utkontraktering eller upplåtelse av säkerhetskänslig verksamhet. I stället bör skyldigheten som utgångspunkt gälla för alla de typer av avtal och förfaranden som omfattas av krav på säkerhetsskyddsavtal.

Det befintliga kravet på särskild säkerhetsskyddsbedömning är vidare begränsat till att gälla i de fall då leverantören kan få tillgång till eller möjlighet att förvara säkerhetsskyddsklassificerade uppgifter i de två högsta säkerhetsskyddsklasserna utanför myndighetens lokaler, eller då leverantören kan få tillgång till säkerhetskänsliga informationssystem utanför myndighetens lokaler och obehörig åtkomst till systemen kan medföra skada av motsvarande betydelse för Sveriges säkerhet. De föreslagna bestämmelserna om säkerhetsskyddsavtal är bredare i sitt tillämpningsområde på så sätt att de dels gäller tillgång till uppgifter och verksamhet på en lägre säkerhetsskyddsklass- och skadenivå, dels inte är begränsade till tillgång utanför verksamhetens lokaler. Regeringen anser att det finns skäl att även i dessa avseenden utvidga kravet på säkerhetsskydds-

Prop. 2020/21:194

49

egendom enligt 2 kap. 8 § säkerhetsskyddslagen som vid upphandlingar enligt 2 kap. 6 § säkerhetsskyddsförordningen, bör gälla ett krav på att den särskilda säkerhetsskyddsbedömningen ska dokumenteras.

Eftersom de föreslagna reglerna delvis avser förhållandet mellan enskilda och det allmänna och innehåller skyldigheter för enskilda bör de tas in i säkerhetsskyddslagen.

Ett uttryckligt krav på lämplighetsprövning bör införas

Som framgår ovan förekommer det att verksamhetsutövare inte gör någon analys av om en utkontraktering är lämplig från säkerhetsskyddssynpunkt eller att analysen som utförs är bristfällig. Detta är ett mycket allvarligt problem. Det är av yttersta vikt att fördelarna med ett sådant förfarande ställs mot de risker för Sveriges säkerhet som förfarandet kan innebära. I vissa fall kan dessa risker hanteras genom ett väl formulerat säkerhetsskyddsavtal. I andra fall kan man inte ens genom ett optimalt säkerhetsskyddsavtal motverka de säkerhetsskyddsproblem som uppstår genom en utkontraktering. Förfarandet är i sådana fall inte lämpligt från säkerhetsskyddsynpunkt och bör därför inte genomföras.

Enligt 2 kap. 7–8 §§ säkerhetsskyddslagen är en verksamhetsutövare som avser att överlåta säkerhetskänslig verksamhet eller annan egendom skyldig att pröva om överlåtelsen i fråga är lämplig från säkerhetsskyddsynpunkt. Det finns starka skäl att nu införa ett uttryckligt krav på lämplighetsprövning även gällande andra förfaranden som omfattas av krav på säkerhetsskyddsavtal. En sådan uttrycklig regel skulle, som utredningen också konstaterat, i kombination med kravet på en särskild säkerhetsskyddsbedömning förstärka principen om att det är verksamhetsutövaren själv som bär ansvaret för säkerhetsskyddet och att detta gäller även när utomstående involveras i verksamheten. En uttrycklig regel betonar därtill vikten av säkerhetsskydd i samband med t.ex. utkontrakteringar, vilket i sin tur kan ge verksamhetsutövarens säkerhetsfunktion mer tyngd och tydligare stöd för att internt framhålla säkerhetsskyddsaspekter vid sådana förfaranden. Med hänsyn till det anförda anser regeringen att det bör införas ett uttryckligt krav på att den särskilda säkerhetsskyddsbedömningen ska följas av en lämplighetsprövning.

Lämplighetsprövningen ska klarlägga om det aktuella förfarandet kan leda till skadekonsekvenser på nationell nivå och utmynna i en bedömning av om förfarandet är lämpligt från säkerhetsskyddssynpunkt. Bedömningen bör göras med utgångspunkt i den särskilda säkerhetsskyddsbedömningen och övriga omständigheter och innefatta en analys av om det är möjligt att tillgodose de behov av säkerhetsskydd som har identifierats vid den särskilda säkerhetsskyddsbedömningen. Som Swedavia anför kan lämplighetsprövningen vara ett svårt moment för en verksamhetsutövare att genomföra. Syftet med kravet på lämplighetsprövning är dock att alla verksamhetsutövare utifrån sin förmåga och de kunskaper och den information man har tillgång till ska göra en så ambitiös prövning som möjligt av om det aktuella förfarandet är lämpligt från säkerhetsskyddssynpunkt. Som Swedavia också anför kan det dock behövas ytterligare vägledning i vad kravet på lämplighetsprövning innebär.

Förfaranden där andra aktörer får tillgång till säkerhetskänslig verksamhet kan vara olämpliga av olika skäl. Det kan t.ex. handla om utkontrak-

Prop. 2020/21:194

51

52

Den särskilda säkerhetsskyddsbedömningen och lämplighetsprövningen bör ske innan det aktuella förfarandet inleds. Det är mycket viktigt att verksamhetsutövaren prövar frågan om lämplighet i ett tidigt skede. Detta gäller i synnerhet för myndigheters upphandlingar där det av såväl rättsliga och ekonomiska som praktiska skäl kan vara svårt att avbryta ett påbörjat upphandlingsförfarande. Om lämplighetsprövningen leder fram till bedömningen att förfarandet inte är lämpligt, får det inte inledas. Detta bör framgå uttryckligen av regleringen.

I likhet med vad som gäller i dag vid överlåtelser av säkerhetskänslig verksamhet och viss egendom enligt 2 kap. 8 § säkerhetsskyddslagen, bör verksamhetsutövaren vara skyldig att dokumentera lämplighetsprövningen. Dokumentationen kommer att utgöra ett betydelsefullt underlag både för samrådsprocessen, som behandlas nedan, och för tillsynsmyndigheternas verksamhet.

De föreslagna reglerna om lämplighetsprövning avser delvis förhållandet mellan enskilda och det allmänna och innehåller skyldigheter för enskilda. De bör därför tas in i säkerhetsskyddslagen.

Undantag från skyldigheterna

Lagen (1992:1300) om krigsmateriel och förordningen (1992:1303) om krigsmateriel innehåller bestämmelser om tillstånd för samt skyldigheter avseende krigsmaterielrelaterad verksamhet. Enligt detta regelverk krävs tillstånd för bl.a. tillverkning, tillhandahållande och utförsel från Sverige av krigsmateriel samt för tillhandahållande av tekniskt bistånd avseende krigsmateriel. Tillstånd krävs också för vissa former av upplåtelser och samarbeten med parter i utlandet.

Produkter med dubbla användningsområden regleras i rådets förordning (EG) nr 428/2009 av den 5 maj 2009 om upprättande av en gemenskapsordning för kontroll av export, överföring, förmedling och transitering av produkter med dubbla användningsområden (rådets förordning) och den till rådets förordning kompletterande lagen (2000:1064) om kontroll av produkter med dubbla användningsområden och av tekniskt bistånd. Med produkter med dubbla användningsområden avses produkter som både har en civil användning och kan nyttjas för militära ändamål eller för framställning av massförstörelsevapen och dess bärare. Regelverket innebär

bland annat ett krav på tillstånd för export (utförsel utanför EU) och för överföring inom EU av produkter med dubbla användningsområden.

De föreslagna reglerna i säkerhetsskyddslagen och befintligt regelverk om krigsmateriel kan, som ISP anför, komma att få delvis överlappande tillämpningsområden. Det kan konstateras att tillstånd enligt 1 § lagen om krigsmateriel endast får lämnas om det finns säkerhets- eller försvarspolitiska skäl för det och det inte strider mot Sveriges internationella förpliktelser eller Sveriges utrikespolitik i övrigt. Detta innebär att intresset av att värna Sveriges säkerhet beaktas vid tillståndsgivning när det gäller krigsmateriel. Mot denna bakgrund anser regeringen att det inte finns något behov av att nu införa skyldigheter i säkerhetsskyddslagen avseende utkontrakteringar och liknande förfaranden som för att kunna genomföras kräver tillstånd enligt regelverket om krigsmateriel. Sådana förfaranden bör alltså, på motsvarande sätt som gjorts i fråga om överlåtelser av säkerhetskänslig verksamhet, kunna undantas från kravet på särskild säkerhetsskyddsbedömning och lämplighetsprövning. Undantaget kommer därmed att gälla även för skyldigheten att samråda, som behandlas nedan. Föreskrifter om undantag kan lämpligen regleras på förordningsnivå med stöd av ett bemyndigande i säkerhetsskyddslagen.

Även enligt regelverket om produkter med dubbla användningsområden ska nationella utrikes- och säkerhetspolitiska aspekter beaktas vid tillståndsgivningen (artikel 12 i rådets förordning). Det kan enligt regeringen inte uteslutas att en utkontraktering eller ett liknande förfarande skulle kunna omfattas av både de skyldigheter som nu föreslås i säkerhetsskyddslagen och krav på tillstånd enligt regleringen om produkter med dubbla användningsområden. Regeringen kommer att överväga frågan om behovet av undantag i förhållande till den regleringen i det fortsatta förordningsarbetet.

För att undvika överlappande regleringar finns det alltså behov av ett bemyndigande för regeringen att meddela föreskrifter om undantag från de föreslagna skyldigheterna i säkerhetsskyddslagen. Det finns också andra skäl till sådana undantag. Om det finns särskilda skäl bör regeringen därför även få besluta om undantag i enskilda fall. Särskilda skäl för undantag kan exempelvis finnas för en utkontraktering inom försvars- eller underrättelseområdet samt vid höjd beredskap.

De nu föreslagna skyldigheterna att göra en särskild säkerhetsskyddsbedömning och lämplighetsprövning inför förfaranden som kräver säkerhetsskyddsavtal kan även överlappa med de motsvarande krav som gäller vid överlåtelse av säkerhetskänslig verksamhet och viss egendom. Sådana överlåtelser kan innehålla moment som medför krav på säkerhetsskyddsavtal och som därmed också träffas av de nu föreslagna skyldigheterna. Om ett överlåtelseförfarande omfattas av reglerna om överlåtelse av säkerhetskänslig verksamhet bör förfarandet inte också omfattas av de nu föreslagna skyldigheterna att göra en särskild säkerhetsskyddsbedömning och lämplighetsprövning. Samma sak gäller det nedan behandlade förslaget om krav på samråd.

