1 § Denna förordning innehåller kompletterande bestämmelser till säkerhetsskyddslagen (2018:585).
Förordningen gäller inte för riksdagen och dess myndigheter.
2 § För Regeringskansliet, utlandsmyndigheterna och sådana kommittéer och särskilda utredare som avses i kommittéförordningen (1998:1474) gäller endast följande bestämmelser i
1. säkerhetsskyddslagen (2018:585):
- 1 kap.,
- 2 kap. 1-5 §§, 7 § första och andra styckena och 8 §,
- 3 kap.,
- 4 kap. 1-6 §§,
- 5 kap.,
- 8 kap. 1-3 §§ och 4 § tredje stycket, och
2. denna förordning:
- 1 kap.,
- 2 kap. 1-3 §§,
- 3 kap. 1, 3-8 och 10 §§,
- 4 kap.,
- 5 kap.,
- 6 kap. 1-3 §§,
- 7 kap.,
- 8 kap. 6-9, 11 och 13 §§.
3 § Ord och uttryck som används i denna förordning har samma innebörd som i säkerhetsskyddslagen (2018:585).
Med säkerhetsskyddsklassificerad handling avses en handling som innehåller en säkerhetsskyddsklassificerad uppgift enligt
1 kap. 2 § säkerhetsskyddslagen.
Med informationssystem avses ett system av sammansatt mjuk- och hårdvara som behandlar information.
1 § En verksamhetsutövare ska enligt 2 kap. 1 § säkerhetsskyddslagen (2018:585) göra en säkerhetsskyddsanalys.
Säkerhetsskyddsanalysen ska identifiera vilka säkerhetsskyddsklassificerade uppgifter och vilken säkerhetskänslig verksamhet i övrigt som finns i verksamheten samt vilka hot och sårbarheter som finns kopplade till dessa skyddsvärden. Säkerhetsskyddsanalysen ska även innehålla en bedömning av vilka säkerhetsskyddsåtgärder som är nödvändiga. Analysen ska uppdateras vid behov och åtminstone vartannat år.
2 § Behörig att få del av säkerhetsskyddsklassificerade uppgifter eller tillgång till säkerhetskänslig verksamhet i övrigt är, om inte något annat följer av bestämmelser i lag, endast den som
1. har bedömts pålitlig från säkerhetssynpunkt,
2. har tillräckliga kunskaper om säkerhetsskydd, och
3. behöver uppgifterna eller annan tillgång till verksamheten för att kunna utföra sitt arbete eller på annat sätt medverka i den säkerhetskänsliga verksamheten.
3 § En verksamhetsutövare ska upplysa den som tillåts ta del av säkerhetsskyddsklassificerade uppgifter om räckvidden och innebörden av den sekretess och tystnadsplikt som följer av offentlighets- och sekretesslagen (2009:400) respektive 8 kap.
2 § säkerhetsskyddslagen (2018:585).
4 § En verksamhetsutövare ska skyndsamt anmäla till Säkerhetspolisen om
1. det finns skäl att anta att en säkerhetsskyddsklassificerad uppgift otillåtet har röjts,
2. det inträffat en it-incident i ett informationssystem som verksamhetsutövaren är ansvarig för och som har betydelse för säkerhetskänslig verksamhet och där incidenten allvarligt kan påverka säkerheten i systemet, eller
3. verksamhetsutövaren får kännedom eller misstanke om någon annan för denne allvarlig säkerhetshotande verksamhet.
Om verksamhetsutövaren tillhör Försvarsmaktens tillsynsområde ska anmälan göras också till Försvarsmakten.
Säkerhetspolisen ska underrätta verksamhetsutövarens tillsynsmyndighet om en anmälan som gjorts enligt första stycket.
5 § En verksamhetsutövare som är skyldig att anmäla säkerhetshotande händelser enligt 4 § första stycket 1 eller 2 och som tillhandahåller tjänster åt en annan verksamhetsutövare ska i samband med anmälan informera och vid behov samråda med de uppdragsgivare som berörs av incidenten.
Vid anmälan enligt 4 § första stycket 1 eller 2 som rör säkerhetsskyddsklassificerade uppgifter som omfattas av ett internationellt säkerhetsskyddsåtagande enligt 7 kap. 1 §, ska Säkerhetspolisen underrätta den myndighet som är nationell säkerhetsmyndighet enligt det internationella säkerhetsskyddsåtagandet.
1 § Innan ett informationssystem som har betydelse för säkerhetskänslig verksamhet tas i drift ska verksamhetsutövaren genom en särskild säkerhetsskyddsbedömning ta ställning till vilka säkerhetskrav i systemet som är motiverade och se till att säkerhetsskyddet utformas så att dessa krav tillgodoses. Säkerhetsskyddsbedömningen ska dokumenteras.
2 § Innan ett informationssystem som kan förutses komma att behandla säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre tas i drift, eller i väsentliga avseenden förändras, ska verksamhetsutövaren skriftligen samråda med Säkerhetspolisen. Om verksamhetsutövaren hör till Försvarsmaktens eller Försvarets materielverks tillsynsområde ska denne i stället samråda med Försvarsmakten.
Samrådsskyldigheten gäller även i fråga om andra informationssystem än sådana som anges i första stycket, om obehörig åtkomst till systemen kan medföra en skada för Sveriges säkerhet som inte är obetydlig.
Säkerhetspolisen och Försvarsmakten ska underrätta verksamhetsutövarens tillsynsmyndighet om samråd som skett enligt första stycket.
3 § Ett informationssystem som ska användas i säkerhetskänslig verksamhet får inte tas i drift förrän det har godkänts från säkerhetsskyddssynpunkt av verksamhetsutövaren. Godkännandet ska dokumenteras.
4 § En verksamhetsutövare som ansvarar för ett informationssystem som ska användas i säkerhetskänslig verksamhet ska vidta lämpliga skyddsåtgärder för att kunna upptäcka, försvåra och hantera skadlig inverkan på informationssystemet samt obehörig avlyssning av, åtkomst till och nyttjande av informationssystemet. Verksamhetsutövaren ska också se till att spårbarhet finns för händelser som är av betydelse för säkerheten i systemet.
