Säkerhetsskyddslagens krav utökas

Bakgrund
Frågor som rör Sveriges säkerhet är på tapeten som kanske aldrig förr. Det märks inte minst på aktiviteten hos riksdagen, som hittills hunnit besluta om inte mindre än sex ändringar av säkerhetsskyddslagen (2018:585). Detta trots att den bara funnits i drygt två år.

Nu har regeringen överlämnat remissen Ett starkare skydd för Sveriges säkerhet till Lagrådet med förslag på ännu fler nyheter och förändringar i säkerhetsskyddslagen. Ändringarna kommer att påverka alla organisationer som bedriver säkerhetskänslig verksamhet, så kallade verksamhetsutövare.

Anmälningsplikt för alla som bedriver säkerhetskänslig verksamhet
Enligt förslaget ska alla aktörer som bedriver säkerhetskänslig verksamhet anmäla det till ”sin” ansvariga tillsynsmyndighet. I dagsläget finns det nämligen flera olika tillsynsmyndigheter, alltifrån Säkerhetspolisen till Svenska Kraftnät, vilka alla utövar tillsyn över olika typer av verksamheter.

Om regeringens förslag blir verklighet kommer verksamhetsutövare att bli skyldiga att anmäla verksamheten ”utan dröjsmål” i samband med att de nya reglerna träder i kraft. Det gäller alltså att ha förberett en sådan anmälan i god tid.

Tyvärr kommer det även fortsättningsvis vara upp till varje organisation att göra analyser och bedöma om den bedriver säkerhetskänslig verksamhet. Det kan vara nog så svårt.

Det föreslås med andra ord ingen möjlighet för upphandlande organisationer att vända sig till den ansvariga tillsynsmyndigheten för att få ett svar på frågan om tillsynsmyndigheten anser att deras verksamhet är säkerhetskänslig och därmed omfattas av lagen. Det hade kunnat vara önskvärt.

Utökad skyldighet att ingå säkerhetsskyddsavtal
Enligt regeringen är det viktigt att säkerhetskänslig verksamhet ska ha samma skydd oavsett var och hur verksamheten bedrivs. Därför utökas kravet på att ingå säkerhetsskyddsavtal till att även gälla situationer när verksamhetsutövare avser att inleda en samverkan eller ett samarbete med någon utomstående.

Det innebär att exempelvis forskningssamarbeten och samverkan inom ramen för informations- och cybersäkerhetsarbete kan omfattas av det nya kravet på att ingå ett säkerhetsskyddsavtal innan samarbetet eller samverkan inleds.

Som bekant är få regler utan undantag. Rena samverkans- och samarbetssituationer mellan statliga myndigheter undantas från kravet på säkerhetsskyddsavtal.

Undantaget gäller däremot inte för kommunal eller regional samverkan eller samarbete. Detta innebär att exempelvis kommuner och kommunala företag som genomför en gemensam upphandling där det förekommer säkerhetsskyddade uppgifter i en viss säkerhetsskyddsklass kan behöva ingå säkerhetsskyddsavtal med varandra, för att uppgifterna ska kunna delas mellan dem.

Krav på löpande översikt av befintliga säkerhetsskyddsavtal
Det finns redan i dag en skyldighet för verksamhetsutövare att kontrollera att de säkerhetsskyddsavtal som ingåtts följs. Genom förslaget på nya bestämmelser förtydligas denna skyldighet, och får en mer framträdande position.

Dessutom föreslås att alla verksamhetsutövare ska vara skyldiga att löpande se över sina befintliga säkerhetsskyddsavtal, och se till så att de är uppdaterade i förhållande till den hotbild som råder.

Den skyldigheten finns i dag bara för de verksamhetsutövare som omfattas av Säkerhetspolisens och Försvarsmaktens föreskrifter, och exempelvis inte för kommunala energibolag som omfattas av Svenska kraftnäts tillsyn och föreskrifter.

Skyldigheten att löpande se över och ändra sina säkerhetsskyddsavtal kan i praktiken innebära att ett säkerhetsskyddsavtal måste skärpas ännu mer om hotbilden ökat, eller att vissa delar inte längre är nödvändiga för att hotbilden försvunnit.