Prop. 2020/21:194

53

Stockholm anser att ett tillståndsförfarande i stället borde övervägas då den föreslagna ordningen visar stora likheter med ett sådant. Om så inte sker anser kammarrätten att samrådsförfarandet bör specificeras, särskilt eftersom en sanktionsavgift kan komma att tas ut om samrådsskyldigheten inte fullgörs. Kammarrätten anser vidare att det bör övervägas om tillsynsmyndigheten ska få besluta att ett förbud ska gälla omedelbart, eftersom förbud endast kommer att aktualiseras när det kan uppstå en allvarlig skada eller synnerligen allvarlig skada för Sveriges säkerhet. Dessutom menar kammarrätten att befogenheten att besluta åtgärdsförelägganden under samråd överlappar med möjligheten att besluta förelägganden vid tillsyn, vilket enligt kammarrätten kan leda till tillämpningsproblem. Totalförsvarets forskningsinstitut (FOI) påpekar att den föreslagna omfattningen av samrådsskyldigheten innebär att FOI måste samråda i varje fall då ett säkerhetsskyddsavtal upprättas med en motpart, vilket enligt FOI inte är motiverat. FOI anser att skyldigheten att samråda i första hand bör gälla i mer komplexa eller svårbedömda ärenden. Trafikverket avstyrker att samråd ska ske med tillsynsmyndigheterna och menar att det är bättre att ge Säkerhetspolisen och Försvarsmakten, som har tillgång till underrättelseuppgifter som kan vara av betydelse, ett veto vid utkontraktering. Trafikverket ifrågasätter vidare varför samrådsskyldigheten, med undantag för upplåtelser, inte omfattar situationer där den andra aktören ges tillgång till säkerhetskänslig verksamhet i övrigt. Trafikverket ifrågasätter också utredningens resonemang om att förfaranden som ändrar karaktär kan omfattas av samrådsskyldighet efter hand. Trafikverket påpekar i denna del att ett samråd kan få till följd att en myndighet i praktiken blir tvungen att avbryta en pågående affärsrelation vilket kan få juridiska och ekonomiska konsekvenser. Vattenfall AB ser problem med den föreslagna ordningen för koncerner och föreslår att en koncern i vissa fall ska kunna anses vara en verksamhetsutövare, med följd att vissa koncerninterna förfaranden inte kommer omfattas av kravet på samråd. Säkerhets- och försvarsföretagen anser att förslagen kommer innebära en väsentligt ökad administration för såväl enskilda som myndigheter och att de därför inte står i proportion till de fördelar de skulle innebära. Ett flertal remissinstanser påpekar vikten att samrådsförfarandet görs skyndsamt för att inte fördröja t.ex. upphandlingsprocesser. Försäkringskassan och Luleå kommun anser att det bör införas ett skyndsamhetskrav för tillsynsmyndigheterna. Lidingö kommun anser att det bör anges att samråd ska ske inom viss tid. Svenskt Näringsliv framhåller att beslut om förbud bör fattas av regeringen snarare än tillsynsmyndigheterna eftersom regeringen har bättre förutsättningar att ha ett mer holistiskt perspektiv. Region Kronoberg framhåller att tillsynsmyndigheternas möjligheter att förbjuda utkontraktering måste användas restriktivt. Riksdagens ombudsmän (JO) avstyrker utredningens förslag om tvångsåtgärder och anför att det kräver en djupare analys. Svenska bankföreningen anför att bankers outsourcing redan är reglerad och innefattar krav på samråd med Finansinspektionen. Föreningen anser att Finansinspektionen och Säkerhetspolisen bör samordna sin hantering av dessa ärenden. Den anser också att samordningsmyndigheterna bör få rätt att föreskriva om undantag från bestämmelser i säkerhetsskyddslagen där dubbelreglering förekommer.

Prop. 2020/21:194

55

Prop. 2020/21:194

56

Skälen för regeringens förslag

Skyldigheten att samråda bör utvidgas

Enligt 2 kap. 6 § säkerhetsskyddsförordningen gäller ett antal skyldigheter för statliga myndigheter som avser att genomföra vissa upphandlingar som innebär krav på säkerhetsskyddsavtal. Utöver skyldigheten att göra en särskild säkerhetsskyddsbedömning – som regeringen föreslår ska utvidgas och kompletteras med ett uttryckligt krav på lämplighetsprövning – innehåller paragrafen ett krav på att den upphandlande myndigheten innan upphandlingsförfarandet inleds ska samråda med tillsynsmyndigheten. Tillsynsmyndigheten får därvid förelägga myndigheten att vidta åtgärder enligt säkerhetsskyddslagstiftningen och – ytterst – besluta att myndigheten inte får genomföra upphandlingen.

Som framgår av avsnitt 7.1 kan utkontraktering av säkerhetskänslig verksamhet och liknande förfaranden innebära stora risker för Sveriges säkerhet. Vilka åtgärder som bör vidtas för att skydda känsliga uppgifter eller verksamheter kan vara en komplex bedömning. Det finns därför starka skäl för att ställa krav på verksamhetsutövare att, utöver att göra en särskild säkerhetsskyddsbedömning och lämplighetsprövning, i vissa fall samråda med en utpekad myndighet innan ett sådant förfarande inleds. Ett sådant krav på samråd motsvarar vad som redan gäller inför överlåtelser av säkerhetskänslig verksamhet och viss egendom.

Regeringen delar inte FMV:s uppfattning om att det är tillräckligt med ett krav på anmälan till och samverkan med tillsynsmyndigheten i utkontrakteringssituationer. Regeringen delar inte heller Kammarrätten i Stockholms bedömning att ett tillståndsförfarande bör användas i stället för samråd. Utkontraktering och liknande förfaranden kan medföra komplexa frågeställningar där möjligheten att t.ex. lägga ut verksamhet på entreprenad behöver vägas mot vilka konsekvenser som förfarandet kan ha för Sveriges säkerhet. Ett samrådsförfarande möjliggör för verksamhetsutövaren att kunna föra en dialog med myndigheten om hur utkontrakteringen ska kunna genomföras, vilket alltså också är i linje med vad som nu gäller för samrådsförfaranden vid överlåtelser (se prop. 2020/21:13 s. 20). Ett samrådsförfarande innebär enligt regeringen en mer flexibel lösning än ett tillståndsförfarande.

Skyldigheten att samråda enligt 2 kap. 6 § säkerhetsskyddsförordningen gäller, som tidigare beskrivits, bara för vissa statliga myndigheters upphandlingar. Regeringen föreslår ovan att skyldigheten att utföra en särskild säkerhetsskyddsbedömning och lämplighetsprövning ska gälla för alla verksamhetsutövare och inte vara begränsad till upphandlingar, eller för den delen utkontrakteringar eller upplåtelser. I stället föreslås att det ska gälla för alla förfaranden som omfattas av det föreslagna kravet på att ingå säkerhetsskyddsavtal. Skälen för detta gör sig gällande även i fråga om krav på samråd. Även detta krav bör alltså gälla för alla verksamhetsutövare, oavsett om det är en myndighet, kommun, region eller enskild. Vidare bör det inte vara begränsat till upphandlingar, utan gälla alla de typer av förfaranden som enligt regeringens förslag kan medföra krav på säkerhetsskyddsavtal.

Skyldigheten att samråda bör gälla i vissa särskilt angelägna situationer

Det finns anledning att begränsa skyldigheten att samråda till att gälla de mest angelägna fallen. Vid utformningen av regleringen måste intresset av att motverka ur säkerhetsskyddssynpunkt olämpliga förfaranden vägas mot intresset av att inte göra systemet för ingripande och kostnadsdrivande för verksamhetsutövarna. Det är också av vikt att bestämmelserna inte innebär en onödigt stor arbetsbelastning för myndigheterna som ska ansvara för samrådet. En stor ärendemängd kan leda till långa handläggningstider, vilket i sin tur kan medföra stora nackdelar för verksamhetsutövarna. Regeringen delar därför FOI:s uppfattning om att en ordning som innebär att samrådsskyldighet föreligger i samtliga fall då det finns en skyldighet att ingå säkerhetsskyddsavtal, inte framstår som lämplig.

Utredningen har delvis med förebild av 2 kap. 6 § säkerhetsskyddsförordningen föreslagit att samrådsskyldighet ska föreligga i tre situationer, nämligen om förfarandet innebär att den andra aktören får tillgång till eller möjlighet att förvara säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen hemlig eller högre utanför verksamhetsutövarens lokaler, om förfarandet utgör en upplåtelse som kan ge den andra aktören tillgång till säkerhetskänslig verksamhet i övrigt av motsvarande betydelse för Sveriges säkerhet eller om förfarandet ger den andra aktören tillgång till informationssystem utanför verksamhetsutövarens lokaler och åtkomst till systemen kan medföra allvarlig skada för Sveriges säkerhet.

Regeringen anser i likhet med utredningen att skyldigheten att samråda först och främst bör gälla om förfarandet kan ge den andra aktören tillgång till uppgifter i säkerhetsskyddsklassen hemlig eller högre. Till skillnad från utredningen bedömer regeringen dock inte att det finns skäl att begränsa samrådskravet till att endast gälla vid tillgång utanför verksamhetsutövarens lokaler. Även tillgång till uppgifter inom en verksamhetsutövares lokaler kan innebära sårbarheter och risker som motiverar ett samrådskrav. Enligt regeringen innefattar begreppet ”tillgång till uppgifter” en möjlighet att förvara uppgifter. Det behöver därför inte särskilt anges att förvaring av uppgifter medför krav på samråd. Genom att begränsa kravet till att gälla exponering av säkerhetsskyddsklassificerade uppgifter i de två högsta säkerhetsskyddsklasserna uppnås enligt regeringen en lämplig avvägning mellan intresset av att motverka olämpliga förfaranden och intresset av att inte göra systemet för ingripande och resurskrävande.

En skyldighet att samråda bör enligt regeringen vidare gälla om förfarandet kan ge den andra aktören tillgång till annan säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet, dvs. verksamhet där ett angrepp kan medföra allvarlig skada för Sveriges säkerhet. Till skillnad från utredningen och i likhet med Trafikverket anser regeringen alltså inte att samrådsskyldigheten i denna del bör begränsas till att bara gälla förfaranden som utgör upplåtelser. Regeringen delar i och för sig utredningens uppfattning att upplåtelser av säkerhetskänslig verksamhet, t.ex. uthyrning av en lokal som används i verksamheten, kan innebära att den andra aktören får tillgång till verksamheten på ett sätt som kan medföra en möjlighet att skada den och att detta kan utgöra skäl för ett samråd. Emellertid kan även andra typer av förfaranden, såsom samarbetsavtal och underhållsavtal, medföra en sådan från säkerhetsskyddssynpunkt olämplig exponering av verksamheten. Det framstår därför som omoti-

Prop. 2020/21:194

57

58

Sammantaget bedömer regeringen alltså att en verksamhetsutövare bör ha en samrådsskyldighet i två situationer, givet att det är fråga om ett förfarande som omfattas av krav på säkerhetsskyddsavtal. Den första situationen är om förfarandet kan ge den andra aktören tillgång till säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen hemlig eller högre. Den andra är om förfarandet kan ge den andra aktören tillgång till annan säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet. Regleringen kommer därmed att baseras på samma förutsättningar som kravet på säkerhetsskyddsavtal, med den skillnaden att samrådskravet gäller först vid exponering av hemliga eller kvalificerat hemliga uppgifter eller annan säkerhetskänslig verksamhet av motsvarande betydelse.

För att undvika kringgående av de föreslagna reglerna bör det även införas en möjlighet för tillsynsmyndigheten att inleda ett samråd, om verksamhetsutövaren inte gör det trots att det finns en samrådsskyldighet.

Regeringen anser, i linje med vad som tidigare anförts om kravet på säkerhetsskyddsavtal inom koncerner (se avsnitt 6.1) och till skillnad från Vattenfall AB, inte att det finns skäl att undanta koncerninterna förfaranden från kravet på samråd. Det förhållandet att samrådsskyldigheten, till skillnad från kravet på säkerhetsskyddsavtal, endast kommer att gälla förfaranden som ger den andra aktören tillgång till hemliga eller kvalificerat hemliga uppgifter eller verksamhet av motsvarande betydelse, bör dessutom innebära att antalet samråd begränsas betydligt inom de flesta koncerner.