En verksamhetsutövare som ansvarar för ett informationssystem enligt första stycket ska beakta förekomsten av röjande signaler och vidta lämpliga skyddsåtgärder för systemet om informationssystemet avses behandla säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre.
5 § Innan säkerhetsskyddsklassificerade uppgifter behandlas i ett informationssystem utanför verksamhetsutövarens kontroll ska denne försäkra sig om att säkerhetsskyddet för uppgifterna i systemet är tillräckligt.
Om säkerhetsskyddsklassificerade uppgifter ska kommuniceras till ett informationssystem utanför verksamhetsutövarens kontroll, ska uppgifterna skyddas med hjälp av kryptografiska funktioner som har godkänts av Försvarsmakten.
6 § Försvarsmakten får inom sitt och Försvarets materielverks tillsynsområde meddela föreskrifter om undantag från kraven i
4 § första stycket. Säkerhetspolisen får meddela sådana föreskrifter inom övriga tillsynsområden. Regeringskansliet får meddela sådana föreskrifter i fråga om Regeringskansliet, utlandsmyndigheterna och sådana kommittéer och särskilda utredare som avses i kommittéförordningen (1998:1474).
Försvarsmakten får, om det finns särskilda skäl, också besluta om undantag från kraven i 5 § andra stycket. Försvarsmakten ska samråda med Säkerhetspolisen innan ett beslut om undantag meddelas om det gäller verksamhet som hör till ett annat tillsynsområde än Försvarsmaktens eller Försvarets materielverks tillsynsområde och med Regeringskansliet
(Utrikesdepartementet) om kravet följer av ett internationellt säkerhetsskyddsåtagande.
7 § En säkerhetsskyddsklassificerad handling ska förses med en anteckning om vilken säkerhetsskyddsklass uppgifterna i handlingen har. Om handlingen innehåller uppgifter med olika säkerhetsskyddsklass, ska den högsta säkerhetsskyddsklassen avgöra vilken anteckning handlingen ska ha. Försvarsmakten får inom sitt och Försvarets materielverks tillsynsområde meddela föreskrifter om undantag från kravet på anteckning om säkerhetsskyddsklass. Säkerhetspolisen får meddela sådana föreskrifter inom övriga tillsynsområden. Regeringskansliet får meddela sådana föreskrifter i fråga om Regeringskansliet, utlandsmyndigheterna och sådana kommittéer och särskilda utredare som avses i kommittéförordningen (1998:1474).
Om en säkerhetsskyddsklassificerad handling kan antas komma att lämnas över till en utländsk myndighet, mellanfolklig organisation eller utländsk leverantör, ska den förses med en anteckning om ursprungsland om det inte är olämpligt.
8 § Säkerhetsskyddsklassificerade handlingar som innehåller uppgifter i säkerhetsskyddsklassen kvalificerat hemlig ska inventeras minst en gång per år. Säkerhetsskyddsklassificerade handlingar som innehåller uppgifter i säkerhetsskyddsklassen hemlig eller konfidentiell ska inventeras i den omfattning som anges i Säkerhetspolisens föreskrifter eller, om det gäller verksamhet som hör till Försvarsmaktens eller Försvarets materielverks tillsynsområde, Försvarsmaktens föreskrifter. Regeringskansliet får meddela föreskrifter om i vilken omfattning inventering ska ske i fråga om Regeringskansliet, utlandsmyndigheterna och sådana kommittéer och särskilda utredare som avses i kommittéförordningen (1998:1474).
För arkiverade handlingar gäller kravet på inventering enbart för handlingar i säkerhetsskyddsklassen kvalificerat hemlig.
Hos verksamhetsutövare där offentlighets- och sekretesslagen
(2009:400) är tillämplig gäller kravet på inventering endast för allmänna handlingar.
9 § Säkerhetsskyddsklassificerade uppgifter som lämnas till en utländsk myndighet eller en mellanfolklig organisation ska omfattas av ett internationellt säkerhetsskyddsåtagande som Sverige har ingått med den andra staten eller organisationen, om det inte finns särskilda skäl för att sådana uppgifter ändå kan lämnas.
Säkerhetsskyddsklassificerade uppgifter får inte lämnas till en utländsk leverantör om inte Sverige har ingått ett internationellt säkerhetsskyddsåtagande med den andra staten och leverantören har godkänts genom en kontroll enligt den andra statens säkerhetsskyddslagstiftning.
10 § För sådana försändelser till och från utlandet som innehåller säkerhetsskyddsklassificerade handlingar och som inte skyddas av kryptografiska funktioner enligt 5 § ska Utrikesdepartementets kurirförbindelser anlitas.
Försvarsmakten får inom sitt och Försvarets materielverks tillsynsområde meddela föreskrifter om undantag från kravet i första stycket. Säkerhetspolisen får meddela sådana föreskrifter inom övriga tillsynsområden. Regeringskansliet får meddela sådana föreskrifter i fråga om Regeringskansliet, utlandsmyndigheterna och sådana kommittéer och särskilda utredare som avses i kommittéförordningen (1998:1474).
1 § Områden, byggnader och andra anläggningar eller objekt där säkerhetsskyddsklassificerade uppgifter förvaras eller annars behandlas, eller där säkerhetskänslig verksamhet i övrigt bedrivs, ska vara försedda med funktioner för att upptäcka, försvåra och hantera obehörigt tillträde och skadlig inverkan utifrån ett identifierat säkerhetsskyddsbehov.
1 § En verksamhetsutövare ska se till att den som anställs eller på annat sätt deltar i verksamheten får utbildning i säkerhetsskydd. Behovet av utbildning ska följas upp under den tid deltagandet i den säkerhetskänsliga verksamheten pågår.
2 § Med grundutredning enligt 3 kap. 3 § säkerhetsskyddslagen
(2018:585) avses en utredning om personliga förhållanden av betydelse för säkerhetsprövningen. Utredningen ska omfatta betyg, intyg, referenser och uppgifter som den som prövningen gäller har lämnat samt andra uppgifter i den utsträckning det är relevant för prövningen. Vid behov ska en identitetskontroll göras.
3 § Bestämmelser om registerkontroll och särskild personutredning som utförs efter ett beslut om placering i säkerhetsklass finns i 11-20 §§. Om det redan efter grundutredningen står klart att den som prövningen gäller inte uppfyller kraven för en godkänd säkerhetsprövning enligt
3 kap. 2 § säkerhetsskyddslagen (2018:585), ska registerkontroll och särskild personutredning inte göras.