Om förslaget blir verklighet är det dessutom nödvändigt att alla som ingår säkerhetsskyddsavtal även säkerställer att avtalen innehåller klausuler som möjliggör för framtida ändringar av deras innehåll. Utan sådana ändringsklausuler kan det nämligen bli svårt att ändra avtalen om behovet uppstår, eftersom det därmed finns risk för att ändringarna då är i strid med upphandlingslagarnas förbud mot väsentliga ändringar.

Utökad skyldighet att genomföra särskilda säkerhetsskyddsbedömningar och lämplighetsprövningar samt att samråda med tillsynsmyndigheter
Enligt förslaget ska det införas ett krav på att genomföra en särskild säkerhetsskyddsbedömning och lämplighetsprövning inför varje förfarande som innebär att en verksamhetsutövare måste ingå ett säkerhetsskyddsavtal. Det kan till exempel vara inför en upphandling, ett forskningssamarbete eller bildandet av en samverkan mellan kommunala eller regionala bolag inom försörjningssektorerna, där parterna behöver dela med sig av säkerhetsskyddade uppgifter.

Kärnan i en särskild säkerhetsskyddsbedömning är att verksamhetsutövaren identifierar och dokumenterar vilka skyddsvärden som finns inom organisationen och som en potentiell leverantör kan få tillgång till. Utifrån den särskilda säkerhetsskyddsbedömningen ska verksamhetsutövaren pröva om det är lämpligt ur säkerhetsskyddssynpunkt att genomföra den planerade upphandlingen, samarbetet eller samverkan.

Om förslaget genomförs innebär det alltså att upphandlande myndigheter och enheter som ska genomföra upphandlingar där det finns krav på säkerhetsskyddsavtal måste göra ett ännu grundligare förarbete. Detta förarbete måste även dokumenteras.

Dessutom utökas skyldigheten att genomföra samråd. I framtiden kommer alla olika former av verksamhetsutövare, såväl statliga som kommunala och regionala, vara skyldiga att genomföra samråd med den ansvariga tillsynsmyndigheten innan de genomför en upphandling, ett samarbete eller en samverkan om det förekommer säkerhetsskyddsklassade uppgifter i säkerhetsskyddsklassen hemlig eller högre.

Detta riskerar med andra ord att i ännu större utsträckning göra så att de tar längre tid att genomföra säkerhetsskyddade upphandlingar där det förekommer särskilt känsliga uppgifter. 

Tillsynsmyndigheterna får nya befogenheter
Avslutningsvis föreslår regeringen att tillsynsmyndigheterna ska få ett antal utökade tillsynsbefogenheter. Myndigheterna ska bland annat ha rätt att begära in information från tillsynsobjekten. De ska även ha rätt att få tillgång till de områden, lokaler och utrymmen som används för verksamhetsutövarnas säkerhetskänsliga verksamhet.

En verksamhetsutövare som inte samarbetar med tillsynsmyndigheten, eller inte att genomför de åtgärder som tillsynsmyndigheten kräver, ska även kunna bli förelagd att betala viten.

Tillsynsmyndigheternas nya befogenheter tar inte heller slut där. Regeringen föreslår dessutom att myndigheterna ska kunna besluta om sanktionsavgifter om verksamhetsutövare exempelvis inte anmäler sin verksamhet eller om de glömmer att ingå ett säkerhetsskyddsavtal i samband med en upphandling.

Sanktionsavgiften ska vara som lägst 25 tusen kronor och som högst 50 miljoner kronor. För statliga myndigheter, kommuner och regioner föreslås sanktionsavgiften dock vara som högst 10 miljoner kronor. Värt att tänka på är att kommunala och regionala bolag inte ingår i denna kategori, och att de därför riskerar att få betala den högre avgiften.

I framtiden riskerar det med andra ord att bli mycket dyrt för verksamhetsutövare som inte följer lagens bestämmelser. Det blir därför ännu viktigare att säkerställa att säkerhetsarbetet inte eftersätts.

Viktor Robertson
Senior specialist
Albin Svensson
Associate

Advokatfirman Kahn Pedersen