Tillsynsmyndigheten bör ansvara för samrådet

En fråga som inställer sig när samrådsskyldigheten ska utökas till att gälla fler verksamhetsutövare, är om samråd ska ske med den myndighet som är tillsynsmyndighet för verksamhetsutövaren i fråga eller om samrådsansvaret, som Trafikverket föreslår, ska fördelas mellan Säkerhetspolisen och Försvarsmakten. Det sistnämnda alternativet har flera fördelar, bl.a. att endast Säkerhetspolisen och Försvarsmakten har den samlade bilden av hoten mot Sveriges säkerhet och Sveriges samlade skyddsvärden, vilket kan vara av värde vid samrådet. De myndigheterna har därtill redan rekryterat för och i övrigt byggt upp en samrådsverksamhet. Det finns emellertid även nackdelar med att samla samrådsansvaret hos dessa myndigheter. En sådan är att det kan medföra en kännbar ökning av deras arbetsbelastning. En annan nackdel är att Säkerhetspolisen och Försvarsmakten inte har samma nivå av sakkunskap om verksamheten på de olika verksamhetsområdena som de övriga tillsynsmyndigheterna. En uppdelning av samrådsansvaret mellan tillsynsmyndigheterna skulle också vara

mer i linje med de förslag om tillsynsbefogenheter och ingripandemöjligheter för tillsynsmyndigheterna som lämnas i avsnitt 8 och 9. Sammantaget anser regeringen, i motsats till Trafikverket, att övervägande skäl talar för att samrådsansvaret bör fördelas mellan tillsynsmyndigheterna utifrån deras respektive ansvarsområde.

I sammanhanget bör framhållas att utredningen föreslår att det i säkerhetsskyddsförordningen ska införas en skyldighet för tillsynsmyndigheterna att i vissa fall ge Säkerhetspolisen respektive Försvarsmakten tillfälle att yttra sig innan ett samråd avslutas, så att deras unika kunskaper om bl.a. hotbilder vid behov kan tillföras ärendet. Därigenom får dessa myndigheter ett inflytande i linje med vad Trafikverket efterfrågat. Regeringen återkommer i det fortsatta förordningsarbetet till frågan om Säkerhetspolisens och Försvarsmaktens rätt att yttra sig under samråd.

När samrådet bör inledas

För att samrådet ska vara verkningsfullt och motverka potentiellt skadlig exponering av uppgifter eller verksamhet i övrigt, bör det påbörjas innan verksamhetsutövaren inleder det förfarande som medför krav på samråd.

Det kan inträffa att förfaranden ändrar karaktär efter att de inletts. Exempelvis kan det förekomma att ett visst samarbete inte varit avsett att innehålla moment som aktualiserar samrådsskyldighet, men att det efter viss tid visar sig finnas ett sådant behov. Regeringen instämmer i utredningens bedömning att det utökade samarbetet i ett sådant fall bör ses som ett förfarande som omfattas av samrådsskyldighet, varför verksamhetsutövaren bör vara skyldig att samråda med tillsynsmyndigheten innan det aktuella momentet påbörjas. Vad Trafikverket anfört om att detta kan få bl.a. ekonomiska konsekvenser för verksamhetsutövaren, föranleder ingen annan bedömning.

Hur samrådet bör genomföras

En naturlig utgångspunkt är att verksamhetsutövaren inleder samrådet genom att ge in dokumentationen av den särskilda säkerhetsskyddsbedömningen och lämplighetsprövningen samt eventuellt utkast till säkerhetsskyddsavtal till tillsynsmyndigheten. Vilket underlag i övrigt som är nödvändigt för att tillsynsmyndigheten ska kunna göra en fullständig bedömning kan variera beroende på vad för typ av förfarande det är fråga om. När det är fråga om ett förfarande som omfattas av upphandlingslagstiftningen bör även upphandlingsdokument med bilagor ges in. I andra fall bör en beskrivning av det planerade förfarandet ges in, liksom eventuell dokumentation avseende förfarandet. I många fall kan verksamhetsutövaren även behöva ge tillsynsmyndigheten tillgång till sin säkerhetsskyddsanalys.

Tillsynsmyndigheten bör vid samrådet bedöma om det aktuella förfarandet kräver att ytterligare åtgärder vidtas. Det kan t.ex. gälla att förbättra kravställningen i säkerhetsskyddsavtalet. Det är dock fortfarande verksamhetsutövaren som har ansvar för sina skyddsvärden och hur säkerhetsskyddet utformas i detalj. Hur omfattande samrådet behöver vara får avgöras med hänsyn till omständigheterna i det särskilda fallet. I vissa fall kan det vara enkelt att konstatera att ett förfarande inte är problematiskt från säkerhetsskyddssynpunkt, t.ex. för att det rör sig om en mindre och

Prop. 2020/21:194

59

60

Utgångspunkten bör vara att samrådet ska ha avslutats innan det planerade förfarandet inleds. Det innebär bl.a. att en offentlig upphandling som utgångspunkt inte får påbörjas innan samrådet har genomförts. Om tillsynsmyndigheten bedömer det som nödvändigt bör den dock kunna ge klartecken till att en upphandlingsprocess påbörjas och att samrådet ska pågå fortlöpande under upphandlingsprocessen. När tillsynsmyndigheten bedömer att syftet med samrådet har uppfyllts och att verksamhetsutövaren kan gå vidare med det planerade förfarandet bör tillsynsmyndigheten fatta ett beslut om att avsluta samrådet utan vidare åtgärd.

Som framgår i avsnitt 3 har riksdagen tillkännagett för regeringen att den ställer sig bakom det som utskottet anför om tidsbegränsning av samrådsmyndighetens handläggningstid (bet. 2020/21:JuU10 punkt 2, rskr. 2020/21:79). Av tillkännagivandet framgår bl.a. att riksdagen anser att det skulle leda till ökad tydlighet och förutsebarhet för verksamhetsutövare om en tidsbegränsning av handläggning av samrådsärenden införs (bet. 2020/21:JuU10 s. 14 f.). Även Försäkringskassan, Luleå kommun och Lidingö kommun anser att tillsynsmyndighetens handläggningstid vid samrådsförfarandet bör regleras genom införande av en sådan begränsning eller ett skyndsamhetskrav. Av förvaltningslagen, som är tillämplig vid tillsynsmyndighetens handläggning av samrådsärenden (se avsnitt 7.5 nedan), följer att alla ärenden ska handläggas så enkelt, snabbt och kostnadseffektivt som möjligt utan att rättssäkerheten eftersätts (9 § första stycket förvaltningslagen). Enligt förvaltningslagen har en enskild vidare rätt att begära att ett ärende ska avgöras om handläggningen i första instans har pågått i sex månader, varpå den handläggande myndigheten inom fyra veckor antingen ska avgöra ärendet eller avslå begäran (12 § förvaltningslagen). Regeringen anser, till skillnad från utredningen, att den möjligheten bör finnas även i samrådsärenden. Det saknas tillräckligt beredningsunderlag för att i detta lagstiftningsärende därutöver införa särskilda bestämmelser om skyndsamhet eller tidsgränser för handläggningen. Regeringen kommer dock fortsätta att följa frågan. Tillkännagivandet är inte slutbehandlat.

Kammarrätten i Stockholm efterfrågar klargöranden om handläggningen av samrådsärenden, exempelvis hur samrådet ska initieras och vad som krävs för att samrådsskyldigheten ska anses fullgjord. Närmare bestämmelser om detta bör enligt regeringen lämpligen meddelas genom förordning eller myndighetsföreskrifter.

Förelägganden under samrådet

Tillsynsmyndigheten bör på samma sätt som enligt den befintliga regleringen, inom ramen för samrådet få besluta att förelägga verksamhetsutövaren att vidta åtgärder för att fullgöra sina skyldigheter enligt säkerhetsskyddslagen och föreskrifter som har meddelats i anslutning till den lagen. Ett föreläggande kan exempelvis gälla vad en verksamhetsutövare behöver förbättra i fråga om säkerhetsåtgärderna som anges i

2kap. 2–4 §§ säkerhetsskyddslagen, dvs. informationssäkerhet, personalsäkerhet och fysisk säkerhet. Föreläggandet bör också kunna innebära att verksamhetsutövaren vid en senare tidpunkt under samrådsförfarandet ska återrapportera till tillsynsmyndigheten hur olika åtgärder har genomförts. I samrådet fyller alltså föreläggandet funktionen att beskriva vad som behöver göras för att det planerade förfarandet ska vara godtagbart från säkerhetsskyddssynpunkt.

Föreläggandena behöver inte kunna förenas med vite. Huvudskälet till detta är, som utvecklas nedan, att följden av att inte följa ett föreläggande är att det planerade förfarandet inte får genomföras. Något ytterligare incitament för verksamhetsutövaren att följa föreläggandet behövs inte.

Befogenheten att besluta förelägganden kommer – som Kammarrätten i Stockholm påpekar – till viss del att överlappa med den befogenhet att besluta om åtgärdsförelägganden som tillsynsmyndigheterna enligt förslaget i avsnitt 9.2.1 kommer att ha vid tillsyn. Det handlar dock om förelägganden under två olika förfaranden – samråd respektive tillsyn. Regeringens uppfattning är att såväl pedagogiska som strukturella skäl talar för att införa en särskild bestämmelse om föreläggande under samråd.

Regeringen ser till skillnad från utredningen inget behov av en särskild bestämmelse i säkerhetsskyddslagen om att tillsynsmyndigheten ska få besluta att ett föreläggande under samrådet ska gälla omedelbart. Som framgår i avsnitt 7.5 är förvaltningslagen tillämplig vid tillsynsmyndigheternas handläggning av samrådsärenden. Av 35 § förvaltningslagen framgår att beslut i vissa fall får verkställas omedelbart. Någon ytterligare reglering om omedelbar verkställighet krävs inte.

Beslut att ett förfarande inte får genomföras (förbud)

Skyddet av Sveriges säkerhet är ett mycket viktigt allmänt intresse och det är av stor vikt att det finns en möjlighet att förhindra att förfaranden som kan skada Sveriges säkerhet genomförs. Regeringen anser därför, till skillnad från FMV och trots de problem som FRA pekar på, att tillsynsmyndigheten bör ha möjlighet att besluta att förfaranden som är olämpliga från säkerhetsskyddssynpunkt inte ska få genomföras. En sådan möjlighet finns redan i dag enligt 2 kap. 6 § tredje stycket säkerhetsskyddsförordningen, beträffande de statliga upphandlingar som den paragrafen gäller. Ett förbud bör kunna aktualiseras dels när ett meddelat föreläggande inte följs, dels när förfarandet bedöms olämpligt även om ytterligare åtgärder vidtas.

Svenskt Näringsliv förordar att beslut om förbud bör fattas av regeringen. Regeringen anser dock att befogenheten att meddela sådana beslut bör tillkomma respektive tillsynsmyndighet, bl.a. eftersom tillsynsmyndigheten genom samrådet redan är insatt i ärendet vilket både sparar resurser och förkortar handläggningstiden. Ett sådant förfarande är också i linje med vad som gäller för överlåtelser av säkerhetskänslig verksamhet. Som framgår i avsnitt 10 föreslås emellertid att överklagande av förbudsbeslut ska ske till regeringen.