4 § Resultatet av säkerhetsprövningen ska dokumenteras i de fall en person har bedömts vara pålitlig ur säkerhetssynpunkt och beslut har fattats om anställning eller annat deltagande i verksamheten.
5 § Regeringen beslutar om placering i säkerhetsklass om inget annat anges i 7-10 §§.
6 § Om den som enligt 8, 9 eller 10 § beslutar om placering i säkerhetsklass 2 och 3 bedömer att det finns behov av att placera en anställning eller annat deltagande i säkerhetsklass 1, ska den begära att regeringen beslutar om en sådan placering.
7 § Regeringskansliet beslutar om placering i säkerhetsklass 2 och 3 när det gäller
1. utlandsmyndigheterna och sådana kommittéer och särskilda utredare som avses i kommittéförordningen (1998:1474),
2. övriga anställningar, uppdrag eller annat deltagande i verksamhet som regeringen beslutar om, och
3. uppdrag som styrelseledamot i bolag med statligt ägande där staten nominerar samtliga styrelseledamöter.
I fråga om ordinarie domare i en allmän domstol, en allmän förvaltningsdomstol och Arbetsdomstolen och hyresråd i en hyres- och arrendenämnd beslutar Regeringskansliet om placering i säkerhetsklass 2 och 3 endast när det gäller anställningar som chef för en sådan domstol eller nämnd.
8 § Kommuner, regioner och de myndigheter som anges i bilagan till denna förordning beslutar om placering i säkerhetsklass 2 och 3 i fråga om
1. anställning eller annat deltagande i den egna verksamheten, och
2. anställning eller uppdrag hos en aktör som de har ingått ett säkerhetsskyddsavtal med enligt 4 kap. 1 § säkerhetsskyddslagen (2018:585).
Kommuner och regioner beslutar även om placering i säkerhetsklass 2 och 3 i fråga om anställning eller annat deltagande hos enskilda verksamhetsutövare som de utövar ett rättsligt bestämmande inflytande över enligt 2 kap. 3 § offentlighets- och sekretesslagen (2009:400).
Beslut om placering i säkerhetsklass 2 och 3 enligt första eller andra stycket i verksamhet som omfattas av ett internationellt säkerhetsskyddsåtagande på området luftfartsskydd fattas i stället av Transportstyrelsen.
9 § I andra fall än de som anges i 7 § beslutar Kungl. Hovstaterna, Sveriges Radio Aktiebolag, Sveriges Television Aktiebolag, Teracom Group AB och Teracom Group AB:s helägda dotterbolag om placering i säkerhetsklass 2 och 3 i fråga om
1. anställning eller annat deltagande i den egna verksamheten, och
2. anställning eller uppdrag hos en aktör som de har ingått ett säkerhetsskyddsavtal med enligt 4 kap. 1 § säkerhetsskyddslagen (2018:585).
10 § I andra fall än de som anges i 7-9 §§ beslutar tillsynsmyndigheterna om placering i säkerhetsklass 2 och 3 i fråga om
1. anställning eller annat deltagande hos en enskild verksamhetsutövare som de utövar tillsyn över, och
2. anställning eller uppdrag hos en aktör som en sådan enskild verksamhetsutövare har ingått säkerhetsskyddsavtal med enligt
4 kap. 1 § säkerhetsskyddslagen (2018:585).
11 § Ett beslut om att en anställning eller annat deltagande i säkerhetskänslig verksamhet ska placeras i säkerhetsklass medför att
1. säkerhetsprövningen vid en sådan anställning eller ett sådant deltagande ska omfatta en registerkontroll i enlighet med 3 kap. 13 § säkerhetsskyddslagen (2018:585), och
2. en särskild personutredning ska göras vid registerkontrollen i den utsträckning som anges i 3 kap.
17 § säkerhetsskyddslagen.
12 § En registerkontroll av den som ska delta i säkerhetskänslig verksamhet får göras utan placering i säkerhetsklass om det finns särskilda skäl.
Regeringen beslutar om en sådan registerkontroll.
Vid större evenemang, statsbesök eller andra liknande händelser med närvaro av någon vars personskydd Säkerhetspolisen ansvarar för, får beslut om registerkontroll i stället fattas av Säkerhetspolisen. I förhållande till någon vars personskydd Säkerhetspolisen ansvarar för och som innehar en särskilt skyddsvärd funktion, får Säkerhetspolisen besluta om registerkontroll även av den som återkommande i sin tjänsteutövning kan antas få självständigt tillträde till skyddspersonens bostad eller liknande. Förordning (2022:1668).
13 § En ansökan om registerkontroll får göras endast om den som säkerhetsprövningen gäller kan antas komma att anställas eller på annat sätt delta i den aktuella verksamheten. Om det finns synnerliga skäl får en ansökan göras utan ett sådant antagande.
14 § Säkerhetspolisen ska utföra en registerkontroll efter ansökan från den som beslutar om placering i säkerhetsklass eller från den som i annat fall beslutar om registerkontroll.
När regeringen beslutat om placering i säkerhetsklass ska, om inte något annat anges i beslutet, kontrollen utföras efter ansökan från den som beslutar om placering i säkerhetsklass 2 och 3.
När det gäller sådana anställningar som anges i 25 § första och andra styckena förordningen (2007:1266) med instruktion för Försvarsmakten ska kontrollen utföras efter ansökan från Försvarsmakten.
När det gäller sådana anställningar som ordinarie domare och hyresråd som anges i 3 kap. 4 a § första stycket säkerhetsskyddslagen (2018:585) ska kontrollen utföras efter ansökan från Domarnämnden.
15 § Verksamhetsutövaren ansvarar för att samtycke enligt
3 kap. 18 § säkerhetsskyddslagen (2018:585) har inhämtats. Om registerkontrollen avser en anställning eller annat deltagande i en verksamhet som har placerats i säkerhetsklass 1 eller 2, ska det i ansökan om registerkontroll anges uppgifter om personliga förhållanden för den som kontrollen avser.