Ett beslut om att förbjuda ett visst förfarande är en mycket långtgående åtgärd och bör, som Region Kronoberg framhåller, användas restriktivt. Som utvecklas i avsnitt 7.6.1 måste tillsynsmyndigheten också i varje enskilt fall göra en proportionalitetsbedömning. Proportionalitetsprincipen är en central rättsprincip inom både EU-rätten och svensk rätt och kommer

Prop. 2020/21:194

61

Prop. 2020/21:194

62

numera även till uttryck i 5 § tredje stycket förvaltningslagen. Kravet på proportionalitet innebär bl.a. att tillsynsmyndigheten när den överväger att förbjuda ett visst förfarande måste väga de potentiella skadekonsekvenserna för Sveriges säkerhet som förfarandet kan medföra mot de skador eller olägenheter som orsakas motstående intressen genom förbudet.

Det är inte möjligt att i författning närmare beskriva vilka situationer som skulle kunna medföra ett beslut om förbud. Proportionalitetsbedömningen innebär dock att ett sådant beslut ska ses som en sista utväg. Ett förbud kan t.ex. behöva beslutas om det inte är möjligt att genomföra säkerhetsprövning av personal hos motparten, om motparten är ett företag som fungerar som bulvan för en aktör med antagonistiska syften eller om det är fråga om så skyddsvärda uppgifter att det inte är lämpligt att utomstående får möjlighet att hantera dem utanför verksamhetsutövarens lokaler även med beaktande av ett väl utformat säkerhetsskyddsavtal.

Kammarrätten i Stockholm anser att det bör övervägas om tillsynsmyndigheten ska få besluta att ett förbud ska gälla omedelbart, eftersom förbud endast kommer att aktualiseras när det kan uppstå en allvarlig skada för Sveriges säkerhet. Som framgår i avsnitt 7.5 kommer förvaltningslagen att vara tillämplig på tillsynsmyndigheternas handläggning av samrådsärenden. Av 35 § andra stycket den lagen framgår att en myndighet får verkställa ett beslut omedelbart i vissa fall, bl.a. om ett väsentligt allmänt intresse kräver det. Någon ytterligare reglering avseende omedelbar verkställighet är inte nödvändig.

Bestämmelserna bör framgå av lag

Bestämmelserna om samråd, förelägganden och förbud kommer med den utvidgning som regeringen föreslår delvis att avse förhållanden mellan enskilda och det allmänna. De innehåller också skyldigheter för enskilda. De bör därför tas in i säkerhetsskyddslagen.

Som framgår i avsnitt 3 har riksdagen tillkännagett för regeringen att den ställer sig bakom det som utskottet anför om att tillsynsmyndigheternas ansvar och befogenheter ska regleras i säkerhetsskyddslagen (bet. 2017/18:JuU21 punkt 3, rskr. 2017/18:289). Av tillkännagivandet framgår att riksdagen anser att tillsynsmyndigheternas ansvar när det gäller bl.a. tillsyn och möjligheter att stoppa en överlåtelse eller utkontraktering av säkerhetskänslig verksamhet är av sådan vikt att befogenheterna bör regleras i lag (bet. 2017/18:JuU21 s. 20). Tillkännagivandet har delvis tillgodosetts genom de bestämmelser i säkerhetsskyddslagen om överlåtelse av säkerhetskänslig verksamhet som trädde i kraft den 1 januari 2021. Genom de nu redovisade förslagen om samråd, förelägganden och förbud vid utkontrakteringar och de i avsnitt 8.3 behandlade förslagen om tillsynsbefogenheter, bedömer regeringen att tillkännagivandet är helt tillgodosett och därmed slutbehandlat.

Tvångsåtgärder

Utredningen bedömer att det i vissa fall kan finnas ett behov av att tillgripa tvångsåtgärder för att syftet med förelägganden och förbud under samrådsprocessen inte ska motverkas. Den föreslår därför att tillsynsmyndigheten, om ett föreläggande eller förbud meddelas, ska kunna ansöka hos Stockholms tingsrätt om sådana tvångsåtgärder som avses i 15 kap. 1–3 §§ rätte-

kunna uppstå om verksamhetsutövaren felaktigt bedömer att förfarandet inte omfattas krav på samråd. En sådan situation skulle också kunna inträffa om väsentliga förhållanden, avseende t.ex. hotbilder eller den säkerhetskänsliga verksamhetens karaktär, ändras efter det att förfarandet har inletts.

Enligt regeringen är det inte acceptabelt att det saknas en möjlighet att ingripa mot ett pågående förfarande som kan orsaka skada för Sveriges säkerhet. Regeringen anser därför, i motsats till FMV, att det bör införas en sådan ingripandemöjlighet. Som Vattenfall AB och Evry AB påpekar kan regler om ingripanden i efterhand få vissa negativa följder för de inblandade parterna. Möjligheterna till ingripande bör därför inte vara mer långtgående än vad som krävs i det enskilda fallet och ingripande bör endast få ske när det är befogat med hänsyn till de intressen som står på spel.

Tillsynsmyndigheten bör få ingripa genom föreläggande

Vilka möjligheter till ingripande i pågående förfaranden som det finns behov av kan variera från fall till fall. I vissa fall kan ett förfarande till följd av exempelvis ändrade förhållanden bli olämpligt i sin helhet vilket medför behov av att helt kunna stoppa detsamma. I andra fall kan förfarandet vara lämpligt i huvudsak men innehålla vissa olämpliga moment, t.ex. att vissa särskilt känsliga uppgifter hanteras av verksamhetsutövarens motpart. I ett sådant fall kan det vara tillräckligt med en möjlighet att få verksamhetsutövaren att återta kontrollen av just dessa uppgifter men att förfarandet i övrigt kan fortgå. Ingripandeverktyget bör således ha en viss flexibilitet. I likhet med utredningen anser regeringen därför att bestämmelser om civilrättslig ogiltighet inte framstår som ett bra alternativ. En ordning som innebär att parternas avtal blir helt eller delvis ogiltigt om ett förfarande bedöms som olämpligt är ett förhållandevis trubbigt verktyg. Tröskeln för att kunna tillämpa sådana regler skulle behöva läggas mycket högt. Regeringen anser i stället att det varierande behovet av ingripande i kombination med vikten av att ett sådant inte blir mer långtgående än nödvändigt, leder till slutsatsen att ingripandemöjligheten bör bestå av en rätt för respektive tillsynsmyndighet att besluta förelägganden mot de inblandade parterna. Ett föreläggande kan anpassas till just det behov av ingripande som finns i det aktuella fallet. Föreläggandet skulle således vid behov kunna innebära att ett förfarande ska avbrytas helt men också att endast en mindre arbetsuppgift ska återtas från motparten.

Effektivitetsskäl talar för att ett föreläggande bör kunna riktas mot både verksamhetsutövaren och den andra aktören i förfarandet. Som anges ovan skulle behovet av ingripande exempelvis kunna bestå av att viss säkerhetskänslig egendom behöver återlämnas från den andra aktören till verksamhetsutövaren. En sådan åtgärd kan behöva ske skyndsamt och det är därför angeläget att krav kan riktas inte bara mot verksamhetsutövaren utan även mot den part som faktiskt disponerar över egendomen, dvs. den andra aktören. Den risk för att en verksamhetsutövare inte skulle få kännedom om eventuella krav som ställs på den andra aktören, som Lidingö kommun pekar på, bör enligt regeringen inte överdrivas. Det starka skyddsintresset – att skydda Sveriges säkerhet – väger enligt regeringen

Prop. 2020/21:194

65

för samhällsviktiga och digitala tjänster), att möjligheten att förena ett föreläggande med vite bör kunna användas även mot statliga aktörer.

Av samma skäl som anförts ovan avseende bl.a. tillsynsmyndighetens beslut om förbud, anser regeringen inte att det krävs någon reglering i säkerhetsskyddslagen om att tillsynsmyndigheten ska få besluta att förlägganden ska gälla omedelbart.

Det är enligt regeringen inte möjligt att i lagtexten närmare specificera vad föreläggandena kan komma att gå ut på. Syftet med dem bör dock vara att förmå verksamhetsutövaren och den utomstående parten att vidta åtgärder som är nödvändiga för att förhindra skada för Sveriges säkerhet. Föreläggandena bör kunna ges den utformning som är nödvändig och lämplig i det enskilda fallet. Enligt regeringen är det godtagbart med en så vid ingripandemöjlighet när det handlar om Sveriges säkerhet och skyddet för de allra mest skyddsvärda verksamheterna i landet. Som utvecklas nedan måste dock ingripandet vara proportionerligt med hänsyn till bl.a. de olägenheter som kan tänkas uppstå hos den som det riktas mot.

Det förhållandet att kreditinstitut redan står under tillsyn och kan bli föremål för vissa ingripanden enligt den finansiella rörelselagstiftningen, vilket Svenska bankföreningen tar upp, utgör enligt regeringen inte ett skäl mot att införa den nu föreslagna ingripandemöjligheten. Eftersom regelverken har olika syften, bedömer regeringen att en eventuell dubbelreglering är godtagbar.

Förutsättningar för ett ingripande

Möjligheten att ingripa i efterhand bör inte vara begränsad till att gälla sådana förfaranden som omfattas av ett krav på samråd. Det finns flera situationer som inte omfattas av kravet på samråd där säkerhetskänslig verksamhet och säkerhetsskyddsklassificerade uppgifter exponeras för utomstående. Det vore enligt regeringen otillfredsställande om det inte fanns en möjlighet att ingripa i ett sådant fall trots att det står klart att förfarandet är olämpligt från säkerhetsskyddssynpunkt. Regeringen anser i stället att möjligheten att ingripa i efterhand ska gälla i alla fall där förfarandet omfattas av ett krav på säkerhetsskyddsavtal.

Som regeringen anför ovan, bör ingripande bara få ske om förfarandet i fråga bedöms vara olämpligt från säkerhetsskyddsynpunkt. Samma krav gäller enligt förslaget i avsnitt 7.3 om att tillsynsmyndigheten ska få besluta om ett förbud i samband med ett samråd. För att regelverket ska hänga ihop och vara konsekvent bör samma grundläggande kriterium gälla för ingripande i pågående förfaranden. En annan sak är dock att det kan krävas en större grad av olämplighet, t.ex. att den potentiella skadan är mer allvarlig, för att tillsynsmyndigheten ska ingripa mot ett pågående förfarande än mot ett förfarande som inte har påbörjats.

Eftersom det kan variera hur pass ingripande ett föreläggande behöver vara är det enligt regeringen inte lämpligt att kräva en viss nivå av skada för att ingripande ska få ske. Det bör alltså inte ställas krav på att det kan uppstå t.ex. allvarlig eller rentav synnerligen allvarlig skada. Ett ingripande i efterhand får dock bara beslutas om det är proportionerligt i det enskilda fallet, se avsnitt 7.6. Vid proportionalitetsbedömningen bör alla skador och olägenheter för enskilda intressen beaktas och vägas mot de skäl som talar för föreläggandet. Hur allvarlig den potentiella skadan för Sveriges

Prop. 2020/21:194

67

7.6Förslagens förhållande till enskildas rättigheter och friheter och proportionalitet

7.6.1Egendomsskyddet och näringsfriheten

Regeringens bedömning: Förslagen är förenliga med egendomsskyddet och näringsfriheten. Det behöver inte införas ett uttryckligt krav på proportionalitet i säkerhetsskyddslagen.

Utredningens bedömning överensstämmer delvis med regeringens. Utredningen föreslår dock att det ska införas en lagbestämmelse med ett uttryckligt krav på proportionalitet.

Remissinstanserna: Majoriteten av remissinstanserna har inget att invända mot förslaget eller yttrar sig inte särskilt i denna del. Ett antal remissinstanser har dock synpunkter på förslagens förhållande till egendomsskyddet. Svenskt Näringsliv påpekar att förslagen är en inskränkning av äganderätten som kan innebära att värdet på tillgångar minskar och anser att större tydlighet krävs i den föreslagna lagtexten. Flera andra remissinstanser, bl.a. Näringslivets regelnämnd, IKEM Innovations- och kemiindustrierna och It- och telekomföretagen, framför liknande synpunkter och anser att frågan bör utredas vidare.

Skälen för regeringens bedömning

Förslagen kan medföra inskränkningar av egendomsskyddet och näringsfriheten

Principen om skydd för egendomsrätten kommer till uttryck i 2 kap. 15 § första stycket regeringsformen. Där anges att var och ens egendom är tryggad genom att ingen kan tvingas avstå sin egendom till det allmänna eller till någon annan enskild genom expropriation eller något annat sådant förfogande, eller tåla att det allmänna inskränker användningen av mark eller byggnad utom när det krävs för att tillgodose angelägna allmänna intressen. Regeringen lämnar i denna proposition inga förslag som innebär expropriation eller annat sådant förfogande som avses i paragrafen. Däremot kan det enligt regeringen inte uteslutas att förslagen om förbud mot att genomföra förfaranden kan medföra att användningen av mark eller byggnad inskränks, s.k. rådighetsinskränkningar. Bestämmelsen om rådighetsinskränkningar omfattar inte rätten att använda lös egendom (prop. 2009/10:80 s. 164). Det är därför i första hand de förslag som berör upplåtelser som skulle kunna aktualisera bestämmelsens tillämpning. Den skulle exempelvis kunna aktualiseras om en verksamhetsutövare hindras från att hyra ut en fastighet eller byggnad till följd av tillsynsmyndighetens beslut om föreläggande eller förbud. Det går inte heller att utesluta att ett ingripande i ett pågående förfarande skulle kunna medföra en rådighetsinskränkning.

Förslagen kan också medföra inskränkningar av egendomsskyddet enligt Europakonventionen, som gäller som lag i Sverige (lag [1994:1219] om den europeiska konventionen angående skydd för de mänskliga rättigheterna och de grundläggande friheterna). Av 2 kap. 19 § regeringsformen följer att lag eller annan föreskrift inte får meddelas i strid med Sveriges åtaganden på grund av Europakonventionen. Enligt första stycket

Prop. 2020/21:194

69

hänsyn till eventuell skada för Sverige – kunna genomföra t.ex. utkontrakteringar eller inleda samarbeten med andra aktörer (prop. 2020/21:13 s. 30). Allt detta talar med styrka för att det inte bör införas bestämmelser om rätt till ersättning vid inskränkningar som grundas på säkerhetsskyddsregleringen.

En särskild fråga är hur man bör se på möjligheten till ersättning för ingripanden i pågående förfaranden. Det som skulle kunna tala för en särbehandling av dessa ingripanden, när det gäller frågan om rätt till ersättning, är att de i vissa fall kan medföra större konsekvenser för de inblandade parterna än de rent förebyggande åtgärder som tillsynsmyndigheten kan vidta i samband med ett samråd och att ingripandet skulle kunna aktualiseras till följd av förhållanden som i någon mån ligger utanför parternas kontroll, t.ex. vid ändrade hotbilder eller förändringar i motpartens ägarförhållanden. En verksamhetsutövare måste dock vara medveten om att den typen av förändrade förhållanden kan uppstå och innebära konsekvenser för verksamhetens säkerhetsskydd. Verksamhetsutövaren måste därför beakta dessa risker i ett tidigare skede, t.ex. vid ingåendet av avtal i samband med utkontrakteringar och liknande förfaranden. Det kan exempelvis avse frågor om prissättning och reglering av kostnadsansvar. I linje med detta föreslår regeringen i avsnitt 6.4 också att verksamhetsutövare i ett säkerhetsskyddsavtal ska reglera en rätt att revidera avtalet vid ändrade förhållanden. Av viss betydelse är också att inskränkningarna som kan uppstå till följd av ett ingripande är förhållandevis begränsade i den mening att de är inriktade på ett visst specifik förfarande. Sådana situationer är därmed inte jämförbara med de mer permanenta inskränkningar i form av t.ex. inrättande av naturreservat och nationalparker som enligt huvudregeln bör medföra ersättningsrätt. De är vidare, till skillnad från sådana beslut, inte heller av bevarandekaraktär utan syftar till att avvärja risker avseende ett mycket tungt vägande allmänt intresse som är direkt eller indirekt hänförliga till de aktörer som ingripandet riktas mot. Även detta talar för att någon rätt till ersättning inte ska föreligga (se SOU 2013:59 s. 104). Vidare ska, som framgår i avsnitt 7.4, möjligheten att ingripa i efterhand tillämpas restriktivt och endast när övriga förebyggande åtgärder inte har varit tillräckliga. Utgångspunkten är att sådana ingripanden ska fungera som en ”nödbroms” som alltså ska tillgripas som en sista utväg. I samtliga fall ska ingripanden dessutom bara ske när det bedöms proportionerligt. Regeringens förslag om utökade krav på säkerhetsskyddsavtal, särskild säkerhetsskyddsbedömning och lämplighetsprövning, i kombination med verksamhetsutövarens arbete med sin säkerhetsskyddsanalys, syftar till att förfaranden som redan från början framstår som olämpliga ska kunna sållas bort i ett tidigt skede. Regeringen utgår därmed från att det kommer bli mycket ovanligt att reglerna behöver tillämpas och att mer omfattande ingripanden, som leder till att t.ex. ett avtalsförhållande måste avbrytas, kommer att bli oerhört sällsynta.

Vid en sammantagen bedömning anser regeringen, till skillnad från bl.a. Näringslivets regelnämnd, Svenskt Näringsliv, Energiföretagen Sverige och Evry AB, inte att det är befogat att föreslå särskilda regler om rätt till ersättning vid rådighetsinskränkningar till följd av vare sig ingripanden i planerade eller pågående förfaranden. Till skillnad från JO, Kammarrätten

Prop. 2020/21:194

73

Prop. 2020/21:194

76

Tillsyn ska även i fortsättningen bedrivas sektorsvis

Utredningen föreslår att Säkerhetspolisen och Försvarsmakten alltjämt ska vara tillsynsmyndigheter över de allra mest skyddsvärda verksamheterna och att tillsyn i övrigt ska koncentreras till områden där det typiskt sett bedrivs säkerhetskänslig verksamhet. Utredningen föreslår att tillsyn ska koncentreras till de tillsynsområden där Affärsverket svenska kraftnät, PTS och Transportstyrelsen i dag är ansvariga samt till områdena finansiella företag, kärnteknisk verksamhet, energi- och elförsörjning och försvarsmateriel. Inom dessa områden föreslår utredningen att det ska finnas en särskilt utpekad tillsynsmyndighet som har särskild kompetens på området. Utöver det bedömer utredningen att det liksom i dag behöver finnas myndigheter som har särskilt ansvar för tillsyn över verksamhetsutövare som inte direkt kan anses bedriva verksamhet inom något av de angivna områdena.

Att utöva tillsyn över aktörer som bedriver säkerhetskänslig verksamhet kan många gånger vara en komplex uppgift. Regeringen delar därför utredningens uppfattning att denna verksamhet måste fördelas på flera myndigheter. Närmare bestämmelser om vilka myndigheter som ska vara tillsynsmyndigheter och vilka tillsynsområden som de ska ha ansvar över, bör även framöver anges i förordning. I säkerhetsskyddslagen bör det därför, på liknande sätt som i dag, endast upplysas om att den myndighet som regeringen bestämmer ska vara tillsynsmyndighet.

En ordning med flera tillsynsmyndigheter medför vissa utmaningar för tillsynsmyndigheterna. En svårighet är att det inte alltid är självklart vilken sektor som en verksamhetsutövare ska anses tillhöra. En annan komplicerad situation kan vara att verksamhetsutövaren bedriver verksamhet som faller in under flera tillsynsmyndigheters ansvarsområden. Situationen kan tänkas uppstå inom samtliga tillsynsområden men särskilt inom området försvarsmateriel, som innefattar företag som samverkar med försvarsmyndigheter och samtidigt är aktiva inom ett annat tillsynsområde. Det är därför viktigt att tillsynsmyndigheterna verkar för en samsyn i dessa frågor.

Riksdagen har, som framgår i avsnitt 3, tillkännagett för regeringen att den ställer sig bakom det som utskottet anför om att det bör göras en översyn av tillsynsmyndigheternas ansvar, organisation och resursfördelning (bet. 2017/18:JuU21 punkt 4, rskr. 2017/18:289). Enligt regeringens bedömning tillgodoses tillkännagivandet delvis genom den föreslagna regleringen om tillsyn. Tillkännagivandet är inte slutbehandlat.

Tillsynsmyndighetens uppdrag

Som framgår ovan föreskrivs i 5 kap. 4 § första stycket säkerhetsskyddslagen att den myndighet som regeringen bestämmer ska utöva tillsyn över säkerhetsskyddet hos myndigheter och andra som säkerhetsskyddslagen gäller för. Vilka aktörer som säkerhetsskyddslagen gäller för framgår av 1 kap. 1 § första stycket säkerhetsskyddslagen. Där anges att lagen gäller för verksamhetsutövare, dvs. den som till någon del bedriver verksamhet av betydelse för Sveriges säkerhet eller som omfattas av ett för Sverige förpliktande internationellt åtagande om säkerhetsskydd. I 1 kap. 1 § andra stycket säkerhetsskyddslagen anges att lagen även innehåller bestämmelser som gäller den som avser att överlåta aktier eller andelar i säker-

hetskänslig verksamhet. Sådana aktie- eller andelsägare bedriver dock, till skillnad från verksamhetsutövare, ingen egen säkerhetskänslig verksamhet. Till skillnad från verksamhetsutövares motparter i säkerhetsskyddsavtal hanterar de inte heller verksamhetsutövarens skyddsvärden. Det är verksamhetsutövaren själv, som egen juridisk person, som ansvarar för verksamhetens skyddsvärden. Aktie- och andelsägare bör därför inte omfattas av tillsyn enligt säkerhetsskyddslagen. Detta bör förtydligas i lagtexten. En annan sak är att dessa aktörer inom ramen för ett samråd inför en överlåtelse av säkerhetskänslig verksamhet kan behöva lämna information till samrådsmyndigheten för att denna ska kunna pröva lämpligheten i förfarandet. Detta ligger i samrådets natur och följer direkt av samrådsskyldigheten enligt 2 kap. 9 § säkerhetsskyddslagen.