15 a § Totalförsvarspliktiga som skrivs in för värnplikt enligt lagen (1994:1809) om totalförsvarsplikt eller som efter avslutad grundutbildning med värnplikt har krigsplacerats enligt samma lag och för vilka krav på samtycke till registerkontroll inte gäller enligt 3 kap. 18 a § säkerhetsskyddslagen (2018:585) ska få information av Försvarsmakten om att befattningen är placerad i säkerhetsklass och att registerkontroll kommer att göras.
Förordning (2023:523).
16 § Säkerhetspolisens uppgift att utföra registerkontrollen innefattar även uppgiften att göra en särskild personutredning enligt 3 kap. 17 § säkerhetsskyddslagen (2018:585).
17 § När den särskilda personutredningen gäller anställning eller annat deltagande i verksamhet som har placerats i säkerhetsklass 1, ska Säkerhetspolisen hålla ett personligt samtal med den som prövningen gäller, om det inte står klart att samtalet inte behövs.
Ett personligt samtal ska, om det behövs, även hållas när utredningen gäller anställning eller annat deltagande i verksamhet som har placerats i säkerhetsklass 2.
Säkerhetspolisen får vid behov begära ett uppföljande samtal med den som prövningen gäller.
18 § Om det vid registerkontrollen eller den särskilda personutredningen kommer fram en uppgift som kan antas vara av betydelse för säkerhetsprövningen ska Säkerhetspolisen, efter att ha hört Säkerhets- och integritetsskyddsnämnden, ge den som uppgiften gäller tillfälle att yttra sig enligt de förutsättningar som anges i 3 kap. 20 § säkerhetsskyddslagen
(2018:585). I brådskande fall får Säkerhetspolisen inhämta ett sådant yttrande utan att ha hört nämnden.
Säkerhetspolisen ska därefter underställa Säkerhets- och integritetsskyddsnämnden frågan om huruvida uppgiften ska lämnas ut för säkerhetsprövning enligt 3 kap. 19 § säkerhetsskyddslagen.
Säkerhetspolisen ska ge Säkerhets- och integritetsskyddsnämnden tillgång till samtliga uppgifter som kan vara av betydelse för prövningen. Säkerhetspolisen ska dokumentera och verkställa nämndens beslut.
19 § En uppgift som efter beslut av Säkerhets- och integritetsskyddsnämnden ska lämnas ut för säkerhetsprövning får inte åtföljas av något annat yttrande än en förtydligande kommentar till uppgiften. Det får inte framgå av svaret på en ansökan om registerkontroll att det finns någon uppgift om den kontrollerade som inte lämnas ut.
20 § När en anställning eller något annat deltagande som föranlett en placering i säkerhetsklass upphör, eller vid en omplacering till en annan säkerhetsklass, ska den som beslutar om placering i säkerhetsklass skyndsamt anmäla till Säkerhetspolisen att registerkontrollen ska avslutas. Saknar verksamhetsutövaren rätt att besluta om placering i säkerhetsklass ska verksamhetsamhetsutövaren skyndsamt informera den som har beslutanderätten för vidarebefordran till Säkerhetspolisen.
1 § Förutsatt att säkerhetsskyddet ändå kan tillgodoses gäller skyldigheten att ingå säkerhetsskyddsavtal enligt 4 kap. 1 § säkerhetsskyddslagen (2018:585) inte
1. förfaranden som för att genomföras kräver tillstånd enligt lagen (1992:1300) om krigsmateriel eller lagen (2000:1064) om kontroll av produkter med dubbla användningsområden och av tekniskt bistånd,
2. anskaffningar mellan myndigheter inom Försvarsmaktens tillsynsområde,
3. statliga myndigheters avtal, samverkan eller samarbete med en annan stat än Sverige eller en mellanfolklig organisation, och
4. avtal, samverkan eller samarbete inom militär säkerhetstjänst, försvarsunderrättelseverksamhet eller säkerhetsunderrättelseverksamhet samt Försvarsmaktens eller Försvarets radioanstalts avtal, samverkan eller samarbete inom cyberförsvar.
2 § Skyldigheten att göra en särskild säkerhetsskyddsbedömning och lämplighetsprövning och att samråda enligt 4 kap. 7 § första stycket samt 8 och 9 §§ säkerhetsskyddslagen (2018:585) gäller inte samarbeten och samverkan mellan verksamhetsutövare inom totalförsvarsplaneringen och krisberedskapen med stöd av
1. lagen (1982:1004) om skyldighet för näringsidkare, arbetsmarknadsorganisationer m.fl. att delta i totalförsvarsplaneringen,
2. 2 kap. 7 § lagen (2006:544) om kommuners och regioners åtgärder inför och vid extraordinära händelser i fredstid och höjd beredskap,
3. 7 § förordningen (2007:1266) med instruktion för Försvarsmakten,
4. förordningen (2017:870) om länsstyrelsernas krisberedskap och uppgifter inför och vid höjd beredskap, eller
5. 10 § andra stycket och 20 § andra stycket 3 förordningen
(2022:524) om statliga myndigheters beredskap.
Förordning (2022:1005).
3 § Skyldigheten att göra en särskild säkerhetsskyddsbedömning och lämplighetsprövning samt att samråda enligt 4 kap. 13 § första stycket samt 14 och 15 §§ säkerhetsskyddslagen
(2018:585) gäller inte överlåtelser
1. som för att genomföras kräver tillstånd enligt lagen
(1992:1300) om krigsmateriel eller lagen (2000:1064) om kontroll av produkter med dubbla användningsområden och av tekniskt bistånd,
2. mellan två myndigheter inom Försvarsmaktens tillsynsområde eller vid samverkan på försvarsunderrättelseområdet,
3. av tillstånd eller del av tillstånd att använda radiosändare som kräver ett medgivande enligt 3 kap. 25 § lagen (2022:482) om elektronisk kommunikation, eller
4. till en tillsynsmyndighet. Förordning (2022:523).
4 § En verksamhetsutövare som avser att ingå ett säkerhetsskyddsavtal enligt 4 kap. 1 § säkerhetsskyddslagen
(2018:585) ska utan dröjsmål anmäla det till den som beslutar om placering i säkerhetsklass och tillsynsmyndigheten.