En traditionellt inriktad tillsyn tar sikte på att tillsynsmyndigheten ska kontrollera att de krav som följer av det relevanta regelverket följs. Så är tillsynsuppgiften definierad i exempelvis lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster. Det är enligt regeringen också detta som är tillsynsuppgiften på säkerhetsskyddsområdet. Regeringen anser att även detta bör förtydligas i lagtexten. I stället för den nuvarande regleringen i 5 kap. 4 § första stycket säkerhetsskyddslagen, bör det därför föreskrivas att tillsynsmyndigheten ska utöva tillsyn över att verksamhetsutövare följer lagen och de föreskrifter som har meddelats i anslutning till den.

Av 5 kap. 4 § andra stycket säkerhetsskyddslagen framgår att den myndighet som regeringen bestämmer även får utöva tillsyn hos leverantörer som har träffat säkerhetsskyddsavtal. Som Specialfastigheter AB framhåller gäller inte säkerhetsskyddslagstiftningens krav för en aktör som har ingått säkerhetsskyddsavtal med en verksamhetsutövare, förutsatt att inte aktören själv bedriver säkerhetskänslig verksamhet. Aktörens säkerhetsskyddsåtaganden vilar i stället på obligationsrättslig grund, dvs. på säkerhetsskyddsavtalet. Syftet med regleringen om tillsyn hos leverantörer är därför inte att kontrollera om leverantören uppfyller kraven i säkerhetsskyddslagstiftningen. Avsikten med tillsynen är i stället att tillsynsmyndigheten ska kunna kontrollera att verksamhetsutövare som har ingått säkerhetsskyddsavtal med en leverantör uppfyller säkerhetsskyddslagens krav på säkerhetsskydd i sin verksamhet, vilken leverantören fått tillgång till.

Det är av stor vikt att tillsynsmyndigheten även fortsättningsvis har möjlighet att bedriva tillsyn mot aktörer som omfattas av ett säkerhetsskyddsavtal. Behovet av tillsyn i detta avseende handlar framför allt om att tillsynsmyndigheten ska ha möjlighet att inhämta information om hur säkerhetsskyddsavtalet har upprätthållits och vilka åtgärder som verksamhetsutövaren har vidtagit för att följa upp och kontrollera hur den säkerhetskänsliga verksamheten har skyddats. Regeringen anser alltså att det även framöver bör finnas en bestämmelse som ger tillsynsmyndigheten möjlighet att bedriva tillsyn hos aktörer som har ingått säkerhetsskyddsavtal. Det bör dock förtydligas vad syftet med tillsynen ska vara. Vidare behöver bestämmelsen anpassas för att omfatta en befogenhet att utöva tillsyn hos alla de aktörer – inte enbart leverantörer – som verksamhetsamhetsutövare enligt regeringens förslag i avsnitt 6.1 kan ingå säkerhetsskyddsavtal med.

Prop. 2020/21:194

77

Prop. 2020/21:194

78

Tillsyn och rådgivning

Tillsynen på säkerhetsskyddsområdet är i dag huvudsakligen av rådgivande och stödjande karaktär. Regeringen har tidigare framhållit att det ligger i tillsynsmyndighetens uppgift att genom bl.a. föreskrifter, rekommendationer och rådgivning bidra till att underlätta verksamhetsutövares arbete med att bedöma om de omfattas av säkerhetsskyddslagen, ta fram enhetliga riktlinjer och vägledningar kring utformning av säkerhetsskyddsanalyser, ge stöd i fråga om personalsäkerhet och i övrigt bistå verksamhetsutövare med råd t.ex. när säkerhetsskyddsavtal ska upprättas (se prop. 2017/18:89 s. 43, 56 och 108).

I denna proposition lämnas förslag som innebär att tillsynsmyndigheterna får nya tillsynsbefogenheter och möjligheter att ingripa mot verksamhetsutövare som inte uppfyller säkerhetsskyddslagens krav, bl.a. genom att besluta om sanktionsavgifter. Förslagen medför att tillsynen ändrar karaktär från i huvudsak rådgivande och stödjande verksamhet till tillsyn i mer traditionell mening.

Utredningen gör bedömningen att en kombinerad roll som rådgivande myndighet och tillsynsmyndighet visserligen kan ha fördelar, exempelvis när det gäller samordningsvinster, men att övervägande skäl talar för att rollerna inte bör förenas. De huvudsakliga skäl som anförs för detta är att det finns en risk för att de dubbla rollerna underminerar syftet med tillsynen som en fristående granskning och att verksamhetens ansvar för dess bedömningar och säkerhetsskyddsåtgärder förskjuts i riktning mot tillsynsmyndigheterna.

Regeringen har viss förståelse för utredningens bedömning. Samtidigt är det stöd som tillsynsmyndigheterna i dagsläget tillhandahåller mycket värdefullt för berörda verksamheter, inte minst för mindre myndigheter och enskilda verksamhetsutövare. Detta har också påtalats av flera remissinstanser. Vissa remissinstanser framhåller att en avveckling eller inskränkning av tillsynsmyndigheternas stödjande funktion riskerar att leda till försämrade förutsättningar för verksamhetsutövare att upprätthålla ett tillräckligt säkerhetsskydd. Det går enligt regeringen inte att bortse från dessa synpunkter.

Sammantaget anser regeringen att det är både nödvändigt och ofrånkomligt att tillsynsmyndigheterna även framöver ger verksamhetsutövare stöd i säkerhetsskyddsarbetet. I linje med vad utredningen framhåller bör sådant stöd som utgångspunkt inte besvara frågor om vad ska göras i ett specifikt fall utan snarare innefatta upplysningar om innebörden av den relevanta regleringen och hur den ska tolkas samt metoder för hur den kan uppfyllas. Sådant stöd är, som regeringen tidigare framhållit, ofta en förutsättning för att verksamheten ska kunna utföra ett korrekt och relevant säkerhetsskyddsarbete (se prop. 2017/18:89 s. 56). Regeringen noterar att detta även ligger i linje med den utveckling på tillsynsområdet som Statskontoret redovisar i en rapport från 2020 gällande den statliga tillsynens utveckling. En slutats som dras i den rapporten är att tillsynen kan bli mer kvalitativ genom att tillsynsmyndigheten prioriterar dialog och muntlig kommunikation (På väg mot en bättre tillsyn? En studie av den statliga tillsynens utveckling, 2020, s. 5 f.). Det finns dock skäl att understryka att

– oavsett den förändring av tillsynen som nu föreslås – ansvaret för

föreskrifter och vägledning. Vidare kan tillsynsmyndigheterna genom en anmälningsplikt få bättre kunskap om aktörer och förhållanden inom sitt ansvarsområde, vilket kan leda till att myndigheterna får större möjlighet att aktivt uppmärksamma aktörer på att dessa kan bedriva verksamhet som omfattas av säkerhetsskyddslagens tillämpningsområde.

Sammantaget anser regeringen, i likhet med utredningen, att skälen för att införa en anmälningsplikt väger tyngre än skälen mot. En verksamhetsutövare bör därför vara skyldig att anmäla sin verksamhet. Det framstår som naturligt att anmälan ska göras till tillsynsmyndigheten. Anmälan bör, med hänsyn till de värden som säkerhetsskyddet avser att skydda, ske utan dröjsmål. Det förtjänar att påpekas att fullgjord anmälningsplikt inte är en förutsättning för att tillsyn ska kunna ske. Även om anmälningskravet inte har uppfyllts kan tillsyn utövas mot en aktör om tillsynsmyndigheten bedömer att den omfattas av säkerhetsskyddslagen.

Nästa fråga är om det även ska införas en skyldighet att anmäla när verksamheten inte längre är säkerhetskänslig. En sådan skyldighet skulle motverka att olika moment inom säkerhetsprövningen, i synnerhet registerkontroller, fortsätter att löpa när det inte är motiverat. Den skulle också bidra till att hålla tillsynsmyndighetens bild över sina tillsynsobjekt uppdaterad vilket i sin tur motverkar att tillsynsmyndigheten lägger resurser på åtgärder som inte längre är nödvändiga. Regeringen anser mot bakgrund av detta att anmälningsplikten också ska gälla det förhållandet att den säkerhetskänsliga verksamheten upphört. De ovan angivna integritets- och resursaspekterna motiverar även ett krav på att skyldigheten att avanmäla ska uppfyllas utan dröjsmål. Regeringen delar därför inte Stockholms tingsrätts synpunkt om att ett sådant krav är oproportionerligt.

Med hänsyn till den variation av myndigheter som kan omfattas av säkerhetsskyddslagen är det enligt regeringens uppfattning inte lämpligt att generellt undanta myndigheter från anmälningsplikten, vilket Strålsäkerhetsmyndigheten föreslår. Att peka ut vissa myndigheter som undantagna skulle kräva ett stort kartläggningsarbete och innefatta gränsdragningsproblem. Att anmäla en säkerhetskänslig verksamhet innebär därtill knappast något större merarbete för de större myndigheter som Strålsäkerhetsmyndigheten särskilt pekar på. Sammantaget finns enligt regeringen inte tillräckliga skäl att undanta myndigheter från anmälningsplikten, varken generellt eller genom utpekande av vissa myndigheter.

Vad gäller Energimyndighetens ifrågasättande av om det finns tillräckligt mandat för tillsynsmyndigheten att begära in underlag från verksamhetsutövare för att kunna bedöma om anmälningsplikten har försummats, konstaterar regeringen att det i avsnitt 8.3 lämnas förslag om bestämmelser om utökade undersökningsbefogenheter som innefattar bl.a. en rätt för tillsynsmyndigheten att inhämta den information som den behöver för tillsynen. Regeringen anser inte att det därutöver behöver införas bestämmelser om en sådan rätt att inhämta underlag som Energimyndigheten efterfrågar.

Enligt säkerhetsskyddsförordningen ska olika former av säkerhetshotande händelser och verksamhet anmälas till Säkerhetspolisen och Försvarsmakten. För att tillsynen ska kunna bedrivas på ett effektivt och konstruktivt sätt är det viktigt att tillsynsmyndigheten har kännedom om vilka brister som kan finnas hos en verksamhetsutövare för att över tid

Prop. 2020/21:194

81

Regeringen anser, i likhet med utredningen, att det finns skäl för att ge tillsynsmyndigheterna undersökningsbefogenheter för tillsyn enligt säkerhetsskyddslagen. Frågan om vilka närmare befogenheter tillsynsmyndigheten bör ha behandlas nedan. Tillsynsmyndighetens möjlighet att besluta åtgärdsföreläggande och sanktionsavgift vid överträdelse av säkerhetsskyddslagstiftningens bestämmelser behandlas i avsnitt 9.

Som FMV framhåller finns det många gånger begränsade möjligheter att utöva tillsyn över utländska leverantörer och det är inte alltid tillräckligt att en sådan leverantör har godkänts genom en kontroll enligt den andra statens säkerhetsskyddslagstiftning. Det är emellertid alltid verksamhetsutövarens ansvar att bedöma om det är lämpligt att involvera en extern aktör för arbete eller uppdrag som medför krav på säkerhetsskyddsavtal. Möjligheten att kontrollera att en utländsk motpart genomför de åtgärder som följer av säkerhetsskyddsavtalet är en parameter som verksamhetsutövaren måste överväga inför att ett säkerhetsskyddsavtal ingås. Som framgår av avsnitt 7.2 ska en lämplighetsbedömning alltid göras i vissa förfaranden som rör verksamheter med högre skyddsvärden. I situationer där motparten i säkerhetsskyddsavtalet har sitt säte i ett annat land förefaller det lämpligt att tillsynsmyndigheten i första hand inriktar tillsynsåtgärderna mot verksamhetsutövaren, t.ex. genom att undersöka vilka ansträngningar som verksamhetsutövaren gjort för att kontrollera att avtalet efterlevs.