5 § En verksamhetsutövare som har ingått ett säkerhetsskyddsavtal enligt 4 kap. 1 § säkerhetsskyddslagen
(2018:585) ska anmäla det till den som beslutar om placering i säkerhetsklass och tillsynsmyndigheten. En sådan anmälan ska också göras när ett säkerhetsskyddsavtal upphör att gälla. Den som beslutar om placering i säkerhetsklass ska skyndsamt vidarebefordra anmälan till Säkerhetspolisen.
6 § Så snart en fråga om föreläggande enligt 4 kap. 12 eller
19 § säkerhetsskyddslagen (2018:585) eller förbud enligt
4 kap. 18 § andra stycket samma lag aktualiseras vid tillsynsmyndigheten ska tillsynsmyndigheten underrätta Försvarsmakten, om verksamhetsutövaren hör till Försvarsmaktens eller Försvarets materielverks tillsynsområde, och annars Säkerhetspolisen.
Tillsynsmyndigheten ska, om det inte är uppenbart obehövligt, ge Säkerhetspolisen möjlighet att yttra sig innan tillsynsmyndigheten avslutar ett samråd som avses i 4 kap. 9,
10, 15 eller 16 § säkerhetsskyddslagen på något annat sätt än genom ett beslut om att förfarandet inte får genomföras. Tillsynsmyndigheten får inte fatta beslut i frågan innan tiden för yttrande har gått ut. Om samrådet gäller en verksamhetsutövare som hör till Försvarsmaktens eller Försvarets materielverks tillsynsområde, ska i stället Försvarsmakten ges möjlighet att yttra sig.
7 § I ärenden om samråd enligt 4 kap. 15 § säkerhetsskyddslagen ska tillsynsmyndigheten vid behov samverka med Inspektionen för strategiska produkter.
8 § Den nationella industrisäkerhetsmyndigheten får ingå ett säkerhetsskyddsavtal med en leverantör, om det är nödvändigt för att leverantören ska kunna delta i ett internationellt samarbete och det behövs för att utfärda säkerhetsintyg enligt
5 kap. 1 § säkerhetsskyddslagen (2018:585). Säkerhetsskyddsavtalet ska anmälas till Säkerhetspolisen.
1 § Regeringskansliet ska vara nationell säkerhetsmyndighet för internationella säkerhetsskyddsåtaganden gentemot Europeiska unionen och dess medlemsländer inom ramen för EU-
arbetet, Nato och Europeiska rymdorganet (ESA) och fullgöra de uppgifter som en sådan myndighet ska ansvara för i enlighet med dessa internationella säkerhetsskyddsåtaganden. Tillsyn över säkerhetsskyddet hos en verksamhetsutövare som bedriver verksamhet som omfattas av ett internationellt säkerhetsskyddsåtagande utövas av tillsynsmyndigheten.
För andra generella internationella säkerhetsskyddsåtaganden ska regeringen besluta vilken myndighet som ska vara nationell säkerhetsmyndighet och fullgöra de uppgifter som en sådan myndighet ska ansvara för i enlighet med det internationella säkerhetsskyddsåtagandet.
2 § Försvarets materielverk ska vara nationell industrisäkerhetsmyndighet och fullgöra de uppgifter som en sådan myndighet ska ansvara för i enlighet med internationella säkerhetsskyddsåtaganden.
3 § Regeringskansliet beslutar om registerkontroll, utfärdar intyg och lämnar underlag enligt 5 kap. 1, 2 och 4 §§ säkerhetsskyddslagen (2018:585). Regeringskansliet får besluta att även andra myndigheter som anges i bilagan till denna förordning ska utföra dessa uppgifter för personer som deltar i myndigheternas egen verksamhet.
Om en registerkontroll föranleds av ett ärende om säkerhetsintyg för en leverantör, beslutar i stället Försvarets materielverk om registerkontrollen och utfärdar intyg enligt 5 kap. 1 § säkerhetsskyddslagen.
4 § Om en person eller en leverantör ansöker om ett säkerhetsintyg enligt 5 kap. 1 § säkerhetsskyddslagen
(2018:585), får en tidigare gjord säkerhets-prövning eller ett tidigare träffat säkerhetsskyddsavtal läggas till grund för utfärdande av ett sådant intyg i den utsträckning som är lämpligt.
5 § Bestämmelserna i 5 kap. om säkerhetsprövning, registerkontroll och särskild personutredning gäller vid ärenden enligt 5 kap. 1 och 4 §§ säkerhetsskyddslagen
(2018:585).
1 § Följande myndigheter är tillsynsmyndigheter enligt säkerhetsskyddslagen (2018:585) och denna förordning för angivna tillsynsområden.
Tillsynsmyndighet Tillsynsområde
Försvarsmakten Fortifikationsverket, Försvarshögskolan
och de myndigheter som hör till
Försvarsdepartementet
Säkerhetspolisen Affärsverket svenska kraftnät,
Domarnämnden, domstolarna som inte hör
till Försvarsdepartementet,
Domstolsverket, E-hälsomyndigheten,
Ekobrottsmyndigheten, Finansinspektionen,
Folkhälsomyndigheten, Fondtorgsnämnden,
Försäkringskassan, Inspektionen för
strategiska produkter, Kriminalvården,
Kustbevakningen, Lantmäteriet,
Livsmedelsverket, Luftfartsverket,
Läkemedelsverket, länsstyrelserna,
Migrationsverket, Myndigheten för
psykologiskt försvar, Myndigheten för
samhällsskydd och beredskap,
Pensionsmyndigheten, Polismyndigheten,
Post- och telestyrelsen, Riksarkivet,
Riksgäldskontoret, Sjöfartsverket,
Skatteverket, Socialstyrelsen, Statens
energimyndighet, Statens fastighetsverk,
Statens jordbruksverk, Statens
servicecenter, Statens
veterinärmedicinska anstalt,
Strålsäkerhetsmyndigheten, Säkerhets-
och integritetsskyddsnämnden,
Trafikverket, Transportstyrelsen,
Tullverket, Utbetalningsmyndigheten,
Valmyndigheten och Åklagarmyndigheten
Affärsverket svenska enskilda verksamhetsutövare inom
kraftnät områdena elförsörjning och
dammanläggningar, med undantag för
kärnteknisk verksamhet
Transportstyrelsen enskilda verksamhetsutövare inom
områdena vägtrafik, sjöfart, spårbunden
trafik, civil luftfart,
flygtrafiktjänster för civil luftfart
och flygtrafikledningstjänst för
militär luftfart
Post- och telestyrelsen enskilda verksamhetsutövare inom
områdena elektronisk kommunikation och
posttjänst
Försvarets materielverk enskilda verksamhetsutövare inom
området försvarsmateriel
Finansinspektionen enskilda verksamhetsutövare inom
området finansiella företag samt för
motsvarande utländska företag som är
etablerade i Sverige
Statens energimyndighet enskilda verksamhetsutövare inom
områdena fjärrvärme-, naturgas-, olje-
och drivmedelsförsörjning
Strålsäkerhetsmyndig-
heten enskilda verksamhetsutövare inom
området kärnteknisk verksamhet
Länsstyrelsen i
Stockholms län kommuner och regioner som hör till
Stockholms, Uppsala, Södermanlands,
Västmanlands, Värmlands, Gotlands,
Örebro, Dalarnas eller Gävleborgs län
och statliga myndigheter, utom
Säkerhetspolisen och Justitiekanslern,
och enskilda verksamhetsutövare som har
sitt säte i något av dessa län, om de
inte hör till någon annan
tillsynsmyndighets tillsynsområde
Länsstyrelsen i
Skåne län kommuner och regioner som hör till
Kronobergs, Blekinge, Kalmar eller
Skåne län och statliga myndigheter och
enskilda verksamhetsutövare som har
sitt säte i något av dessa län, om
de inte hör till någon annan
tillsynsmyndighets tillsynsområde
Länsstyrelsen i
Västra Götalands län kommuner och regioner som hör till
Hallands, Jönköpings, Västra Götalands
eller Östergötlands län och statliga
myndigheter och enskilda
verksamhetsutövare som har sitt säte
i något av dessa län, om de inte hör
till någon annan tillsynsmyndighets
tillsynsområde
Länsstyrelsen i
Norrbottens län kommuner och regioner som hör till
Västernorrlands, Jämtlands,
Västerbottens eller Norrbottens län och
statliga myndigheter och enskilda
verksamhetsutövare som har sitt säte i
något av dessa län, om de inte hör till
någon annan tillsynsmyndighets
tillsynsområde
En tillsynsmyndighet får utöva tillsyn hos en aktör som en verksamhetsutövare inom tillsynsmyndighetens tillsynsområde har ingått ett säkerhetsskyddsavtal med enligt 4 kap. 1 § säkerhetsskyddslagen (2018:585). Förordning (2023:550).
1 § /Träder i kraft I:2024-02-01/
Följande myndigheter är tillsynsmyndigheter enligt säkerhetsskyddslagen (2018:585) och denna förordning för angivna tillsynsområden.
Tillsynsmyndighet Tillsynsområde
Försvarsmakten Fortifikationsverket, Försvarshögskolan
och de myndigheter som hör till
Försvarsdepartementet
Säkerhetspolisen Affärsverket svenska kraftnät,
Domarnämnden, domstolarna som inte hör
till Försvarsdepartementet,
Domstolsverket, E-hälsomyndigheten,
Ekobrottsmyndigheten, Finansinspektionen,
Folkhälsomyndigheten, Fondtorgsnämnden,
Försäkringskassan, Inspektionen för
strategiska produkter, Kriminalvården,
Lantmäteriet, Livsmedelsverket,
Luftfartsverket, Läkemedelsverket,
länsstyrelserna, Migrationsverket,
Pensionsmyndigheten, Polismyndigheten,
Post- och telestyrelsen, Riksarkivet,
Riksgäldskontoret, Sjöfartsverket,
Skatteverket, Socialstyrelsen, Statens
energimyndighet, Statens fastighetsverk,
Statens jordbruksverk, Statens
servicecenter, Statens veterinär-
medicinska anstalt, Strålsäkerhets-
myndigheten, Säkerhets- och integritets-
skyddsnämnden, Trafikverket, Transport-
styrelsen, Tullverket, Utbetalnings-
myndigheten, Valmyndigheten och
Åklagarmyndigheten
Affärsverket svenska enskilda verksamhetsutövare inom
kraftnät områdena elförsörjning och
dammanläggningar, med undantag för
kärnteknisk verksamhet
Transportstyrelsen enskilda verksamhetsutövare inom
områdena vägtrafik, sjöfart, spårbunden
trafik, civil luftfart, flygtrafik-
tjänster för civil luftfart och
flygtrafikledningstjänst för militär
luftfart
Post- och telestyrelsen enskilda verksamhetsutövare inom
områdena elektronisk kommunikation och
posttjänst
Försvarets materielverk enskilda verksamhetsutövare inom
området försvarsmateriel
Finansinspektionen enskilda verksamhetsutövare inom
området finansiella företag samt för
motsvarande utländska företag som
är etablerade i Sverige
Statens energimyndighet enskilda verksamhetsutövare inom
områdena fjärrvärme-, naturgas-, olje-
och drivmedelsförsörjning
Strålsäkerhets- enskilda verksamhetsutövare inom
myndigheten området kärnteknisk verksamhet
Länsstyrelsen i kommuner och regioner som hör till
Stockholms län Stockholms, Uppsala, Södermanlands,
Västmanlands, Värmlands, Gotlands,
Örebro, Dalarnas eller Gävleborgs län
och statliga myndigheter, utom
Säkerhetspolisen och Justitiekanslern,
och enskilda verksamhetsutövare som har
sitt säte i något av dessa län, om de
inte hör till någon annan tillsyns-
myndighets tillsynsområde
Länsstyrelsen i kommuner och regioner som hör till
Skåne län Kronobergs, Blekinge, Kalmar eller
Skåne län och statliga myndigheter och
enskilda verksamhetsutövare som har
sitt säte i något av dessa län, om de
inte hör till någon annan tillsyns-
myndighets tillsynsområde
Länsstyrelsen i kommuner och regioner som hör till
Västra Götalands län Hallands, Jönköpings, Västra Götalands
eller Östergötlands län och statliga
myndigheter och enskilda verksamhets-
utövare som har sitt säte i något av
dessa län, om de inte hör till någon
annan tillsynsmyndighets tillsynsområde
Länsstyrelsen i kommuner och regioner som hör till
Norrbottens län Västernorrlands, Jämtlands,
Västerbottens eller Norrbottens
län och statliga myndigheter och
enskilda verksamhetsutövare som har
sitt säte i något av dessa län, om de
inte hör till någon annan tillsyns-
myndighets tillsynsområde
En tillsynsmyndighet får utöva tillsyn hos en aktör som en verksamhetsutövare inom tillsynsmyndighetens tillsynsområde har ingått ett säkerhetsskyddsavtal med enligt 4 kap. 1 § säkerhetsskyddslagen (2018:585). Förordning (2023:899).