Tillgång till information

För att en tillsynsmyndighet ska kunna kontrollera att verksamhetsutövare uppfyller de krav som följer av säkerhetsskyddslagen och anknytande föreskrifter, behöver den kunna inhämta information från tillsynsobjekten. Det kan t.ex. röra sig om uppgifter eller handlingar som visar att en verksamhetsutövare har genomfört en säkerhetsskyddsanalys, vad den därvid kommit fram till och vilka säkerhetsskyddsåtgärder som den därefter vidtagit. Det bör därför införas en skyldighet för den som står under tillsyn att på begäran från tillsynsmyndigheten lämna den information som behövs för tillsynen.

Uppgiftsskyldigheten bör gälla alla som står under tillsyn. Detta innefattar, utöver verksamhetsutövare, även sådana aktörer som har ingått säkerhetsskyddsavtal med verksamhetsutövare. I linje med det som anförs om tillsyn över sådana utomstående aktörer i avsnitt 8.1, bedömer regeringen det som motiverat att tillsynsmyndigheten ska kunna inhämta information från en sådan aktör för att kontrollera att verksamhetsutövaren uppfyller kraven på säkerhetsskydd, trots att den utomstående aktören inte själv har några övriga skyldigheter enligt säkerhetsskyddslagen.

Tillträdesrätt

Med hänsyn till behovet av en effektiv tillsyn anser regeringen att tillsynsmyndigheten i den utsträckning det behövs för tillsynen bör ha rätt att få tillträde till områden, lokaler och andra utrymmen som används i verksamhet som omfattas av tillsyn.

Rätten till tillträde bör omfatta utrymmen som disponeras av sådana aktörer som omfattas av tillsyn, vilket enligt regeringens förslag kan vara

Prop. 2020/21:194

83

84

integritetsskäl bör tillträdesrätten inte gälla bostäder.

Enligt 2 kap. 6 § regeringsformen är var och en skyddad mot husrannsakan och liknande intrång. Någon närmare definition av begreppet husrannsakan ges inte i regeringsformen, men enligt lagmotiven används uttrycket för att beteckna varje av myndighet företagen undersökning av hus, rum eller slutet förvaringsställe oavsett syftet med undersökningen (jfr prop. 1973:90 s. 246 och 1975/76:209 s. 147). Skyddet mot husrannsakan kan enligt 2 kap. 20 och 21 §§ regeringsformen begränsas genom lag, men en sådan begränsning får endast göras för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle och får aldrig gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett den. Ett liknande skydd som det som föreskrivs i 2 kap. 6 § regeringsformen följer av artikel 8 i Europakonventionen. Enligt artikeln har var och en rätt till skydd för sitt privat- och familjeliv, sitt hem och sin korrespondens. In- skränkningar i skyddet kan godtas, under förutsättning att de är lagliga och nödvändiga i ett demokratiskt samhälle för att tillgodose något av de i artikeln uppräknade intressena, däribland den nationella säkerheten. Den nu föreslagna rätten till tillträde gäller för en avgränsad krets, nämligen aktörer som bedriver säkerhetskänslig verksamhet och dessas motparter i säkerhetsskyddsavtal. Förslaget bedöms vara nödvändigt för att tillsynsmyndigheterna ska kunna bedriva ett effektivt arbete med att kontrollera att säkerhetsskyddslagen följs och att därigenom motverka skador på Sveriges säkerhet. Den föreslagna tillträdesrätten bedöms således utgöra en godtagbar inskränkning av enskildas fri- och rättigheter. Det ankommer dock alltid på de rättstillämpande myndigheterna att göra en bedömning av om de vidtagna undersökningsåtgärderna är proportionerliga i det enskilda fallet (jfr även 5 § tredje stycket förvaltningslagen [2017:900]). Det som anförts innebär att kraven i regeringsformen och Europakonventionen är uppfyllda.

Förelägganden och handräckning

I avsnitten ovan föreslår regeringen att tillsynsmyndigheten ska ha rätt att få viss information från tillsynsobjekten och tillträdesrätt till områden, lokaler och andra utrymmen som används i verksamhet som omfattas av tillsyn. Tillsynsmyndigheten bör i linje med de förslagen även kunna meddela de förelägganden som behövs för att förmå tillsynsobjekt som inte samarbetar att tillhandahålla den information och ge det tillträde som behövs för tillsynen.

Ett beslut om föreläggande bör, för att bli tillräckligt verkningsfullt, kunna förenas med vite. Allmänna bestämmelser om viten finns i lagen (1985:206) om viten, kallad viteslagen. Det finns inte anledning att införa bestämmelser som avviker från dem. Bestämmelserna i viteslagen är tillämpliga på såväl offentliga som enskilda aktörer. Regeringen instämmer i utredningens bedömning att det är godtagbart med vite i förhållande till statliga myndigheter och kommuner på området för säkerhetsskydd (se även avsnitt 7.4 ovan).

Om ett tillsynsobjekt ändå vägrar att ge tillsynsmyndigheten information eller tillträde till en lokal kan tvångsåtgärder behöva användas. Det ligger inte inom tillsynsmyndighetens befogenheter att vidta sådana åtgärder. Det

9.2.2Tillsynsmyndigheten ska kunna besluta om sanktionsavgift

Regeringens förslag: Tillsynsmyndigheten ska kunna besluta om sanktionsavgift för överträdelser.

Utredningens förslag överensstämmer med regeringens. Remissinstanserna: Flera remissinstanser, såsom Affärsverket svenska

kraftnät, Kammarrätten i Stockholm, Migrationsverket, Myndigheten för samhällsskydd och beredskap, Riksgäldskontoret, Skövde kommun och Stockholms tingsrätt, tillstyrker förslaget. Ett antal remissinstanser, bl.a. Försvarets materielverk (FMV), Gotlands kommun, Gävle kommun, Region Norrbotten, Sveriges kommuner och regioner (SKR) och Västra Götalandsregionen, ifrågasätter om sanktionsavgifter kommer att leda till ett förbättrat säkerhetsskydd och vissa av dem menar att lagstiftningen i stället bör fokusera på tidiga åtgärder. FMV efterlyser också en djupare analys av förslaget när det gäller utländska leverantörer, som är utom räckhåll för tillsynsmyndigheternas jurisdiktion. Svenska bankföreningen anser inte banker ska kunna påföras sanktionsavgift eftersom bankerna redan omfattas av andra regelverk som ger Finansinspektionen befogenhet att besluta fler och kraftigare sanktioner. IKEM Innovations- och kemiindustrierna och SKR anser inte att det är tillräckligt tydligt vilka som omfattas av säkerhetsskyddslagen för att sanktionsavgift ska anses vara en lämplig sanktion för överträdelser av regleringen. Försvarsmakten framhåller att det bör övervägas om sanktionsavgifter ska införas i ett senare skede än övriga förslag. Skövde kommun, Socialstyrelsen och Svenskt Näringsliv framför att ett rättssäkrare alternativ vore att tillsynsmyndigheten får möjlighet att väcka talan i förvaltningsdomstol om utdömande av sanktionsavgift.

Skälen för regeringens förslag

Sanktionsavgift införs som ingripande vid överträdelser

Sanktionsavgift är en snabb och effektiv ekonomisk sanktion som vanligen riktar sig mot en konstaterad överträdelse av en författningsbestämmelse. Sanktionsavgift är till skillnad från vitessanktionerade åtgärdsföreläggande i huvudsak en tillbakaverkande sanktion som är handlingsdirigerande genom att verka avskräckande. Om sanktionsavgiften riskerar att innebära en kostnad eller förlust som är lika stor som eller större än den besparing som görs genom att regelverket inte följs, skapar avgiften incitament att undvika överträdelser. När sanktionsavgift tas ut av en myndighet har den ekonomiska aspekten dock inte lika stor betydelse. Sanktionsavgifter finns inom en rad rättsområden och har olika tillämpningsområde, syfte och utformning. I vissa fall kan avgift tas ut vid sidan av eller i stället för straff och i andra fall är sanktionsavgift ett komplement till andra ingripanden. Det finns också regelverk där sanktionsavgift är den enda sanktionen för en överträdelse.

För att införa sanktionsavgifter som ett komplement till åtgärdsförelägganden talar bl.a. att det skulle ge en möjlighet att i större utsträckning anpassa ingripanden till varje enskilt fall. Som exempel kan det vid upp-

Prop. 2020/21:194

89

Skälen för regeringens förslag

Överträdelser av bestämmelser med krav som är centrala för säkerhetsskyddet

Regeringen anser – liksom utredningen – att sanktionsavgift i första hand bör komma i fråga vid åsidosättande av de skyldigheter som är allra viktigast för säkerhetsskyddet. Det innebär att sanktionsavgifter bör reserveras för överträdelser av bestämmelser med krav som har avgörande betydelse för att upprätthålla ett väl anpassat säkerhetsskydd och där ett åsidosättande ytterst kan leda till allvarliga konsekvenser för Sveriges säkerhet. Kraven måste dock även vara tillräckligt tydliga så att det är förutsebart för verksamhetsutövare i vilka fall en sanktionsavgift får tas ut, eftersom sanktionsavgifter har en straffliknande karaktär och kommer kunna uppgå till betydande belopp.

I anslutning till de centrala skyldigheterna i säkerhetsskyddslagen har det meddelats omfattande föreskrifter som preciserar och utvecklar skyldigheterna. Föreskrifterna är i vissa fall meddelade med direkt eller indirekt stöd av säkerhetsskyddslagen och i andra fall med stöd av rätten att meddela verkställighetsföreskrifter. Vidare kommer nya föreskrifter meddelas med anledning av de skyldigheter som regeringen föreslår i denna proposition. I de fall regeringen föreslår att åsidosättande av en skyldighet ska kunna leda till sanktionsavgift bör både överträdelse av lagbestämmelsen i fråga och överträdelse av föreskrifter som har meddelats i anslutning till bestämmelsen kunna leda till sanktionsavgift. Detta bör framgå tydligt av lagtexten.

Kravet på att anmäla säkerhetskänslig verksamhet till tillsynsmyndigheten

Förslaget i avsnitt 8.2 om att en verksamhetsutövare ska anmäla till tillsynsmyndigheten att den bedriver säkerhetskänslig verksamhet har flera funktioner. Bland annat främjar anmälningsplikten att de som bedriver verksamhet noga analyserar om deras verksamhet i någon mån är att anse som säkerhetskänslig och följaktligen omfattas av säkerhetsskyddslagstiftningen. Anmälningsplikten motverkar på så sätt att säkerhetskänsliga verksamheter står utan säkerhetsskydd och är därför mycket viktig för säkerhetsskyddet. Underlåtenhet att anmäla en säkerhetskänslig verksamhet bör därför kunna leda till sanktionsavgift.