2 § Säkerhetspolisen och Försvarsmakten ska vara samordningsmyndigheter. Myndigheterna ska
1. i samverkan följa upp, utvärdera och utveckla arbetet med tillsyn och samråd,
2. i samråd ta fram och tillhandahålla metodstöd för tillsyn och samråd,
3. förmedla relevant hotinformation till tillsynsmyndigheterna, och
4. leda ett samarbetsforum där tillsynsmyndigheterna ingår, i syfte att underlätta samordning och åstadkomma en effektiv och likvärdig tillsyn.
3 § Säkerhetspolisen och Försvarsmakten får, om det finns särskilda skäl, ta över tillsynsansvaret för en verksamhetsutövare som hör till någon av de andra tillsynsmyndigheternas tillsynsområde eller för en aktör som en sådan verksamhetsutövare har ingått säkerhetsskyddsavtal med enligt 4 kap. 1 § säkerhetsskyddslagen (2018:585). När det inte längre finns skäl för övertagandet ska tillsynsansvaret återgå till tillsynsmyndigheten. Tillsynsmyndigheten ska underrättas vid övertagandet och när tillsynsansvararet återgår.
4 § Tillsynsmyndigheterna ska genom systematisk kartläggning identifiera vilka verksamhetsutövare och andra tillsynsobjekt som finns inom sina respektive tillsynsområden. Kartläggningen ska genomföras regelbundet.
Tillsynsmyndigheterna ska ha en aktuell förteckning över sina tillsynsobjekt.
Första och andra styckena gäller inte för Säkerhetspolisen och Försvarsmakten.
5 § Det som anges om undantag för brottsbekämpande verksamhet i 3 § förvaltningslagen (2017:900) gäller inte vid Säkerhetspolisens handläggning av ärenden om samråd, förelägganden och förbud enligt säkerhetsskyddslagen
(2018:585). Detsamma gäller i fråga om tillsyn och sanktionsavgifter enligt säkerhetsskyddslagen.
6 § Säkerhetspolisen får meddela föreskrifter om
1. säkerhetsskyddsanalys, anmälnings- och rapporteringsskyldighet, säkerhetsskyddsåtgärder, säkerhetsskyddsklassificering och säkerhetsskyddsavtal enligt säkerhetsskyddslagen (2018:585) och denna förordning, och
2. verkställigheten av säkerhetsskyddslagen.
Säkerhetspolisens rätt att meddela föreskrifter enligt första stycket gäller inte i de fall som Försvarsmakten, Försvarets materielverk eller Regeringskansliet har föreskriftsrätt enligt denna förordning.
Innan föreskrifter meddelas ska Säkerhetspolisen ge Försvarsmakten tillfälle att yttra sig. Detsamma gäller innan föreskrifter meddelas enligt 3 kap. 6 § första stycket, 7 och
10 §§. Regeringskansliet ska underrättas om innehållet i Säkerhetspolisens föreskrifter.
7 § Försvarsmakten får meddela föreskrifter om
1. kryptografiska funktioner som är avsedda för skydd av säkerhetskänslig verksamhet, utöver det bemyndigande för myndigheten som finns i 33 § förordningen (2007:1266) med instruktion för Försvarsmakten,
2. säkerhetsskyddsanalys, anmälnings- och rapporteringsskyldighet, säkerhetsskyddsåtgärder, säkerhetsskyddsklassificering och säkerhetsskyddsavtal enligt säkerhetsskyddslagen (2018:585) och denna förordning inom sitt och Försvarets materielverks tillsynsområde, och
3. verkställigheten av säkerhetsskyddslagen inom sitt och Försvarets materielverks tillsynsområde med undantag för föreskrifter om förfarandet vid registerkontroll.
Försvarsmaktens rätt att meddela föreskrifter enligt första stycket gäller inte i de fall som Regeringskansliet eller Försvarets materielverk har föreskriftsrätt enligt denna förordning.
Innan föreskrifter meddelas ska Försvarsmakten ge Säkerhetspolisen tillfälle att yttra sig. Detsamma gäller innan föreskrifter meddelas enligt 3 kap. 6 § första stycket,
7 och 10 §§. Regeringskansliet ska underrättas om innehållet i Försvarsmaktens föreskrifter.
8 § Regeringskansliet får meddela föreskrifter om säkerhetsskyddsanalys, anmälnings- och rapporteringsskyldighet, säkerhetsskyddsåtgärder, säkerhetsskyddsklassificering och säkerhetsskyddsavtal enligt säkerhetsskyddslagen (2018:585) och denna förordning samt verkställigheten av säkerhetsskyddslagen i övrigt för Regeringskansliet, utlandsmyndigheterna och sådana kommittéer och särskilda utredare som avses i kommittéförordningen
(1998:1474).
Regeringskansliet får meddela föreskrifter om verkställigheten av säkerhetsskyddslagen när det gäller utfärdande av säkerhetsintyg enligt 5 kap. 1 § säkerhetsskyddslagen för personer som har hemvist i Sverige. Innan sådana föreskrifter meddelas ska Regeringskansliet samråda med Säkerhetspolisen, Försvarsmakten och Försvarets materielverk.
9 § Försvarets materielverk får meddela föreskrifter om verkställigheten av säkerhetsskyddslagen (2018:585) i fråga om utfärdande av säkerhetsintyg enligt 5 kap. 1 § säkerhetsskyddslagen för leverantörer med säte i Sverige. Försvarets materielverk ska innan sådana föreskrifter meddelas samråda med Säkerhetspolisen och Försvarsmakten. Regeringskansliet (Utrikes-departementet) ska underrättas om innehållet i föreskrifterna.
10 § En tillsynsmyndighet som utövar tillsyn över enskilda verksamhetsutövare får inom sitt tillsynsområde meddela föreskrifter som kompletterar sådana föreskrifter som meddelats med stöd av 6, 7 eller 9 §. Innan en tillsynsmyndighet meddelar sådana föreskrifter ska myndigheten samråda med Säkerhetspolisen och Försvarsmakten.
11 § Säkerhetspolisen och Försvarsmakten ska på begäran lämna råd om säkerhetsskydd till Regeringskansliet, riksdagen och dess myndigheter och till Justitiekanslern.
Säkerhetspolisen och Försvarsmakten ska informera varandra när råd har lämnats enligt första stycket.
12 § Tillsynsmyndigheterna ska inom sina respektive tillsynsområden ge vägledning om säkerhetsskydd.
13 § Beslut enligt denna förordning får inte överklagas.
2021:955
1. Denna förordning träder i kraft den 1 december 2021.
2. Genom förordningen upphävs säkerhetsskyddsförordningen
(2018:658).
3. Förordningen tillämpas inte på sådana internationella åtaganden om säkerhetsskydd som anges i 7 kap. 1 § och som ingåtts före den 1 april 2019.
4. Bestämmelsen i 3 kap. 7 § tillämpas inte på handlingar som är arkiverade före den 1 april 2019. I fråga om andra handlingar som har märkts enligt säkerhetsskyddslagen (1996:627) ska 3 kap. 7 § tillämpas från och med den 1 januari 2022.
5. Ett beslut om registerkontroll enligt 26 eller 27 § säkerhetsskyddsförordningen (1996:633) ska, om inte annat beslutas, motsvara ett beslut om placering i säkerhetsklass 3 enligt 3 kap. 8 § säkerhetsskyddslagen (2018:585), dock längst till dess att ett beslut om placering i säkerhetsklass meddelas enligt den lagen. Ett sådant beslut ska meddelas senast vid utgången av 2024.
6.
/Upphör att gälla U:2024-02-01/
Bestämmelsen i 3 kap. 9 § om säkerhetsskyddsklassificerade uppgifter som lämnas till en utländsk myndighet, mellanfolklig organisation eller utländsk leverantör behöver inte tillämpas förrän den 1 januari 2025.
6.
/Träder i kraft I:2024-02-01/
Bestämmelsen i 3 kap. 9 § om säkerhetsskyddsklassificerade uppgifter som lämnas till en utländsk myndighet, mellanfolklig organisation eller utländsk leverantör behöver inte tillämpas förrän den 1 januari 2028. Förordning (2023:899).
Följande statliga myndigheter beslutar om placering i säkerhetsklass i enlighet med 5 kap. 8 § :
- Affärsverket svenska kraftnät
- Allmänna domstolarna
- Allmänna förvaltningsdomstolarna
- Arbetsdomstolen
- Arbetsförmedlingen
- Arbetsgivarverket
- Arbetsmiljöverket
- Bolagsverket
- Brottsförebyggande rådet
- Centrala studiestödsnämnden
- Domarnämnden
- Domstolsverket
- E-hälsomyndigheten
- Ekobrottsmyndigheten
- Ekonomistyrningsverket
- Elsäkerhetsverket
- Energimarknadsinspektionen
- Exportkreditnämnden
- Finansinspektionen
- Folke Bernadotteakademin
- Folkhälsomyndigheten
- Fortifikationsverket
- Försvarets materielverk
- Försvarets radioanstalt
- Försvarshögskolan
- Försvarsmakten
- Försvarsunderrättelsedomstolen
- Försäkringskassan
- Granskningsnämnden för försvarsuppfinningar
- Göteborgs universitet
- Havs- och vattenmyndigheten
- Hyres- och arrendenämnderna
- Inspektionen för strategiska produkter
- Institutet för rymdfysik
- Integritetsskyddsmyndigheten
- Justitiekanslern
- Kammarkollegiet
- Kemikalieinspektionen
- Kommerskollegium
- Konkurrensverket
- Kriminalvården
- Kronofogdemyndigheten
- Kungl. Tekniska högskolan
- Kustbevakningen
- Lantmäteriet
- Linköpings universitet
- Livsmedelsverket
- Luftfartsverket
- Luleå tekniska universitet
- Lunds universitet
- Läkemedelsverket
- Länsstyrelserna
- Migrationsverket
- Myndigheten för digital förvaltning
- Myndigheten för samhällsskydd och beredskap
- Myndigheten för psykologiskt försvar
- Myndigheten för tillväxtpolitiska utvärderingar och analyser
- Myndigheten för totalförsvarsanalys
- Mälardalens universitet
- Naturvårdsverket
- Patent- och registreringsverket
- Pensionsmyndigheten
- Polarforskningssekretariatet
- Polismyndigheten
- Post- och telestyrelsen
- Regeringskansliet
- Riksantikvarieämbetet
- Riksarkivet
- Riksgäldskontoret
- Rymdstyrelsen
- Rättshjälpsmyndigheten
- Sjöfartsverket
- Skatteverket
- Socialstyrelsen
- Statens energimyndighet
- Statens fastighetsverk
- Statens haverikommission
- Statens inspektion för försvarsunderrättelseverksamheten
- Statens jordbruksverk
- Statens servicecenter
- Statens skolverk
- Statens tjänstepensionsverk
- Statens veterinärmedicinska anstalt
- Statens överklagandenämnd
- Statistiska centralbyrån
- Statskontoret
- Stockholms universitet
- Strålsäkerhetsmyndigheten
- Styrelsen för internationellt utvecklingssamarbete
- Sveriges geologiska undersökning
- Sveriges lantbruksuniversitet
- Sveriges meteorologiska och hydrologiska institut
- Säkerhets- och integritetsskyddsnämnden
- Säkerhetspolisen
- Totalförsvarets forskningsinstitut
- Totalförsvarets plikt- och prövningsverk
- Trafikverket
- Transportstyrelsen
- Tullverket
- Umeå universitet
- Uppsala universitet
- Utbetalningsmyndigheten
- Valmyndigheten
- Verket för innovationssystem
- Vetenskapsrådet
- Åklagarmyndigheten.
Förordning (2023:550).