Den skyldighet att göra en anmälan när den säkerhetskänsliga verksamheten har upphört som regeringen föreslår i avsnitt 8.2 är däremot inte avgörande för säkerhetsskyddet, utan syftar främst till att ge tillsynsmyndigheten en bättre överblick över sina tillsynsobjekt. Regeringen anser därför

–i likhet med Försvarsmakten, Kammarrätten i Stockholm, Stockholms tingsrätt och Svea hovrätt men i motsats till utredningen – inte att det är befogat med sanktionsavgift när en verksamhetsutövare har försummat att göra en sådan anmälan.

Till skillnad från Svenskt Näringsliv anser regeringen inte att en förutsättning för sanktionsavgift, vare sig när det gäller åsidosättande av anmälningsplikten eller andra krav, bör vara att verksamhetsutövaren har informerats av tillsynsmyndigheten om att den omfattas av säkerhetsskyddslagen. Som regeringen anför i avsnitt 8.2 ska det även fortsättningsvis vara den enskilde verksamhetsutövarens ansvar att se till att verk-

Prop. 2020/21:194

93

Prop. 2020/21:194

94

samheten bedrivs enligt säkerhetsskyddslagstiftningen. Det är en annan sak att respektive tillsynsmyndighet kan underlätta arbetet med sådana frågeställningar genom föreskrifter och vägledning.

Kravet på att utse en säkerhetsskyddschef

Skyldigheten att utse en säkerhetsskyddschef med det ansvar och den organisatoriska placering som föreslås i avsnitt 5 är grundläggande för att säkerhetsskyddet ska få den centrala roll i verksamheten som är nödvändig. Åsidosättande av detta krav bör därför kunna leda till sanktionsavgift.

Kravet på att göra och uppdatera en säkerhetsskyddsanalys

En annan central skyldighet är kravet i 2 kap. 1 § första stycket säkerhetsskyddslagen på att utreda behovet av säkerhetsskydd genom en säkerhetsskyddsanalys. Analysen ska enligt 2 kap. 1 § säkerhetsskyddsförordningen (2018:658) hållas uppdaterad.

Säkerhetsskyddsanalysen ligger till grund för verksamhetsutövarens säkerhetsskyddsåtgärder och för den särskilda säkerhetsskyddsbedömning som ska göras inför vissa förfaranden som innebär att andra aktörer kan få tillgång till den säkerhetskänsliga verksamheten. Säkerhetsskyddsanalysens centrala betydelse för att verksamhetsutövare ska ha ett väl anpassat säkerhetsskydd gör att underlåtenhet att göra och uppdatera en sådan bör kunna leda till sanktionsavgift.

Lidingö kommun, Luleå kommun och MSB har synpunkter om hur kravet i 2 kap. 1 § säkerhetsskyddsförordningen på att uppdatera säkerhetsskyddsanalysen bör specificeras för att kunna ligga till grund för sanktionsavgift. Sedan remissvaren skrevs har detta krav dock specificerats på ett tillfredställande sätt genom 2 kap. 10 § Säkerhetspolisens föreskrifter om säkerhetsskydd (PMFS 2019:2) och 2 kap. 2 § Försvarsmaktens föreskrifter om säkerhetsskydd (FFS 2019:2), som båda stadgar att analysen ska uppdateras vid behov och minst en gång vartannat år.

Kravet på att planera och vidta säkerhetsskyddsåtgärder

Det kanske mest centrala kravet är det i 2 kap. 1 § andra stycket säkerhetsskyddslagen om att verksamhetsutövare, med utgångspunkt i säkerhetsskyddsanalysen, ska planera och vidta de säkerhetsskyddsåtgärder som behövs med hänsyn till verksamhetens art och omfattning, förekomst av säkerhetsskyddsklassificerade uppgifter och övriga omständigheter. De tre olika huvudområden inom vilka säkerhetsskyddsåtgärder ska vidtas framgår av 2 kap. 2–4 §§ säkerhetsskyddslagen och omfattar informationssäkerhet, fysisk säkerhet och personalsäkerhet.

Bristande säkerhetsskyddsåtgärder kan leda till mycket allvarliga konsekvenser för Sveriges säkerhet. Det finns därför starka skäl för att tillsynsmyndigheten ska kunna besluta sanktionsavgift mot den verksamhetsutövare som underlåter att planera eller vidta de säkerhetsskyddsåtgärder som behövs.

Flera remissinstanser, bl.a. Försvarsmakten, PTS och Svea hovrätt, ifrågasätter om kravet på att vidta säkerhetsskyddsåtgärder är tillräckligt tydligt. Kravet specificeras i 3 kap. säkerhetsskyddslagen och 3–5 kap. säkerhetsskyddsförordningen. Sedan utredningens betänkande remittera-

Prop. 2020/21:194

96

Kravet på att kontrollera det egna säkerhetsskyddet

Enligt 2 kap. 1 § tredje stycket säkerhetsskyddslagen ska en verksamhetsutövare kontrollera säkerhetsskyddet i den egna verksamheten. Skyldigheten specificeras i Säkerhetspolisens och Försvarsmaktens föreskrifter om säkerhetsskydd. Att verksamhetsutövare regelbundet kontrollerar att de säkerhetsskyddsåtgärder som vidtagits fungerar på det sätt som är avsett och att skyddet i övrigt är lämpligt utformat är naturligtvis viktigt för ett väl anpassat säkerhetsskydd. Underlåtenhet att kontrollera säkerhetsskyddet i den egna verksamheten bör därför kunna leda till sanktionsavgift.

Kravet på att anmäla och rapportera sådant som är av vikt för säkerhetsskyddet

Enligt 2 kap. 1 § tredje stycket säkerhetsskyddslagen ska en verksamhetsutövare anmäla och rapportera sådant som är av vikt för säkerhetsskyddet. Kravet innebär att verksamhetsutövaren ska fullgöra sådan anmälnings- och rapporteringsskyldighet som framgår av föreskrifter (prop. 2017/18:89 s. 137).

Det finns ett flertal anmälnings- och rapporteringsskyldigheter i säkerhetsskyddsförordningen och myndighetsföreskrifter. Bland annat ska en verksamhetsutövare enligt 2 kap. 10 § säkerhetsskyddsförordningen anmäla till Säkerhetspolisen eller Försvarsmakten om en säkerhetsskyddsklassificerad uppgift kan ha röjts, om det inträffat en viss typ av it-incident som har betydelse för säkerhetskänslig verksamhet eller om verksamhetsutövaren har fått kännedom eller misstanke om någon annan för denne allvarlig säkerhetshotande verksamhet. Vidare ska en verksamhetsutövare enligt 2 kap. 5 § säkerhetsskyddsförordningen göra en anmälan till tillsynsmyndigheten när den avser att ingå ett säkerhetsskyddsavtal och enligt 7 § samma kapitel anmäla till Säkerhetspolisen när ett sådant avtal har upphört. Dessutom ska en verksamhetsutövare enligt 5 kap. 22 § säkerhetsskyddsförordningen göra en anmälan till Säkerhetspolisen när en registerkontroll ska avslutas eller anpassas till en lägre säkerhetsklass. Vissa av anmälnings- och rapporteringsskyldigheterna, såsom skyldigheten att anmäla att en säkerhetsskyddsklassificerad uppgift kan ha röjts och att det inträffat en it-incident, kan ha stor betydelse för säkerhetsskyddet. Regeringen anser dock i nuläget – till skillnad från utredningen – inte att underlåtelse att göra sådana anmälningar och rapporteringar bör kunna leda till sanktionsavgift. Det kan dock finnas anledning att återkomma i denna fråga.

Kravet på säkerhetsskyddsavtal

Enligt regeringens förslag i avsnitt 6.1 ska en verksamhetsutövare ingå säkerhetsskyddsavtal inför vissa förfaranden, såsom upphandlingar, utkontrakteringar och samarbeten, som innebär att en annan aktör kan få tillgång till den säkerhetskänsliga verksamheten. Genom ett säkerhetsskyddsavtal kan säkerhetsskyddet upprätthållas under förfarandet. Kriterierna för när ett säkerhetsskyddsavtal ska ingås är enligt regeringen tillräckligt preciserade för att ett åsidosättande av skyldigheten ska kunna leda till sanktionsavgift. Med hänsyn till vikten av att säkerhetsskyddet

Prop. 2020/21:194

98

Att lämna oriktiga uppgifter i samband med tillsyn och samråd

I avsnitt 8.3 föreslår regeringen att den som står under tillsyn på begäran ska tillhandahålla tillsynsmyndigheten den information som behövs för tillsynen och att tillsynsmyndigheten ska få förelägga verksamhetsutövaren att vid vite tillhandahålla sådan information. För en effektiv tillsyn som bidrar till ett bättre säkerhetsskydd är det av stor vikt att den verksamhetsutövare som är föremål för tillsyn lämnar korrekta uppgifter till tillsynsmyndigheten. På samma sätt är det viktigt att de uppgifter som verksamhetsutövare och aktie- och andelsägare lämnar i samband med samråd är riktiga. I syfte att motverka att oriktiga uppgifter lämnas vid tillsyn och samråd bör det vara möjligt att besluta om sanktionsavgift mot verksamhetsutövare och aktie- och andelsägare när så ändå har skett. Regeringen delar inte PTS:s uppfattning om att det är otydligt vad som avses med att lämna oriktiga uppgifter. En annan sak är i vilken mån oriktiga uppgifter har lämnats uppsåtligen eller i vilken mån det varit oaktsamt, vilket enligt förslaget i avsnitt 9.3.4 ska beaktas vid bedömningen av om sanktionsavgift ska tas ut.

Sanktionsavgift ska kunna tas ut av statliga myndigheter

Som flera remissinstanser anför, bl.a. FMV, FRA, Försvarsmakten, Inspektionen för strategiska produkter och Svenskt Näringsliv, kan det ifrågasättas om det är lämpligt att tillsynsmyndigheten ska kunna ta ut sanktionsavgifter av andra statliga myndigheter, eftersom det innebär att staten betalar en avgift till staten.

Sanktionsavgift har dock bedömts vara en lämplig sanktion mot statliga myndigheter för överträdelser av vissa regelverk, såsom miljösanktionsavgift för överträdelser av miljöbalken och upphandlingsskadeavgift för överträdelser av bestämmelser i lagen (2016:1145) om offentlig upphandling. Regeringen har också bedömt att sanktionsavgift är en lämplig sanktion mot myndigheter vid överträdelser av regler om personuppgiftsbehandling i brottsdatalagen (2018:1177) och vid åsidosättande av krav på säkerhetsåtgärder och incidentrapportering i lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster.

På liknande sätt som nämnda regelverk gäller säkerhetsskyddslagstiftningen statliga myndigheter på i stort samma sätt som andra aktörer som träffas av regleringen. Intresset av säkerhetsskydd väger också lika tungt oavsett om den säkerhetskänsliga verksamheten bedrivs av en myndighet eller exempelvis en privat aktör. Flertalet av de mest centrala verksamhetsutövarna och de som bedriver särskilt säkerhetskänslig verksamhet är dessutom myndigheter. Enligt regeringen finns det därför inte anledning att särbehandla statliga myndigheter i detta avseende, även om sanktionsavgift inte kommer vara kännbart ekonomiskt för dem på samma sätt som för andra verksamhetsutövare. Sanktionsavgift bör alltså kunna tas ut av statliga myndigheter.